青莲网络行为管理与审计系统部署分析

解析应用结构，优化网络效能
青莲网络行为管理与审计系统部署分析

IT系统已经成为国家、企业运行的重要手段，人们的工作、学习、生活都已经和网络、特别是互联网紧密关联。 各种网络应用，给人们提供便捷沟通、娱乐、学习机会、甚至工作场所。网络因为应用的推动，也变得越来越复杂，管理难度空前提高。

仔细解析各种网络应用，我们可以发现互联网络应用已经较之几年前，有着本质的变化：应用从早期、简单的文件共享、传输（FTP）、静态网页（HTML）以及Telnet等静态的、简单、小规模的应用，逐步发展到包括E-Mail、ERP、OA、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务等动态的、大规模的、复杂的应用，网络中承载的内容变得日益复杂、多样化和更加丰富；加之网络用户的多样性，使得网络在满足包括教育学习、工作、娱乐等等不同目的的同时，对网络本身及用户的管理难度也急剧增加——网络的自由本质，导致了各种威胁的原罪，组织的网络资源得不到有效、合理的应用和控制，并引发了一系列的安全、生产力和法律问题。

人们在可以在互联网环境下，自由的进行各种活动：娱乐、学习、购物、工作；与工作有关的、与工作无关的；占用资源多的、占用资源少的；关键的应用、非关键的应用；领导的应用、普通员工的应用等等。这些应用都在相同的授权平台下，“公平”的没有“优先级”和“限制”的同时展开，而且都是在“盲区”内进行，没有任何记录可查询，不需要承当任何责任和成本。

网络管理人员这时候非常需要一款能够提供“网络可视性”的管理工具！不仅仅能够提供各种UDP封包应用的“可视”，而且能够切实的对各种应用进行“策略化的管理”。所谓可视化，要求管理人员能够“看到”在网络里的各种应用、时间、地点（IP/MAC）、人员、资源占用，甚至具体的应用行为的内容。 管理人员拥有的可视性工具，才有可能对各种应用进行必要的跟踪分析，从而确定该应用是否“必须”或者“关键”，为“优化网络”提供基本的素材基础。而“策略化的管理”，则是要求管理工具能够提供根据不同人、设备、应用、时间，提供“资源占用限制、允许、禁止、记录”等等各种管理手段。从而达到优化网络应用、提升生产效率的最终目的。

目前，有许多网络（安全）设备，都可以提供基于应用层管理的功能，但最专业的还是国内企业级市场比较推崇的网络行为管理与审计类产品。 青莲网络行为管理与审计系统AOS（Application Optimization System，应用优化系统）就是其中的一个典型设备。 青莲AOS是一款真正的纯硬件设备，它是目前国内市场能见到的少数几个基于RISC多核处理器平台的网络（安全）产品之一，也是应用管理类目前唯一的基于多核处理器平、平行计算的产品。硬件平台的优越性，决定青莲AOS的软件功能具有非常稳定的系统可靠性、有效的系统功能可扩展性-----多核处理器多达16核的处理器，能够轻松的整合包括上网行为管理控制、网络审计、流量控制、应用分析、安全路由、防火墙、防DOS攻击、ARP防护等等，甚至可以整合关键字过滤（正则）、嵌入病毒引擎等系统高资源消耗类应用。

青莲AOS可以进行网关、透明桥、旁路镜像等多种方式进行部署。

(1) 网关型部署方式。能够实现的功能最为全面，这时将青莲AOS当着一台路由设备（防火墙），可以提供包括NAT\DHCE\DDNS\RIP\UPnP等网络协议服务，并提供多线路负载均衡、防DOS攻击、ARP防护、IP/MAC绑定、防火墙、IPsecVPN、流量管理、URL过滤、高层应用管理(访问控制)、网络行为记录、审计分析、流量分析、网络行为分析等等功能。

(2) 而透明方式，则不能实现一些路由功能、防火墙、防DOS攻击、ARP防护、VPN等功能，但透明方式有独特的优势是能够真正实现Bypass功能，在硬件和软件出现重大问题时，能够提供“短接”机制，保证网络连接服务不断；

(3) 而镜像方式则主要是审计记录与分析功能，控制管理功能非常的弱。但旁路方式最大的优势是对网络环境基本上没有影响，对设备的性能要求最低，而且不影响网络速度。

有关部署方式的比较如下：

网络行为管理与审计系统的部署，一般有以下几个步骤（以青莲AOS的部署应用为例）：

一、 根据网络环境和功能需求，确定设备部署方式。

如果用户需要启用AOS的多线路负载均衡、安全路由等功能，就必须采用网关部署方式；但如果用户环境比较完善，已经有了独立的路由与防火墙等网关类设备，建议采用透明方式来安装，可以实现全部的网络访问控制、流量管理、审计记录、行为分析等等各种实用的功能； 如果用户环境非常的复杂并且庞大，网络中拥有功能强大的核心路由（核心交换）设备，那么可能无需青莲AOS来承当有关访问控制与网络的功能，这时候，比较适合镜像方式，提供最详细的审计记录与行为分析功能，做好最专业的事情是最可取的。

二、 根据网络中的用户类别，做好用户导入工作。

网络行为管理与审计的对象是网络中的用户，我们需要将合法的用户，划分不同的类别（部门）导入青莲AOS系统中去，可以根据IP\MAC\PORTAL(用户名密码)等方式，与具体的部门、姓名等进行关联导入，这样在接下来的应用策略关联应用时，就更有显示意义。用户导入，是青莲AOS提供访问控制、审计记录、行为分析的基础。

三、 根据不同的用户类别，设计不同的应用管理策略并加以应用。

在网络行为管理与审计系统的部署应用过程中，最需要仔细斟酌的就是策略的定义与应用。策略包括几种：

（1） 上网策略。我们需要确定哪些用户是不能上网的，哪些是能上网的，能上网的是什么时间段能上网；在网关部署下，我们可以选择多线路的出口策略，是主备模式还是采取均衡模式；对于DOS攻击采取什么样子的限制；如果对ARP攻击进行限制等等。这些基本的上网策略，是进行策略定义最初时，就需要确定下来的。

（2） 访问控制策略（禁止策略）。 访问控制策略，是青莲AOS的核心功能之一。我们在这里需要确定多种访问控制策略，以应用于不同的部门用户。这些访问控制策略包括：600万条URL分类过滤、WEB邮件发送接受权限（包括163、263、SINA、GMAIL、IMAIL等等几
十种WEB邮件）、P2P下载（包括迅雷\电驴\BT等多种多线程下载）、多媒体（包括PPLIVE\USEE\STREAM\WEB视频等十余种应用）、几十多种常见游戏、几十种常见炒股软件、几十种常见VOIP系统、几十种常见IM应用，还包括URL关键字过滤等。

（3） 流量控制策略（限制策略）。对于一些应用或者个人，不能完全禁止，而采用“限制”的策略，青莲AOS可以按照部门（用户）、应用等来进行带宽优先级与带宽划分。保证应用（用户）相互间不占用资源，做到各有所取。流量控制策略是一种个性化的访问限制策略。

（4） 审计记录策略（允许并审计策略）。对于大部分应用和用户，我们对其网络行为不加以管理和限制。可是我们需要对网络进行必要的审计记录，以方便对网络应用进行合理的评估，也能为各种网络事件提供事后审计依据。审计记录全面的记录所有的WEB访问、FTP、远程访问、电子邮件、游戏、VOIP等等各种网络行为；特别是对外发的电子邮件、传输文件、POST内容、FTP上传等等内容做细化的记录

做好以上三步，基本上一套网络行为管理与审计系统已经正常的应用起来了。但更为重要的事情是在部署应用后，网络管理员们需要通过青莲AOS提供的网络行为分析工具、流量分析工具，应用分析工具等总和的分析网络的应用特点、用户行为特点，从而不断的修正网络管理控制策略，达到网络优化的目的。