企业上网服务（企业上网行为管理）

1、在线行为管理的技术实现大致分为几个部分：IP分组管理、特定应用屏蔽、行为审计、行为记录等。

(资料图片仅供参考)

2、IP分组管理是实现在线行为管理的基础。每个具体分组分配不同的访问权限，要求不同的部门、业务和人员管理上网行为，以适应企业的应用情况。

3、不依赖分组的“一键封杀”并不能完全满足用户的需求。因此，数据包管理和许可策略在路由器中被设计为多种组合。

4、

5、新乡免疫路由包的成员管理

6、特定于应用的阻塞技术包括静态过滤和协议阻塞。

7、静态过滤是通过阻断特定应用的网络服务器的IP和端口，使应用无法连接到服务器，从而实现行为阻断的一种方式。其实这个功能在路由器中早就有了。

8、它集外网IP过滤、端口过滤、URL关键字过滤等多种功能于一身。线上行为管理就是厂商提出应用项，预制成产品，通过界面上的一个名称来表达这个功能。这对用户来说很方便，

9、用户不用自己去查找要屏蔽的项目的相关信息，然后在路由器上逐一配置保存，大大提高了产品的易用性。

10、基于协议的拦截(Protocol-based blocking)是通过分析要拦截的协议，识别在线行为的身份，并拦截协议来实现行为拦截的一种方式。这是编译在产品的执行程序中的，用户无法自行设置和干预。包括QQ，一些游戏，P2P等一些应用，

11、虽然他们有相对固定的服务器IP组，但是他们的连接方式依赖于协议握手，动态改变IP和端口，甚至一些P2P应用对IP也是不确定的。这需要基于协议的封锁来处理。

12、从技术实现的角度来看，静态过滤是一种简单的手段，而协议拦截对产品设计能力的要求要高得多。协议阻塞不仅要透彻理解应用协议的内部流程，还要兼顾路由器的转发效率和多广域网条件下的负载均衡。

13、算法比较复杂。

14、在目前的网络设备市场上，提供在线行为管理功能的路由器非常多。表面上每个人都有上网行为管理功能，但实际上由于技术实现方式不同，有些上网行为管理功能只是空架子，漏洞百出，不实用。

15、如果用简单的静态过滤代替协议拦截来实现在线行为管理，功能是提供了，但效果并不理想。不幸的是，许多互联网行为管理路由器就是这么做的。以大家熟悉的QQ为例。当我们登录QQ时，

16、需要连接网络上的QQ服务器进行账号和密码认证、好友列表获取、离线聊天内容下载等等。通过获取网络中所有QQ服务器的列表，然后通过路由器过滤这些服务器的IP，就无法认证QQ账号密码。

17、当然也达到了拦截QQ的目的。

18、这种封QQ的方式存在两个问题：当网络中某个特定应用添加或更改服务器IP时，行为管理会失效，路由器要升级其软件，不完整，申请起来很麻烦。当代理服务器用于传输应用程序访问时，

19、因为认证和访问信息都是通过第三方传递的，在线行为管理的效果自然也就丧失了。网络上公布了大量的“QQ代理服务器”IP，用来破解这种行为管理。QQ聊天软件也提供了绕过这种封锁的代理服务器设置(如图)。

20、辨别线上行为管理设备是否彻底，可以通过QQ代理登录来检验，所以静态过滤的方法是不完整的，对行为管理是无效的。

21、

22、QQ代理服务器设置

23、而协议型封锁方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，路由器中很少使用。而已知的，

24、欣向免疫墙路由器就是采用了协议分析的上网行为管理手段，这是很难得的。它采用了全新的应用层协议分析，根据不同应用的协议特征，对特定上网行为进行分析确认。由于采用了协议分析，行为管理真正做到了准确无误。

25、基于协议的上网行为管理功能的实现，对路由器设计有较高的要求。尤其是多WAN环境下，不管是静态过滤还是协议封锁，都需要考虑对负载均衡的影响，也就是说，上网行为管理的启用，不能牺牲多WAN带宽汇聚的功能。

26、有一些路由器在实现上网行为功能的时候，把内网IP固定地绑在某一个WAN口上，或者按照IP均衡的方式进行分配，这就失去了多WAN带宽叠加的应用效果。

27、欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家，欣向一直从事多WAN下的应用协议分析，以保证各种网络访问在多WAN接入下的优化处理。

28、在实现上网行为管理功能的时候，欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑，是比较周全的方案，在这个方面无疑是占据了领先的高度。

29、

30、欣向免疫墙路由器分组上网行为管理

本文到此结束，希望对大家有所帮助。

关键词：