上网行为管理产品在网络管理中已经是一个不可或缺的部分,并且已经得到了广泛的使用。
大家在选购上网行为管理产品的时候,一般都关注功能和价格。实际上,产品的部署方案才是首先要考虑的因素。
本文将讨论上网行为管理产品的几种典型部署方案,及各自的优缺点分析。
旁路部署方案
旁路部署的网络结构图如下(以WFilter为例):
旁路部署方案的优点
旁路部署方案是对当前网络影响最小的监控模式。
充分利用已有硬件的功能,部署方便,不会影响现有的网络结构。
不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时。
旁路监控设备一旦故障或者停止运行,不会影响现有网络。
旁路部署方案一样可以对上网行为进行控制。
旁路部署方案的缺点
需要交换机或者路由支持“端口镜像”功能才可以实现监控。
旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对于UDP应用,一般还需要在路由器上面禁止UDP端口进行配合。
旁路部署方案总结
如果现有的网络设备运行稳定,且对网络的稳定性要求高。在不考虑升级硬件的情况下,首先应当考虑旁路部署的软件方案,这样可以以最小的代价来部署上网行为管理,而且不会影响现有网络的稳定性。
串联部署方案
串联部署方案有两种:网关模式,网桥模式。如下图:
网关模式:用上网行为管理产品替换现有的网关(路由器、防火墙)。
网桥模式:用上网行为管理产品串联在网关和核心交换机之间。
串联部署方案的优点
解决了旁路部署方案的缺点,可以进行流控,可以禁止UDP通讯。
硬件维护比较单一,避免了软件的兼容性问题。
串联部署方案的缺点
需要购买新的硬件产品,并替换掉现有的网关。造成硬件资源的浪费。
网络中增加了新的硬件,稳定性需要时间的磨合。
增加了单点故障的可能性。串联设备一旦死机或者掉电,会导致网络中断。
串联部署方案总结
公司决定升级现有设备时,可以考虑购买一台行为管理硬件产品,并且进行串联部署。但是串联部署的设备一定要进行一段时间的稳定性测试,确保不影响网络稳定性。
总体来说,根据公司的预算,现有网络状况来判断是进行旁路部署还是串联部署。旁路部署优选软件方案(推荐WFilter上网行为管理软件),串联部署优选硬件方案。
