而协议型封锁方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，路由器中很少使用。而已知的，欣向免疫墙路由器就是采用了协议分析的上网行为管理手段，这是很难得的。它采用了全新的应用层协议分析，根据不同应用的协议特征，对特定上网行为进行分析确认。由于采用了协议分析，行为管理真正做到了准确无误。

　　基于协议的上网行为管理功能的实现，对路由器设计有较高的要求。尤其是多WAN环境下，不管是静态过滤还是协议封锁，都需要考虑对负载均衡的影响，也就是说，上网行为管理的启用，不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候，把内网IP固定地绑在某一个WAN口上，或者按照IP均衡的方式进行分配，这就失去了多WAN带宽叠加的应用效果。

　　欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家，欣向一直从事多WAN下的应用协议分析，以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候，欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑，是比较周全的方案，在这个方面无疑是占据了领先的高度。

　　

　　欣向免疫墙路由器分组上网行为管理

　　三、上网行为管理的产品选择

　　由于存在着用户对上网行为管理功能的需求，很多网络设备开始提供这样的功能。不仅仅在路由器，在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子，甚至还有一些专门的上网行为管理设备卖的也很不错。

　　虽然存在的就是合理的，但对于用户来说，要根据自己的应用需求进行选择，要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划，最后考虑产品的优劣，从而进行正确的选择。

　　下面提供一些建议供企业朋友们参考。

　　对上网行为管理要求较高，管理严苛的较大型企业，应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能，也没有过多涉及防火防毒网络安全内容，它的主要功能就是上网行为管理，术业有专攻，它在产品功能上比较丰富，服务支撑比较到位。

　　至于防火墙、UTM中提供的上网行为管理功能，也是很可取的方案，它适用于一些信息化程度较高的企业，准备或已经部署了相关设备的情况下，启用附带的上网行为管理功能可以节省部署专用设备的资金。

　　选择宽带路由器中的上网行为管理功能，适用于大多数的中小企业。接入路由器是企业网络的大门，在大门处加一个门岗做上网行为管理，是简单易行的办法。但是，路由器主要的功能是高速数据转发，由于CPU负载能力和成本的限制，路由器功能设计不可能主次颠倒，在上网行为管理上不可能做到很强，所以不要对他抱有太多的期望值，够用好用就可以了。如果单纯因为上网行为管理去选择路由器，很可能会本末倒置。

　　这就两难了。虽然上网行为管理在地位上应该是路由功能的附属，但对于大多数中小企业用户来说，这个功能确实又是需要的。同时企业网络又要解决网络的稳定、可靠、安全的问题，又不能牺牲网络接入的性能，尤其是一些用户还有多WAN带宽汇聚能力的要求。在IT投资不可能太大的情况下，那又该如何选择一台优质的路由器，同时满足多种需求呢?

　　强烈的建议是：配备带有上网行为管理的免疫墙路由器。

　　当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用，导致盲目上马上网行为管理设备，实则不然。以上网络应用仅是占用了大量的网络带宽，而企业路由器都有带宽管理功能，如果是因为特定行为访问导致的带宽不足，启用路由器带宽管理后就该没有问题了。但实际情况是，启用了带宽管理以上网络问题还存在，购置了新的上网行为管理设备网络问题还没有解决!

　　这主要是因为企业网络的免疫安全问题被忽视了!据统计，80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱，黑客能够充分利用协议漏洞对网络系统进行破坏，ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段，对终端进行强制性管理，从而对网络进行整体的管控，使病毒的发作无法窜扰到网络上来，这样才能彻底解决网络问题。

　　网络问题必须网络解决，提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备，欣全向公司基于这样的技术思路，让免疫墙路由器不仅在宽带接入端起到安全管理的作用，也能够深入到整个内网的每一个终端进行控制和保护。同时，在内网中还有一台监控中心，对整个内网的运行进行统计、显示、控制、告警、策略分发等工作，全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网，可以达到普通路由器难以企及的应用效果，在上网的稳定、高速、安全、可管理能力上，远远超过了普通路由的组网方案。

　　有了网络安全和稳定的运行基础，网络行为管理才能显示其更加细致的应用访问控制优势，才能真正满足中小企业对网络应用的多种需求。没有稳定可靠，上网行为管理就无从谈起，所谓皮之不存毛之焉在。

　　

　　欣向免疫墙路由器

　　总结

　　是否部署上网行为管理要依据企业的具体情况。如果企业网络稳定，并且有网络访问行为控制的要求，那么选择合适的上网行为管理设备是必要的。

　　上网行为管理功能需要采用静态过滤和协议型封锁2种技术方式，单纯依靠静态过滤处理上网行为管理是技术敷衍，功能是不可靠的。

　　但上网行为管理仅限于网络访问权限的控制，是行政管理的辅助手段，并不能解决网络的安全和稳定问题。如果企业存在网络掉线、卡滞、速度慢、不安全、难管理等问题，那就需要带免疫墙功能的路由器，着重解决内网问题。

　　中小企业既要上网行为管理，又要安全稳定可靠的网络，使用带有上网行为管理功能的免疫墙路由器可以一举多得。
;

标签：