青莲网络行为管理与审计系统部署分析(1)

【51CTO.com 综合报道】IT系统已经成为国家、企业运行的重要手段，人们的工作、学习、生活都已经和网络、特别是互联网紧密关联。 各种网络应用，给人们提供便捷沟通、娱乐、学习机会、甚至工作场所。网络因为应用的推动，也变得越来越复杂，管理难度空前提高。

仔细解析各种网络应用，我们可以发现互联网络应用已经较之几年前，有着本质的变化：应用从早期、简单的文件共享、传输（FTP）、静态网页（HTML）以及Telnet等静态的、简单、小规模的应用，逐步发展到包括E-Mail、ERP、OA、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务等动态的、大规模的、复杂的应用，网络中承载的内容变得日益复杂、多样化和更加丰富；加之网络用户的多样性，使得网络在满足包括教育学习、工作、娱乐等等不同目的的同时，对网络本身及用户的管理难度也急剧增加——网络的自由本质，导致了各种威胁的原罪，组织的网络资源得不到有效、合理的应用和控制，并引发了一系列的安全、生产力和法律问题。

人们在可以在互联网环境下，自由的进行各种活动：娱乐、学习、购物、工作；与工作有关的、与工作无关的；占用资源多的、占用资源少的；关键的应用、非关键的应用；领导的应用、普通员工的应用等等。这些应用都在相同的授权平台下，“公平”的没有“优先级”和“限制”的同时展开，而且都是在“盲区”内进行，没有任何记录可查询，不需要承当任何责任和成本。

网络管理人员这时候非常需要一款能够提供“网络可视性”的管理工具！不仅仅能够提供各种UDP封包应用的“可视”，而且能够切实的对各种应用进行“策略化的管理”。所谓可视化，要求管理人员能够“看到”在网络里的各种应用、时间、地点（IP/MAC）、人员、资源占用，甚至具体的应用行为的内容。 管理人员拥有的可视性工具，才有可能对各种应用进行必要的跟踪分析，从而确定该应用是否“必须”或者“关键”，为“优化网络”提供基本的素材基础。而“策略化的管理”，则是要求管理工具能够提供根据不同人、设备、应用、时间，提供“资源占用限制、允许、禁止、记录”等等各种管理手段。从而达到优化网络应用、提升生产效率的最终目的。

目前，有许多网络（安全）设备，都可以提供基于应用层管理的功能，但最专业的还是国内企业级市场比较推崇的网络行为管理与审计类产品。 青莲网络行为管理与审计系统AOS（Application Optimization System，应用优化系统）就是其中的一个典型设备。 青莲AOS是一款真正的纯硬件设备，它是目前国内市场能见到的少数几个基于RISC多核处理器平台的网络（安全）产品之一，也是应用管理类目前唯一的基于多核处理器平、平行计算的产品。硬件平台的优越性，决定青莲AOS的软件功能具有非常稳定的系统可靠性、有效的系统功能可扩展性-----多核处理器多达16核的处理器，能够轻松的整合包括上网行为管理控制、网络审计、流量控制、应用分析、安全路由、防火墙、防DOS攻击、ARP防护等等，甚至可以整合关键字过滤（正则）、嵌入病毒引擎等系统高资源消耗类应用。 

图1

青莲AOS可以进行网关、透明桥、旁路镜像等多种方式进行部署。

(1)网关型部署方式。能够实现的功能最为全面，这时将青莲AOS当着一台路由设备（防火墙），可以提供包括NAT\DHCE\DDNS\RIP\UPnP等网络协议服务，并提供多线路负载均衡、防DOS攻击、ARP防护、IP/MAC绑定、防火墙、IPsecVPN、流量管理、URL过滤、高层应用管理(访问控制)、网络行为记录、审计分析、流量分析、网络行为分析等等功能。

图2

(2)而透明方式，则不能实现一些路由功能、防火墙、防DOS攻击、ARP防护、VPN等功能，但透明方式有独特的优势是能够真正实现Bypass功能，在硬件和软件出现重大问题时，能够提供“短接”机制，保证网络连接服务不断；

图3

(3)而镜像方式则主要是审计记录与分析功能，控制管理功能非常的弱。但旁路方式最大的优势是对网络环境基本上没有影响，对设备的性能要求最低，而且不影响网络速度。

图4