上網行為管理，選硬體還是軟體？

2023-10-13 17:04:19 1

    Web1.0為人們提供信息，但是人們卻無法添加或更改信息；而Web2.0則更注重用戶的交互作用，它的到來給網際網路帶來了新的革命，同時把網絡行為管理推到了刻不容緩的峰口。上網行為管理政策，上網行為管理產品，上網行為管理硬體、軟體，很自然地加入了web2.0的網絡時代。

    上網行為管理包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等，國內最開始的產品中硬體管理是主流，但由於硬體成本較高,運輸不方便,維護複雜,維修需要專業知識，技術支持不到位等原因，只有政府、大型企事業單位採用，更多的企業青睞網管軟體。
  
    硬體管理優勢與劣勢

    管理MAC地址：MAC地址工作在OSI模型的第二層。這個地址被烙在網卡上，它就像是每臺電腦相對固定的身份證一樣，每當電腦與對端設備進行通信時，雙方的MAC地址總會出現在數據幀中。這就相當於數據幀有了身份信息，而且這一信息就在數據幀的最外圍，所以對數據幀進行管理是最簡單的。但其實MAC地址很容易被修改——不是真的重新燒錄網卡上的地址，而是在作業系統層面進行「軟」修改。修改了MAC地址，相關的管理策略也就失效了。

    管理IP位址：IP位址工作在OSI模型的第三層，這個地址是我們手動為網卡指定的，修改起來也更加方便。管理IP位址要比管理MAC地址方便一些，也更有效率，比如，可以對一個IP位址段進行策略套用。但不足也同樣明顯，修改IP位址比修改MAC地址更容易，所以基於IP位址的安全策略很容易被「繞過」。

    管理埠號：埠號與具體的應用程式有關，所以基於埠號的策略的有效性要比其它兩種稍強一些。比如，一臺在192.168.2.0網絡中的伺服器開放了Telnet埠（23號埠），但不希望192.168.1.0網絡的電腦訪問，一種方法是可以在路由器上設置一條策略，禁止所有來自192.168.1.0的 Telnet請求通過。這樣的話，192.168.1.0網絡中的某臺電腦，無論怎樣修改IP位址、MAC地址都是無法訪問伺服器的。原因很簡單，因為在此情境中，所有Telnet請求都必須訪問23號埠。不可否認，基於埠號的管理策略在某些情況下是比較有效的，但這僅是在少數情況下。因為多數應用所使用的不是固定的埠號，比如QQ、MSN、BT等等。所謂有效的管理策略都是基於不可變條件元素的，但傳統的網絡管理工具所基於的條件元素都是可修改的，所以它們很難有效管理QQ、MSN、BT。

    軟體的優勢在於：成本適當,維護簡單、安裝容易、升級快速,可以在公司隨便找個機器部署。比如口碑不錯的聚生網管，就是在區域網內選擇任意一臺電腦或伺服器安裝，不需要埠鏡像，不需要設置埠，限制帶寬流量，管理下載，上網行為記錄等都可以實現。網管軟體功能效果上和硬體相差無幾，甚至有一些硬體做不到的功能軟體也能做到。由於國內的網管軟體市場尚欠發達，企業的軟體普及率不高，很多都是用的國外的產品，其實對於網管軟體而言國外的產品和技術並不是一定就優於國內廠商，事實上中國的廠商更了解中國用戶的網際網路環境和網際網路使用習慣。

    當然軟體也不能完全代替硬體，目前的軟硬體結合模式越來越多。包括加入準入模式、VPN的上網行為管理,基於客戶端的內網管理模式和文檔管理模式，為的是內外兼修，從各種方向去彌補單一產品的不足。

    筆者認為，應該根據自身的應用需求，去選擇自己需要而合理的方案，但網管軟體一定是未來的主流。