隨著網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用日新月異，網(wǎng)絡(luò)管理的需求必然不斷提高，現(xiàn)有的上網(wǎng)行為管理產(chǎn)品已經(jīng)日漸無法滿足當(dāng)今客戶的復(fù)雜需求。作為上網(wǎng)行為管理的明星企業(yè)深信服公司，再次提出了“第二代上網(wǎng)行為管理”的概念，將終端與網(wǎng)關(guān)形成了端到端的管理解決方案，以適應(yīng)用戶對(duì)上網(wǎng)速度和安全的最新需求。

那么，為什么會(huì)有第二代上網(wǎng)行為管理產(chǎn)品的出現(xiàn)呢？第一代與第二代有什么樣的區(qū)別？面對(duì)現(xiàn)在復(fù)雜的網(wǎng)絡(luò)應(yīng)用，究竟有哪些方面是現(xiàn)有上網(wǎng)行為管理產(chǎn)品已經(jīng)不能管理的呢？深信服市場(chǎng)行銷部技術(shù)總監(jiān)殷浩在接受記者采訪時(shí)表示，第二代上網(wǎng)行為管理設(shè)備與第一代的在設(shè)計(jì)思路上最大區(qū)別就是在“封堵”的基礎(chǔ)上增加了“隔離”與“削減”的核心思想。

“安全隔離”+“流量削減”

除了延續(xù)第一代上網(wǎng)行為管理的網(wǎng)關(guān)殺毒、防火墻、防DOS攻擊、防ARP欺騙功能外，深信服第二代上網(wǎng)行為管理針對(duì)目前肆行的以經(jīng)濟(jì)利益為目的的惡意網(wǎng)頁、病毒木馬推出了上網(wǎng)安全桌面。當(dāng)使用上網(wǎng)安全桌面時(shí)，一切都在虛擬中進(jìn)行。即使點(diǎn)到了惡意鏈接或惡意郵件，他們攻擊的都是一個(gè)虛擬化桌面。當(dāng)退出上網(wǎng)安全桌面后，那些木馬、病毒，都將即刻化成浮云。

“安全桌面”實(shí)際是使用沙盒技術(shù)，構(gòu)建的一個(gè)虛擬化“容器”，使得用戶在該“容器”中，對(duì)文件、注冊(cè)表的操作都被虛擬化。當(dāng)用戶退出“容器”時(shí)，之前在“容器”里面所做的修改，全部都被還原。除此之外，安全桌面還結(jié)合了一系列的規(guī)則(網(wǎng)絡(luò)規(guī)則，放行規(guī)則等)用來限制用戶在“容器”中操作的權(quán)限。

深信服上網(wǎng)安全桌面

深信服第二代上網(wǎng)行為管理可以通過“上網(wǎng)安全桌面”這個(gè)新功能，幫助用戶在一臺(tái)終端上設(shè)立兩個(gè)相互“隔離”的桌面環(huán)境，用默認(rèn)桌面訪問內(nèi)部網(wǎng)絡(luò)，用“安全桌面”訪問互聯(lián)網(wǎng)，從而保證了在不改變用戶使用習(xí)慣，不增加操作復(fù)雜度的前提下，讓終端“永不中毒”，避免了內(nèi)網(wǎng)引入互聯(lián)網(wǎng)風(fēng)險(xiǎn)。

深信服第二代上網(wǎng)行為管理設(shè)備的“安全桌面”將終端與網(wǎng)關(guān)形成了端到端的管理解決方案，是一套真正適合企業(yè)級(jí)市場(chǎng)的上網(wǎng)行為管理方案，在網(wǎng)關(guān)設(shè)備上可以將網(wǎng)絡(luò)安全策略與終端安全策略統(tǒng)一部署，在行為管理的同時(shí)保障內(nèi)網(wǎng)安全，簡化管理；而防病毒廠商提供的安全桌面僅僅是在單獨(dú)PC上進(jìn)行配置、安裝，無法進(jìn)行統(tǒng)一調(diào)控部署。

殷浩表示，“安全桌面”的創(chuàng)新，是上網(wǎng)行為管理在安全方面的重大舉措，彌補(bǔ)了第一代上網(wǎng)行為管理在上網(wǎng)安全方面的嚴(yán)重不足，是第二代上網(wǎng)行為管理的重要標(biāo)志。

在傳統(tǒng)的上網(wǎng)行為管理設(shè)備中，流控是主要的功能之一。但是流控的目的是什么呢？是為了合理分配出口帶寬，提高帶寬使用率。有研究顯示，同一個(gè)工作環(huán)境下的人員，訪問同一個(gè)或者同一種網(wǎng)頁的概率高達(dá)70%。有些企業(yè)內(nèi)部每天訪問新浪門戶網(wǎng)站的次數(shù)達(dá)到5000多次，使用抓包工具看到，新浪門戶網(wǎng)站包含200多個(gè)元素，每次訪問此門戶網(wǎng)站產(chǎn)生的平均流量在1178918 字節(jié)，5000多次的訪問將產(chǎn)生5000Mb的流量，其中有99%的流量為重復(fù)冗余的數(shù)據(jù)。

深信服第二代上網(wǎng)行為管理在帶寬管理上推出緩存加速功能，通過內(nèi)容緩存功能，在網(wǎng)絡(luò)出口形成了一個(gè)針對(duì)http、視頻、flash等應(yīng)用的緩存池，第一次訪問這些資源時(shí)將會(huì)直接存入緩存池中，如果后續(xù)檢測(cè)到有其他人訪問同樣的資源，將會(huì)直接從本地的緩存調(diào)去，從而不用在通過互聯(lián)網(wǎng)下載，從而既提升了響應(yīng)速度，又合理節(jié)約了帶寬，延后了帶寬升級(jí)的問題，提高內(nèi)部用戶上網(wǎng)速度達(dá)3倍以上。同時(shí)，提供更高的ROI，從而達(dá)到“削減”的目的。

作為部署在出口網(wǎng)關(guān)的上網(wǎng)行為管理設(shè)備，在承載過多的控制功能時(shí)勢(shì)必存在性能瓶頸和壓力。因此，深信服第二代上網(wǎng)行為管理采用的是分布式建設(shè)思想。將部分安全功能下載到了終端上的“安全桌面”進(jìn)行，比如分部的網(wǎng)絡(luò)訪問控制等功能，將原先“集中式”的防護(hù)模型，變?yōu)榱?ldquo;分布式”模型，從而極大的提升了設(shè)備的處理性能。據(jù)悉，為了滿足像運(yùn)營商、高校這種高端用戶需求，深信服將會(huì)推出萬兆級(jí)第二上網(wǎng)行為管理產(chǎn)品。

一代VS二代

上網(wǎng)行為管理產(chǎn)品需要能精確識(shí)別上網(wǎng)的行為，所以專業(yè)的上網(wǎng)行為管理廠商都具有兩個(gè)庫，一個(gè)是網(wǎng)頁庫——URL庫，一個(gè)是應(yīng)用識(shí)別規(guī)則庫。URL庫主要用于網(wǎng)頁過濾。應(yīng)用識(shí)別規(guī)則庫主要用于行為的控制和根據(jù)應(yīng)用分配流量。但縱觀國內(nèi)各廠商的上網(wǎng)行為管理，真正有這兩個(gè)庫，并且實(shí)時(shí)更新的廠商屈指可數(shù)。

殷浩表示，深信服第二代上網(wǎng)行為管理具有2000多萬條URL，并且針對(duì)最新的惡意URL地址可以做到每小時(shí)更新一次，從而確保了訪問的安全性。同時(shí)，深信服與中科院聯(lián)合開發(fā)的URL智能識(shí)別系統(tǒng)，自動(dòng)搜索和更新詞條。在第一時(shí)間錄入新浪、騰訊、搜狐等微博網(wǎng)頁，解決市場(chǎng)上目前靜態(tài)庫帶來的弊端，并且第二代上網(wǎng)行為管理突出了對(duì)加密網(wǎng)頁的內(nèi)容識(shí)別和管理，彌補(bǔ)以往上網(wǎng)行為管理中的不足，解決了SSL加密網(wǎng)頁管理的漏洞。配上應(yīng)用智能識(shí)別庫，解決了P2P應(yīng)用更新速度快的問題，為P2P的流控和整體網(wǎng)絡(luò)的穩(wěn)定管理提供了保障。這個(gè)是第一代上網(wǎng)行為管理產(chǎn)品目前沒有觸及的。

從在架構(gòu)上看，深信服第二代上網(wǎng)行為管理萬兆平臺(tái)仍然采用X86架構(gòu)。NP架構(gòu)在萬兆網(wǎng)絡(luò)中數(shù)據(jù)處理能力優(yōu)于X86架構(gòu)。那么為什么采用X86架構(gòu)而不采用NP架構(gòu)呢？殷浩向記者解釋到，對(duì)于應(yīng)用層設(shè)備來說需要更為強(qiáng)大的計(jì)算能力來滿足針對(duì)L4-L7數(shù)據(jù)報(bào)文的分析和對(duì)比，而NP芯片主頻遠(yuǎn)遠(yuǎn)落后于X86的多核CPU，相差數(shù)倍。此外，大家一直認(rèn)為X86性能不足的原因在于南北橋的總線架構(gòu)導(dǎo)致了64字節(jié)小包處理能力弱；但是，目前采用最新技術(shù)的X86硬件平臺(tái)通過對(duì)總線技術(shù)的改近，64字節(jié)的小包轉(zhuǎn)發(fā)能力已經(jīng)達(dá)到了20G，性能瓶頸已經(jīng)打消。綜上兩方面原因，X86架構(gòu)目前已經(jīng)成為大多數(shù)萬兆應(yīng)用層設(shè)備的首選。
同時(shí)，深信服做上網(wǎng)行為管理的數(shù)據(jù)處理、架構(gòu)優(yōu)化上積累了豐富的經(jīng)驗(yàn)，而且深信服在X86架構(gòu)上做了很多的優(yōu)化以提高性能。

隨著互聯(lián)網(wǎng)的急速發(fā)展，傳統(tǒng)的上網(wǎng)行為管理似乎開始捉襟見肘。深信服科技適時(shí)提出了“第二代上網(wǎng)行為管理 = 安全桌面+內(nèi)容緩存+萬兆高性能”的概念,率先推出了第二代上網(wǎng)行為管理產(chǎn)品，我們期望第二代的上網(wǎng)行為管理設(shè)備能夠?yàn)橛脩籼峁└影踩纳暇W(wǎng)體驗(yàn)，更加快速的訪問效果，降低用戶的IT運(yùn)維工作量，提升效率，降低成本。