越來(lái)越多的企業(yè)選擇部署上網(wǎng)行為管理系統(tǒng),提供解決方案的廠商也有了很多。但是可惜的是,大多用戶(hù)在對(duì)產(chǎn)品的選型上經(jīng)常存在誤區(qū),或者經(jīng)常被廠商的技術(shù)所迷惑,沒(méi)有從實(shí)際的需求出發(fā)。這里,我們著重分析三個(gè)普遍存在的誤區(qū)。
誤區(qū)一:URL庫(kù)是萬(wàn)能的
為了體現(xiàn)實(shí)力,很多廠商都急于向用戶(hù)表明其URL庫(kù)的強(qiáng)大,例如幾百萬(wàn)級(jí)、甚至幾千萬(wàn)級(jí)的URL庫(kù)等。然而,對(duì)于企業(yè)而言,強(qiáng)大的URL庫(kù)是必須的嗎,真的能為企業(yè)帶來(lái)價(jià)值嗎?
答案是否定的。我們可以從幾個(gè)方面說(shuō)明。
首先,數(shù)據(jù)庫(kù)的搜集是一項(xiàng)很耗時(shí)間和精力的工作。廠商為了跟上不斷調(diào)整變化的環(huán)境,必須投入大量的人力、物力和時(shí)間在數(shù)據(jù)的維護(hù)和更新上。而這些成本,最后必將轉(zhuǎn)嫁到客戶(hù)身上。我們可以看到,大多廠商的URL庫(kù)不是免費(fèi)的?蛻(hù)為了保持?jǐn)?shù)據(jù)庫(kù)的更新,需要不斷的從廠商購(gòu)買(mǎi)升級(jí)系統(tǒng)。一旦停止了更新,那么這個(gè)強(qiáng)大的數(shù)據(jù)庫(kù)也就成了一個(gè)過(guò)時(shí)的擺設(shè)。
其次,互聯(lián)網(wǎng)的發(fā)展是非常的快速的,每天互聯(lián)網(wǎng)上都會(huì)涌現(xiàn)出成千上萬(wàn)的網(wǎng)站,包括各類(lèi)門(mén)戶(hù)網(wǎng)站、博客和論壇等。這就導(dǎo)致URL庫(kù)的更新往往落后于網(wǎng)站出現(xiàn)的速度,無(wú)論廠商組織多大規(guī)模的團(tuán)隊(duì)去進(jìn)行URL的資料收集,也幾乎不可能跟得上網(wǎng)頁(yè)的增加速度。
再次,一個(gè)非常普遍的技術(shù)問(wèn)題,URL庫(kù)不能過(guò)濾搜索引擎搜索出的網(wǎng)頁(yè)。作為互聯(lián)網(wǎng)最方便的工具,搜索引擎的應(yīng)用非常的頻繁,在一個(gè)企業(yè)的應(yīng)用策略中是不會(huì)也不能屏蔽搜索引擎網(wǎng)站。然而,如百度、Google等搜索網(wǎng)站都有網(wǎng)頁(yè)快照功能。如果一個(gè)員工想知道股票的走勢(shì)圖,他根本不需要直接去訪問(wèn)證券公司的網(wǎng)站,在百度、Google里搜索上市公司名稱(chēng)或股票代碼,搜索的第一個(gè)結(jié)果就是股票走勢(shì)圖。隨著搜索引擎技術(shù)的發(fā)展,搜索網(wǎng)站的功能會(huì)越來(lái)越強(qiáng)大。也許某一天,我們查找信息只需要登錄搜索網(wǎng)站了,這時(shí)恐怕只有把百度、Google等都列入黑名單,才能做到有效的屏蔽。
最后,URL庫(kù)不能解決加密URL(即HTTPS)的問(wèn)題。HTTPS是一種更安全的傳輸協(xié)議,它應(yīng)用了Netscape的完全套接字層(SSL)作為HTTP應(yīng)用層的子層。SSL使用40位關(guān)鍵字作為RC4流加密算法,這對(duì)于商業(yè)信息的加密是合適的。
早先,HTTPS應(yīng)用于網(wǎng)上銀行、電子商務(wù)等安全需求較高的網(wǎng)站,以保障數(shù)據(jù)傳輸?shù)陌踩。為了阻止被屏蔽,很多受限的色情、反?dòng)類(lèi)網(wǎng)站也紛紛升級(jí)成HTTPS。這種情況下,即使再?gòu)?qiáng)的URL庫(kù),也只有無(wú)奈。因?yàn)橐坏⿲TTPS協(xié)議封堵,會(huì)影響很多網(wǎng)上銀行、網(wǎng)上營(yíng)業(yè)廳(如中國(guó)移動(dòng))等正常的HTTPS應(yīng)用。而不封堵,許多加密的非正常網(wǎng)站就不能過(guò)濾。
另外,很多廠商目前所謂的千萬(wàn)條的URL庫(kù),多數(shù)從國(guó)外的專(zhuān)業(yè)廠商購(gòu)買(mǎi),這些購(gòu)買(mǎi)的數(shù)據(jù)庫(kù)并不見(jiàn)得就是適合中國(guó)國(guó)情。
由上面幾點(diǎn)可見(jiàn),對(duì)于一個(gè)企業(yè)而言,URL庫(kù)并不是萬(wàn)能,也并不是最有效的,URL庫(kù)僅僅解決了一些網(wǎng)站訪問(wèn)問(wèn)題。企業(yè)真正需要的,如何有效地保證關(guān)鍵業(yè)務(wù)的流暢,如何提升企業(yè)的效率,不是一個(gè)URL庫(kù)就能達(dá)到目標(biāo)。
誤區(qū)二:P2P識(shí)別率能到99%
P2P以其獨(dú)特的技術(shù)優(yōu)勢(shì)已經(jīng)得到了迅速發(fā)展,應(yīng)用也不斷增長(zhǎng)。據(jù)不完全統(tǒng)計(jì),P2P應(yīng)用占運(yùn)營(yíng)商帶寬總量的60%~80%,已經(jīng)成為網(wǎng)絡(luò)帶寬最大的消費(fèi)者。但是,絕大多數(shù)的P2P應(yīng)用都是集中在下載、視頻、文件共享交換上,這些應(yīng)用都在大規(guī)模地蠶食著帶寬。對(duì)于一個(gè)企業(yè)來(lái)說(shuō),其帶寬是有限的,非正常的應(yīng)用占據(jù)太多,正常的業(yè)務(wù)就得不到保障。
于是,人們意識(shí)到越來(lái)越有必要對(duì)P2P流量和行為進(jìn)行深入的研究分析,為監(jiān)控與管理P2P提供支持。P2P的識(shí)別技術(shù)應(yīng)運(yùn)而生,識(shí)別率也就成了許多產(chǎn)品的賣(mài)點(diǎn)。諸多廠商都在宣稱(chēng)其P2P的識(shí)別率能達(dá)到99%,并以此作為標(biāo)準(zhǔn)。事實(shí)上,且不說(shuō)這99%是否真的能達(dá)到,即使達(dá)到了也并不一定能為客戶(hù)帶來(lái)實(shí)際價(jià)值。
典型的P2P識(shí)別技術(shù),一般有下面的三種:
1.端口識(shí)別
早期的P2P應(yīng)用大多數(shù)使用固定端口,在此情況下對(duì)其識(shí)別方式與識(shí)別普通應(yīng)用的方式完全相同。檢查報(bào)文分組的傳輸信息,如果端口號(hào)與某些特定的端口號(hào)匹配,則該報(bào)文即為P2P流量分組,可以按照預(yù)設(shè)的動(dòng)作對(duì)其進(jìn)行處理。這種方式在P2P應(yīng)用使用動(dòng)態(tài)端口后已不再適用,目前只是個(gè)輔助的方法。
2.特征識(shí)別
當(dāng)許多P2P應(yīng)用使用隨機(jī)端口(有些甚至使用HTTP,SMTP等一些常見(jiàn)端口)來(lái)掩蓋其存在,識(shí)別難度也就增加了。因此,人們提出了通過(guò)檢查分組內(nèi)部攜帶的負(fù)載信息進(jìn)行分組識(shí)別的方法。即對(duì)常見(jiàn)的P2P協(xié)議的特征進(jìn)行分析,提取特征信息,根據(jù)特征信息對(duì)報(bào)文進(jìn)行模式匹配對(duì)比,從而判斷出該報(bào)文是否屬于某一類(lèi)P2P應(yīng)用。
這一方法是目前最主要的方式,但是只能針對(duì)已知數(shù)據(jù)格式的P2P應(yīng)用進(jìn)行識(shí)別,而且由于需要對(duì)分組內(nèi)部數(shù)據(jù)進(jìn)行全面的檢查分析,實(shí)現(xiàn)效率較低。另外,一些P2P應(yīng)用開(kāi)始以密文方式進(jìn)行數(shù)據(jù)傳輸,面對(duì)這種情況用戶(hù)特征識(shí)別方式則完全無(wú)能為力。
3.連接模式識(shí)別
基于觀察源和目的IP地址的連接模式,可以發(fā)現(xiàn)一些模式是P2P所獨(dú)有的,由此可以將P2P流量識(shí)別出來(lái)。大約2/3的P2P協(xié)議同時(shí)使用TCP和UDP協(xié)議,而其他應(yīng)用中同時(shí)使用兩種協(xié)議的僅僅包括NetBIOS、視頻等少數(shù)應(yīng)用。另外,當(dāng)某一P2P主機(jī)和其它主機(jī)建立連接時(shí),對(duì)端口而言,與其建立連接的IP地址數(shù)目就等于與其建立連接的不同端口數(shù)目。對(duì)這兩種特殊模式的掃描追蹤,就能識(shí)別出P2P應(yīng)用。
相對(duì)于端口識(shí)別和特征識(shí)別,連接模式的識(shí)別需要做更多的分析。只有在系統(tǒng)收集到了足夠的數(shù)據(jù),經(jīng)過(guò)了很長(zhǎng)時(shí)間的智能模型建立,才能非常有效的進(jìn)行識(shí)別。
以上就是三種目前比較主流的P2P識(shí)別方式,此外還有些其它的如流量模式識(shí)別、IP組合識(shí)別等方式。但不管哪種方式,其核心思想都是對(duì)現(xiàn)有的P2P協(xié)議進(jìn)行分析和對(duì)比。相對(duì)于URL庫(kù),P2P協(xié)議的變化和更新是比較慢的。即使這樣,想把識(shí)別率做到99%也是不可能,因?yàn)閰f(xié)議本身就有許多是不可分析,更何況一直是在變化的。所以說(shuō),99%這樣的說(shuō)法,只能算是個(gè)口號(hào)。
誤區(qū)三:流量封堵
談到流量封堵,很多廠商都在上網(wǎng)行為管理中加入了流量控制模塊。該模塊最明顯的應(yīng)用主要是從限速、禁用的角度出發(fā),針對(duì)個(gè)人、部門(mén)進(jìn)行主動(dòng)管控。初看之下,這是個(gè)很好的方式,可以對(duì)員工的上網(wǎng)行為進(jìn)行有效的截止。
讓我們回到需求者的角度。不是所有的應(yīng)用單位都希望采取這種強(qiáng)制控制的手段,要知道隨著不同部門(mén)、不同級(jí)別、不同時(shí)間,以及工作性質(zhì)的區(qū)別,應(yīng)用到每個(gè)時(shí)間段的對(duì)象都各不相同。在此,需要考慮的是一整套切合該單位的策略規(guī)則如何設(shè)定;如果不細(xì)化策略,是否能滿(mǎn)足全體員工的合理分配需求;當(dāng)企業(yè)單位發(fā)生人事變遷時(shí),策略調(diào)整又該如何進(jìn)行?
除此之外,非關(guān)鍵業(yè)務(wù)部門(mén)的臨時(shí)應(yīng)急需求得不到IT管理上的急時(shí)響應(yīng),如在急需處理過(guò)大的圖文信息傳輸時(shí),無(wú)法隨時(shí)獲取空閑帶寬資源,只能在局限的流量狀態(tài)下空等。不僅占用了接收雙方的時(shí)間,也浪費(fèi)了企業(yè)現(xiàn)有的資源。
真正的流控手段,應(yīng)該是基于關(guān)鍵業(yè)務(wù)的保障,并能夠按需靈活分配帶寬資源,把企業(yè)在管理和效能上的應(yīng)用價(jià)值提升上去。