天御五行

　　目前网络协议分析类产品火爆的很，游侠（www.youxia.org）其实在几年前就在关注这个市场，目前应该说已经做的如火如荼，但是貌似依然有很多人对这类产品认识有偏差，简单说几句：
　　网络协议分析类产品基本上就是三类：

　　从功能上来说，网络协议分析类产品基本上要做到：WHO、WHEN、WHERE、WHAT。不明白？看图就明白了：

　　1、行为管理
　　上网行为管理大家应该不陌生了，功能上来说：按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理，现在某些厂家大力推广其“千万级”URL分类库，相当有派头。
　　应用场景：
　　游侠是某公司网络管理员，某日BOSS说：N多人上班时间炒股票、玩游戏，200人每天浪费1小时就是200小时啊！我给他们发工资，这都是我的血汗，立刻把这些干掉！于是，于是……于是我只能祭出网络行为管理产品，让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容！
　　上网行为管理产品的难度也就在于URL分类库，即使是上面说到的千万级（可都是中文呢！）URL分类库，也经常有问题，如某误分类等。游侠在测试某上网行为管理产品的时候，发现我的www.youxia.org是属于“生活类”网站。
　　典型产品：网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行（本处只是随手举例，和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚，自家产品放在最后，有意者可以和游侠本人联系）
　　2、流量控制
　　流量控制产品在企业中也是需求非常多的，特别运营商、大学、大型企业，你在10M光纤的时候，上网很卡，升级到100M，发现快了十天半月之后又是很卡！于是BOSS开始发飙：网关！你丫花老子钱，一年十几万，为何比10M的时候快了一点点？！给哥解释！神啊，最见不得BOSS发飙了……
　　为什么10M到100M速率上×10，但是实际用的时候只感觉×2呢？——因为10M的时候他在土豆网掘土豆卡，100M的时候不卡了，并且普清换高清了；因为以前在单位下电影只有100K，在家下电影120K，他都在家下电影，现在公司100M，所以都在公司下周了；因为……啥？为何有十天半月的“蜜月期”？因为那些电影狂人还没买来新的1TB的超大移动硬盘！
　　网络流量控制难点在于应用协议分析，请注意我这里说的是“应用协议”分析，而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议，而不是网络协议。并且这些都在一直变换、升级，如迅雷就有完整版、mini版、WEB迅雷等版本，都需要控制，并且会不定时更新。
　　典型产品：Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
　　3、协议审计
　　这里说的协议是彻底的网络协议，如：HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢？当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制，仅要求审计。但……
　　大家知道，对于航空、航天、兵器、政府能纯内网而言，FTP等也是相当重要的部分，很多场景下需要对文件服务器操作进行审计，那么就需要FTP协议的审计；内网ARP病毒泛滥的时候，ARP协议审计就派上了用场！分级、等级保护等要求对邮件流向做控制，那就需要对SMTP、POP3协议做审计……
　　还有一些是比较偏门的，如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器，那么需要对SSH操作进行审计——什么？SSH加密？目前通过Cain就可以抓到SSH v1的内容，当然SSH v2还是比较保险的，但是如果需要操作审计，也是有办法进行审计的。另外管理员通过telnet管理交换机，也可以进行审计。
　　典型产品：启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
　　其实目前很多产品都是综合型的，有些产品覆盖了上述1、2、3的所有部分功能，有的则是术业有专攻，大家可以根据自己的需求进行选择。另外请大家谨记：记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为（注意我用的是“监控”而不是“审计”）是与我国法律相悖的。
　　补充一下：
　　有些产品现在往往只注重一个功能，衍生出了产品，如：发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品，软件产品没有分析。
　　版权声明：张百川（网路游侠）http://www.youxia.org
　　信息与网络安全从业者QQ群：53651293，可容纳500名专业网安从业者的超级QQ群欢迎您的加入！