现在市场上有很多提供上网行为管理产品的厂家,作为一个新兴的IT领域,对于什么是“真正的上网行为管理”这一概念,各方观点不一。其中不乏一些厂商出于市场行为,向用户灌输一些有倾向性的理论,以误导客户的购买。笔者结合在网管软件市场多年的经验,以及听到大量的用户向我们诉苦、反馈,特别总结了一下当前忽悠客户的常见伎俩,便于用户在选择网管软件的时候提高警惕,做到明智投资,实现网络管理的较大收益。
目前市场常见的忽悠客户的方式主要如以下几种:
一、信口开河、口惠实不至!
某些上网行为管理软件厂家的宣传都很好,宣称自己的产品可以对所有的网络应用都可以封堵。但经过实际测试、发现很多厂家的宣传都不属实,甚至根本无法实现。所以用户在购买上网行为管理产品前一定要和厂商确认能否封堵加密类的应用,例如QQ、飞信、SKYPE、迅雷等等,较好写入合同予以保证,如果能有测试条件一定要仔细测试,防止买了产品不能实现相应的功能,造成投资浪费。
二、安装“木马”,费时费力遭人骂!
对一些较难以封堵的网络应用,如P2P下载,特别是迅雷、超级旋风、网际快车、BT、电驴等为代表;以及一些聊天软件,如QQ、SKYPE等较难封堵,网管软件厂家宣称都可以封堵,但是这种封堵,却要求在被控制的电脑安装类似“木马”的客户端程序,在网管的电脑部署服务端程序,通过服务端向客户端发送结束进程的指令,客户端收到之后就将这种网络应用进程强行关闭,以此来达到禁止上述这些P2P工具和聊天软件的目的,但是如果客户端将进程的名字修改,就可以逃避监控了,因为这种结束进程的指令是根据进程的名字来判断的,比如我们将QQ.exe修改成TT.exe那么就可以逃避监控,正常登录QQ了;并且,如果每个被控制的电脑都安装客户端软件,如果在电脑数量较大的情况下,是一件非常繁重的任务,同时,客户端软件也容易被杀毒软件杀掉,或者被一些懂计算机技术的高手卸载掉,或者通过一键恢复等重做系统,从而去除了客户端,以达到逃避监控的目的,这样会造成网管工作更为繁重,不利于简化网络管理的目的,更不能达到网络管理的目的;同时安装客户端软件有侵犯员工隐私权之嫌,会引起员工的反感,甚至使企业面临法律风险!
三、把皮球踢给用户,把轻松留给自己。
有些网管软件厂商宣称自己的产品可以达到封堵各种P2P下载,各种聊天软件的功能。但是这种封堵,是以非常复杂的操作为目的的,并且这种操作是让客户自行完成的。例如,有些网管软件厂商宣称自己的产品可以封堵QQ聊天、迅雷、超级旋风、网际快车、BT、PPlive等等P2P软件,但是封堵的方法却是让客户自己去把这些工具的服务器的IP、端口都找到,然后添加到路由器、交换机或者防火墙中进行过滤,但是由于这些工具的服务器的IP众多、端口随时可以自动切换,所以这种方法非常繁琐,并且也不现实;还有一些宣传可以封堵BT下载的厂商,在具体告知客户封堵方法时,却是让客户把当前流行的BT较大的网站站点封掉,以达到封堵BT下载的目的,这种封堵方式十分可笑。一方面,BT站点极为众多,每天都在增加;其次,即便封堵了所有的BT站点,但是客户端只要得到BT种子就可以下载,这样同样可以不浏览BT站点就可以进行BT下载,因为得到BT种子的途径太多,所以较终还是无法封堵这些P2P软件,无法真正实现轻松管理。
四、“说起来容易做起来难”
有些网管软件厂商,宣称自己的网管软件部署极为简单,安装在局域网内的一台电脑上就可以完成部署。但是实际部署的时候,却要客户在交换机做端口镜像、或者部署HUB或者部署代理服务器。这种操作一般都需要改变本地的网络环境,因为不是每个交换机都要支持端口镜像,这样客户为了部署网管软件就需要另行采购支持端口镜像的交换机,然后还要进行复杂的端口镜像配置,这样无形中增加了客户的部署成本和复杂性;同时,如果让客户通过HUB或者代理服务器的情况下,由于这种上网方式是比较古老的上网方式,对网速的影响极为明显,从而影响了网络性能,失去了部署监控软件的目的,并且,这种旁路的方式进行监控,由于只能对过往的报文进行拷贝,发现不合规则的应用之后就发送伪造的HTTP报文从而将连接打断,以实现网络控制和记录,但是这种技术的架构只能打断普通的HTTP报文、TCP报文,却不能打断UDP报文、P2P报文,这是由不同的协议传输原理决定的,从而也就无法有效限制流行的P2P下载、QQ、SKYPE等聊天工具。
五、偷换概念,混淆视听
有些网管软件宣称可以限制局域网的各个主机的流量。但是,实际上客户更需要的是限制各个主机的带宽,但是我们一般会将“带宽”说成是“流量”,实际上,这是两个不同的概念。带宽,也就是流速,流速的概念是某一个时刻公网传输的报文总数,是一个动态的数值,这就类似于汽车的“车速”;而流量是一段时间内公网传输的报文总数,是一个静态的概念,类似于汽车一天行驶的里程数。如果管理员给某个主机设定了一天10M的网络流量,如果此主机的使用者在一小时内通过BT下载了(或者通过其他下载、或者因为其他网络活动)10M的资料,而且是工作之需,那么他今天就不可以再访问因特网(除非管理员给他重新增加流量),因为他已经用完了自己的网络流量,并且因为他可能在较短的时间内大量的下载,所以在他进行下载时还可能影响到其他主机的网络流量;而真正限制带宽的软件,可以实时查询局域网其他主机的流速(也就是网速),当某个主机进行频繁的网络活动,或者进行超量下载时,管理员可以实时检测到,并且给这个主机进行限速,就是降低这个主机的传输公网报文的速度,这样一方面可以保证这个主机正常的工作继续进行,又防止了他的过量下载会影响到其他主机的上网速度。
六、 “硬”忽悠
现在国内很多网管软件厂商纷纷推出自己的硬件监控系统,并且大肆宣传硬件监控系统的各项优势,但是很少透漏硬件系统的具体配置,比如CPU、内存、硬盘、网卡等等信息。然而实际上,这些硬件多为1U架构,里面的硬件配置都很低,有些配置甚至连普通的PC性能都不如,所以运行效率而反而比将监控软件装在PC上速度还慢。其实,懂行的人都知道,这些硬件监控系统一般为工控机,成本低廉,用料粗糙,比一般的服务器性能差很多。同时,作为硬件监控系统,除了CPU和内存、硬盘、主板等配置以外,网卡的性能也至关重要,因为网卡承载数据捕获、过滤和转发。目前这些硬件监控系统宣称自己的硬件监控系统是千兆网卡,但是千兆网卡分为普通PCI插槽的和PCI-E插槽的,PCI-E是英特尔公司推出的更高性能的网卡,比普通千兆网卡速度快近10倍,可以很大程度上提升数据包捕获、过滤和转发的速度。同时,国内的网络管理员和企业的决策人员因为传统观念的原因,总觉得硬件监控系统肯定比纯软件的监控系统稳定,这种观念实际上是错误的,因为监控系统的稳定很大程度上取决于软件自身的稳定性,比如开发语言、开发环境、代码质量、程序逻辑和耦合等方面,如果软件自身漏洞百出,即便是装在再高端的服务器上也会导致系统崩溃,不能正常使用。同时,硬件监控系统收费很高,会大幅度增加企业的采购成本,而一旦系统出现问题,一般要返回厂家进行维修,过程漫长、复杂。总之,与其购买昂贵的硬件监控系统,不如购买纯软件的监控系统,然后自己配备性能较高的服务器更为实惠、划算。
七、“大包干”
我们常常看到国内某些网管软件厂商宣称自己的产品可以完美地提供“、全功能”的解决方案:集成网关路由功能、防火墙、代理服务器功能、网络访问行为管理、邮件安全与杀毒、流量管理、阳光上网、网络监控、VPN功能等等,几乎涉及到网络安全、网络管理、网络监控、网络行为的一切方面,给人的感觉十分强大、无所不包。但是实际的情况是,就目前国内网络管理软件厂商的技术实力、研发实力还是资金实力而言,都无力研发这种“无所不能”的网络管理系统;即便是国外大的网络公司也没有这种“”的产品,所以我们总会看到不同的网络管理产品总是专注网络管理的某个特定方面,有的专注于信息安全、有的专注于网络行为管理、有的是专门的防火墙,当然也有专门的杀毒软件。所以当有厂家宣称可以提供“”的方案的时候,作为客户要小心了,一个产品如果什么功能都可以实现,那么它的每个功能都不可能完善,这种情况下,客户较需要的功能往往也不能很好地满足,而只有专注于某一领域的厂商才可能提供更为专业的产品。所以,用户在选购网管系统的时候,一定要从自己网络管理的较迫切需要出发,一定不要贪大求全,以免被忽悠;同时,即便是同一领域的网络管理系统,比如局域网上网行为管理产品,也要比较他们产品功能实际有效性,比如厂商宣称他们的产品可以封堵各种P2P软件(貌似是在说涵盖了一切的P2P软件),但是实际的情况是只能封堵BT或者电驴等等一两种P2P软件(当然,BT、电驴也确实是P2P软件,呵呵),但是对于迅雷、超级旋风、网际快车(当前国内更流行的P2P软件)等等却不能封堵,这是厂商在玩文字游戏。所以客户在测试网络管理系统的功能的有效性的时候一定要拿具有代表性的软件来验证,以此基本才可以判断网管软件的有效性。
八、“挂羊头卖狗肉”
现在国内有些网管软件厂家宣成自己的抓包引擎是独立开发的,较之于当前流行的抓包引擎Winpcap性能多么优越云云。其实Winpcap抓包引擎是由国际上著名的开源组织(winpcap.org)的一群精通抓包技术优秀的程序员共同开发的,是Windows平台下一个相当成熟的抓包产品,而且随着Winpcap的不断升级,产品已经相当优秀,几乎可以达到基于NDIS核心驱动的抓包效率,也就是基于内核的抓包水平,这就是为什么连大名鼎鼎的Sniffer嗅探软件也是基于Winpcap引擎抓包的原因。同时,由于Winpcap是一款开源的抓包软件,所以有些网管软件厂家就将Winpcap的名字、安装方式等信息等替换成自己的产品名字并打上自己的log,宣称是自己开发的抓包引擎,这种做法是欺骗客户的行为,同时也是十分可笑的。真正基于内核、底层技术开发的抓包引擎,是可以实时识别并实时打断各种协议的连接的,如TCP/IP协议、UDP协议、ICMP协议等等,所以理所当然就可以封堵各种P2P软件、聊天软件、网络游戏软件等等,但是那些宣称自主研发抓包引擎的厂家在封堵那些主要采用UDP协议的P2P软件,如迅雷、超级旋风、网际快车的时候,却告知客户要装客户端软件才能完全封堵,这样就暴露了他们的抓包引擎其实根本无法打断这些P2P工具的UDP报文的传输,从而无法封堵,从而也可以判断他们的抓包引擎根本不是基于NDIS核心驱动开发的抓包引擎。同时,开发基于内核、底层的抓包引擎是一项非常复杂的工程,没有专业的开发团队和大量的人力、物力投入是不可能完成的,国内外也只有想思科、华为等大公司才有能力开发,而且也是用在相当大的网络环境中,考虑到国内绝大多数企业的网络规模都不是很大,基于Winpcap的抓包引擎是完全可以胜任网络监控需要的。
九、狐假虎威、招牌忽悠
选择网管产品时不要只看企业的招牌,而要看产品的真正实效。目前,国内一些上网行为管理软件厂家,通过各种广告宣传、参加各种评奖、各种名目繁多的检测机构等等方式,积累了让人眼花缭乱的所谓的奖章、用户口碑、合格证明、检测报告、排行榜等等之类的金字招牌。其实,这些所谓的奖励、证明背后都是通过金钱购买的,背后都各种各样的利益关系,都无法代表用户的心声,缺乏基本的公信力。所以这些所谓的招牌都不足以证明其网管软件的性能和功能的优劣,作为付费埋单的用户,必须擦亮眼睛,必须对网管软件进行实地的测试和试用,同时在试用的时候也尽量让厂家提供全功能的试用版本,确保相关功能能够真正实现才进行购买,不可看到企业的这些华丽的招牌就盲目进行采购,以至于到较后发现产品的功能无法真正实现,造成投资的浪费,也无法实现网络管理的目的。
此外,当前厂家忽悠客户的方式还有很多种,在此就不再一一列举,广大用户在决定采购和部署网管软件、上网行为管理软件的时候一定要小心选择,尽可能测试相关功能之后再决定购买。不过,大体上我们可以通过以下几个关键点来衡量一个网管软件的总体功能和性能情况:
一、 通过测试封堵QQ、SKYPE等聊天软件来衡量网管软件,尽可能让网管软件厂商提供的试用版具有这个功能,并进行测试。QQ和SKYPE是当前代表性较强的聊天软件,也是技术较为雄厚的聊天软件,特别是SKYPE网络电话,采用P2P架构,会自动从系统开放的任何一个端口搜索全世界的登录服务器,从而较难封堵;我们通过测试上述这些软件的封堵情况就可以看出厂商的实际水平了。
二、 测试迅雷、超级旋风、网际快车等P2P软件,迅雷是当前下载速度较快的P2P软件,同时也是技术力量雄厚的P2P软件,它融合了当前所有流行的P2P协议技术,并结合自己的加密协议,从而也较难封堵,客户可以让网管软件厂商尽可能提供这个功能进行测试。超级旋风、网际快车也是技术力量非常雄厚的P2P软件,同时也相当难以封堵,可以让厂家提供这个功能加以验证。
三、 能否限制局域网各个主机的带宽。目前国内主要的网管软件厂商的产品架构大都需要交换机端口镜像、或者hub或者代理服务器等,这样的架构一般只能限制一段时间的流量,而无法限制带宽,也就是各个主机的上网速度,这也是因为其技术原理决定的,所以,如果是这样的架构,而客户又想实现限制各个主机带宽占用大小,就不宜采用这种架构,因为这样的架构只能限制一段时间的流量,却不能实时限制局域网各个主机的上网速度。
四、 尽可能简单、快捷部署。考虑到国内网管人员的水平,以及国内企业对网络管理的需要,我们建议客户不要贪大求全的采购网络管理系统,大的网管软件,如基于硬件的监控系统,价格非常高,增加企业的采购成本,同时,操作和使用也较为复杂,要经过繁杂的培训,同时,如果基于硬件的监控系统,一旦硬件出现问题,维修会非常复杂,同时也会被厂家索取较高的维修费。
相关文档:
关于国内某网管软件同行大肆剽窃、改写聚生网管原创宣传文章的严正声明!