第一篇：飛魚星上網(wǎng)行為管理路由器使用手冊

飛魚星上網(wǎng)行為管理路由器試用手冊

本試用報告將模擬我們公司（一中小企業(yè)）對企業(yè)內(nèi)部員工的上網(wǎng)行為管理需求，以網(wǎng)管員的角度來對路由器進行全方位的安裝和調(diào)試，并將客觀的把各項測試結(jié)果記錄下來。安裝調(diào)試的過程我會以圖文并茂的方式，盡量詳細(xì)地進行敘述，大家也可以把這篇試用報告當(dāng)做一個案例教程來看。希望大家能通過我的試用報告，對飛魚星VE982上網(wǎng)行為管理路由器有更直觀、更全面的了解。最后注明一點，除了對路由器進行固件升級以及初始化配置（包括設(shè)置WAN口和LAN口）必須放在最前面外，其他的操作都是根據(jù)實際需要而進行設(shè)定的，就本人設(shè)置的經(jīng)驗來說，如果需對上網(wǎng)行為管理進行比較細(xì)致的設(shè)置的話，那么在初始化配置后可以先進行IP/MAC綁定和IP地址分組，然后其他的順就就無所謂先后了，各位看官可以根據(jù)自己感興趣的內(nèi)容進行選擇性瀏覽。

第一天 收貨、基本配置

今天收到廠家送來的路由器，先對路由器進行固件升級以及基本配置，然后安裝到公司的機柜上。

一、開箱

安裝調(diào)試前，先來看看我收到的機器。

1、外包裝。

圖1：產(chǎn)品外包裝

如圖1，產(chǎn)品的外包裝中規(guī)中矩，和市場上其他的同類產(chǎn)品差不多，在包裝盒的頂部對該款型號的路由器的功能做了簡單的介紹。

2、配件。

打開包裝盒，就可以看到整套設(shè)備了，如圖2。包裝盒里面的內(nèi)容非常簡潔，除了路由器外，其他配件包括：合格證一張、指南手冊一本、光盤一張、電源線一條、網(wǎng)線一條。作為一款多WAN口的路由器，只配了一條網(wǎng)線，感覺相對比較少。

圖2：全家福

3、機器外觀。

下面來看看飛魚星上網(wǎng)行為路由器的整個外觀。

圖3：VE982正面

圖4：VE982側(cè)面

作為一臺桌面式的路由器而言，其長寬高分別是28cm、17cm、4.5cm，相對來說，尺寸并不大。路由器外面是一層深藍(lán)色的鐵殼，兩側(cè)各有一片通風(fēng)孔區(qū)（如圖4），為路由器起到一定的散熱作用。

圖5：VE982背面

路由器前排一共有5個RJ45的網(wǎng)絡(luò)接口，從左往右看，依次是WAN1口、WAN2口、WAN3/LAN3口、WAN4/LAN2口、LAN1口，實際作為VE系列的最低端型號，該款路由器支持2個WAN口和3個LAN口，也就是說，第三和第四個接口在VE982這款型號上是分別作為LAN3口和LAN2口使用的。網(wǎng)絡(luò)接口的右邊就是各個接口相對應(yīng)的指示燈以及系統(tǒng)、電源指示燈，在指示燈中間還有一個小小的Reset按鈕，而路由器的電源接口則在路由器的背面，如圖5。

二、接通路由器

OK，下面開始來對路由器進行安裝調(diào)試。安裝調(diào)試的過程，我將以我們公司的網(wǎng)絡(luò)情況進行相應(yīng)的設(shè)置，但飛魚星上網(wǎng)行為管理的功能較多，一些公司沒有需要用到的功能，就不一一詳解了。

首先將路由器通電，然后將網(wǎng)線一端接到路由器上的LAN1口，另外一端接到我的筆記本網(wǎng)卡上，可以看到，路由器上的LAN1口和系統(tǒng)、電源指示燈都亮了，如圖6。

圖6：VE982通電

路由器默認(rèn)的設(shè)置IP是192.168.0.1，所以先將筆記本的網(wǎng)卡IP地址改成同網(wǎng)段：192.168.0.22，如圖7。

圖7：更改IP地址

打開瀏覽器，輸入路由器LAN1口的IP：192.168.0.1，彈出用戶名和密碼對話框，都填入admin，如圖8。

圖8：輸入用戶名和密碼

然后就可以進入到路由器的WEB設(shè)置頁面了，如圖9。WEB頁面的左邊是導(dǎo)航欄，右邊是主要的功能設(shè)置區(qū)域，從頁面的右上角可以看到，我收到的這個路由器的固件版本是：1014。

圖9：VE982的WEB設(shè)置頁面

三、升級固件

為了達(dá)到更好的測試效果，必須確認(rèn)當(dāng)前固件是否是最新的版本。接通廠家技術(shù)支持電話后，從廠家技術(shù)人員了解到VE982最新的固件版本是1015，于是先登錄飛魚星廠家的官方論壇，在論壇的“飛魚星固件發(fā)布專區(qū)”（如圖10）找到了1015固件的帖子（如圖11），進去該帖子之后，選擇對應(yīng)VE982型號的固件進行下載（如圖12）。

圖10：論壇固件下載專區(qū)

圖11：固件下載帖子的鏈接

圖12：固件下載網(wǎng)址

下載下來的固件是一個rar壓縮包，將其臨時解壓到了C盤的根目錄下，然后打開路由器的“系統(tǒng)工具”-“固件升級”，在右邊的“升級文件”欄處選擇剛才解壓到C盤根目錄下的升級文件，然后點“開始升級”按鈕（如圖13），即可進行固件升級了（如圖14），升級完成后路由器會自動重啟（如圖15）。

圖13：固件升級方法

圖14：固件升級過程

圖15：固件升級成功

四、快速配置

固件升級完成，下面可以開始進行初始化設(shè)置了。我測試的環(huán)境有兩條ADSL寬帶，一條是電信的，一條是鐵通的，都是4M的。先對路由器進行撥號設(shè)置，點首頁上配置向?qū)谟疫叺摹榜R上進行配置”按鈕，進入快速配置頁面，如圖16：

圖16：進入“快速配置”頁面

進入“快速配置”頁面后，直接按“下一步”按鈕，進入內(nèi)網(wǎng)配置頁面，如圖17。

圖17：內(nèi)網(wǎng)配置

公司原來內(nèi)部局域網(wǎng)的網(wǎng)段是192.168.168.0，原來的網(wǎng)關(guān)IP是192.168.168.201，為了不影響內(nèi)網(wǎng)其他機器的IP信息改動，所以在內(nèi)網(wǎng)配置選項中，將路由器LAN1口的IP地址改為了192.168.168.201，為了對內(nèi)網(wǎng)所有機器的IP進行綁定，所以DHCP服務(wù)器按默認(rèn)關(guān)閉掉。繼續(xù)“下一步”，進入“流量控制限制”的配置頁面，如圖18。

圖18：流量控制限制

在這里我啟用了流量限制功能，并對上行和下行做了相應(yīng)的設(shè)置，通過這樣的設(shè)置，可以合理地分配帶寬，有效地杜絕內(nèi)網(wǎng)員工濫用帶寬的現(xiàn)象。再按“下一步”，進入對WAN1口的配置，如圖19。

圖19：WAN1口配置

這里對WAN1口進行設(shè)定，線路類型選擇PPPOE撥號線路，按“下一步”輸入撥號的電信ADSL寬帶的用戶名和密碼，按“下一步”對WAN2口進行相同的配置，只是用戶名和密碼改成了鐵通的，WAN2口設(shè)置方法和WAN1口相同，就不上圖了。

圖20：完成快速配置向?qū)?/p>

待WAN2口也配置完成后，快速配置向?qū)Ь屯瓿闪?，如圖20，點“完成”按鈕，路由器重啟。

五、上架。

待路由器重啟完畢后，拔掉路由器的電源，將路由器放到機柜上，開始對其他功能進行調(diào)試了。

將路由器放到機柜里，接通電源后，LAN1口接中心交換機，WAN1口接電信的ADSL MODEM，WAN2口接鐵通的ADSL MODEM，上架完畢。

圖21：路由器安裝到機柜上

下來檢查路由器是否已經(jīng)撥號成功。

首先將自己本機的IP地址信息更改成192.168.168.0網(wǎng)段的，網(wǎng)關(guān)指向路由器LAN1口的IP地址：192.168.168.201。

圖22：設(shè)置IP地址

打開瀏覽器，輸入路由器改動后的IP：192.168.168.201，登錄后，在“系統(tǒng)狀態(tài)”-“網(wǎng)絡(luò)接口”欄，可以看到WAN1口和WAN2口都已經(jīng)分配到公網(wǎng)的IP，如圖23，這說明路由器已經(jīng)撥號上網(wǎng)成功了。

圖23：路由器撥號成功

六、啟用遠(yuǎn)程WEB管理和DDNS域名解析

設(shè)置到這里的時候，差不多也要下班了。因為路由器是在公司的內(nèi)網(wǎng)進行測試的，為了以后不在公司的時候也能繼續(xù)登錄到路由器上進行設(shè)置，所以需開啟路由器的WEB管理選項和DDNS域名解析功能。

1、啟用WEB管理功能。

圖24：WEB管理選項

如圖24打開“系統(tǒng)工具”-“管理選項”-“WEB管理選項”，“管理者地址”不填，“WEB管理端口”默認(rèn)是80，因為80端口需映射給其他IP地址，所以這里將WEB管理端口改為了8800，將“是否允許外部主機使用WEB管理”給打勾，然后點“保存”按鈕，這樣就完成了遠(yuǎn)程WEB管理的設(shè)置。

需要注意的是，WEB管理端口的設(shè)置如果不是80的話，那么設(shè)置完成后，需重新登錄路由器的web頁面才能進行下一步的操作，且在地址欄輸入的時候，一定要按照“http://192.168.168.201:8080”的格式去輸入，網(wǎng)址前面的“http://”如果沒有輸入的話，是訪問不了的。

2、DDNS設(shè)置

下面來設(shè)置DDNS域名解析。

圖25：動態(tài)域名設(shè)置

如圖25，打開“高級選項”-“動態(tài)域名”，先對WAN1口進行域名解析，點WAN1口右邊的編輯圖標(biāo)。

圖26：WAN1口DDNS設(shè)置

如圖26，勾選“啟用動態(tài)DNS客戶端”，服務(wù)類型選擇域名解析對應(yīng)的提供商，我這里選擇的是3322.org，主機名稱輸入申請到的3322的域名，然后填入對應(yīng)的用戶名和密碼，點“保存”按鈕。

WAN2口如需做域名解析，方法也是一樣的，這里就不贅述了。這里有一個問題需要提一下，就是關(guān)于飛魚星VE982只支持花生殼的商業(yè)用戶服務(wù)，即每年有向花生殼交158元的客戶，才能享受VE982的花生殼域名解析服務(wù)，免費用戶就享受不了啦。第二天 高級配置

經(jīng)過昨天對VE982的設(shè)置之后，現(xiàn)在公司內(nèi)網(wǎng)的所有機器都能正常訪問外網(wǎng)了，但公司內(nèi)部幾臺服務(wù)器的對外服務(wù)還沒有開通，所以今天必須先做好端口映射的工作。其次，為了方便對內(nèi)網(wǎng)機器的管理，需將各機器的IP地址和MAC地址進行綁定。另外，網(wǎng)絡(luò)安全的問題也不容忽視，今天也一并給設(shè)置好吧。OK，下面開始工作了！

一、DMZ及端口映射

由于公司內(nèi)網(wǎng)有5臺服務(wù)器，其中有3臺需對公網(wǎng)提供若干服務(wù)，所以需先對路由器做端口映射。下面的列表是服務(wù)器的IP及對應(yīng)服務(wù)所需開放的端口，太多了，看了別暈哦：

1、DMZ設(shè)置

可以看到，192.168.168.15這臺服務(wù)器對應(yīng)所需開放的端口較多，可以用DMZ的方式直接將該IP映射到公網(wǎng)上，剩下的都用端口映射就OK了。（注：后來發(fā)現(xiàn)這種做法有個缺陷，就是無法對應(yīng)公網(wǎng)為任意的WAN口，也就是說，只能對應(yīng)一個公網(wǎng)IP做DMZ，所以后來改為端口映射的方式將這些端口映射到了這個IP上，但下面還是保留該設(shè)置的方法，給大家參考一下DMZ的做法。）

圖27：添加一對一地址轉(zhuǎn)換規(guī)則

先做DMZ，如圖27，打開“高級選項”-“地址轉(zhuǎn)換”，然后在“NAT：一對一”欄下面點“添加新規(guī)則”按鈕。

圖28：設(shè)置一對一地址轉(zhuǎn)換規(guī)則

如圖28，在“內(nèi)部地址”欄輸入DMZ主機的IP：192.168.168.15，外部地址不填寫，表示源地址是所有公網(wǎng)IP，“接口”選WAN1，然后點“保存”按鈕，這樣就完成了DMZ映射的設(shè)置。

2、端口映射設(shè)置

圖29：添加端口映射規(guī)則

下面將88端口映射到192.168.168.8這個IP為例，來講講端口映射的方法，打開“高級選項”-“端口映射”，然后點右邊的“添加新規(guī)則”按鈕，如圖29。

圖30：設(shè)置88端口映射

如圖30，“外部端口”和“內(nèi)部端口”相同，都填“88”，“內(nèi)部IP”就填寫“192.168.168.8”，“協(xié)議”根據(jù)實際情況填，這里選“TCP”，“映射線路”選“任意”，這樣無論通過WAN1口或者WAN2口的公網(wǎng)IP，都能正常訪問到88端口，設(shè)置完畢后點“保存”按鈕，即可完成端口映射了。

其他端口映射也是依樣畫葫蘆，當(dāng)所有端口映射做好之后，在端口映射欄就可以看到一個清單列表，如圖31，可隨時對列表里面的規(guī)則進行編輯和刪除操作，非常方便。

圖31：端口映射列表

二、IP/MAC綁定

圖32：IP/MAC綁定

下面是對內(nèi)網(wǎng)所有機器進行IP/MAC地址綁定，如圖32，打開“網(wǎng)絡(luò)安全”-“IPMAC綁定”，可以看到，右邊顯示的是當(dāng)前內(nèi)網(wǎng)所有機器的IP地址及對應(yīng)的MAC地址列表。這時按下面的“綁定所有IP/MAC項”即可將所有機器進行綁定，也可在列表中的每一項右邊點“綁定”圖標(biāo)按鈕，手動綁定。

圖33：IP/MAC綁定列表

IP/MAC地址綁定完成后，點擊“綁定列表”欄，可以看到所有機器的IP和MAC地址的綁定列表，如圖33，頁面下方有個“禁止未綁定IP/MAC的主機通過”選項，選中該選項后，則外來的IP地址無法上網(wǎng)，這個功能可根據(jù)實際使用需要進行設(shè)置。

為了方便對內(nèi)網(wǎng)上網(wǎng)行為的管理，這時可對每個綁定的IP地址進行編輯，增加對該機器的描述，如填入對應(yīng)使用的員工姓名或者該機器的用途等。

這里以192.168.168.7為例，點擊該IP右邊的編輯圖標(biāo)，為該IP地址輸入相關(guān)信息，然后點“保存”按鈕即可，如圖34。

圖34：輸入IP地址對應(yīng)的相關(guān)信息

三、IP地址分組

將各員工的IP地址和MAC地址進行綁定后，為了后面進行上網(wǎng)行為管理時能對不同權(quán)限的用戶進行分類管理，還需要將IP地址進行按組分類。例如，要限制某些員工的上網(wǎng)時間，而像總經(jīng)理和部門經(jīng)理這些高層，肯定是不受限制的，所以得將這些高層分到一個不受限制的IP組，下面就以添加總經(jīng)理使用的IP到總經(jīng)理IP組為例，說明如何進行IP地址分組。

圖35： IP地址組

如圖35，打開“上網(wǎng)行為管理”-“IP地址組”，然后點右邊的“添加新規(guī)則”按鈕。

圖36：添加IP地址分組規(guī)則

如圖36，進入IP地址組添加配置頁面，在組名稱中輸入該IP組的名稱，注意“組名稱”不支持漢字，只能是英文字母或者數(shù)字，所以我在這里輸入“總經(jīng)理”的拼音“zongjingli”，然后在IP地址欄中輸入總經(jīng)理使用的幾個IP地址，這里支持單獨IP地址，也支持一個IP地址范圍，但只能添加10條記錄，最后的“描述”可以用漢字對該組進行文字說明。錄入以上信息后，點“保存”按鈕，那么，總經(jīng)理的IP組就建立完成了。

根據(jù)上面的方法，我又將公司的其他員工的IP，根據(jù)其網(wǎng)絡(luò)權(quán)限的不同，劃分了幾個不同的IP組，如圖37。

圖37：IP地址組列表

四、網(wǎng)絡(luò)安全設(shè)置

VE982帶有一系列的網(wǎng)絡(luò)安全功能，可以有效保護公司整個網(wǎng)絡(luò)的安全，所以最好將這些保護功能都打開，下面開始進行這方面的設(shè)置。

1、攻擊防御

打開“網(wǎng)絡(luò)安全”-“攻擊防御”，這里有“內(nèi)網(wǎng)防御”和“外網(wǎng)防御”兩個欄目，在“內(nèi)網(wǎng)防御”欄中，如圖38，可以看到，VE982可防御的內(nèi)容包括ARP欺騙、廣播風(fēng)暴、內(nèi)網(wǎng)病毒、以及其他一些網(wǎng)絡(luò)攻擊的防御等，VE982默認(rèn)已經(jīng)通通都打開了，這里建議按默認(rèn)的設(shè)置就好，可以給內(nèi)網(wǎng)提供最安全的保護措施。目前不知道飛魚星怎么去判斷機器是否感染了病毒，個人感覺，應(yīng)該是通過數(shù)據(jù)抓包的方式，檢查機器傳輸?shù)臄?shù)據(jù)包是否異常。

圖38：內(nèi)網(wǎng)防御

設(shè)置好內(nèi)網(wǎng)防御后，再點“外網(wǎng)防御”欄，如圖39，外網(wǎng)防御我也是按默認(rèn)的設(shè)置就好。

圖39：外網(wǎng)防御

2、ARP信任機制

由于現(xiàn)在APR欺騙橫行，在“內(nèi)網(wǎng)防御”中開啟了ARP欺騙防御保護功能后，飛魚星路由器還自帶ARP信任機制，我們可將該功能開啟，將內(nèi)網(wǎng)可信任的IP進行記錄，提高內(nèi)網(wǎng)防止ARP欺騙的防御能力。需要注意的是，該功能和IP/MAC綁定功能的“禁止未被綁定通過”與ARP信任檢測功能是有沖突的，如果“禁止未被綁定通過”選項啟用了，則無法啟用ARP信任機制。

圖40：啟用ARP信任功能

如圖40，打開“網(wǎng)絡(luò)安全”-“ARP信任機制”，在右邊的“啟用ARP信任檢測功能”和“啟用ARP超時機制”選項都打上勾，就可以開啟這個功能了，路由器會自動將綁定好的IP和MAC地址，通過自我學(xué)習(xí)的方式自動添加到信任列表里面。

五、開啟系統(tǒng)日志功能。

啟用VE982的所有網(wǎng)絡(luò)安全功能后，必須將系統(tǒng)日志功能打開，才能看到路由器所檢查到的相關(guān)安全信息。

如圖41，打開“系統(tǒng)狀態(tài)”-“系統(tǒng)日志”，進入“系統(tǒng)設(shè)置”欄，在其下的“啟動系統(tǒng)日志服務(wù)”前面打勾確認(rèn)，再點“保存”即可。頁面上還有“啟用日志服務(wù)器”選項，該作用就是得找一臺PC充當(dāng)日志服務(wù)器，在上面安裝飛魚星的日志服務(wù)器軟件，那么在啟用該服務(wù)的時候，路由器會將當(dāng)前的系統(tǒng)日志都同步到這臺日志服務(wù)器上。因為公司機器不是很多，路由器記錄的日志也不會多到哪里去，所以這項我就沒有進行測試了。

圖41：開啟系統(tǒng)日志服務(wù)

現(xiàn)在來檢查看看系統(tǒng)日志有沒有開始工作吧。如圖42，打開“系統(tǒng)狀態(tài)”-“系統(tǒng)日志”，可以看到右邊已經(jīng)有內(nèi)網(wǎng)防御的系統(tǒng)日志記錄了。

圖42：查看系統(tǒng)日志

嗯，好了，今天的時間有限，就先設(shè)置到這里吧，明天繼續(xù)！

第三天 設(shè)置員工上網(wǎng)權(quán)限

今天要研究的課題是：為了提高員工的工作效率，限制“普通員工組”在上班時間的時候，只能在中午休息時間（12點到13點半）和下午17點至20點的時間段內(nèi)上網(wǎng)；此外，除“總經(jīng)理”和“不受限制組”外，其他組的員工限制QQ并禁止其他IM登錄、不得登錄QQ空間偷菜、不得使用各類P2P軟件、不得使用股票軟件、不得玩網(wǎng)絡(luò)游戲。唉，好像得罪了很多同事，感受到背后的殺氣了……

一、限制上網(wǎng)時間

下面開始對“普通員工組”進行上網(wǎng)時間限制的設(shè)置。根據(jù)我們需求來設(shè)置的話，根據(jù)時段的劃分，每個IP組必須設(shè)置四條規(guī)則，參見下表。

圖43：添加限制上午上網(wǎng)規(guī)則

以創(chuàng)建限制“普通員工組”上午上班時間無法上網(wǎng)的規(guī)則為例，如圖43，打開“上網(wǎng)行為管理”-“防火墻設(shè)置”，在“添加配置”欄下進行相關(guān)規(guī)則，“動作”選用“禁止”（如果是允許上網(wǎng)則改為“允許”），“接口”選擇“任意”，“協(xié)議”我選擇“ALL[ALL/1~65535]”，“目的端口范圍”不用填寫（如果“協(xié)議”是選擇“TCP”或“UDP”的話，則需填寫“端口”），“目的地址組”為“任意”，源地址組”就是“putong”，“時間”選為“08:00-11:59”，“工作日期”這里不填寫，代表每天，“描述”可以對這條策略進行文字說明，方便查看，然后點“保存”按鈕。用相同的方法為“putong”組建立剩下的策略規(guī)則，這里就不贅述了。

上面的方法是將網(wǎng)絡(luò)徹底限制的，但如果碰到有的IP組只允許瀏覽網(wǎng)頁、不允許運行其他互聯(lián)網(wǎng)應(yīng)用程序的話，VE982還有“一鍵添加”的功能，可以非常方便地自動設(shè)置上網(wǎng)行為規(guī)則。

圖44：一鍵添加上網(wǎng)行為規(guī)則

如圖44，在“一鍵添加”欄中，可以看到，VE982自帶了三條很常見的策略規(guī)則，分別是：

1、僅能收發(fā)郵件，禁止其他互聯(lián)網(wǎng)應(yīng)用 啟用；

2、僅能瀏覽網(wǎng)頁，禁止其他互聯(lián)網(wǎng)應(yīng)用 啟用；

3、僅能瀏覽網(wǎng)頁和收發(fā)郵件，禁止其他互聯(lián)網(wǎng)應(yīng)用。只要根據(jù)實際需要選中對應(yīng)的規(guī)則，然后選定“IP組”，設(shè)置好作用“時間”和“工作日期”，就能非?？焖俚赝瓿梢?guī)則的創(chuàng)建，非常的人性化！

二、限制QQ并禁止IM登錄

公司有限制員工只能登錄公司分配的QQ號，自己私人的QQ號是不允許登錄的。所以必須對路由器進行QQ限制登錄的操作。同時，為了限制員工上班時間老掛著聊天，其他的IM軟件也一并進行限制。飛魚星VE982可以限制的IM軟件主要包括了QQ、MSN、飛信、SKYPE和阿里旺旺，應(yīng)該說，目前互聯(lián)網(wǎng)上最熱門的IM軟件都已經(jīng)涵蓋在里面了。

圖45：設(shè)置聊天軟件過濾

如圖45，打開“上網(wǎng)行為管理”-“聊天軟件過濾”，勾選“啟用聊天軟件過濾”功能，由于“總經(jīng)理組”和“不受限制組”的IP允許使用IM軟件，所以將這兩個組選到“例外IP地址組”欄中，下來就是在所有IM軟件過濾選項右邊勾選“開啟”選項，然后點“保存”按鈕。在QQ過濾項的右邊還有一個“記錄”選項，如果勾選這個功能的話，再配合廠家的另外一套軟件就能實現(xiàn)對QQ聊天記錄的監(jiān)控，廠家網(wǎng)站上有提供這套軟件的試用版下載，因為公司暫時沒有這個需求，所以我也就沒有測試了。

再下來需要將公司允許登錄的QQ號添加到“例外的QQ號列表”，可以在“例外的QQ號”列表里面一個一個地添加，也可以在“批量添加”中直接將所有允許登錄的QQ號一次性添加，這里我選擇的是“批量添加”。如圖46，進入“批量添加”欄后，將例外的QQ號按一行一個QQ號碼的格式填入“批量添加QQ號”右邊的文字框中，然后點“保存”按鈕。

圖46：批量添加例外QQ號

OK，通過上面的設(shè)置，內(nèi)網(wǎng)的所有機器中，除了“總經(jīng)理組”和“不受限制組”的IP外，其他IP地址的機器都無法登錄MSN、飛信、SKYPE、和阿里旺旺，并且只能登錄公司允許登錄的QQ號，員工自己的QQ號是無法正常登錄的。為了檢測這個結(jié)論是否正確，我分別對這幾個IM軟件進行下載（最新的版本）、安裝并測試，然后將本機的IP地址歸屬到受限的IP組，測試的結(jié)果如下表：

可以看到，除了最新版的飛信以外，其他最新版的IM軟件，VE982都能成功地進行限制，這樣高的成功率有點出乎我的意料。雖然飛信最新版無法進行限制，但相信只要廠家后面的軟件策略庫能及時進行升級的話，解決飛信的限制問題還是比較容易的。

三、限制“偷菜”

隨著QQ農(nóng)場的風(fēng)靡，現(xiàn)在幾乎是男女老幼，都有大批的偷菜迷沉迷于QQ農(nóng)場，不可自拔。適度游戲可以，但玩過頭影響了工作就不行了。公司的同事都是小年輕，低檔不住這誘惑，看來還是得通過路由器來限制員工玩QQ農(nóng)場。

圖47：限制登錄開心網(wǎng)和QQ農(nóng)場

如圖47，打開“上網(wǎng)行為管理”-“網(wǎng)頁游戲過濾”，勾選“啟用網(wǎng)頁游戲過濾”選項，然后將“總經(jīng)理組”和“不受限制組”添加到“例外IP地址組欄”中，然后在“開心網(wǎng)”和“QQ農(nóng)場”兩個選項中選“開啟”，最后點保存，OK，這下除了老總和各公司高層外，其他員工都無法登錄開心網(wǎng)和QQ農(nóng)場玩游戲了。

四、限制使用P2P軟件

以前公司總是有同事上班時間，利用公司的寬帶使用電驢、BT下載電影，利用酷狗、PPlive等在線聽歌、看電影，嚴(yán)重影響了公司的使用帶寬，老總已經(jīng)對這類P2P軟件深惡痛絕，所以非得杜絕了不可。

限制使用P2P軟件以及限制使用股票軟件的方法其實和限制登錄網(wǎng)頁游戲的方法差不多，因為限制P2P軟件對于我們公司來說，是比較重要的上網(wǎng)行為管理，所以在這里講一下，限制使用股票的方法就不列上了。

圖48：限制使用P2P軟件

如圖48，打開“上網(wǎng)行為管理”-“P2P軟件過濾”，可以看到，VE982可以限制使用的P2P軟件已經(jīng)囊括了包括迅雷、電驢、BT等在內(nèi)一共13種軟件，這里我們根據(jù)實際情況，只保留了日常下載用的迅雷，其他P2P軟件一概封殺掉！在頁面右邊勾選“啟用P2P軟件過濾”選項，同樣將“總經(jīng)理組”和“不受限制組”列進“例外IP地址組”，然后在下面的軟件清單中，除了迅雷外，其他軟件都勾選“開啟”功能，P2P軟件使用限制設(shè)置完畢。

為了測試VE982對P2P軟件的管控力度，我選擇了BT和電驢這兩種下載方式進行了測試。測試結(jié)果是，在啟用了BT和迅雷過濾功能后，uTorrent（BT客戶端）可以運行下載任務(wù)，但該下載任務(wù)一直處于沒有流量的狀態(tài)，而xtreme（電驢客戶端）則無法連接Kad和eD2K網(wǎng)絡(luò)，可以說，VE982對P2P軟件的管控力度還是不錯的，值得表揚！

五、限制玩網(wǎng)絡(luò)游戲

利用上班時間和公司帶寬玩網(wǎng)絡(luò)游戲，我想哪個老板都不答應(yīng)吧？廢話不多說，馬上進行封殺！

圖49：限制玩網(wǎng)絡(luò)游戲

如圖49，打開“上網(wǎng)行為管理”-“游戲過濾”，在這里就可以進行限制網(wǎng)絡(luò)游戲的設(shè)置了。因為限制網(wǎng)絡(luò)游戲和上面限制P2P軟件的設(shè)置方法一樣，加之公司的同事其實對網(wǎng)絡(luò)游戲都不怎么感冒，所以也沒有進行測試，這里就不再贅述了。

其實本來我是不打算寫上如何限制網(wǎng)絡(luò)游戲的，但思前想后還是覺得得說一下，不為別的，只是為了發(fā)下牢騷，因為大家從圖中可以看到，VE982可以限制的網(wǎng)絡(luò)游戲非常的有限，只有12個而已，雖說這12個游戲里面不乏WOW這樣受眾非常廣的巨作，但面對網(wǎng)上多如繁星的網(wǎng)絡(luò)游戲而言，這個功能能起到的作用真的很大打折扣，只希望廠家以后能更加勤快地更新路由器的軟件特征庫，多增加一些可以進行限制的網(wǎng)絡(luò)游戲。不過話說回來，對于幾百塊錢的路由器來說，我們又不能苛求太多，唉，總之就是矛盾啊！

四、限制使用P2P軟件

以前公司總是有同事上班時間，利用公司的寬帶使用電驢、BT下載電影，利用酷狗、PPlive等在線聽歌、看電影，嚴(yán)重影響了公司的使用帶寬，老總已經(jīng)對這類P2P軟件深惡痛絕，所以非得杜絕了不可。

限制使用P2P軟件以及限制使用股票軟件的方法其實和限制登錄網(wǎng)頁游戲的方法差不多，因為限制P2P軟件對于我們公司來說，是比較重要的上網(wǎng)行為管理，所以在這里講一下，限制使用股票的方法就不列上了。第四天 總結(jié)

經(jīng)過這幾天與飛魚星VE982上網(wǎng)行為管理路由器的接觸，感覺該路由器作為定位于中低端市場的設(shè)備，是比較超值的，畢竟才幾百塊錢的價格，就能實現(xiàn)多WAN口的捆綁、實現(xiàn)內(nèi)網(wǎng)流控和VPN，更重要的是能針對目前市場上主流的網(wǎng)絡(luò)軟件行為進行適當(dāng)?shù)纳暇W(wǎng)行為管理，在這個價位上，目前除了飛魚星以外，似乎市場上還難以覓得其他同類的產(chǎn)品，確實值得中小企業(yè)將其作為首選網(wǎng)關(guān)路由器。但不難看出，VE982在實際使用過程中，還存在一些小Bug，考慮到這些Bug并不影響設(shè)備的正常使用，而且這些Bug也和我所使用的最新版的固件還是測試版的有關(guān)，所以這里就不羅列出來?？上驳氖?，廠家一直在對產(chǎn)品不斷的進行更新，所以我相信這些bug會在廠家的不懈努力下進一步完善。最后值得一提的是，在使用VE982的過程中，遇到一些技術(shù)問題，在致電廠家的技術(shù)支持電話時，都能得到技術(shù)支持人員的熱情解答，在這里對廠家的服務(wù)態(tài)度再表揚一下！

好了，本文至此擱筆了，本來還有一些功能測試（如VPN等）想一起寫出來，不巧最近工作實在太忙，沒有時間整理，其他功能就留待各位有興趣的看官自己研究研究啦！886！

第二篇：路由器上網(wǎng)行為管理

上網(wǎng)行為管理的應(yīng)用價值

除了遲到、曠工，上網(wǎng)行為也要納入到行政管理了，這是目前一些企業(yè)的網(wǎng)絡(luò)應(yīng)用需求。為此，越來越多的組網(wǎng)設(shè)備開始提供上網(wǎng)行為管理的功能。

上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。這些問題其實是一個職業(yè)素質(zhì)的基本問題，但企業(yè)管理者由于各種原因，對此經(jīng)常無可奈何。路由器上網(wǎng)行為管理正是迎合了這個需要，以電子化手段進行鐵面無私的管理，行政措施得以有效的貫徹。

但是，上網(wǎng)行為管理功能的產(chǎn)品出現(xiàn)的時間不長，很多用戶在應(yīng)用中有一定的誤區(qū)，產(chǎn)品選購上也無所適從。本文旨在上網(wǎng)行為管理功能的應(yīng)用價值、技術(shù)實現(xiàn)、產(chǎn)品選擇等方面做一個粗略的探討。

一、上網(wǎng)行為管理的應(yīng)用價值

首先應(yīng)該明確的是，上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備，而是行政管理的手段。上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護公司隱私的工具，是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用，從這一點上來說上網(wǎng)行為管理的應(yīng)用對企業(yè)是有益的。誠然，精心部署上網(wǎng)行為管理，對企業(yè)網(wǎng)絡(luò)的穩(wěn)定性、可靠性有一定的幫助，但這是非常不夠的。網(wǎng)絡(luò)的穩(wěn)定可靠不能僅僅依靠上網(wǎng)行為管理來實現(xiàn)，而主要還是要依靠專業(yè)的網(wǎng)絡(luò)安全設(shè)備和方案?？墒悄壳?，在一些用戶心中，依然對上網(wǎng)行為管理產(chǎn)品的作用存在一些模糊不清的認(rèn)識：

誤區(qū)一：上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線 網(wǎng)絡(luò)掉線是整個網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng)，是因為以太網(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無序上網(wǎng)的問題，客觀上對網(wǎng)絡(luò)凈化起到一些作用，但絕不是根本的手段。網(wǎng)絡(luò)問題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決，解決網(wǎng)絡(luò)掉線、卡滯等問題，應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案，那才是從根源著手的有效辦法。誤區(qū)二：上網(wǎng)行為管理能防病毒侵害

網(wǎng)絡(luò)病毒的傳播防不勝防，掛馬成為了龐大產(chǎn)業(yè)。所以，靠上網(wǎng)行為的約束，期望杜絕病毒的侵入，在目前中國的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網(wǎng)絡(luò)層面，要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等，在單機層面，要安裝殺毒軟件、定期升級操作系統(tǒng)補丁等措施。所以，盡管上網(wǎng)行為管理對防范病毒侵害很重要，但也只能是一個輔助措施。

誤區(qū)三：上網(wǎng)行為管理能控制網(wǎng)速

封QQ、封P2P、封視頻，通過限制大容量的下載保證帶寬的合理使用，這些都是權(quán)宜之計，不是一個完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問題，因為網(wǎng)絡(luò)上的內(nèi)容太豐富了，搶占帶寬的流量無法一一識別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面，對帶寬的管理是通過QoS實現(xiàn)的，而不是通過限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有“人少時快、人多時均”的欣向智能帶寬算法等等。這些都是從專業(yè)角度進行的，對控制網(wǎng)速根本有效的辦法。

因此，綜上所述，上網(wǎng)行為管理功能解決不了網(wǎng)絡(luò)的穩(wěn)定性、可靠性問題，對網(wǎng)絡(luò)本身的管理也不是根本的辦法。應(yīng)用上網(wǎng)行為管理后，企業(yè)的網(wǎng)絡(luò)狀況會有一定好轉(zhuǎn)，但恐怕只是暫時的。上網(wǎng)行為管理最大的效用就是在行政管理上，它通過提高員工的工作效率為企業(yè)創(chuàng)造價值，這才是上網(wǎng)行為管理路由器得到歡迎的主要原因。

二、上網(wǎng)行為管理的技術(shù)實現(xiàn)

上網(wǎng)行為管理的技術(shù)實現(xiàn)大概分為幾個部分：IP分組管理、特定應(yīng)用封鎖、行為審計、行為記錄等。IP分組管理是實現(xiàn)上網(wǎng)行為管理的基礎(chǔ)，對于每個特定的分組分配不同的上網(wǎng)權(quán)限，對各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進行要求，這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權(quán)限策略在路由器中設(shè)計為多重搭配組合的模式。

欣向免疫路由分組成員管理

特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口，達(dá)到應(yīng)用無法連接到服務(wù)器的目的，實現(xiàn)行為封鎖的一種方式。這種功能其實在路由器中早就存在，它是“外網(wǎng)IP過濾”、“端口過濾”、“URL關(guān)鍵字過濾”等幾個功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項目提出來，預(yù)制進產(chǎn)品中，通過一個在界面上的名字表達(dá)這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關(guān)信息，再一條一條地在路由器上配置保存，這大大提高了產(chǎn)品的易用性。

而協(xié)議型封鎖是通過對要封鎖的協(xié)議進行分析，識別上網(wǎng)行為身份，進行對該協(xié)議的攔截，實現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的，用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用，它們雖然有相對固定的服務(wù)器IP群，但它們的連接方式是靠協(xié)議握手，動態(tài)地變換IP和端口，甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進行處理。從技術(shù)實現(xiàn)的角度來看，靜態(tài)過濾是較容易的手段，而協(xié)議型封鎖對產(chǎn)品設(shè)計的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程，又要在實現(xiàn)的同時照顧路由器的轉(zhuǎn)發(fā)效率，照顧多WAN情況下的負(fù)載均衡，算法上是比較復(fù)雜的。當(dāng)前的網(wǎng)絡(luò)設(shè)備市場，提供上網(wǎng)行為管理功能的路由器很多，表面上是大家都有上網(wǎng)行為管理功能，但實際上由于技術(shù)實現(xiàn)方式的不同，導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實用。

如果使用簡單的靜態(tài)過濾方式，而不是協(xié)議型封鎖來實現(xiàn)上網(wǎng)行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網(wǎng)行為管理路由器就是這么做的。

拿大家熟悉的QQ來說，我們登陸QQ時，都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進行帳號和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表，然后通過路由器進行這些服務(wù)器IP的過濾處理，這樣QQ帳號密碼認(rèn)證不了，當(dāng)然也就實現(xiàn)了攔截QQ的目的。

這種封QQ的方式存在兩個問題：

1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時，就會出現(xiàn)行為管理失效，路由器不得不進行軟件升級，效果不徹底，應(yīng)用麻煩。

2、當(dāng)使用代理服務(wù)器進行應(yīng)用訪問的中轉(zhuǎn)時，由于認(rèn)證和訪問信息通過第三方中轉(zhuǎn)，自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的“QQ代理服務(wù)器”IP，就是用來破解此種行為管理的，QQ聊天軟件也提供了繞過此種封鎖的代理服務(wù)器設(shè)置（如圖），區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過QQ代理登陸的方式進行測試區(qū)分，所以靜態(tài)過濾的方式對行為管理是不徹底的，無效的。

QQ代理服務(wù)器設(shè)置

而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議，所以無論如何設(shè)置代理都能直接識別封鎖，效果徹底，然而此種行為管理方式需要的技術(shù)較高，路由器中很少使用。而已知的，欣向免疫墻路由器就是采用了協(xié)議分析的上網(wǎng)行為管理手段，這是很難得的。它采用了全新的應(yīng)用層協(xié)議分析，根據(jù)不同應(yīng)用的協(xié)議特征，對特定上網(wǎng)行為進行分析確認(rèn)。由于采用了協(xié)議分析，行為管理真正做到了準(zhǔn)確無誤。基于協(xié)議的上網(wǎng)行為管理功能的實現(xiàn)，對路由器設(shè)計有較高的要求。尤其是多WAN環(huán)境下，不管是靜態(tài)過濾還是協(xié)議封鎖，都需要考慮對負(fù)載均衡的影響，也就是說，上網(wǎng)行為管理的啟用，不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實現(xiàn)上網(wǎng)行為功能的時候，把內(nèi)網(wǎng)IP固定地綁在某一個WAN口上，或者按照IP均衡的方式進行分配，這就失去了多WAN帶寬疊加的應(yīng)用效果。

欣向采用的是多年領(lǐng)先的基于身份綁定的第四代多WAN技術(shù)。作為第一個推出多WAN路由器的廠家，欣向一直從事多WAN下的應(yīng)用協(xié)議分析，以保證各種網(wǎng)絡(luò)訪問在多WAN接入下的優(yōu)化處理。在實現(xiàn)上網(wǎng)行為管理功能的時候，欣向路由對行為管理的有效性、路由轉(zhuǎn)發(fā)效率、CPU負(fù)荷、多WAN帶寬匯聚等進行綜合考慮，是比較周全的方案，在這個方面無疑是占據(jù)了領(lǐng)先的高度。

欣向免疫墻路由器分組上網(wǎng)行為管理

三、上網(wǎng)行為管理的產(chǎn)品選擇

由于存在著用戶對上網(wǎng)行為管理功能的需求，很多網(wǎng)絡(luò)設(shè)備開始提供這樣的功能。不僅僅在路由器，在防火墻、安全網(wǎng)關(guān)、UTM、接入服務(wù)器等各種設(shè)備中都能見到上網(wǎng)行為管理功能的影子，甚至還有一些專門的上網(wǎng)行為管理設(shè)備賣的也很不錯。

雖然存在的就是合理的，但對于用戶來說，要根據(jù)自己的應(yīng)用需求進行選擇，要根據(jù)自身網(wǎng)絡(luò)狀況、投資額度、現(xiàn)有設(shè)備的功能組合、網(wǎng)絡(luò)的優(yōu)化升級等作整體的規(guī)劃，最后考慮產(chǎn)品的優(yōu)劣，從而進行正確的選擇。

下面提供一些建議供企業(yè)朋友們參考。

對上網(wǎng)行為管理要求較高，管理嚴(yán)苛的較大型企業(yè)，應(yīng)該選擇專用的上網(wǎng)行為管理設(shè)備。這種設(shè)備不提供其他復(fù)雜的上網(wǎng)功能，也沒有過多涉及防火防毒網(wǎng)絡(luò)安全內(nèi)容，它的主要功能就是上網(wǎng)行為管理，術(shù)業(yè)有專攻，它在產(chǎn)品功能上比較豐富，服務(wù)支撐比較到位。

至于防火墻、UTM中提供的上網(wǎng)行為管理功能，也是很可取的方案，它適用于一些信息化程度較高的企業(yè)，準(zhǔn)備或已經(jīng)部署了相關(guān)設(shè)備的情況下，啟用附帶的上網(wǎng)行為管理功能可以節(jié)省部署專用設(shè)備的資金。

選擇寬帶路由器中的上網(wǎng)行為管理功能，適用于大多數(shù)的中小企業(yè)。接入路由器是企業(yè)網(wǎng)絡(luò)的大門，在大門處加一個門崗做上網(wǎng)行為管理，是簡單易行的辦法。但是，路由器主要的功能是高速數(shù)據(jù)轉(zhuǎn)發(fā)，由于CPU負(fù)載能力和成本的限制，路由器功能設(shè)計不可能主次顛倒，在上網(wǎng)行為管理上不可能做到很強，所以不要對他抱有太多的期望值，夠用好用就可以了。如果單純因為上網(wǎng)行為管理去選擇路由器，很可能會本末倒置。這就兩難了。雖然上網(wǎng)行為管理在地位上應(yīng)該是路由功能的附屬，但對于大多數(shù)中小企業(yè)用戶來說，這個功能確實又是需要的。同時企業(yè)網(wǎng)絡(luò)又要解決網(wǎng)絡(luò)的穩(wěn)定、可靠、安全的問題，又不能犧牲網(wǎng)絡(luò)接入的性能，尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在IT投資不可能太大的情況下，那又該如何選擇一臺優(yōu)質(zhì)的路由器，同時滿足多種需求呢？ 強烈的建議是：配備帶有上網(wǎng)行為管理的免疫墻路由器。

當(dāng)前的企業(yè)網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)掉線、卡滯等問題。很多企業(yè)都將其歸咎于BT下載、QQ視頻等的頻繁使用，導(dǎo)致盲目上馬上網(wǎng)行為管理設(shè)備，實則不然。以上網(wǎng)絡(luò)應(yīng)用僅是占用了大量的網(wǎng)絡(luò)帶寬，而企業(yè)路由器都有帶寬管理功能，如果是因為特定行為訪問導(dǎo)致的帶寬不足，啟用路由器帶寬管理后就該沒有問題了。但實際情況是，啟用了帶寬管理以上網(wǎng)絡(luò)問題還存在，購置了新的上網(wǎng)行為管理設(shè)備網(wǎng)絡(luò)問題還沒有解決！

這主要是因為企業(yè)網(wǎng)絡(luò)的免疫安全問題被忽視了！據(jù)統(tǒng)計，80%的網(wǎng)絡(luò)問題都是由內(nèi)網(wǎng)引起的。由于以太網(wǎng)的先天缺陷以及路由設(shè)備的脆弱，黑客能夠充分利用協(xié)議漏洞對網(wǎng)絡(luò)系統(tǒng)進行破壞，ARP、SYN攻擊等就是基于這樣的原理。補上協(xié)議漏洞、提高管理手段，對終端進行強制性管理，從而對網(wǎng)絡(luò)進行整體的管控，使病毒的發(fā)作無法竄擾到網(wǎng)絡(luò)上來，這樣才能徹底解決網(wǎng)絡(luò)問題。網(wǎng)絡(luò)問題必須網(wǎng)絡(luò)解決，提高網(wǎng)絡(luò)免疫安全要有全面性和強制性。網(wǎng)絡(luò)免疫技術(shù)由欣向首次提出并應(yīng)用于路由器設(shè)備，欣全向公司基于這樣的技術(shù)思路，讓免疫墻路由器不僅在寬帶接入端起到安全管理的作用，也能夠深入到整個內(nèi)網(wǎng)的每一個終端進行控制和保護。同時，在內(nèi)網(wǎng)中還有一臺監(jiān)控中心，對整個內(nèi)網(wǎng)的運行進行統(tǒng)計、顯示、控制、告警、策略分發(fā)等工作，全網(wǎng)的狀態(tài)時時刻刻一目了然。以免疫墻路由器組建企業(yè)內(nèi)網(wǎng)，可以達(dá)到普通路由器難以企及的應(yīng)用效果，在上網(wǎng)的穩(wěn)定、高速、安全、可管理能力上，遠(yuǎn)遠(yuǎn)超過了普通路由的組網(wǎng)方案。

有了網(wǎng)絡(luò)安全和穩(wěn)定的運行基礎(chǔ)，網(wǎng)絡(luò)行為管理才能顯示其更加細(xì)致的應(yīng)用訪問控制優(yōu)勢，才能真正滿足中小企業(yè)對網(wǎng)絡(luò)應(yīng)用的多種需求。沒有穩(wěn)定可靠，上網(wǎng)行為管理就無從談起，所謂皮之不存毛之焉在。欣向免疫墻路由器 總結(jié)

是否部署上網(wǎng)行為管理要依據(jù)企業(yè)的具體情況。如果企業(yè)網(wǎng)絡(luò)穩(wěn)定，并且有網(wǎng)絡(luò)訪問行為控制的要求，那么選擇合適的上網(wǎng)行為管理設(shè)備是必要的。

上網(wǎng)行為管理功能需要采用靜態(tài)過濾和協(xié)議型封鎖2種技術(shù)方式，單純依靠靜態(tài)過濾處理上網(wǎng)行為管理是技術(shù)敷衍，功能是不可靠的。但上網(wǎng)行為管理僅限于網(wǎng)絡(luò)訪問權(quán)限的控制，是行政管理的輔助手段，并不能解決網(wǎng)絡(luò)的安全和穩(wěn)定問題。如果企業(yè)存在網(wǎng)絡(luò)掉線、卡滯、速度慢、不安全、難管理等問題，那就需要帶免疫墻功能的路由器，著重解決內(nèi)網(wǎng)問題。中小企業(yè)既要上網(wǎng)行為管理，又要安全穩(wěn)定可靠的網(wǎng)絡(luò)，使用帶有上網(wǎng)行為管理功能的免疫墻路由器可以一舉多得。

第三篇：企業(yè)路由器上網(wǎng)行為管理功能分析

企業(yè)路由器上網(wǎng)行為管理功能分析

企業(yè)的上網(wǎng)行為管理的技術(shù)實現(xiàn)大概分為幾個部分：IP分組管理、特定應(yīng)用封鎖、行為審計、行為記錄等。在企業(yè)上網(wǎng)行為管理路由器中所必須具備的，從萬任上網(wǎng)行為管理路由我們可以分析下它的功能。

IP分組管理是實現(xiàn)上網(wǎng)行為管理的基礎(chǔ)，對于每個特定的分組分配不同的上網(wǎng)權(quán)限，對各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進行要求，這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權(quán)限策略在路由器中設(shè)計為多重搭配組合的模式。

特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。

靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口，達(dá)到應(yīng)用無法連接到服務(wù)器的目的，實現(xiàn)行為封鎖的一種方式。這種功能其實在路由器中早就存在，它是“外網(wǎng)IP過濾”、“端口過濾”、“URL關(guān)鍵字過濾”等幾個功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項目提出來，預(yù)制進產(chǎn)品中，通過一個在界面上的名字表達(dá)這個功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項目的相關(guān)信息，再一條一條地在路由器上配置保存，這大大提高了產(chǎn)品的易用性。

而協(xié)議型封鎖是通過對要封鎖的協(xié)議進行分析，識別上網(wǎng)行為身份，進行對該協(xié)議的攔截，實現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的，用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用，它們雖然有相對固定的服務(wù)器IP群，但它們的連接方式是靠協(xié)議握手，動態(tài)地變換IP和端口，甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進行處理。

從技術(shù)實現(xiàn)的角度來看，靜態(tài)過濾是較容易的手段，而協(xié)議型封鎖對產(chǎn)品設(shè)計的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程，又要在實現(xiàn)的同時照顧路由器的轉(zhuǎn)發(fā)效率，照顧多WAN情況下的負(fù)載均衡，算法上是比較復(fù)雜的。

當(dāng)前的網(wǎng)絡(luò)設(shè)備市場，提供上網(wǎng)行為管理功能的路由器很多，表面上是大家都有上網(wǎng)行為管理功能，但實際上由于技術(shù)實現(xiàn)方式的不同，導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實用。而北京萬任科技的上網(wǎng)行為管理路由在上網(wǎng)行為管理功能上是經(jīng)過了上千家企業(yè)用戶的肯定的。

基于協(xié)議的上網(wǎng)行為管理功能的實現(xiàn)，對路由器設(shè)計有較高的要求。尤其是多WAN環(huán)境下，不管是靜態(tài)過濾還是協(xié)議封鎖，都需要考慮對負(fù)載均衡的影響，也就是說，上網(wǎng)行為管理的啟用，不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實現(xiàn)上網(wǎng)行為功能的時候，把內(nèi)網(wǎng)IP固定地綁在某一個WAN口上，或者按照IP均衡的方式進行分配，這就失去了多WAN帶寬疊加的應(yīng)用效果。

目前很多企業(yè)都已經(jīng)開始使用具有上網(wǎng)行為管理的路由器，加強對企業(yè)網(wǎng)絡(luò)的管理、提高員工的工作效率。北京萬任科技上網(wǎng)行為管理路由器是企業(yè)的最佳選擇。

第四篇：上網(wǎng)行為管理路由器產(chǎn)生的背景

上網(wǎng)行為管理路由器產(chǎn)生的背景

由于網(wǎng)絡(luò)的發(fā)展，公司員工在辦公中都要用到網(wǎng)絡(luò)，于此同時，老板就會考慮如何防止員工在上班期間做與工作無關(guān)的事，或者泄露公司機密。員工在上班時間做其他事概括如下；

一、獲取與工作無關(guān)的資訊活動，如瀏覽新聞、看小說、看圖片、收看收聽視頻和音頻等；

二、從互聯(lián)網(wǎng)下載與工作內(nèi)容無關(guān)的數(shù)據(jù)，如音樂、電影、程序及其他資料等；

三、從事獲取個人收益的活動，如網(wǎng)上購物、炒股、兼職、發(fā)布廣告等；

四、進行虛擬世界的溝通活動，如上網(wǎng)聊天、BBS論壇、撰寫博客、收發(fā)私人郵件等；

五、泄露公司機密

由于以上等情況的出現(xiàn)，會影響到員工工作效益和公司利益從而就需要一種能夠控制上網(wǎng)行為的設(shè)備，這時上網(wǎng)行為管理路由器就產(chǎn)生了。

上網(wǎng)行為管理路由器可以約束和規(guī)范企業(yè)員工的上網(wǎng)行為，提高工作效率，是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用，從這一點上來說上網(wǎng)行為管理是有益的，但絕不能將企業(yè)網(wǎng)絡(luò)所有管理問題都寄希望于上網(wǎng)行為管理，畢竟企業(yè)網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)安全和管理問題需要多種措施保障。

上網(wǎng)行為管理路由器是不錯的網(wǎng)絡(luò)管理設(shè)備，能夠?qū)崿F(xiàn)企業(yè)上網(wǎng)行為的管理和控制，企業(yè)網(wǎng)絡(luò)主要是服務(wù)企業(yè)業(yè)務(wù)經(jīng)營，與企業(yè)辦公無關(guān)的網(wǎng)絡(luò)應(yīng)用自然會影響員工工作效率，除了通過公司制度對網(wǎng)絡(luò)的使用范圍進行行政化規(guī)定，具備網(wǎng)絡(luò)行為管理功能的網(wǎng)絡(luò)設(shè)備自然能起到很好輔助效果，做到了不但有制度，而且還有措施。為了滿足企業(yè)各種需求，如具有審計監(jiān)控的功能，防止公司機密泄露；內(nèi)置強大的URL網(wǎng)址分類，網(wǎng)址黑名單，常見網(wǎng)址分類，網(wǎng)址訪問記錄，拒絕非業(yè)務(wù)站點等；關(guān)鍵字過濾網(wǎng)頁，SSL網(wǎng)頁識別與過濾，基于人工智能的網(wǎng)頁智能分析系統(tǒng)；QQ,飛信，MSN，skype，UC,TM等即時通信軟件限制；針對迅雷，BT，電驢，UUSEE,PPLIVE,QQLIVE,風(fēng)行，迅雷看看，PPS等P2P下載限制等各種功能，西默科技研發(fā)了西默上網(wǎng)行為管理路由器及上網(wǎng)行為管理設(shè)備，并應(yīng)用佛山天安塑料制品廠，新疆交通建設(shè)集團，未來大酒店，韶關(guān)市郵政局等等企業(yè)?，F(xiàn)在市場上提供具有上網(wǎng)行為管理功能的路由器相當(dāng)多，而穩(wěn)定性最好、上網(wǎng)完全、管理又全面的上網(wǎng)行為管理路由器則是西默科技研發(fā)生產(chǎn)的。雖然市面上的上網(wǎng)行為管理路由器說是有上網(wǎng)行為管理功能，但實際上實現(xiàn)不了或者有缺陷。西默上網(wǎng)行為管理技術(shù)實現(xiàn)方式是通過協(xié)議分析識別上網(wǎng)行為身份，進行特定協(xié)議的攔截，實現(xiàn)行為封鎖。西默上行為管理路由器的功能特性

分組分時段對用戶的上網(wǎng)進行管理，全面的提升員工的工作效率。根據(jù)實際情況優(yōu)化網(wǎng)絡(luò)流量，自動完成負(fù)載均衡。優(yōu)化各端口帶寬使用率。

豐富的報表功能，能共直觀清楚地進行管理。反ARP欺騙，智能查找到源頭立即封堵中毒電腦 記錄所有上網(wǎng)記錄，是管理者一目了然。支持4 WAN接入。

具有審計監(jiān)控的功能，防止公司機密泄露。

內(nèi)置強大的URL網(wǎng)址分類，網(wǎng)址黑名單，常見網(wǎng)址分類，網(wǎng)址訪問記錄，拒絕非業(yè)務(wù)站點等

關(guān)鍵字過濾網(wǎng)頁，SSL網(wǎng)頁識別與過濾，基于人工智能的網(wǎng)頁智能分析系統(tǒng) QQ,飛信，MSN，skype，UC,TM等即時通信軟件限制

企業(yè)是否使用上網(wǎng)行為管理要依據(jù)自己的具體情況，如果企業(yè)網(wǎng)絡(luò)穩(wěn)定，并且有網(wǎng)絡(luò)訪問行為控制的要求，那么使用上網(wǎng)行為管理路由器是合適的。如果企業(yè)網(wǎng)絡(luò)掉線、卡滯、速度慢，是不能通過上網(wǎng)行為管理解決的?，F(xiàn)在的企業(yè)希望上網(wǎng)行為管理功能不但能管理網(wǎng)絡(luò)訪問權(quán)限還能保證網(wǎng)絡(luò)穩(wěn)定，更有甚者，并沒有具體的企業(yè)網(wǎng)絡(luò)行為管理控制規(guī)劃，企業(yè)也沒有上網(wǎng)行為管理的實施條件，僅為了解決網(wǎng)速慢、上網(wǎng)卡等問題而使用上網(wǎng)行為管理路由器，是解決不了根本問題的，是錯誤的決定。希望各位在選用路由器的時候多了解，不要到頭來，投資了但沒有效益，最后還抱怨人家公司的產(chǎn)品是騙人的沒用。

第五篇：上網(wǎng)行為管理路由器的需求分析

上網(wǎng)行為管理路由器的需求分析 市場需求可行性

上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律，提高工作效率的工具，是行政管理的電子化輔助手段。上網(wǎng)行為管理路由器無疑對企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用，從這一點上來說使用上網(wǎng)行為管理路由器是有益的，但絕不能將企業(yè)網(wǎng)絡(luò)所有管理問題都寄希望于上網(wǎng)行為管理路由器，畢竟企業(yè)網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)安全和管理問題需要多種措施保障。

上網(wǎng)行為管理路由器是不錯的網(wǎng)絡(luò)管理手段，能滿足企業(yè)網(wǎng)絡(luò)行為控制的需求！企業(yè)網(wǎng)絡(luò)主要是服務(wù)企業(yè)業(yè)務(wù)經(jīng)營，與企業(yè)辦公無關(guān)的網(wǎng)絡(luò)應(yīng)用自然會影響員工工作效率，除了通過公司制度對網(wǎng)絡(luò)的使用范圍進行行政化規(guī)定，具備網(wǎng)絡(luò)行為管理功能的上網(wǎng)行為管理路由器自然能起到很好輔助效果，做到了不但有制度，而且還有措施。

為了滿足企業(yè)網(wǎng)絡(luò)使用中的網(wǎng)絡(luò)應(yīng)用管理問題，通過對上網(wǎng)行為管理路由器里進行不同分組上網(wǎng)行為管理設(shè)置，可以實現(xiàn)有的電腦能使用QQ等應(yīng)用（如老板、管理層）、而有的電腦是不能進行QQ訪問的（如財務(wù)部門、研發(fā)技術(shù)部門），還可以監(jiān)控查看QQ聊天記錄，郵件內(nèi)容等，對提高企業(yè)網(wǎng)絡(luò)信息化辦公效率，防止泄露公司機密起到了輔助效果。上網(wǎng)行為管理路由器的功能需求

1、WEB訪問控制

系統(tǒng)采用URL智能過濾算法，實時記錄用戶真實訪問的URL地址。外發(fā)信息以及郵件審計控制

對用戶在網(wǎng)頁上提交的HTTP表單地址以及內(nèi)容進行自動分類，記錄發(fā)件人、收件人、標(biāo)題、附件、大小等信息。地下瀏覽記錄

記錄用戶使用代理軟件所訪問的網(wǎng)站信息。

2、即時聊天監(jiān)控

支持目前主流聊天工具的監(jiān)控、記錄，包括MSN、QQ、YAHOO、ICQ、FITION等。郵件訪問控制

3、FTP/HTTP 傳輸審計

能夠記錄FTP登陸的賬號、密碼、服務(wù)器IP地址；記錄傳輸?shù)奈募臅r間、文件名稱、傳輸方向、大??；記錄HTTP下載文件名、時間、大小等信息。

4、P2P協(xié)議的監(jiān)控 記錄BT、eMule等P2P協(xié)議帶寬使用情況。

5、網(wǎng)絡(luò)游戲?qū)徲?/p>

記錄網(wǎng)絡(luò)游戲在線的開始時間、結(jié)束時間、游戲時間段等，可自定義網(wǎng)絡(luò)游戲的規(guī)則，相應(yīng)策略。

6、炒股軟件監(jiān)控

可對炒股軟件的使用情況進行記錄，并選擇阻斷或限制。

7、多WAN接入支持

支持多條Internet連接同時接入，實現(xiàn)帶寬復(fù)用，可以自動負(fù)載均衡或按不同的ISP分擔(dān)負(fù)載；支持線路回流，可在內(nèi)網(wǎng)搭建的服務(wù)器(web,ftp等)上支持多線路

8、網(wǎng)絡(luò)安全

Ddos攻擊防卸，ping包拒絕，ip/mac綁定，mac地址過濾，防火墻

9、VPN 支持PPTP，IPsec VPN

10、無線功能

局域網(wǎng)無線連接，WPS，WDS，無線MAC地址過濾