攘外必先安内(四)——上网行为管理软件采购
行业采购
我们在2009年第9期讨论了企业用户采用上网行为管理软件方案和硬件方案的优缺点,相信大家对选购上网行为管理产品已经心中有数了。对于打算使用软件方案的用户来说,如何进行采购呢?这种涉及到企业投入及使用效果的采购决定,当然需要认真考虑,否则可能造成买回产品时,发现达不到企业用户的要求。
小心采购陷阱
目前,上网行为管理软件厂商也不少,有采用开源Winpcap抓包的也敢高呼“老子是圈内第一”的,有对P2P下载“力不从心”的也敢宣传对BT下载识别率达99%以上的,此时如果没有一双慧眼就难免会掉入陷阱。那么采购上网行为管理软件时,要重点注意哪些地方以免被忽悠呢?
1.“查”抓包技术
上网行为管理软件的核心就是它采用的抓包技术,从抓包技术上可以看出软件公司的技术实力。现在市场上还有一些上网行为管理软件采用了Winpcap抓包技术,Winpcap目前是免费的接口程序,支持100Mbps通讯,但缺点也是同样明显的,可控制性很差,导致很多功能都无法实现,只能采用旁听模式部署,在流量限制、BT限制、UDP阻断等方面有天生的缺点。另外,由于Winpcap版本互相不兼容,可能导致无法监控,无法识别千兆网卡或无法读到网卡列表等。那么普通消费者该如何识别某款上网行为管理软件是不是采用了Winpcap技术呢?可从以下几个方面识别:一看是否需要HUB或镜像;二看是不是只能采用旁听模式部署;三看是不是无法进行流量限制,如果答案为“是”,则极有可能采用了Winpcap或Libcap版本,当然也可能采用了其他修改版本。
小提示:如果在经费有限的条件下,不得不购买采用了Winpcap技术抓包的上网行为管理软件,则要明白它只适合于监控100台电脑以下的企业网络,且网络带宽大约会损失40%。
2.“验”P2P软件封堵效果
P2P因其独特的下载方式得到了迅速发展,它也成了现在企业网络堵塞的头号“罪犯”。早期P2P软件都采用了固定端口,因而比较容易被各种管理软件识别封堵,而现在P2P软件使用随机端口(有些甚至使用HTTP、SMTP等一些常见端口),上网行为管理软件对它的识别难度大大增加了。
我们在选购上网行为管理软件时不能被其宣传所蒙蔽,要使用迅雷、BT、电驴等P2P软件来实际测试,看这些软件能否被监控到,是不是能进行限制。并且在检测时要注意,优秀的上网行为管理软件并不需要在客户端安装那种类似“木马”的客户端程序。
3.“核”带宽控制方式
不少上网行为管理软件都具有带宽控制功能,这个功能多是从限速、禁用的角度来进行管理的。在实际应用中,不少企业有多个部门,不过这些部门的带宽分配并不是平均的。一些带宽分配较低的企业,可能因工作需要临时急需传送大容量文件,而此时那些带宽较高的部门网络却可能处于闲置状态。因此对于需要进行带宽控制的企业,一定要核实上网行为管理软件的控制方式,是不是可在对关键业务进行保证的同时,能够按需灵活分配带宽资源。
4.“明”部署方式
一些上网行为管理软件厂商为了宣传自己的产品部署方便,说自己的产品可在任意电脑上安装使用,其实这是不负责任的,上网行为管理软件的安装是有一定条件的。像某些上网行为管理软件需要交换机具有镜像功能,在连接时,需将安装了上网行为管理软件的电脑网络接口连接在该镜像接口上,如果你在购买这种产品后,发现自己的交换机并不具备这种功能,那么势必会增加更换交换机的费用。
四个方面挑软件
在选择上网行为管理软件时,应当考虑清楚自己的需要,不能单纯地追求功能全面或功能强大。在认清自己需要的基础上,可以从以下四个方面进行挑选:
一查性能。在检测监控能力时,可在客户机上进行BT下载,看上网行为管理软件能否捕获并进行有效阻止,同时可试着安装ARP防火墙,看封堵是否还有效。另外,还可测试一下在Web页面发邮件及检查对众多的邮箱(如163邮箱)是否有很好的监控效果,检查能否还原邮件内容及附件,是否会出现乱码等。
二看功能。看功能是不是符合企业的需要。在功能上,常见的像邮件/网页/FTP文件/聊天/游戏等内容过滤,IP和MAC地址绑定,用户管理监控及流量限制等,这些功能对大部分企业可能都比较适用。而对于一些特别的功能,像屏幕监控、打印监控、共享文件监控等,这些得在选购时仔细考虑,看看自己的企业是否真的需要这些功能。
三看稳定性。稳定是企业使用上网行为管理软件的基石。在使用上网行为管理软件后,如果导致企业网络运行不稳定,那也就失去了使用的意义。在考虑稳定性时要注意两个方面:一是考查在企业目前的电脑数量下运行的稳定性,二是考虑电脑数量增加后,上网行为管理软件是否还能保持稳定。
四看价格。上网行为管理软件的投入成本企业都不会忽视,在目前来说,上网行为管理软件多是按点数(电脑数量)来进行计费。当然,实际成交的费用比厂家报出的价格要优惠一些,不过优惠额度的大小和企业购买者的砍价能力也有一定关系。
软件产品推荐
上网行为管理软件产品不少,对于新接触的企业用户来说,究竟该选择哪款呢?下面就挑选几款软件产品推荐给大家。
1.网务通
特点:功能全面、使用稳定安全,集网关、防火墙、代理服务器于一身
推荐指数:★★★★☆
出品厂商:北京无限精准软件技术有限公司
官方网站:www.wangwutong.com
对于企业用户来说,网务通可对员工上网行为进行规范,用户可以自己制定访问策略,可屏蔽QQ、MSN等聊天软件及网络游戏、炒股等与工作无关的网络应用。网务通还能控制网络带宽分配,进行网络优化,保证企业网络传输通畅。
网务通集成网关、防火墙、代理服务器等功能,更重要的是可为企业用户提供用户网络访问行为管理、邮件管理、流量管理和网络监控等网络应用管理功能。网务通不仅让企业用户把网络用起来,更重要的是把网络管起来,帮助企业用户真正做到事前预防、事中监控、事后追查。网务通为中小企业用户提供了一整套结合硬件平台、操作系统和应用软件的“交钥匙”(Turn-Key)方案,并且可以快速、即时地通过互联网升级和更新。
软件的维护和升级通常是非常复杂的,而基于网务通的Security SaaS服务模式则简单、直接。由于是由同一服务商提供整个平台,不同的应用软件、操作系统和硬件之间的完善集成使软件包和应用模块的升级完全自动化,用户无需担心软件、操作系统和硬件之间的兼容性问题。
网务通集成防火墙、VPN、入侵检测、Spyware、AV、Web过滤等多项成熟的开源应用软件,能够根据市场情况和用户需求提供在线软件和服务库升级等SaaS功能,提供实时、有效和长久的解决方案。
小提示:目前网务通正在进行免费试用活动,免费试用期为1年或3年,感兴趣的读者可以去数动连线下载啊!下载地址是http://www.shudoo.com/tz/0908b01.html。
2. LaneCat网猫
特点:有内网版和外网版两个版本,支持限制、阻断网内用户访问互联网
推荐指数:★★★★
出品厂商:厦门诚创科技有限公司
官方网站:http://www.xmcct.net
LaneCat网猫是电信级的互联网监控软件,能有效监视、控制和记录局域网中个人电脑在互联网上的活动行为,它可以实时记录局域网内计算机所有收发的邮件、浏览的网页以及用FTP上传下载的文件,监视和管理网内用户的聊天行为,限制、阻断网内用户访问指定网络资源或网络协议。LaneCat网猫通过协议特征识别功能,对迅雷、BT、超级旋风、电驴等常用的下载工具有较强的封堵能力。
针对不同的用户需要,LaneCat网猫细分为内网版及外网版两种版本,内网版本能实时监控局域网内所有被监控计算机的桌面(还提供实时多计算机多画面同时监控功能),并能够对被监控计算机进行远程关机、重启、注销、控制等。而外网版本能对邮件、网页、FTP文件、聊天、流量、游戏进行监控及管理,同时可实现内容过滤、IP和MAC地址绑定,支持多网段、多平台监控。
3.聚生网管
特点:具有部署快捷、易用,亲和性强、运行安全及人性化等特色
推荐指数:★★★☆
出品厂商:大势至(北京)软件工程有限公司
官方网站:www.grabsun.com
聚生网管在安装上非常方便,它只需要在局域网的任意一台电脑上安装,不需要代理服务器,也不需要在交换机做端口镜像,同时也不需要再行调整网络结构或更改网络配置,能自动适应所有的网络环境,部署极为快捷。另外,它集成了五种监控模式:主动引导模式、网关模式、网桥模式、旁路模式、监视模式,是国内监控模式最多的网络管理系统之一,客户可以根据自己的网络结构灵活选用。在管理上能很好地对各种聊天工具、P2P下载软件进行有效的监控及阻止,同时能对网络带宽进行动态、精确、智能控制,非常适合追求便捷实施的企业使用。
4.百络网警
特点:采用Kercap3.6内核抓包引擎,具有60日日志备份功能
推荐指数:★★★☆
出品厂商:上海百络信息技术有限公司
官方网站:http://www.netbai.com
百络网警配置了具有完全独立知识产权的Kercap3.6内核抓包引擎,使用百络网警能够监控到每台电脑正在做什么,可禁止各种股票软件和财经网站运行,禁止BT及其他P2P软件运行,能对QQ聊天工具及各种游戏娱乐网站进行禁止,可以设置关键字进行内容过滤及报警。同时可以分时间段控制上网行为,能随时临控和管理每台电脑的实时流量,对违规流量能进行报警,它还具有60天日志备份功能,便于企业用户查询。
