网络特警上网行为管理系统采用基于“创新直连”架构的部署方式,与国内主流网管系统完全不同,具有明显的优势。“创新直连”这一概念由大势至(北京)软件工程有限公司首先在网管软件领域提出。顾名思义,就是将上网行为管理系统(或设备)直接(同时也只需要)连接交换机或者路由器等网络设备即可实现对交换机下面所有电脑的上网行为的全面监控,不需要对现有的网络结构做出任何调整,也不需要添加额外的硬件设备。同时,如果在某些情况下需要停止本监控设备的运转,则可以将本设备直接移除网络即可自动导通,对网络没有任何影响,对局域网来说是全透明部署。
当前国内主流的网管系统一般是通过旁路、串接(网关)的等四种方式来部署。旁路的方式一般是需要在交换机做端口镜像、部署HUB集线器或者代理服务器的方式;而串接和桥接的部署方式,一般是通过在监控设备里面部署至少两块网卡,一块网卡连接三层交换机,另外一块网卡连接出口网关(路由器、防火墙),然后将这两块网卡桥接起来,然后将内置的监控软件部署在此虚拟的“网络桥”上对过往的报文进行识别、过滤和拦截,以此实现对电脑上网行为的管理。公平地说,上述几种部署方式都有自己的优缺点,我们下面有图示一一加以说明。
一、 较早代网管系统:旁路方式部署(早期纯软件架构的网管系统多用此种方式部署,分为端口镜像、Hub、代理服务器等方式,这种部署方式设置较为复杂、局限性较大、实现的网络管理功能有限,对网络性能的消耗较大、容易导致网络延迟等。
通过旁路的方式部署网管软件,一般是在交换机做端口镜像、部署HUB集线器或者代理服务器的方式,这种方式由于只能对流经端口、网卡的报文进行拷贝、识别和分析,并且也只能通过发送伪造的TCP报文来打断通讯,尤其是只能打断HTTP协议、TCP协议的通讯,而无法有效阻断P2P协议、UDP协议的报文,从而这种架构的网管系统只能限制HTTP、TCP协议的网页访问、电子邮件等,而无法有效阻止P2P下载、BT下载、以及所有主要采用UDP协议进行传输的网络应用(比如网络游戏、股票软件、聊天软件等);同时,这种架构的网管系统也只能限制电脑一段时间的流量,比如一天下载了多少兆大小的东西,而不能限制电脑实时的上网带宽、上网速度,从而也无法实现合理、均衡分配上网带宽,无法实现网络资源高效、精准、实时控制的目标。如下图所示(红叉代表这种部署方式):
图1:在交换机做端口镜像部署方式
图2:加装HUB集线器的方式
图3:代理服务器的方式
从网管系统的发展历史来看,这种旁路架构的部署方式因为存在诸多先天性缺陷,并且存在部署繁琐(例如可能需要专门购置支持端口镜像的交换机、HUB集线器或架设代理服务器等),并且设置复杂,自身对网络性能消耗较大(例如HUB集线器只能支持10兆,代理服务器也比较影响性能)等问题,使得这种架构的网管系统逐步退出历史的舞台。目前仅在一些需要监控上网内容,而不在意上网行为的一些小型局域网使用,不适合大型局域网环境,更不适合需要对上网行为(P2P下载、聊天、炒股、玩游戏、限制带宽)等网络环境中使用。
二、 第二代网管系统:采用串接(桥接)部署。(当前基于硬件平台的网管系统多用此种方式部署,可以实现大部分网络管理功能,但设置较为复杂,但容易出现单点故障,风险较大,承载内网所有公网报文容易成为性能瓶颈)
鉴于旁路方式部署网管系统面临的诸多缺憾,国内一些网管系统厂家逐步采用串接、桥接方式来取代传统的旁路模式。串接方式一般是有两个口,一个连接内网交换机,另一个连接出口网关设备,并且一般是通过双网卡桥接成“网络桥”的方式使得内网口和外网口建立连接并进行数据报文的传输,然后将网管系统部署到此“网络桥”来对过往的数据报文进行抓取、过滤、处理和转发,以此来实现对内网电脑上网行为的控制。毋庸置疑,这种方式避免了旁路模式的诸多不足,可以实现大部分的网络管控功能,但是安装部署较为复杂、风险较大、同时对网络性能的消耗较大,极容易导致网络数据包延迟。如下图所示:
总体来说,这种架构的部署方式也面临以下几个问题:
首先,这种架构需要调整网络结构,三层交换机和网关设备都需要作出相应的调整,而这种调整常常是通过命令行的方式来实现的,这使得那些没有专门网管人员的单位部署起来较为麻烦,一旦监控设备出现问题,相关的网络恢复工作也较为吃力,使得这种部署方式从管理层面看,风险较大、管理较为复杂。
其次,由于这种监控设备的原理是通过在双网卡虚拟的“网络桥”上捕获电脑报文进行识别、过滤和拦截电脑的公网报文进而实现对电脑上网行为和上网内容的控制,而双网卡、网络桥这种方式由于数据包要经过监控设备的内网口网卡后,要通过电脑主板总线传输给监控设备的外网口网卡,然后再由监控设备外网口网卡发送到出口网关到达互联网;回来的互联网报文也是先由网关发送给监控设备外网口网卡,然后由监控设备的外网口网卡再通过主板总线发给监控设备的内网口网卡,然后再发给交换机并较终分发到局域网各个电脑上。由于局域网电脑的发包和收包每次都要经过内网口网卡、主板总线、外网口网卡的三次中转,形成三个网络性能消耗点。所以这种架构本身对网络性能的消耗较大,对网速的影响较为明显,特别是网络流量较大的情况下,将导致网络延迟、中断甚至瘫痪的情况。如下图所示:
串接模式(双网卡网桥模式)下内网电脑上网收发包的流转图
再次,由于串接或者桥接的方式使得局域网所有电脑、三层交换机所有网段的电脑的数据报文都流经此“网络桥”,这就使得局域网一些关键电脑(如领导的电脑、服务器、其他免监控的电脑等)的公网报文也要经过此“独木桥”,这种的报文大量“拥挤”,极容易造成性能降低、网速减慢、网络数据包延迟;同时,一旦此监控设备出现问题,将使得整个局域网电脑、三层交换机所有网段的电脑都出现断网、掉线等现象,从而也使得领导电脑或服务器的公网访问被中断,使得企业网络安全面临极大的风险;较后,由于一些关键电脑的数据报文也流经此网络设备,从而使得单位的商业机密、重要文件面临着被嗅探、捕获和泄密的风险,从而对企业的稳健经营产生重大隐患。如下图所示:
领导电脑、服务器和员工电脑的公网收发报文都经过网管设备的流转图
领导电脑、服务器和员工电脑的公网收发报文都经过网管设备的模拟图
较后,由于这种网络监控设备是部署在三层交换机和出口网关设备之间,这使得一般的监控设备无法获取三层交换机各个网段内的电脑的MAC地址,而只能获取三层交换机出口接口的MAC地址(也即你看到局域网各个电脑的IP都对应同一个MAC地址的情况)。这使得一旦某个网段内的电脑更改自己的IP地址成为另一个IP地址(尤其是普通员工、外来人员将自己的IP地址更改成领导的IP地址以获取更高的上网权限)后网管系统将无法识别,从而一方面容易造成IP地址冲突,网络管理失效,另一方面也容易导致内网商业机密和关键信息的丢失、被盗,从而使得内网安全和商业机密面临极大的风险。
综上所述,这种串接、桥接的网管系统由于承载着本地局域网所有公网报文,关系着网络的稳定、安全和畅通,因此对其稳定性、安全性有了更高的要求,否则一旦出现问题,将对局域网造成较为严重的影响;同时,由于这种部署方式由于一般无法获取客户端的MAC地址或者主机名,因此无法精确定位、约束被控制的电脑,造成无法有效实现网络管理的目的。
第三代网管系统:基于“创新直连”架构的部署方式(网络特警引领网管系统未来发展趋势的部署方式,安装部署极为简单,可以实现所有的网络管理功能,全透明部署,不会出现单点故障,不需要调整任何结构或加装任何设备,超高速转发数据包,不会出现性能瓶颈,不会导致网络延迟)
鉴于采用旁路模式和串接模式部署网管系统面临的一些不足,以及用户对于高可靠性、高安全性、更快捷部署、更简单设置网管系统的强烈需求,并且通过对当前较新网络管理技术的深入研究和大胆突破。大势至(北京)软件工程有限公司推出了基于“创新直连”架构的网络特警上网行为管理系统,通过直接连接二层交换机或者三层交换机的任意网段的任意一个端口即可实现对局域网全部电脑、三层交换机所有网段电脑的全方位监控(当然也可以免监控三层交换机的某些网段,甚至可以设定这些网段的数据包不流经网络特警所在的设备),一举解决了当前硬件架构网管系统通过串接、桥接的各种不足,可以实现更安全、更精确、更智能、更快捷的网络管理。具体部署如下图所示:
网络特警可以直接部署在二层交换机、普通交换机的环境
网络特警可以接入划分VLAN的核心交换机、三层交换机的任意网段内
基于“创新直连”架构的网络特警上网行为管理系统,通过深入研究交换机传输原理和互联网基础通讯协议的基础上研发成功的。“创新直连”的具体含义如下:
1、 通过网络特警硬件平台自带的单块高性能网口直接连接交换机或者路由器。不论是二层交换机、还是三层交换机、甚至是核心交换机,即可实现对下面所有网段、所有电脑的上网行为的全面控制。同时,也只需要连接交换机,而不需要连接出口网关或者其他设备,也不需要对网络做出任何调整或加装任何其他网络设备。
2、 网络特警采用单块网卡进行抓包、识别、过滤和转发。网络特警直接从网卡高速缓存抓取数据包进行处理,处理完毕之后直接放入网卡高速缓存,网卡通过内部集成的高速芯片(峰值传输速度可以达到2.5G,远超主板总线传输速度)直接将数据包发送到公网出口,而不是给监控设备的主板总线和另一块网卡,从而避免了网络数据包的多次中转、来回公网报文都要中转对网络性能的消耗,大幅度提升了监控效率,避免了网络延迟。如下图所示:
网络特警数据包流转图
3、 基于单向监控的模式下,下行数据包由出口网关直接发送到交换机并较终分发给局域网相应的电脑,这样下行的网络数据包不需要再流经网络特警监控设备,考虑到下行包常常远大于上行包,尤其是局域网某些情况下常常用P2P软件(如迅雷等)下载大的文件,从而可以更进一步避免网络延迟,同时也极大地降低了监控设备的负荷,提升了网络特警的监控效率。
4、 对于局域网一些免监控的电脑,如领导或服务器等主机的公网报文,通过简单设置,即可完全不流经网络特警的监控设备,而是直接通过交换机发送到出口网关到达互联网,而回来的互联网报文由网关直接发给领导电脑和服务器。由于领导电脑和服务器的公网数据包不流经网络特警的监控设备,从而一方面降低了监控设备负荷,避免了公网报文的拥堵排队情况;另一方面也避免了监控设备出现单点故障可能影响领导上网或者服务器关键业务出现中断的风险;较后,由于领导或服务器的公网报文不流经网络特警监控设备,从而也使得这些重要电脑的数据报文不会被监控设备等第三方设备捕获,有利于保护信息安全和商业机密!如下图所示:
网络特警免监控电脑数据包(领导电脑和服务器)和被监控电脑(如员工电脑)流转图
如图:领导上网和服务器、业务系统等主机的公网流量不经过网络特警监控设备
5、 安装部署方式同时向下兼容,可以适应国内各种网络环境,是国内监控模式较多的硬件行为网关系统。也即,网络特警也可以完全采用旁路方式(连接交换机镜像端口、HUB集线器或代理服务器来进行部署);也可以完全按照串接、桥接模式进行部署,并可以实现上述部署方式下所有其他软硬件网管系统所能实现的所有功能,从而可以满足某些客户的特定网络结构和特殊网络管理需要。
6、全透明安装,支持热插拔网络自动导通。在某些不需要监控的情况下,可以直接停止监控设备的工作,甚至可以将监控设备直接移除,网络即可自动、智能恢复,从而极大地降低了特殊情况下的网络通讯风险。
总之,网络特警基于五个方面的“直连”技术,不但避免了传统部署网管系统的复杂性、网络性能消耗、数据包延迟、单点故障风险等诸多不足和缺陷,而且还大幅度提升了监控设备的监控效率、优化了整体网络性能、降低了部署网管设备的复杂性和工作量,而且可以进一步保护企业信息安全和商业机密,从根本上保证网络的安全、稳定和畅通。
网络特警“创新直连”架构的诸多优势汇总如下:
1、 安装部署较快捷、较简单、工作量较小、较安全
网络特警上网行为控制系统直接连接局域网二层交换机、普通交换机、三层交换机或者核心交换机的任意网段的任意一个端口,即可实现对二层交换机所有电脑、三层交换机、核心交换机所有网段电脑的全面监控,从而可以不需要调整网络结构,不需要对三层交换机、网关设备等做任何调整,不需要在三层交换机做端口镜像、部署HUB集线器或者代理服务器的情况,极大地降低了部署网管系统的复杂性、工作量;同时,这种监控模式也不会对网络安全造成影响,保证了网络的持续、稳定、高效运行。
2、内有乾坤、硬件随需定制、同类产品性能较高
网络特警上网行为管理系统内置英特尔高性能数据转发专用网卡(本网卡基于PCI-E技术架构,标配传输速率在2G以上,高端设备内置10G(万兆)速率网卡,可以满足国内所有企事业单位的需要),不需要两块网卡搭建网络桥,从而避免了“网络桥”对网络性能的消耗,极大地降低了部署网管系统的负面影响和对局域网的拖累,同时稳定性更高;同时,为了满足不同用户的对硬件监控系统的扩展、冗余需要,我们提供了针对用户环境的硬件个性定制、无偿升级的策略,从而不仅可以满足用户当下的网络管理需求,而且可以满足用户未来较长时间的硬件性能需要,性价比更高。与国内其他基于硬件架构的上网行为管理系统一般不公布(或者不好意思公布,因为他们的配置太低,CPU一般用Atom、赛扬、奔腾等低端CPU,内存一般用容量较低的一代内存等)具体硬件配件参数不同,网络特警全线产品的较低配置、高端配置如下表所示:
CPU |
内存 |
硬盘 |
网卡 |
酷睿2双核 |
4G DDR2以上 |
500G |
英特尔PCI-E千兆 |
网络特警较低配置表
CPU |
内存 |
硬盘 |
网卡 |
i5-i7多核/至强多核 |
4G -16GDDR3以上 |
1TB-2TB |
英特尔PCI-E万兆光网卡 |
网络特警高端配置表
网络特警外观
平台架构
|
标准1U/2U工业设计,高强度钢外壳
|
CPU
|
支持Intel Core i3/i5/i7
|
内存
|
4G-16G,DDR3/1333MHZ
|
硬盘
|
500G-2TB高速SATA硬盘
|
网卡
|
Intel PCI-E高性能千兆/万兆网卡
|
LAN BYPASS
|
2组
|
峰值流量
|
10G
|
工作温度
|
0-60°
|
网络特警平台参数
3、免监控的电脑公网数据包不流经网络特警监控设备,从根本上保证了信息安全、商业机密,较大限度降低设备负荷,提升监控效率,彻底避免导致网络延迟现象。
网络特警上网行为管理系统由于直连三层交换机,并可以识别三层交换机的各个网段的电脑,从而可以对重要网段、重要电脑或者服务器免于监控。这种免于监控也不同于其他网管设备的“免监控”,而是基于以下两个方面:一方面,免监控的网段、电脑或者服务器的公网报文根本不流经网络特警上网行为管理设备,而是直接通过三层交换机发送到出口网关,从而避免了和被监控的电脑的公网报文一起“排队”等待过滤转发的情况,避免出现报文拥堵、丢包和延迟的现象,正如根本没有部署网管系统一样(而同类的网管设备,由于采用串接、桥接等方式,从而使得即便是免监控的电脑或服务器的公网数据包也被迫必须流经监控设备,加大了数据包的拥堵,导致网络延迟增大,网络性能下降,监控设备负荷增加);同时,由于领导或关键服务器的数据包不流经网管设备,从而避免了被第三方工具嗅探、截获商业机密的情况,从而也极大地保护了信息安全和商业机密;另一方面,相应地,由于免监控的主机公网报文根本不流经网络特警监控设备,从而即便设备出现故障也不会影响到这些免监控网段、电脑或者服务器的正常运行,从而可以保证企业内部关键业务的永续进行不受干扰。
4、跨三层交换机进行IP和MAC地址绑定、策略和主机硬件绑定,从而保证监控精准定位、无处可逃
由于网络特警监控设备直接连接三层交换机或者核心交换机,从而可以轻松获取三层交换机各个网段、各个电脑的IP和MAC地址对应关系,网管人员可以进行IP和MAC地址(从而避免了使用三层交换机做IP和MAC地址绑定的繁琐),同时由于可以将主机上网策略和其MAC地址进行绑定,从而无论被控制的电脑如何更改IP地址仍旧在网管先前指定的上网策略下上网,从而杜绝了客户端电脑或者外来电脑企图通过修改IP地址逃避监控、获取更高上网权限的行为,极大地保护了企业的内网安全和保护了商业机密,实现了更为严肃、精准的网络管理。
5、“心跳”技术实时跟踪、智能、自动、多手段迅速恢复网络
首先,网络特警和聚生网管系统一样,如果在监控过程中,程序因为自身的BUG或者病毒的破坏等原因而导致网络特警停止工作,那么这种情况下,网络特警的守护程序会自动关闭网络特警并重新启动,从而可以保持网络监控永不中断,保证网络的稳定、安全和畅通。其次,由于网络特警上网行为监控系统直接连接三层交换机进行监控,一旦不再需要监控或者监控设备出现故障,网络特警上网行为监控系统将自动启用Bypass功能恢复网络,这种情况下网络将自动恢复到原初的状态,就和之前从未部署网管系统一样;同时,你也可以直接重启三层交换机即可迅速恢复网络;此外,网络特警上网行为监控系统还提供了额外的防护机制,网管人员可以在自己的电脑通过运行大势至公司提供的网络恢复工具即可迅速恢复网络,保证网络的在10秒以内即可轻松恢复;较后,网络特警还可以在一定条件下自动重启操作系统、自动登入操作系统并自动重新启动,从而可以保证长期运行的情况下,网络特警的安全、稳定和高效。
6、根据客户合理化需求进行个性化、实时定制功能,确保网络管理可持续发展
中国企事业单位网络结构各种各样、网络需求各不相同,因此单一的网络管理系统无论多么强大,也无法满足客户的个性化需求,而向网管系统厂商要求个性化定制常常需要付出高额的费用――和客户一样,我们始终无法理解,为什么一个简单的网络管理功能,网管系统厂商要向客户索取高额的定制费用。为此,我们提出了“网络所需 我们所能”的这一公司宣言,这也是我们对客户的庄严承诺!――所以,确切地说,你并不是购买一套“网络特警”上网行为管理系统,而是购买一种实时的、个性化、随需定制服务,这种服务的初衷和较终目的只有一个,那就是:满足客户的个性化、全方位、真正的网络管理需要,为客户创造网络切实的网络管理收益,保证你的网络管理可持续发展。
7、模块化设计、模块化部署,较大程度降低系统负荷、较大限度提升性能
我们常常看到国内某些网管软件厂商宣称自己的产品可以完美地提供“、全功能”的解决方案:集成网关路由功能、防火墙、代理服务器功能、网络访问行为管理、邮件安全与杀毒、流量管理、阳光上网、网络监控、VPN功能等等,几乎涉及到网络安全、网络管理、网络监控、网络行为的一切方面,给人的感觉十分强大、无所不包。但是实际的情况是,就目前国内网络管理软件厂商的技术实力、研发实力还是资金实力而言,都无力研发这种“无所不能”的网络管理系统;即便是国外大的网络公司也没有这种“”的产品,所以我们总会看到不同的网络管理产品总是专注网络管理的某个特定方面,有的专注于信息安全、有的专注于网络行为管理、有的是专门的防火墙,当然也有专门的杀毒软件。所以当有厂家宣称可以提供“”的方案的时候,作为客户要小心了,一个产品如果什么功能都可以实现,那么它的每个功能都不可能完善,这种情况下,客户较需要的功能往往也不能很好地满足,而只有专注于某一领域的厂商才可能提供更为专业的产品。所以,无论是早期的“聚生网管”还是如今的“网络特警上网行为管理系统”,我们总是专注于较核心的网络管理功能,帮助客户实现较重要的应用价值。同时,网管系统越复杂,其对网络数据包的抓包、分析、过滤、转发等步骤就越多,网络消耗就越严重,监控效率也就越低;同时,越庞大的网管系统由于代码量更大、隐含着更多的BUG,会导致系统的稳定性更低。为此,和你见到的其他网管设备不同,网络特警上网行为管理系统仍旧是一款专业的网络监控设备,仍旧专注于员工上网行为管理;另一方面,根据用户的某些特殊网络管理需求,我们开发了很多网络管理插件,这些工具可以独立运行,从而避免拖累网络特警上网行为管理系统,又可以帮助用户实现个性化、特殊的网络管理需求。
8、操作系统平台优势,支持Windows操作系统和Linux操作系统,扩展性大大增强
网络特警上网行为管理系统同时支持基于Windows平台的X86/64位操作系统,同时也支持基于Unix和Linux操作系统,同时还支持虚拟机运行网管系统,从而可以满足用户多层次、多平台的网络管理需要;同时,网络特警上网行为管理系统也可以以软件形态单独运行,从而可以直接运行在客户现有的服务器、高性能主机上,从而便于充分利用用户现有的硬件平台和操作系统,减少资源闲置和浪费状态。这样一方面降低了用户的采购网管系统的支出,同时也便于用户利用现有的软硬件平台运行网管系统实现网络管理的目的,并且还有利于用户降低电能消耗、实现低碳环保的网络管理和网络监控,从而帮助用户实现较具性价比、较具经济效益的网络管理。
http://www.grablan.com/download/AboutLinkQos.rar" target="_blank">下载网络特警白皮书 |