請選擇語言    繁體中文 English 
 
   
網站首頁 · 解決方案 · 產品介紹 · 下載中心 · 公司資訊 · 典型客戶 · 最新客戶 · 購買流程 · 聯系我們
 聚生網管產品
 聚生網管系統簡介
 聚生網管功能列表
 聚生網管功能截圖
 聚生網管技術優勢
 聚生網管與眾不同
 網絡特警產品
 網絡特警背景簡介
 網絡特警核心理念
 網絡特警核心優勢
 網絡特警獨特架構
 網絡特警功能列表
 網絡特警服務體系
 與聚生網管之關系
 與同類產品之對比
 配套產品
 商用安全計算機
 共享文件監視器
 代理服務掃描器
 主機異常警報器
 混雜模式掃描器
 外來電腦隔離器
 遠程開關機工具

 聚生網管服務熱線
請即刻致電
010-8663-0101
010-8663-0058
010-8541-1818
 
 
     新 聞 中 心
網絡特警上網行為管理系統獨具特色的領先架構
雙擊自動滾屏 發布時間:2011-2-26 15:24:58 【字體:
關鍵字:網管軟件,網絡特警,上網行為管理,網絡管理系統,監控軟件,上網監控軟件

網絡特警上網行為管理系統采用基于“創新直連”架構的部署方式,與國內主流網管系統完全不同,具有明顯的領先優勢。“創新直連”這一概念由大勢至(北京)軟件工程有限公司首先在網管軟件領域提出。顧名思義,就是將上網行為管理系統(或設備)直接(同時也只需要)連接交換機或者路由器等網絡設備即可實現對交換機下面所有電腦的上網行為的全面監控,不需要對現有的網絡結構做出任何調整,也不需要添加額外的硬件設備。同時,如果在某些情況下需要停止本監控設備的運轉,則可以將本設備直接移除網絡即可自動導通,對網絡沒有任何影響,對局域網來說是全透明部署。

當前國內主流的網管系統一般是通過旁路、串接(網關)的等四種方式來部署。旁路的方式一般是需要在交換機做端口鏡像、部署HUB集線器或者代理服務器的方式;而串接和橋接的部署方式,一般是通過在監控設備里面部署至少兩塊網卡,一塊網卡連接三層交換機,另外一塊網卡連接出口網關(路由器、防火墻),然后將這兩塊網卡橋接起來,然后將內置的監控軟件部署在此虛擬的“網絡橋”上對過往的報文進行識別、過濾和攔截,以此實現對電腦上網行為的管理。公平地說,上述幾種部署方式都有自己的優缺點,我們下面有圖示一一加以說明。

一、 第一代網管系統:旁路方式部署(早期純軟件架構的網管系統多用此種方式部署,分為端口鏡像、Hub、代理服務器等方式,這種部署方式設置較為復雜、局限性較大、實現的網絡管理功能有限,對網絡性能的消耗較大、容易導致網絡延遲等。

通過旁路的方式部署網管軟件,一般是在交換機做端口鏡像、部署HUB集線器或者代理服務器的方式,這種方式由于只能對流經端口、網卡的報文進行拷貝、識別和分析,并且也只能通過發送偽造的TCP報文來打斷通訊,尤其是只能打斷HTTP協議、TCP協議的通訊,而無法有效阻斷P2P協議、UDP協議的報文,從而這種架構的網管系統只能限制HTTP、TCP協議的網頁訪問、電子郵件等,而無法有效阻止P2P下載、BT下載、以及所有主要采用UDP協議進行傳輸的網絡應用(比如網絡游戲、股票軟件、聊天軟件等);同時,這種架構的網管系統也只能限制電腦一段時間的流量,比如一天下載了多少兆大小的東西,而不能限制電腦實時的上網帶寬、上網速度,從而也無法實現合理、均衡分配上網帶寬,無法實現網絡資源高效、精準、實時控制的目標。如下圖所示(紅叉代表這種部署方式):

圖1:在交換機做端口鏡像部署方式

圖2:加裝HUB集線器的方式

圖3:代理服務器的方式

從網管系統的發展歷史來看,這種旁路架構的部署方式因為存在諸多先天性缺陷,并且存在部署繁瑣(例如可能需要專門購置支持端口鏡像的交換機、HUB集線器或架設代理服務器等),并且設置復雜,自身對網絡性能消耗較大(例如HUB集線器只能支持10兆,代理服務器也比較影響性能)等問題,使得這種架構的網管系統逐步退出歷史的舞臺。目前僅在一些需要監控上網內容,而不在意上網行為的一些小型局域網使用,不適合大型局域網環境,更不適合需要對上網行為(P2P下載、聊天、炒股、玩游戲、限制帶寬)等網絡環境中使用。

二、 第二代網管系統:采用串接(橋接)部署。(當前基于硬件平臺的網管系統多用此種方式部署,可以實現大部分網絡管理功能,但設置較為復雜,但容易出現單點故障,風險較大,承載內網所有公網報文容易成為性能瓶頸)

鑒于旁路方式部署網管系統面臨的諸多缺憾,國內一些網管系統廠家逐步采用串接、橋接方式來取代傳統的旁路模式。串接方式一般是有兩個口,一個連接內網交換機,另一個連接出口網關設備,并且一般是通過雙網卡橋接成“網絡橋”的方式使得內網口和外網口建立連接并進行數據報文的傳輸,然后將網管系統部署到此“網絡橋”來對過往的數據報文進行抓取、過濾、處理和轉發,以此來實現對內網電腦上網行為的控制。毋庸置疑,這種方式避免了旁路模式的諸多不足,可以實現大部分的網絡管控功能,但是安裝部署較為復雜、風險較大、同時對網絡性能的消耗較大,極容易導致網絡數據包延遲。如下圖所示:

總體來說,這種架構的部署方式也面臨以下幾個問題:

首先,這種架構需要調整網絡結構,三層交換機和網關設備都需要作出相應的調整,而這種調整常常是通過命令行的方式來實現的,這使得那些沒有專門網管人員的單位部署起來較為麻煩,一旦監控設備出現問題,相關的網絡恢復工作也較為吃力,使得這種部署方式從管理層面看,風險較大、管理較為復雜。

其次,由于這種監控設備的原理是通過在雙網卡虛擬的“網絡橋”上捕獲電腦報文進行識別、過濾和攔截電腦的公網報文進而實現對電腦上網行為和上網內容的控制,而雙網卡、網絡橋這種方式由于數據包要經過監控設備的內網口網卡后,要通過電腦主板總線傳輸給監控設備的外網口網卡,然后再由監控設備外網口網卡發送到出口網關到達互聯網;回來的互聯網報文也是先由網關發送給監控設備外網口網卡,然后由監控設備的外網口網卡再通過主板總線發給監控設備的內網口網卡,然后再發給交換機并最終分發到局域網各個電腦上。由于局域網電腦的發包和收包每次都要經過內網口網卡、主板總線、外網口網卡的三次中轉,形成三個網絡性能消耗點。所以這種架構本身對網絡性能的消耗較大,對網速的影響較為明顯,特別是網絡流量較大的情況下,將導致網絡延遲、中斷甚至癱瘓的情況。如下圖所示:

串接模式(雙網卡網橋模式)下內網電腦上網收發包的流轉圖

再次,由于串接或者橋接的方式使得局域網所有電腦、三層交換機所有網段的電腦的數據報文都流經此“網絡橋”,這就使得局域網一些關鍵電腦(如領導的電腦、服務器、其他免監控的電腦等)的公網報文也要經過此“獨木橋”,這種的報文大量“擁擠”,極容易造成性能降低、網速減慢、網絡數據包延遲;同時,一旦此監控設備出現問題,將使得整個局域網電腦、三層交換機所有網段的電腦都出現斷網、掉線等現象,從而也使得領導電腦或服務器的公網訪問被中斷,使得企業網絡安全面臨極大的風險;最后,由于一些關鍵電腦的數據報文也流經此網絡設備,從而使得單位的商業機密、重要文件面臨著被嗅探、捕獲和泄密的風險,從而對企業的穩健經營產生重大隱患。如下圖所示:

領導電腦、服務器和員工電腦的公網收發報文都經過網管設備的流轉圖

領導電腦、服務器和員工電腦的公網收發報文都經過網管設備的模擬圖

最后,由于這種網絡監控設備是部署在三層交換機和出口網關設備之間,這使得一般的監控設備無法獲取三層交換機各個網段內的電腦的MAC地址,而只能獲取三層交換機出口接口的MAC地址(也即你看到局域網各個電腦的IP都對應同一個MAC地址的情況)。這使得一旦某個網段內的電腦更改自己的IP地址成為另一個IP地址(尤其是普通員工、外來人員將自己的IP地址更改成領導的IP地址以獲取更高的上網權限)后網管系統將無法識別,從而一方面容易造成IP地址沖突,網絡管理失效,另一方面也容易導致內網商業機密和關鍵信息的丟失、被盜,從而使得內網安全和商業機密面臨極大的風險。

綜上所述,這種串接、橋接的網管系統由于承載著本地局域網所有公網報文,關系著網絡的穩定、安全和暢通,因此對其穩定性、安全性有了更高的要求,否則一旦出現問題,將對局域網造成較為嚴重的影響;同時,由于這種部署方式由于一般無法獲取客戶端的MAC地址或者主機名,因此無法精確定位、約束被控制的電腦,造成無法有效實現網絡管理的目的。

第三代網管系統:基于“創新直連”架構的部署方式(網絡特警引領網管系統未來發展趨勢的部署方式,安裝部署極為簡單,可以實現所有的網絡管理功能,全透明部署,不會出現單點故障,不需要調整任何結構或加裝任何設備,超高速轉發數據包,不會出現性能瓶頸,不會導致網絡延遲)

鑒于采用旁路模式和串接模式部署網管系統面臨的一些不足,以及用戶對于高可靠性、高安全性、更快捷部署、更簡單設置網管系統的強烈需求,并且通過對當前最新網絡管理技術的深入研究和大膽突破。大勢至(北京)軟件工程有限公司推出了基于“創新直連”架構的網絡特警上網行為管理系統,通過直接連接二層交換機或者三層交換機的任意網段的任意一個端口即可實現對局域網全部電腦、三層交換機所有網段電腦的全方位監控(當然也可以免監控三層交換機的某些網段,甚至可以設定這些網段的數據包不流經網絡特警所在的設備),一舉解決了當前硬件架構網管系統通過串接、橋接的各種不足,可以實現更安全、更精確、更智能、更快捷的網絡管理。具體部署如下圖所示:

網絡特警可以直接部署在二層交換機、普通交換機的環境

網絡特警可以接入劃分VLAN的核心交換機、三層交換機的任意網段內

基于“創新直連”架構的網絡特警上網行為管理系統,通過深入研究交換機傳輸原理和互聯網基礎通訊協議的基礎上研發成功的。“創新直連”的具體含義如下:

1、 通過網絡特警硬件平臺自帶的單塊高性能網口直接連接交換機或者路由器。不論是二層交換機、還是三層交換機、甚至是核心交換機,即可實現對下面所有網段、所有電腦的上網行為的全面控制。同時,也只需要連接交換機,而不需要連接出口網關或者其他設備,也不需要對網絡做出任何調整或加裝任何其他網絡設備。

2、 網絡特警采用單塊網卡進行抓包、識別、過濾和轉發。網絡特警直接從網卡高速緩存抓取數據包進行處理,處理完畢之后直接放入網卡高速緩存,網卡通過內部集成的高速芯片(峰值傳輸速度可以達到2.5G,遠超主板總線傳輸速度)直接將數據包發送到公網出口,而不是給監控設備的主板總線和另一塊網卡,從而避免了網絡數據包的多次中轉、來回公網報文都要中轉對網絡性能的消耗,大幅度提升了監控效率,避免了網絡延遲。如下圖所示:

網絡特警數據包流轉圖


3、 基于單向監控的模式下,下行數據包由出口網關直接發送到交換機并最終分發給局域網相應的電腦,這樣下行的網絡數據包不需要再流經網絡特警監控設備,考慮到下行包常常遠大于上行包,尤其是局域網某些情況下常常用P2P軟件(如迅雷等)下載大的文件,從而可以更進一步避免網絡延遲,同時也極大地降低了監控設備的負荷,提升了網絡特警的監控效率。

4、 對于局域網一些免監控的電腦,如領導或服務器等主機的公網報文,通過簡單設置,即可完全不流經網絡特警的監控設備,而是直接通過交換機發送到出口網關到達互聯網,而回來的互聯網報文由網關直接發給領導電腦和服務器。由于領導電腦和服務器的公網數據包不流經網絡特警的監控設備,從而一方面降低了監控設備負荷,避免了公網報文的擁堵排隊情況;另一方面也避免了監控設備出現單點故障可能影響領導上網或者服務器關鍵業務出現中斷的風險;最后,由于領導或服務器的公網報文不流經網絡特警監控設備,從而也使得這些重要電腦的數據報文不會被監控設備等第三方設備捕獲,有利于保護信息安全和商業機密!如下圖所示:

網絡特警免監控電腦數據包(領導電腦和服務器)和被監控電腦(如員工電腦)流轉圖

如圖:領導上網和服務器、業務系統等主機的公網流量不經過網絡特警監控設備


5、 安裝部署方式同時向下兼容,可以適應國內各種網絡環境,是國內監控模式最多的硬件行為網關系統。也即,網絡特警也可以完全采用旁路方式(連接交換機鏡像端口、HUB集線器或代理服務器來進行部署);也可以完全按照串接、橋接模式進行部署,并可以實現上述部署方式下所有其他軟硬件網管系統所能實現的所有功能,從而可以滿足某些客戶的特定網絡結構和特殊網絡管理需要。

6、全透明安裝,支持熱插拔網絡自動導通。在某些不需要監控的情況下,可以直接停止監控設備的工作,甚至可以將監控設備直接移除,網絡即可自動、智能恢復,從而極大地降低了特殊情況下的網絡通訊風險。

總之,網絡特警基于五個方面的“直連”技術,不但避免了傳統部署網管系統的復雜性、網絡性能消耗、數據包延遲、單點故障風險等諸多不足和缺陷,而且還大幅度提升了監控設備的監控效率、優化了整體網絡性能、降低了部署網管設備的復雜性和工作量,而且可以進一步保護企業信息安全和商業機密,從根本上保證網絡的安全、穩定和暢通。

網絡特警“創新直連”架構的諸多優勢匯總如下:

1、 安裝部署最快捷、最簡單、工作量最小、最安全

網絡特警上網行為控制系統直接連接局域網二層交換機、普通交換機、三層交換機或者核心交換機的任意網段的任意一個端口,即可實現對二層交換機所有電腦、三層交換機、核心交換機所有網段電腦的全面監控,從而可以不需要調整網絡結構,不需要對三層交換機、網關設備等做任何調整,不需要在三層交換機做端口鏡像、部署HUB集線器或者代理服務器的情況,極大地降低了部署網管系統的復雜性、工作量;同時,這種監控模式也不會對網絡安全造成影響,保證了網絡的持續、穩定、高效運行。

2、內有乾坤、硬件隨需定制、同類產品性能最高

網絡特警上網行為管理系統內置英特爾高性能數據轉發專用網卡(本網卡基于PCI-E技術架構,標配傳輸速率在2G以上,高端設備內置10G(萬兆)速率網卡,可以滿足國內所有企事業單位的需要),不需要兩塊網卡搭建網絡橋,從而避免了“網絡橋”對網絡性能的消耗,極大地降低了部署網管系統的負面影響和對局域網的拖累,同時穩定性更高;同時,為了滿足不同用戶的對硬件監控系統的擴展、冗余需要,我們提供了針對用戶環境的硬件個性定制、無償升級的策略,從而不僅可以滿足用戶當下的網絡管理需求,而且可以滿足用戶未來較長時間的硬件性能需要,性價比更高。與國內其他基于硬件架構的上網行為管理系統一般不公布(或者不好意思公布,因為他們的配置太低,CPU一般用Atom、賽揚、奔騰等低端CPU,內存一般用容量較低的一代內存等)具體硬件配件參數不同,網絡特警全線產品的最低配置、高端配置如下表所示:

CPU

內存

硬盤

網卡

酷睿2雙核

4G DDR2以上

500G

英特爾PCI-E千兆網卡

網絡特警最低配置表

CPU

內存

硬盤

網卡

i5-i7多核/至強多核

4G -16GDDR3以上

1TB-2TB

英特爾PCI-E萬兆光網卡

網絡特警高端配置表

網絡特警外觀

平臺架構
標準1U/2U工業設計,高強度鋼外殼
CPU
支持Intel Core i3/i5/i7
內存
4G-16G,DDR3/1333MHZ
硬盤
500G-2TB高速SATA硬盤
網卡
Intel PCI-E高性能千兆/萬兆網卡
LAN BYPASS
2組
峰值流量
10G
工作溫度
0-60°

網絡特警平臺參數

3、免監控的電腦公網數據包不流經網絡特警監控設備,從根本上保證了信息安全、商業機密,最大限度降低設備負荷,提升監控效率,徹底避免導致網絡延遲現象。

網絡特警上網行為管理系統由于直連三層交換機,并可以識別三層交換機的各個網段的電腦,從而可以對重要網段、重要電腦或者服務器免于監控。這種免于監控也不同于其他網管設備的“免監控”,而是基于以下兩個方面:一方面,免監控的網段、電腦或者服務器的公網報文根本不流經網絡特警上網行為管理設備,而是直接通過三層交換機發送到出口網關,從而避免了和被監控的電腦的公網報文一起“排隊”等待過濾轉發的情況,避免出現報文擁堵、丟包和延遲的現象,正如根本沒有部署網管系統一樣(而同類的網管設備,由于采用串接、橋接等方式,從而使得即便是免監控的電腦或服務器的公網數據包也被迫必須流經監控設備,加大了數據包的擁堵,導致網絡延遲增大,網絡性能下降,監控設備負荷增加);同時,由于領導或關鍵服務器的數據包不流經網管設備,從而避免了被第三方工具嗅探、截獲商業機密的情況,從而也極大地保護了信息安全和商業機密;另一方面,相應地,由于免監控的主機公網報文根本不流經網絡特警監控設備,從而即便設備出現故障也不會影響到這些免監控網段、電腦或者服務器的正常運行,從而可以保證企業內部關鍵業務的永續進行不受干擾。

4、跨三層交換機進行IP和MAC地址綁定、策略和主機硬件綁定,從而保證監控精準定位、無處可逃

由于網絡特警監控設備直接連接三層交換機或者核心交換機,從而可以輕松獲取三層交換機各個網段、各個電腦的IP和MAC地址對應關系,網管人員可以進行IP和MAC地址(從而避免了使用三層交換機做IP和MAC地址綁定的繁瑣),同時由于可以將主機上網策略和其MAC地址進行綁定,從而無論被控制的電腦如何更改IP地址仍舊在網管先前指定的上網策略下上網,從而杜絕了客戶端電腦或者外來電腦企圖通過修改IP地址逃避監控、獲取更高上網權限的行為,極大地保護了企業的內網安全和保護了商業機密,實現了更為嚴肅、精準的網絡管理。

5、“心跳”技術實時跟蹤、智能、自動、多手段迅速恢復網絡

首先,網絡特警和聚生網管系統一樣,如果在監控過程中,程序因為自身的BUG或者病毒的破壞等原因而導致網絡特警停止工作,那么這種情況下,網絡特警的守護程序會自動關閉網絡特警并重新啟動,從而可以保持網絡監控永不中斷,保證網絡的穩定、安全和暢通。其次,由于網絡特警上網行為監控系統直接連接三層交換機進行監控,一旦不再需要監控或者監控設備出現故障,網絡特警上網行為監控系統將自動啟用Bypass功能恢復網絡,這種情況下網絡將自動恢復到原初的狀態,就和之前從未部署網管系統一樣;同時,你也可以直接重啟三層交換機即可迅速恢復網絡;此外,網絡特警上網行為監控系統還提供了額外的防護機制,網管人員可以在自己的電腦通過運行大勢至公司提供的網絡恢復工具即可迅速恢復網絡,保證網絡的在10秒以內即可輕松恢復;最后,網絡特警還可以在一定條件下自動重啟操作系統、自動登入操作系統并自動重新啟動,從而可以保證長期運行的情況下,網絡特警的安全、穩定和高效。

6、根據客戶合理化需求進行個性化、實時定制功能,確保網絡管理可持續發展

中國企事業單位網絡結構各種各樣、網絡需求各不相同,因此單一的網絡管理系統無論多么強大,也無法滿足客戶的個性化需求,而向網管系統廠商要求個性化定制常常需要付出高額的費用——和客戶一樣,我們始終無法理解,為什么一個簡單的網絡管理功能,網管系統廠商要向客戶索取高額的定制費用。為此,我們提出了“網絡所需 我們所能”的這一公司宣言,這也是我們對客戶的莊嚴承諾!——所以,確切地說,你并不是購買一套“網絡特警”上網行為管理系統,而是購買一種實時的、個性化、隨需定制服務,這種服務的初衷和最終目的只有一個,那就是:滿足客戶的個性化、全方位、真正的網絡管理需要,為客戶創造網絡切實的網絡管理收益,保證你的網絡管理可持續發展。

7、模塊化設計、模塊化部署,最大程度降低系統負荷、最大限度提升性能

我們常常看到國內某些網管軟件廠商宣稱自己的產品可以完美地提供“一站式、全功能”的解決方案:集成網關路由功能、防火墻、代理服務器功能、網絡訪問行為管理、郵件安全與殺毒、流量管理、陽光上網、網絡監控、VPN功能等等,幾乎涉及到網絡安全、網絡管理、網絡監控、網絡行為的一切方面,給人的感覺十分強大、無所不包。但是實際的情況是,就目前國內網絡管理軟件廠商的技術實力、研發實力還是資金實力而言,都無力研發這種“無所不能”的網絡管理系統;即便是國外大的網絡公司也沒有這種“一站式”的產品,所以我們總會看到不同的網絡管理產品總是專注網絡管理的某個特定方面,有的專注于信息安全、有的專注于網絡行為管理、有的是專門的防火墻,當然也有專門的殺毒軟件。所以當有廠家宣稱可以提供“一站式”的方案的時候,作為客戶要小心了,一個產品如果什么功能都可以實現,那么它的每個功能都不可能完善,這種情況下,客戶最需要的功能往往也不能很好地滿足,而只有專注于某一領域的廠商才可能提供更為專業的產品。所以,無論是早期的“聚生網管”還是如今的“網絡特警上網行為管理系統”,我們總是專注于最核心的網絡管理功能,幫助客戶實現最重要的應用價值。同時,網管系統越復雜,其對網絡數據包的抓包、分析、過濾、轉發等步驟就越多,網絡消耗就越嚴重,監控效率也就越低;同時,越龐大的網管系統由于代碼量更大、隱含著更多的BUG,會導致系統的穩定性更低。為此,和你見到的其他網管設備不同,網絡特警上網行為管理系統仍舊是一款專業的網絡監控設備,仍舊專注于員工上網行為管理;另一方面,根據用戶的某些特殊網絡管理需求,我們開發了很多網絡管理插件,這些工具可以獨立運行,從而避免拖累網絡特警上網行為管理系統,又可以幫助用戶實現個性化、特殊的網絡管理需求。

8、操作系統平臺優勢,支持Windows操作系統和Linux操作系統,擴展性大大增強

網絡特警上網行為管理系統同時支持基于Windows平臺的X86/64位操作系統,同時也支持基于Unix和Linux操作系統,同時還支持虛擬機運行網管系統,從而可以滿足用戶多層次、多平臺的網絡管理需要;同時,網絡特警上網行為管理系統也可以以軟件形態單獨運行,從而可以直接運行在客戶現有的服務器、高性能主機上,從而便于充分利用用戶現有的硬件平臺和操作系統,減少資源閑置和浪費狀態。這樣一方面降低了用戶的采購網管系統的支出,同時也便于用戶利用現有的軟硬件平臺運行網管系統實現網絡管理的目的,并且還有利于用戶降低電能消耗、實現低碳環保的網絡管理和網絡監控,從而幫助用戶實現最具性價比、最具經濟效益的網絡管理。


 

相關鏈接:聚生網管專業禁止BT下載、限制QQ、封堵大智慧,屏蔽QQ游戲,防ARP欺騙!點擊這里查看詳情!
打印本頁 || 關閉窗口

版權所有 2005-2008 聚生網管公司 版權所有,盜版必究
京ICP備05068297號

白姐大型六合图库