最近有人老是抱怨他们公司网络有些问题，上网卡、总掉线，想买个上网行为管理系统解决内网安全问题。这样的人在我身边还很多，但是我想说的是这些有些一厢情愿了！

    部署封BT、P2P下载、限制一些访问等的上网行为管理工具，是从应用上而不是本质上解决问题的。企图依靠对上网行为的管理净化网络环境、应付网络病毒攻击，这是一厢情愿的想法。

    上网行为管理没有提供针对网络设施本身的任何安全措施，它无法从网络底层解决网络问题，不能加固网络以提高安全性、可靠性。就像道路交通管理一样，为了防止事故造成拥堵，上网行为管理采取的是限制车辆上路，而不是通过红绿灯调控、交警现场指挥、架设立交桥疏导的方式来解决问题。

    一、上网行为管理的应用价值

    我们知道上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。。这些问题其实是一个职业素质的基本问题，但企业管理者由于各种原因，对此经常无可奈何。上网行为管理正是迎合了这个需要，以电子化手段进行铁面无私的管理，行政措施得以有效的贯彻。

应该明确的是，上网行为管理产品不是组网安全设备，而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具，是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用，从这一点上来说上网行为管理的应用对企业是有益的。在提倡三分技术、七分管理的情况下，正是由于行政管理上的不到位，对员工的上网行为管理没有有效的控制。那么就促进了上网行为管理设备的发展，这类设备生产厂家、公司在大力倡导企业上网行为管理的背后下是高利润的驱使。我们在从技术上分析下，这类设备真的物有所值么？

    二、上网行为管理的技术实现

    上网行为管理的技术实现大概分为几个部分：IP分组管理、特定应用封锁、行为审计、行为记录等。

    IP分组管理是实现上网行为管理的基础，对于每个特定的分组分配不同的上网权限，对各种不同部门、不同业务、不同人员的上网行为管理进行要求，这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。

    特定应用封锁技术包括静态过滤、协议型封锁二种模式。

    静态过滤是通过封锁特定应用的网络服务器IP和端口，达到应用无法连接到服务器的目的，实现行为封锁的一种方式。这种功能其实在路由器中早就存在，它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来，预制进产品中，通过一个在界面上的名字表达这个功能。这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，再一条一条地在路由器上配置保存，这大大提高了产品的易用性。

    而协议型封锁是通过对要封锁的协议进行分析，识别上网行为身份，进行对该协议的拦截，实现行为封锁的一种方式。这是编制在产品的执行程序中的，用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。

    当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。

    如果使用简单的静态过滤方式，而不是协议型封锁来实现上网行为管理，功能虽然提供了，而效果是不能令人满意的。遗憾的是，很多上网行为管理路由器就是这么做的。

(责任编辑：adminadmin2008)