文章摘要:当前,在局域网网络管理中,如何控制局域网网速、控制上网流量、控制局域网上网行为,一直是企业网络管理人员的重要工作。但目前国内上网管理软件、网络控制软件种类繁多,如何选择适合本单位需要的网管软件呢?笔者以为,需要对上网行为管理软件的前世今生有一个了解。 一、当前上网行为管理软件的背景 1、 对于普通的网关(路由器、防火墙等网络设备)加非三层交换机的网络环境,采用ARP欺骗技术的上网行为管
当前,在局域网网络管理中,如何控制局域网网速、控制上网流量、控制局域网上网行为,一直是企业网络管理人员的重要工作。但目前国内上网管理软件、网络控制软件种类繁多,如何选择适合本单位需要的网管软件呢?笔者以为,需要对上网行为管理软件的前世今生有一个了解。
一、当前上网行为管理软件的背景
1、 对于普通的网关(路由器、防火墙等网络设备)加非三层交换机的网络环境,采用ARP欺骗技术的上网行为管理软件,通常是在局域网一台电脑安装部署,然后向整个局域网发送ARP欺骗报文,使得局域网其他电脑将安装上网行为管理软件的电脑视为网关,并将网络报文发送到此电脑,这样上网行为管理软件通过在网卡哪里安装网络报文过滤驱动,就可以抓取局域网所有电脑的网络报文,经过处理之后转发到真正的网关,以此来实现对局域网电脑上网行为的管控。
2、而对于三层交换机划分了多个网段的情况下,通常是在三层交换机和上联出口网络设备(可以为路由器、交换机或防火墙等)之间部署上网行为管理系统(通常为硬件设备),并且通常采用串接或桥接的方式部署。也即将上网行为管理设备的一个网口连接三层交换机,另一个网口连接出口网络设备,然后上网行为管理设备会通过网络报文过滤驱动抓取流经设备的所有上行报文和下行报文,并通过对网络报文的控制来实现对三层交换机各个网段电脑上网行为的管控。
3、对于一些非硬件的上网行为管理系统,针对三层交换机网络环境下部署方式则通常采用双网卡的方式。也即,在一台电脑安装两块网卡,并通过操作系统搭建成“网络桥”,然后将上网行为管理软件安装在此电脑上网,并在“网络桥”上安装网络过滤驱动,通过抓取所有流经“网络桥”的上行报文和下行报文的方式来实现对三层交换机多网段电脑上网行为的管控。
当然,上述网络准入控制方式都可以起到一定的作用,但是由于存在各种局限:
例如,对于非三层交换机的网络环境,也就是网关加非三层交换机的网络环境,虽然通过ARP欺骗技术的上网行为管理软件可以实现对局域网电脑上网行为的管理,但如果被控制的电脑安装了ARP防火墙或对网关进行了ARP静态绑定的情况下,由于无法进行ARP欺骗而导致上网行为管理功能失效。
而对于三层交换机环境下的上网行为管理控制,则由于需要在三层交换机和上层网关设备之间采用串接或桥接的方式部署,这使得一旦网络设备出现故障将会直接导致整个三层交换机所有网段电脑无法上网,极容易出现单点故障。同时,不管是采用硬件上网行为管理设备还是基于软件形态的上网行为管理系统,由于需要对三层交换机所有网段电脑外发的上行报文和回传的下行报文进行全部抓取、过滤和转发,这使得网络报文的传输始终都会经过此上网行为管理系统,由此带来的网络报文传输速度损耗不可避免,尤其是在网络报文传输量大的情况下极为明显,从而导致用户网络速度变慢、网络性能下降的情况始终存在。
二、洞察眼局域网网络行为管理解决方案
洞察眼“洞察眼”上网监控软件(下载地址:http://www.dongchayan.com/wangguan.html)是当前国内安装部署较简单、网络管理功能较全面的局域网网络监控软件。本系统基于B/S架构,只需要在局域网一台电脑安装就可以控制整个局域网电脑上网行为、限制局域网电脑网速。同时,在三层交换机多网段环境下,也只是将系统部署在三层交换机的一个网段,就可以实现对三层交换机所有网段电脑上网行为的管理,是当前国内监控三层交换机多网段电脑上网行为的较佳选择。具体部署方式如下:
上一篇 : 电脑文档管理软件、企业电脑管理软件、本地文档管理软件的选择!
图:三层交换机多网段环境下部署洞察眼网络监控软件的方法
图:洞察眼监控软件截图
洞察眼洞察眼局域网限速软件功能:
1、局域网下载控制,屏蔽P2P下载和禁用右键另存为下载
2、局域网带宽限制、局域网流量控制、局域网网速限制功能
3、禁止聊天软件、限制即时通讯软件、限制上网聊天功能
4、局域网主机IP和MAC地址绑定功能
5、限制网络游戏、屏蔽网页游戏、禁止电脑游戏
6、控制炒股软件、禁止股票软件、限制局域网炒股功能
7、屏蔽游戏网址、禁止打开游戏网站、限制访问游戏网站
8、禁止P2P视频、屏蔽视频网站、限制网页视频
9、一键禁用购物网站、限制公司员工网购、禁止上班网购的功能
10、有效检测局域网无线路由器、禁止安装无线路由器、限制员工私接无线路由器上网;同时还可以禁止随身wifi使用、屏蔽随身wifi、禁用wifi共享精灵软件的使用等
11、局域网主机强制隔离功能、禁止电脑网络流量等
12、集成了访问控制规则(ACL)功能
13、禁止局域网用户访问共享资源
14、网址黑白名单功能、监控上网网址、记录网站访问功能
15、监控邮箱访问、监控邮件收发、记录邮件内容、监视敏邮件
16、局域网主机异常的警报功能
17、局域网主机远程开机、局域网远程关机、远程重启电脑、远程注销电脑功能(仅全能版提供)
18、控制局域网主机对光驱、软驱、USB的使用(企业版提供或单独购买“洞察眼禁用USB端口软件”(点击打开)功能)
19、监控WEB邮件、监控论坛发帖、监控网站留言
20、监控Outlook邮件、监控Foxmail邮件等邮件收发工具的邮件内容
21、限制FTP下载、禁止FTP上传、禁用FTP功能
22、网络限制功能、网络访问控制、网址访问限制
23、组策略(上网权限)管理功能
24、时间管理
25、跨网段管理电脑上网、监控多网段电脑上网行为
26、局域网安全管理
27、防范ARP攻击、检测ARP病毒、防止ARP欺骗、阻断ARP木马
28、检测混杂网卡、探测局域网混杂模式网卡、禁止局域网嗅探软件、禁止局域网抓包软件、限制网络监听
29、检测局域网内代理服务器、禁止代理上网、禁止充当代理服务器、限制代理软件、禁止局域网代理
30、网络流量控制、上网流量限制、局域网流量控制、上网带宽限制、上网流量统计
31、详细日志记录,可以记录上网网址、记录P2P下载、记录炒股行为、记录网络游戏
32、其它功能:检测局域网网管软件、检测局域网ARP攻击、监控局域网设备、监视路由器、监视防火墙运行状态
33、提供局域网控制功能、网络封锁功能、网络屏蔽功能、网络过滤功能的个性化定制和开发,满足企事业单位个性化网络管理控制需要。
三、洞察眼洞察眼网速控制软件创新优势
本系统具有如下领先优势:
1、本系统由于是直接接入到三层交换机上出口网关所在的网段,而不是通过串接或桥接的方式部署,从而可以避免通过串接或桥接方式部署极容易出现的单点故障,从而避免了网络中断的风险。
2、本系统针对三层交换机出口网关所连接的三层交换机端口进行ARP欺骗,而不是直接对局域网电脑进行网关的ARP欺骗,从而避免了因为被控制电脑安装ARP防火墙或对网关进行ARP静态绑定后导致无法进行ARP欺骗,由此上网行为管理失效的情况。
3、本系统只是对三层交换机各个网段电脑的上行报文进行抓取、过滤和控制,符合管理员预设权限的报文允许通过,而违背管理员预设权限规则的报文直接丢弃,以此就可以实现对电脑上网行为的管理。同时,由于无需对三层交换机出口网关回传的公网下行报文进行抓取和过滤,而是由出口网关通过回指路由的方式直接发送给各个网段的电脑,从而避免了因为对下行报文的抓取、过滤和转发而造成的网络报文延迟、速度损耗的风险,使得下行报文可以直接以线速进行转发,从而显著降低了因为部署上网行为管理系统而导致的网速变慢、网络性能下降的情况发生。
4、当本系统所在的电脑或网络设备出现故障时,一方面可以通过系统附带的网络恢复工具实时发送网关正确的IP和MAC地址信息给出口网关所连接的三层交换机端口,从而可以实时恢复网络通讯。此外,三层交换机的出口网关也会向连接三层交换机的端口发送自身的IP和MAC地址信息,更新此端口ARP表项中所缓存的网关的IP和MAC地址信息,从而实现了无人值守情况下的自动恢复网络通讯的功能,从而实现了更为安全的上网行为管理。
5、此外,本系统的部署不需要调整现有的网络结构,只需要在三层交换机出口网关所在的网段有一个富余的端口即可,不需要调整出口网关和三层交换机的其他配置,从而降低了部署本系统的工作量和复杂程度,便于实现更为快捷和高效的网络管理。
