上网行为管理部署方案分析

上网行为管理产品在网络管理中已经是一个不可或缺的部分，并且已经得到了广泛的使用。

大家在选购上网行为管理产品的时候，一般都关注功能和价格。实际上，产品的部署方案才是优先考虑的因素。

本文将讨论上网行为管理产品的几种典型部署方案，及各自的优缺点分析。

旁路部署方案

旁路部署的网络结构图如下（以WFilter上网行为管理软件为例）：

旁路部署方案的优点

1. 旁路部署方案是对当前网络影响最小的监控模式。
2. 充分利用已有硬件的功能，部署方便，不会影响现有的网络结构。
3. 不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时。
4. 旁路监控设备一旦故障或者停止运行，不会影响现有网络。
5. 旁路部署方案一样可以对上网行为进行控制。

旁路部署方案的缺点

1. 需要交换机或者路由支持“端口镜像”功能才可以实现监控。
2. 旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。

旁路部署方案总结

如果现有的网络设备运行稳定，且对网络的稳定性要求高。在不考虑升级硬件的情况下，首先应当考虑旁路部署的软件方案，这样可以以最小的代价来部署上网行为管理，而且不会影响现有网络的稳定性。

串联部署方案

串联部署方案有两种：网关模式，网桥模式。如下图：

• 网关模式：用上网行为管理产品替换现有的网关（路由器、防火墙）。
• 网桥模式：用上网行为管理产品串联在网关和核心交换机之间。

串联部署方案的优点

1. 解决了旁路部署方案的缺点，可以进行流控，可以禁止UDP通讯。
2. 硬件维护比较单一，避免了软件的兼容性问题。

串联部署方案的缺点

1. 需要购买新的硬件产品，并替换掉现有的网关。造成硬件资源的浪费。
2. 网络中增加了新的硬件，稳定性需要时间的磨合。
3. 增加了单点故障的可能性。串联设备一旦死机或者掉电，会导致网络中断。

串联部署方案总结

公司决定升级现有设备时，可以考虑购买一台行为管理硬件产品，并且进行串联部署。但是串联部署的设备一定要进行一段时间的稳定性测试，确保不影响网络稳定性。

总体来说，根据公司的预算，现有网络状况来判断是进行旁路部署还是串联部署。旁路部署优选软件方案（推荐WFilter上网行为管理软件），串联部署优选硬件方案。