大型區域網一步到位的網路管理方案

這裡說的大型區域網是500-1000臺區域網環境，一般是一棟樓，廠房或者學校。大型區域網的組網方案已經非常成熟了。大網路，多了防火牆，核心交換機，不同需求的伺服器。這裡就不一一贅述，這裡重點介紹大區域網的上網行為管理方案。大網環境資料量大，各種協議走的很複雜。很多網安廠家把第二代防火牆的概念

（Next Generation Firewall）包括了上網行為管理概念，專業的上網行為管理是無法被代替的。協議分析，應用層解析，上網日誌記錄，審計等模組需要大量的運算，後期需要專業的研發團隊維護升級。所以不應該被防火牆，防毒的概念混亂。上網方式這三十年發生了天翻地覆的變化，網路協議一年又一年的更新，應用協議天天有新出，移動上網方式的應用都已經變成日常行為了。各種病毒方式已經不像原始方式檔案開啟，有的時候甚至點開一個不安全的網站會導致病毒入侵，所以內網管控不僅僅是上網效率提高，還有上網行為管控，網址庫，協議庫過濾，才會讓區域網上網內網安全兼得。

1，專業上網行為管理，一個千萬級的網址庫是起步。過濾掉一些惡意網址，網路的安全基數會有一個質的提高。

2.IP和MAC繫結，這個功能看似平常，入門級的企業路由都能做到，但是能做到位的，卻少之又少。到位的IP和MAC繫結肯定要基於一個全面的上網分析系統上。

  比如，在多網段的情況下能不能做到IP和MAC繫結，在比如，在繫結列表以外的IP並不能禁止，那麼就會造成，就算做了IP和MAC繫結，終端很容易繞過，這樣繫結基本們沒有任何意義。在比如，高階核心交換機的IP和MAC繫結操作及其複雜，後期維護非常繁瑣。而WSG全方位上網行為管理閘道器，這三項都完美解決。（PS:IP和MAC繫結可以物理隔絕私接無線路由）

3.使用者認證模組，這個模組中型區域網也可用到，但是大型區域網必要性更強，大區域網，人員流動大，終端也比較分散。有的員工今天在A區，明天就會到B區，有的員工

  新到，有的員工剛走。如果用IP和MAC繫結來登記，勢必會增加網管太多繁冗的工作量，但是給每個員工配備一個上網賬號，不管這個員工流動到哪裡，不管什麼時候有新人進來，一個賬號對一個人，根據上網賬號分配上網策略記錄上網內容，則更加以人為本了。（這個模組相容了專業認證伺服器）

 

4.運營模組，這個模組在國外的大型工廠，綜合型區域網用的很多，國內也越來越有趨勢。

5.大區域網的大報表模組，上網終端多，流量複雜，管理一層一層，那麼一張簡潔明瞭的報表是非常必要的，幫助HR讀懂員工上網狀態，協助IT經理分析流量報告必不可少的資料來源。

 

大型區域網配置複雜，人員眾多，各種伺服器，網路裝置也是錯綜複雜，配置一臺專業上網行為管理閘道器總能讓您化繁為簡，輕鬆把控網路全域性。

本文轉自 笨小驢 51CTO部落格，原文連結：http://blog.51cto.com/12800391/1979976，如需轉載請自行聯絡原作者