上网行为管理市场大摸底

日期: 2008-10-19 作者:深信服 来源:TechTarget中国

  现在很多厂商都在提供上网行为管理产品,作为一个新兴的市场,对于什么是“真正的上网行为管理”,各方观点不一。其中不乏一些厂商出于市场行为,向用户灌输一些有倾向性的理论,以误导客户的购买。

  为了帮助用户“擦亮双眼”,买到真正的、好用的上网行为管理产品,我们特地对华北、华东、华南、华中四个地区的九位上网行为管理用户进行了调查,希望能够给大家提供一些真实、可靠的一手信息。

  华北

  在华北地区,我们调查了北京、河北的三家用户,都是政府或大型国有企业。

  客户A:

  背景:北京某区教育信息中心,是全区教育城域网的总出口,包括全区的中、小、职成、幼、直属单位数百所。网络峰值为450Mbps,高峰期有近3万人同时在线。

  购买经历:据该项目负责人介绍,为了给本区的教育系统缔造健康向上的网络环境,并对网络流量进行控制,该单位在08年购买了一款上网行为管理产品。

  其实早在07年他们就曾经考虑过购买流量管理产品,但由于无法实现网站过滤功能,该项目最后没有做。08年寒假过后,他们开始联系上网行为管理厂商进行产品选型,最后锁定了两家国内产品,因为从网站过滤功能来看,国内产品的本地化数据库做得相对好一些。

  在随后的测试中,一家厂商提供的产品出现了宕机,在更换了其最高端产品后依然没有解决该问题;而另一家深圳厂商提供的高端产品运行稳定,在峰值时CPU的占有率虽然有明显提高,但处理的速率没有太大影响,还比较让人满意。

  客户B:

  背景:国资委下属大型电力企业,办公网人数3000人左右。部署有防火墙、IDS和企业版杀毒软件等多种安全产品。

  购买经历:整个购买过程比较简单,也没有进行过对比测试。主要看重的功能是防泄密和审计,因为电力企业涉及国计民生,对敏感信息的管控要求较高,而且单位内网人数多,需要对上网的行为进行过滤,例如发邮件、网络发帖等等。

  当时比较了几家产品,国内外的都有,从功能上来看基本都能满足他们的要求。正巧当时(2007年)内网爆发了ARP病毒,其中的一款产品支持防ARP欺骗功能,就买了这款产品。使用了近一年,整体使用效果很好,就是网管感觉操作界面有点复杂,希望厂商对UI进行进一步优化。

  客户C:

  唐山:某钢铁企业,内网人数1400人左右。

  购买经历:该企业的IT规划主要是由北京一家系统集成商来做的。06年企业进行网络升级,当时集成商推荐了一款国外的上网行为管理产品(当时应该叫网络代理服务器),可以对HTTP进行过滤,还能封堵一些网络软件,就直接购买了。

  使用了两年,感觉在网站过滤方面的技术比较强,还有一些网络加速的功能。不过对软件的封堵差强人意,一些国内经常使用的QQ、迅雷很难封堵,对流量的控制能力也不是很好。

  华东:

  在华东地区,我们分别挑选了上海和浙江的两家知名客户,一家是总部在美国的外资公司,另一家是国内知名的制造业上市公司。

  客户A:

  北京:上海浦东,某500强企业在中国的总部。内网人数800人,使用的网络和安全产品都是美国总部指定的,都是国外产品。
购买经历:该公司在07年下半年采购了一款软件的上网行为管理产品,主要是相应总部要求,对员工在上班时间的网络访问进行管理,避免网上冲浪、聊天占用太多的工作时间,造成工作效率下降。

  据公司的IT人员反映,这款软件产品的稳定性较好,功能也比较齐全,尤其是对于网站的分类很科学,界面也比较友好。不满意的一点是产品的数据库存在本地化问题,对于一些中国人经常访问的网站和应用不能很好的过滤,不少中文网站的URL还是管理员自己手动添加进去的,比较麻烦。

  客户B:

  背景:上市集团公司,中国500强企业,杭州总部的内网人数1800人左右。

  购买经历:由于是上市公司,集团内部对信息管控的要求很高,对上网行为管理的主要需求是内部的防泄密和审计;此外,集团的另一个重要需求就是要产品支持旁路审计。目前,其主干网络上已部署有防火墙和硬件防毒墙,由于上网行为管理产品主要是针对7层的过滤,在主干上部署上网行为管理产品可能会影响网络速度,并会增加单点故障的发生几率。虽然旁路可能无法实现一些封堵功能,但对于该集团的审计要求来说,旁路产品基本都可以实现。

  该集团最终购买了一台可支持旁路审计的上网行为管理硬件,且该产品支持独立的日志中心,也就是管理员可以在内网的其他服务器上安装日志库,内网产生的日志不需要占用上网行为管理产品的硬盘空间。这样一方面不影响设备的处理性能,还可以对硬盘随时升级,使用起来很方便。

  华中:

  在华中地区,我们挑选了湖北、湖南的两个代表性企业。随着中部地区经济的迅速发展,有很多用户都在考虑部署相关的网络管理产品。

  客户A:

  背景:某电信运营商在武汉的分公司,正式职工的上网已经通过技术手段进行限制。需要对一些外包的人员(主要是提供工作时间外的客户服务)进行上网管理。

  购买经历:这家电信公司的要求比较单一,就是对外包人员的上网进行过滤,避免他们(她们)在上班时间在网上聊天、访问和业务无关的网站、看网络视频等。

  在07年3月,该公司就直接通过负责集成的子公司购买了一台上网行为管理产品,但经过一段时间的使用后,发现该产品对QQ无法实现封堵,对一些HTTPS网站也无法过滤掉(一些新闻网站使用SSL加密),另外,很多BT下载软件由于是通过加密进行传输的,该产品也无法实现封堵。

  在07年12月,该电信公司要求子公司对主流的上网行为管理产品进行了横向测试,最终发现只有一个厂商提供的产品支持对这些应用的封堵,只好重新采购了一台上网行为管理设备,替换掉了原来的产品。

  该项目负责人向我们表示,目前市面上的上网行为管理产品很多,厂家的宣传都很好,称自己对所有的网络应用都可以封堵。但经过实际测试、发现很多厂家的宣传都不属实,希望其他用户在购买上网行为管理产品前和厂商确认能否封堵加密类的应用,例如QQ、飞信、skype、加密的BT等等,如果能有测试条件最好。这样避免买了不能用,造成投资浪费。

  客户B:

  背景:湖南某著名制造企业、上市公司,公司总人数2万余人,总部并发上网人2000人以上。

  购买经历:公司内网人数较多,虽然已划分有vlan,并有域认证,IT部门还是想进一步加强对员工的上网管理。在2008年一季度,公司对国内外多款上网行为管理产品进行了测试,最终购买了一台国内的上网行为管理硬件。

  据了解,选择这款产品有三个原因。第一,URL库和应用协议库本地化做得比较好;第二,该产品支持AD的域认证,可以直接和存处于域控服务器上的用户进行联动认证,而其他几款产品必需将AC域的账户导入到设备里才行,不利于更新;第三,性能较好。在测试过程中,有三台硬件都出现了性能严重不足的情况,CPU占用率过高,查询日志很慢。这款设备表现良好。
客户向我们透漏,他们买的这款产品价格有点高,不过还可以接受。有一家北京公司的销售人员曾提出免费赠送一台设备给他们使用,还免三年服务费,但由于该产品性能确实满足不了要求,他们没有考虑。

  华南:

  在信息化普及程度较高的华南地区,我们在广州、深圳两地各选择了两家代表性企业进行调查。

  客户A:

  背景:某国际汽车巨头在华合资公司,内网人数3500人。内网的交换、路由和防火墙都是用的思科设备。
购买经历:该公司是上网行为管理产品的第一批购买用户,早在2006年就购买了一台高端的上网行为管理产品。购买该产品的目的是为了提高工作效率,避免员工在上班时间做与工作无关的事情。

  刚开始公司考虑买国外产品,但经过了解后,发现国外产品对国内URL、应用软件的支持有限,况且以前购买过一家欧洲厂商的IDS,售后服务很差,故在选型让集成商推荐了几款国内的上网行为管理硬件。

  不过在测试过程中,国内的上网行为管理产品也存在问题,就是对网络的支持能力有限。该公司的网络出口是部署有双机和双线路的,当时国内产品都不支持多路桥接功能,不支持VRRP等协议数据包的自由穿透。好在一家国内厂商研发实力还比较强,在短期内开发出了一个版本,满足了他们的这个要求。后来就直接购买了这家公司的产品。目前已经使用了两年多,运行状况良好。

  客户B:

  背景:国内著名银行,总行局域网有近万人,信息化水平在国内出于前列,有较高水准的IT管理部门。
购买经历:该银行在深圳有着人员庞大的研发中心,虽然有着很宽裕的Internet出口,但由于人数众多,不少人都通过电驴、迅雷等进行下载,对带宽的吞噬严重;另外,由于06年以后中国进入了牛市,银行内进行股票、基金投资的人很多,从一定程度上对工作有所影响,所以该银行希望对炒股等行为进行一定限制。

  在2007年下半年,该银行进行招标,购买了多台高端上网行为管理产品,目前已经在总行和多个省的分行进行了大面积部署。

  在问到选购上网行为管理产品的心得时,该银行IT部门负责人向我们表示,他们银行最关注的是三点:1.认证功能。该银行内部有域认证系统,希望通过上网行为管理设备直接读取域中的信息,和用户进行绑定认证,这样可以把员工的权限和上网权限一一对应,很方便管理。这方面,他们选择的产品就可以直接支持,而其他几个厂商还需要把域帐号导入到设备中才行;2.封堵的能力。目前很多P2P软件是经过加密处理的,需要上网行为管理产品能够支持对加密P2P的封堵和流量控制。否则该行人数众多,这方面控制不好,非常影响视频会议和VOIP的通讯质量;3.审计。因为是上市的金融公司,对信息的管理很严格,为了避免员工将敏感信息发布到外网,该行需要对各种网络外发行为进行管理,包括邮件、FTP、发帖、聊天软件等,这方面需要厂家的审计能力很强才可以控制。拿聊天软件来说,很多聊天软件是加密的,例如QQ、skype等。在测试中,只有少数产品才能实现他们的要求。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐