上网行为管理之硬件路由器

一、 什么是上网行为管理路由器
　　帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
　　路由器是网络接入的接口，在进行共享上网的同时，如果能进行一定的行为管理，那么对网络使用者来说将会大大方便网络应用访问的控制。上网行为管理路由器因此孕育而生，欣向上网行为路由器就属此种。
　　二、 当前网络需要上网行为管理
　　上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用，从这一点上来说上网行为管理是有益的，但绝不能将企业网络所有管理问题都寄希望于上网行为管理，毕竟企业网络应用多样，网络安全和管理问题需要多种措施保障。
　　上网行为管理是不错的网络管理手段，能满足企业网络行为控制的需求！企业网络主要是服务企业业务经营，与企业办公无关的网络应用自然会影响员工工作效率，除了通过公司制度对网络的使用范围进行行政化规定，具备网络行为管理功能的网络设备自然能起到很好辅助效果，做到了不但有制度，而且还有措施。
　　为了满足企业网络使用中的网络应用管理问题，例如：欣向免疫墙路由器就提供了上网行为管理功能，目前欣向免疫墙路由器支持QQ、MSN等即时通讯软件的封锁控制，BT等P2P下载的封锁控制，可以很好的满足企业网络行为管理的要求。通过在路由器里进行不同分组上网行为管理设置，可以实现有的电脑能使用QQ等应用（如老板、管理层）、而有的电脑是不能进行QQ访问的（如财务部门、研发技术部门），对提高企业网络信息化办公效率起到了辅助效果。
　　路由器上网行为管理
　　三、上网行为管理的技术实现
　　当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。上网行为管理技术实现方式普遍存在两种：1、通过封锁特定应用的网络服务器IP，达到应用无法连接到服务器的目的，实现行为封锁。2、通过协议分析识别上网行为身份，进行特定协议的拦截，实现行为封锁。
　　较早种方式实现简单，只需要收集特定上网行为的服务器IP直接过滤即可，当前市面上的上网行为管理路由器多数采用此种方式。拿大家熟悉的QQ来说，我们登陆QQ时，都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表，然后通过路由器进行这些服务器IP的过滤处理，这样QQ帐号密码认证不了，当然也就实现了拦截QQ的目的。
　　以上上网行为管理方式存在两个问题：1、当网络中特定应用添加或变更服务器IP时，就会出现行为管理失效，路由器不得不进行软件升级，效果不彻底，应用麻烦。2、当使用代理服务器进行应用访问的中转时，由于认证和访问信息通过第三方中转，自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP，就是用来破解此种行为管理的，QQ聊天软件也提供了绕过此种封锁的代理服务器设置（如图），区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分，所以较早种的服务器IP封锁的行为管理是不彻底的，无效的。
　　QQ代理服务器设置
　　而第二种上网行为管理方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，上网行为管理设备很少使用。欣向上网行为管理路由器就是采用了协议分析的上网行为管理手段，它采用了全新的应用层协议分析，根据不同应用的协议特征，对特定上网行为进行分析确认。由于采用了协议分析，行为管理真正做到了准确无误。
　　四、上网行为管理内容多少合适
　　网络中的访问应用很多，在购买上网行为管理设备时，区分其上网行为管理的实现方式是一定的，谁也不愿真金白银买回来的上网行为管理设备被员工一个简单的代理服务器设置就绕开了。
　　但是，路由器具有多少上网行为管理功能才合适呢？越多越好？
　　采用协议分析的上网行为管理功能，需要路由器具备较高的硬件处理能力，很多低端路由器采用封锁IP的技术实现方式也是受限于其低劣的硬件平台的。一般来讲，采用协议分析的行为管理功能，路由器至少要使用Intel IXP 266主频的网络专用处理器。否则单看其硬件就知其上网行为控制不彻底了。正因为如此，大量使用上网行为管理功能，将降低路由器的转发速率，导致网速慢等问题。
　　所以，上网行为只需满足主流网络应用封锁控制即可，这样路由器运行在负荷之内，网络使用和管理效果也就较好。
　　五、仅有上网行为管理还远不够
　　上网行为管理仅限于网络访问权限的控制，并不能解决网络的安全和稳定问题。
　　当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用，导致盲目上马上网行为管理设备。实际则不然，以上网络应用仅是占用了大量的网络带宽，而企业路由器都有带宽管理功能，如果是因为特定行为访问导致的带宽不足，启用路由器带宽管理后就该没有问题了。但实际情况是，启用了带宽管理以上网络问题还存在，购置了新的上网行为管理设备网络问题还没有解决！
　　这主要是因为企业网络的免疫安全问题被忽视了！据统计，80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱，黑客能够充分利用协议漏洞对网络系统进行破坏，ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段，对终端进行强制性管理，从而对网络进行整体的管控，使病毒的发作无法窜扰到网络上来，这样才能彻底解决网络问题。
　　网络问题必须网络解决，提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备，基于这样的技术思路，让路由器不仅在宽带接入端起到安全管理的作用，也能够深入到整个内网的每一个终端进行控制和保护。同时，在内网中还有一台监控中心，对整个内网的运行进行统计、显示、控制、告警、策略分发等工作，全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网，可以达到普通路由器难以企及的应用效果，在上网的稳定、高速、安全、可管理能力上，远远超过了普通路由的组网方案。
　　有了网络安全和稳定的运行基础，网络行为管理才能显示其更加细致的应用访问控制优势，没有网络稳定就对上网行为管理夸夸其谈，只能将上网行为管理至于空中楼阁，华而不实。
　　总结
　　是否部署上网行为管理要依据企业的具体情况，如果企业网络稳定，并且有网络访问行为控制的要求，那么使用上网行为管理设备是合适的。如果企业网络掉线、卡滞、速度慢，是不能通过上网行为管理解决的，部署具有智能的带宽管理的免疫安全路由器才是首要任务。
　　当前的企业网络对上网行为管理寄予了太多的厚望，希望上网行为管理功能不但能管理网络访问权限还能保证网络稳定。更有甚者，并没有具体的企业网络行为管理控制规划，企业也没有上网行为管理的实施条件，仅为了解决网速慢、卡滞等问题而使用上网行为管理就南辕北辙，阴错阳差，达不到预期目的。