这里说的大型局域网是500-1000台局域网环境,一般是一栋楼,厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络,多了防火墙,核心交换机,不同需求的服务器。这里就不一一赘述,这里重点介绍大局域网的上网行为管理方案。大网环境数据量大,各种协议走的很复杂。很多网安厂家把第二代防火墙的概念
(Next Generation Firewall)包括了上网行为管理概念,专业的上网行为管理是无法被代替的。协议分析,应用层解析,上网日志记录,审计等模块需要大量的运算,后期需要专业的研发团队维护升级。所以不应该被防火墙,杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化,网络协议一年又一年的更新,应用协议天天有新出,移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开,有的时候甚至点开一个不安全的网站会导致病毒入侵,所以内网管控不仅仅是上网效率提高,还有上网行为管控,网址库,协议库过滤,才会让局域网上网内网安全兼得。
1,专业上网行为管理,一个千万级的网址库是起步。过滤掉一些恶意网址,网络的安全基数会有一个质的提高。
2.IP和MAC绑定,这个功能看似平常,入门级的企业路由都能做到,但是能做到位的,却少之又少。到位的IP和MAC绑定肯定要基于一个全面的上网分析系统上。
比如,在多网段的情况下能不能做到IP和MAC绑定,在比如,在绑定列表以外的IP并不能禁止,那么就会造成,就算做了IP和MAC绑定,终端很容易绕过,这样绑定基本们没有任何意义。在比如,高端核心交换机的IP和MAC绑定操作及其复杂,后期维护非常繁琐。而WSG全方位上网行为管理网关,这三项都完美解决。(PS:IP和MAC绑定可以物理隔绝私接无线路由)
3.用户认证模块,这个模块中型局域网也可用到,但是大型局域网必要性更强,大局域网,人员流动大,终端也比较分散。有的员工今天在A区,明天就会到B区,有的员工
新到,有的员工刚走。如果用IP和MAC绑定来登记,势必会增加网管太多繁冗的工作量,但是给每个员工配备一个上网账号,不管这个员工流动到哪里,不管什么时候有新人进来,一个账号对一个人,根据上网账号分配上网策略记录上网内容,则更加以人为本了。(这个模块兼容了专业认证服务器)
4.运营模块,这个模块在国外的大型工厂,综合型局域网用的很多,国内也越来越有趋势。
5.大局域网的大报表模块,上网终端多,流量复杂,管理一层一层,那么一张简洁明了的报表是非常必要的,帮助HR读懂员工上网状态,协助IT经理分析流量报告必不可少的数据来源。
大型局域网配置复杂,人员众多,各种伺服器,网络设备也是错综复杂,配置一台专业上网行为管理网关总能让您化繁为简,轻松把控网络全局。
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1979976,如需转载请自行联系原作者
