基于网务通AIO的网络管理解决方案

一、产品背景介绍

1、市场分析

随着国内网络运营商之间的市场竞争日趋激烈，网络接入线路租费呈现整体下降的势头，尤其是宽带接入服务的普及，为广大中小企业用户敞开了互联网的大门，企业上网已经成为一个普遍趋势。各种宽带的接入技术为企业用户提供了高速上网的条件，从而可以通过各种信息化应用，提高工作效率，降低运营成本，拓展市场空间。但是随着网络应用的发展和深入，许多问题相继暴露出来，我们将这些问题总结为互联网时代的“网络危机”：

（1）工作效率危机
相当多的企业为员工提供高速上网的便利后，员工的工作效率不但没有提高，反而适得其反。因为很多人喜欢在工作的同时进行与工作无关的网络访问，例如网上冲浪，下载电影或MP3，跟网友聊天，炒股，玩网络游戏等等，其结果是无法专注于工作。

（2）信息安全危机
毫不夸张地说，计算机病毒是企业IT人员最心悸的噩梦之一。尽管企业纷纷购置了各种杀毒工具软件，却仍然无法逃脱病毒大爆发的厄运。互联网为病毒传播创造了有利的条件，对于进出企业内部网络环境的电子邮件的疏于管理已经构成威胁企业信息安全的主要漏洞。另一方面，来自外部的黑客渗透和攻击，以及个别员工有意或无意地将敏感资料外泄的行为，也往往屡屡导致企业在毫无察觉的状态下蒙受重大损失。

（3）网络带宽危机
当企业的全体用户通过一个互联网出口实现共享上网的情况下，由于带宽资源是有限的，一些关键应用和重要用户往往面临带宽不足的困境。许多企业不得已只好另外增加1条线路，专门用于重要信息应用的网络访问，不仅线路租费上升，而且线路带宽往往得不到充分利用。

事实证明，企业上网绝对不是象家庭用户申请开通一条ADSL那么简单。产生上述三个危机的根源在于——企业IT管理人员对于网络缺乏有效的监管手段导致企业内部用户的无序上网，进而造成网络资源的浪费。一个相对完善的企业互联网接入方案不仅包括路由器、网络防火墙等等基础配置，同时还需要病毒过滤网关、带宽管理设备、内容过滤设备、网络监视设备等等。然而这种多个设备组成的复杂解决方案的购买成本往往是多数中小企业难以承受的，同时对这些设备的管理和维护难度也是非IT类企业无法接受的。

对如此市场需求，惠联无限公司迅速推出了具有自主知识产权的一体化解决方案—『网务通All in one』（简称网务通）系列，一种面向网络应用管理的多功能接入网关设备。

2、产品简介

『网务通』采用精心设计和优化的嵌入式操作系统，基于工控标准的硬件平台，是一个软件、硬件结合的产品。作为网关产品，『网务通』提供企业共享上网所需要的全部功能：

1）路由器——提供完整的路由功能，支持用户的多子网结构的内部网络；
2）防火墙——抗DoS攻击，支持过滤规则自定义，提供DMZ、DNAT/SNAT功能；
3）DHCP——可以充当DHCP服务器，同时也提供DHCP relay功能；
4）DNS服务器——为用户提供企业内部的名称解析服务；
5）PPPoE拨号——提供ADSL拨号功能，支持断线自动重播；
6）多路接入均衡——支持一条以上的网络接入，自动分配负载以及检测线路连通状态。

在此基础上，『网务通』提供了一系列网络应用管理功能，具体包括：
1）上网行为管理——通过网络端口访问控制和网站访问控制，规范用户的上网行为；
2）邮件管理——对pop3邮件进行病毒邮件查杀和垃圾邮件识别，同时支持邮件备份；
3）流量管理——以用户和应用为对象提供带宽分配保障的同时，充分利用带宽资源；
4）网络监视——提供从整个网络到具体用户的详细访问数据，包括当前状态和历史记录。

『网务通』不仅让企业用户把网络用起来，更重要的是做到把网络管起来，充分利用企业现有的网络资源，最大限度的发挥其正面功用，为企业的IT投资赢得良好回报。

二、用户需求分析

1、网络环境概述

某外资生产制造企业，拥有员工近千名，上网计算机100台左右，申请了1条ADSL线路用于员工共享上网，另有1条2M的数字专线用于访问总部的邮件服务器和数据库服务器。据IT管理部门反应，该企业的网络在使用过程中发现若干严重问题：

1）网络带宽占用严重——该企业起初全部的对外网络访问都是通过数字专线，很快出现电子邮件等重要远程访问由于带宽占用导致访问性能严重下降的情况，不得已只好另外申请1条ADSL专门分流员工的网络访问流量。虽然邮件服务器的问题得到解决，但是用于共享上网的ADSL始终工作在全部带宽被占用的状态，许多员工抱怨网速慢，同时用于收发邮件的数字专线多数情况下只使用不到三分之一的带宽。

2）工作效率降低——相当一部分员工在工作期间访问在线电影、在线音乐网站，下载媒体文件和游戏软件，据分析这部分用户的访问行为直接导致网络出口带宽占用。另外通过QQ、Messenger等软件进行交友、聊天更是普遍现象，甚至有一部分用户工作的同时进行在线游戏。行政管理部门对于这种上网引起的劳动纪律涣散颇有反感，但是由于上网员工数量多，而且办公区分布分散，因此无法进行有效的监管。

3）计算机病毒肆虐——尽管该企业大部分员工的PC都不配置软驱、光驱，同时严格限制使用USB外接设备，但是仍然屡次发生计算机病毒在整个企业范围内的爆发的严重情况，IT人员经常疲于奔命地进行杀毒工作，同时受到企业管理层的严厉指责。

2、应用需求分析

根据我们的经验，上述现象在相当多的企业网络环境都存在，只是严重程度不同而已。另外这三个问题彼此相互作用，相互关联，其共同的根源在于员工的无秩序的上网行为所致。我们对三个问题逐一加以分析如下：

1）网络带宽占用——100个用户共享ADSL线路的2M下行带宽，如果假定随时都有20%的用户（实际情况往往低于这个比例）进行并发访问，每个做并发访问的用户平均可以分到100kbps的下载速度，足够满足网页浏览、收发邮件等常见网络访问的速度需求。如果能够将2M数字专线的空闲的带宽加以分配利用，访问速度会进一步提高。但是如果有人频繁进行下载，情况就完全不同。各种下载工具以及近年流行的P2P文件共享软件可以在一个客户端上同时发起几个甚至几十个会话（session），迅速占用每一K空闲带宽，而且在下载完成之前绝对不会释放。因此网络超过90％的带宽部分经常被个别用户占用，而且即便增加网络出口带宽，这种带宽占用现象也不会得到缓解。

2）工作效率降低——互联网是一个巨大的信息海洋，提供电影、音乐、文学等等各种娱乐和消遣资源，很多人人无法抵制互联网的这种yh。员工在工作期间频繁访问与其工作无关的网站，不仅无法专心工作，而且这种无意义的网络访问占用了相当一部分带宽，令带宽资源紧张的状况进一步恶化。

3）网络病毒肆虐——如今互联网已经成为计算机病毒传播的最主要途径：许多网站的页面就包括恶意代码脚本，一部分网上免费下载的共享软件包含病毒代码甚至木马程序。除此之外，员工日常使用的电子邮件可以说是病毒通过网络扩散的最主要途径。病毒自我复制，在用户完全不知情的情况下，自动将其自身作为邮件的附件逐一发送给邮件通讯簿上的每一个联系人，近几年来全球范围的大规模病毒爆发大多通过这种方式进行的。

完成对三个问题的内在原因分析后，我们提出解决问题的应对措施，具体如下：

1）对员工的网络访问进行必要控制——逐一分析该企业的各部门的分工职责发现，不同部门或者同一部门的不同成员必需的外部网络访问都是不一样的。限制员工进行不必要的网络访问，不仅可以节省带宽，提高工作效率，同时还减少了感染病毒的机会。

2）在网关进行病毒邮件过滤——在唯一的网络出口处进行病毒邮件过滤，等于从上游封闭了病毒邮件的传播途径。

3）将现有的接入线路带宽统一使用——即在多条接入线路上进行负载均衡。通过多链路负载均衡，不仅可以让带宽资源得到充分使用，同时还可以避免由于单点故障引起的部分用户或者部分应用的网络访问中断。

4）针对网络用户和网络应用进行带宽管理——通过带宽控制管理，为控制对象提供必要的带宽额度保障的同时，将空闲带宽优先分配给重点用户和关键应用。

三、网管解决方案

1、网络拓扑图

该企业采用『网务通』之后的网络拓扑图如下：

『网务通』被部署在该企业的网络出口处，工作于网关模式。『网务通』有4个10/100M自适应端口，其中内网端口连接网络交换机，DMZ端口连接该企业的邮件服务器，两个外网端口分别连接ADSL和数字专线。网务通利用外网端口1提供PPPoE拨号，建立与ISP的PPP连接。同时将外部对外网端口2的TCP协议的25和110端口访问映射至连接在DMZ端口上邮件服务器。内网用户对互联网的访问流量被自动分配在ADSL和数字专线上。如果将来需要开通新的接入线路，可以通过集线器与数字专线一起接在外网端口2上。

建议用户将局域网用户划分成多个VLAN（子网），同时限制不同子网用户间的直接访问。这样不仅可以提高网络工作效率，还可以防止万一个别PC感染病毒，影响整个网络。

2、用户上网行为管理
用户上网行为管理是通过网络端口访问控制和网站访问控制两部分共同实现的。前者是针对用户可以使用的网络应用范围加以限定，后者对用户可以访问的网站范围加以限定。

2.1端口访问控制
『网务通』的默认策略是拒绝通过，没有经过端口访问权限配置的用户不能对外部进行任何访问。在对用户的端口访问权限进行配置之前，需要首先对所有需要用到的网络应用进行端口定义。网络应用定义的具体要素包括：应用的名称，网络协议，端口号。每一个具体网络应用可能对应一个网络端口，也可能对应一组网络端口，例如：

『网务通』的用户管理数据库采用“用户组－组成员”两级结构。为了方便管理，通常建议根据企业的部门来划分用户组，例如市场部的全体上网用户被归属到“市场部”这个用户组当中。同样，进行端口访问权限的时候，也可以针对用户组和组成员分别进行设置。赋予用户组的权限自动被每一个组成员继承，如果有成员需要额外的访问权限，就为该成员单独设置相应权限。例如，市场部的员工的工作普遍需要浏览网页和收发邮件，那么只要为“市场部”这个用户组勾选HTTP和MAIL两项服务，那么该部门全体上网用户都得到浏览网页和收发邮件的权限。另外有个别成员需要通过MSN与客户和合作伙伴建立工作联系，那么只需要为这部分组成员单独勾选MSN即可。

2.2网站访问控制
当在端口访问控制的配置部分为用户设置了HTTP服务的访问权限后，网站访问控制可以进一步对用户的可以访问的网站范围加以限定。网站访问控制的作用流程如下：

1）当一个用户对某网站发出访问请求的时候，检查该用户是否有HTTP访问权限，如果没有，直接显示访问阻止页面；

2）如果该用户拥有HTTP访问权限，检查该用户是否为网站访问控制的管制对象，如果不是，直接准许通过；

3）如果该用户属于网站访问控制的管制对象，检查该访问是否发生在规定的时间段范围之内，如果不是，直接显示访问阻止页面；

4）假设该用户属于管制对象，并且符合时间段条件，网站访问控制工作在“白名单”模式下，如果网站在白名单范围之内，则准许通过，否则显示访问阻止页面；

5）假设该用户属于管制对象，并且符合时间段条件，网站访问控制工作在“黑名单”模式下，如果网站在黑名单范围之内，则显示访问阻止页面，否则准许通过。

『网务通』内置了一个网站分类列表库，内容包括：

用户可以直接引用上述内容，也可以自行增加新的列表库。用户可以根据自身需要，通过增加域名、URL，或者关键字的方式来定制新的列表库，从而达到对某个特定网站或者某个网站的特定栏目进行限制的目的。

我们通常建议企业用户采用“白名单”的方式来定义允许访问的网站范围，而不是通过“黑名单”的方式来定义禁止访问的网站范围。因为在互联网上，随时都有新的网站诞生，“黑名单”方式可以说是防不胜防。因此企业用户根据所属行业和所述方向，采取选择一批内容积极健康、对工作有帮助的网站供员工访问的控制方式，更加现实，更具有可行性。

3、防病毒反垃圾邮件管理
『网务通』的邮件管理模块集成了最先进的杀毒软件，防止病毒邮件进入内部邮箱。同时，又具有防垃圾邮件的功能，有效地排除了垃圾邮件的骚扰。下面将对『网务通』的邮件管理模块内置邮件病毒防护、垃圾邮件过滤、邮件备份/检索三大功能在鲁班公司的应用情况加以简要分析。

3.1病毒邮件扫描
通过和国际著名的防病毒公司合作，『网务通』的邮件病毒防护功能可以检测9万多种已知病毒。32 位高效杀毒引擎，多线程并发处理，能高速稳定地检测通过的邮件，对用户端收发邮件不造成任何延迟。能够过滤邮件内容，支持标题、文本、html、附件（文本、html、arj 压缩包、zip压缩包、rar压缩包）等过滤；详细记载每一个拦截到的病毒以及每一件可疑的入侵事件（包括邮件来源、名称、收件人、收到日期、病毒名称、以及所采取的处理），同时详细记录病毒感染源，并提示用户病毒警告信息，让管理员很容易找出问题的来源，采取适当的反应；在线更新技术可在不停止杀毒任务时自动动态更新病毒代码库，支持手工和自动更新操作。企业的IT管理人员可以在两种对病毒邮件的处理办法中任选其一：1）隔离病毒，发送警告；2）发送邮件，在主题中加警告。

3.2垃圾邮件过滤
『网务通』的邮件管理模块内建垃圾邮件特征数据库，凭借该数据库已可发现绝大多数垃圾邮件。产品主要根据特征数据库按照一定规则对邮件进行记分，当分数达到了用户设定的门槛值时就认为是垃圾邮件。

另外，企业的IT管理人员不仅可以自行调整垃圾邮件门槛值，还可以根据需要，通过自行增添关键字，作为对特征数据库的补充。

应当指出的是，垃圾邮件过滤功能的作用效果取决于关键字词典的设置。一个设置恰当的关键字辞典可以最大限度地减少用户接收垃圾邮件的数量，反之不当关键字辞典过滤的效果就会差很多，甚至可能对正常邮件做出错误判断。

4、互联网带宽管理
网务通地『流量管理』功能是由分组配置、策略配置、策略调度三个部分组成。策略配置负责定义策略的执行内容，分作配置负责定义策略的执行对象，策略调度负责定义策略的执行时间，三者是一个整体，缺一不可。

4.1分组配置
分组配置就是通过分组的形式，对于有类似属性的网络使用者以及网络应用进行统一定义和划分，从而使策略管理变得简洁而且高效率。通常建议以部门或者团队为单位划分网络用户，作为地址分组。因为任务分工相近的用户，对于网络带宽的正常使用需求也是基本一致的，例如市场部、销售部、开发部、行政管理部等等。另一方面，根据用途类别对网络服务做统一分组，作为应用分组。例如将SMTP和POP3定义为Mail分组，将ICQ、OICQ、MSN、网易泡泡等定义为Instant message分组。

4.2策略配置
简单的说，策略配置就是以地址分组和应用分组为对象，对带宽分配做强制规定。网务通的『流量管理』模块通过两级策略的形式，将网络用户和网络应用结合起来，统一规划流量控制。策略配置分两种类型：地址——服务策略以及服务——地址策略。前者是针对的同一组用户的不同应用服务做带宽规定，后者是针对同一组应用服务的不同用户做带宽规定。带宽分配可以对上行带宽和下行带宽单独进行配置，规定其上限。带宽分配上限有允许扩展和禁止扩展两种。如果是允许扩展，当带宽使用的已经达到分配上限而且此时总体带宽尚有空闲的时候，允许其使用这部分空闲带宽。假如有多个策略允许扩展带宽上限，优先级高的策略优先分配空闲带宽。

4.3策略调度
策略调度有一直运行方式、时段方式、工作日方式三种形式可供选择，最大程度地保证了策略执行的灵活性。例如在每天12:00am～1:30pm、每天5:30pm以后、星期五4:30以后，可以放宽http和ftp的下行带宽限制，允许员工自由下载或者欣赏在线媒体等等。在不影响工作的前提下，彰显管理制度人性化的一面，提高企业凝聚力。

5、网络性能监视
在很多情况下，网络管理人员对于网络上流量的有多少，什么时间流量最高，流量中不同协议和应用的分布等情况一概不知，唯一能够确定的就是网络通或是不通。由于只能维持最低限度的网络管理，当出现网络性能下降的情况时，技术人员无法及时做出判断，并采取有效措施加以解决。造成这种局面的根本原因，在于网络管理人员缺乏一种有效的全面的监视手段，随时掌握网络的工作状况。

“网务通”内置的网络监视模块可以通过直观的图表方式，为网络管理人员提供详尽的网络使用情况报告，实时地了解网络流量状态。具体功能包括：

1）总体应用分布：过去的30天之内的任意一天里，整个网络的TCP、UDP等协议中，产生流量最多的TOP 10应用端口记录，同时以饼图形式说明它们在总流量中所占比例；

2）总体流量统计：过去的30天之内的任意一天里，整个网络的TCP、UDP等协议产生的流量波动情况通过曲线图加以说明；

3）总体流量分析：过去的30天之内的任意一天里，整个网络的输入流量、输出流量、本地流量的波动情况通过曲线图加以说明；

4）TOP 10用户流量：过去的30天之内的任意一天里，产生输入流量、输出流量、本地流量最多的TOP 10网络用户，同时以饼图形式说明他们在总流量中所占比例；

5）用户应用分布：过去的30天之内的任意一天里，某个具体用户在的TCP、UDP等协议中，产生流量最多的TOP 10应用端口记录，同时以饼图形式说明它们在总流量中所占比例；

6）用户流量统计：过去的30天之内的任意一天里，某个具体用户的TCP、UDP等协议产生的流量波动情况，通过曲线图加以说明；

7）用户详细记录：过去的30天之内的任意一天里，某个具体用户的网络应用及其流量总计的详细记录，以及访问过的URL的详细记录；

通过上述功能，只要将网务通部署在用户网络的出口处，网络管理人员可以准确掌握网络使用情况，迅速确定网络的症结所在。例如发现网络性能下降的时候，协议流量和用户应用的分布情况和波动情况，从而确定究竟是正常网络应用引起的问题，还是不当上网行为引发的问题，并进一步考虑通过扩展接入带宽或者限制用户上网行为等措施加以改善。

四、售后服务计划
下列服务条款适用于购买惠联无限（广州）科技有限公司（以下简称惠联无限）接入系列产品及相关配件的客户。客户在购买、使用惠联无限的接入系列产品及相关配件时，有义务遵守这些条款。

1、品维修服务
惠联无限对所生产的接入系列产品实行国家规定“包退、包换、保修”的三包服务。

保修期限

（1）自销售之日起（以惠联无限或惠联无限的代理商开具的正式销售发票的日期为准）7日内，产品由于非人为因素而发生的硬件故障，用户可以选择有条件退货：退货的产品必须提供以装箱单为准的该产品的完整部件（如不能提供，则只能选择退换货），壳体无破损和刮伤，包装完好，包装箱序列号与产品序列号一致。

（2）自销售之日（以惠联无限开具的正式销售发票的日期为准）起1个月内，由于非人为因素而发生硬件故障时，用户可以选择修理、换货：

a)修理免费；
b)换货的产品必须提供以装箱单为准的该产品的完整部件（否则只能选择退换货）、壳体无破损和刮伤、包装完好、包装箱序列号与产品序列号一致。

（3）自销售之日（以惠联无限开具的国家正式发票的日期为准）起1年内，由于非人为因素而发生硬件故障，惠联无限提供免费维修服务。

（4）终生维修：产品一经售出，可享受终生维修服务（有偿）。

保修方式与注意事项

保修方式为送修。用户须将待修产品送至或邮寄至惠联无限指定的服务中心进行维修或更换配件，费用由客户自理；产品维修好后，由惠联无限付费将维修好的产品交还客户。

如经检测确定为无故障产品，或由于客户技术水平或使用环境限制造成的误报以及实际情况与客户描述不符，则返还产品的运费由用户自行负担。

惠联无限在收到用户发回的故障产品（以签收日期为准）后七个工作日内发出维修好产品或是更换产品。

2、技术培训
根据客户所购产品特点及维护需要，惠联无限为客户提供合格的技术培训。为了保证培训目标的达成和及时有效的培训服务，惠联无限提供必要的培训师资，客户应选派符合入学条件的人员参加培训。

3、服务计划
惠联无限提供以下服务计划供客户选择：

基本维护保养计划

（1）服务内容

a）上述产品保修服务；
b）5×8在线Email支持，用电子邮件直接向惠联无限技术团队提出技术支持请求；
c）5×8电话技术帮助；
d）一人次技术培训；
e）三个月免费软件升级服务。

（2）服务收费

每年的服务费按销售合同总金额10%计算 (自第二年起计算)。

互联网远程监控维护计划

（1）服务内容

a）上述产品保修服务；
b）7×24在线Email支持；
c）7×8电话技术支持；
d）二人次技术培训；
e）一年免费软件升级服务。
f）如果电话技术支持无法解决问题，则会在必要时派出技术人员。

（2）服务收费

每年的服务费按销售合同总金额15%收取。(自签订服务合同之日起计算)。

4、产品升级
在免费软件升级的服务期外，惠联无限向购买惠联无限产品的客户提供付费软件升级服务，收费标准请参考惠联无限当时的市场公开报价。