隨著網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用日新月異，網(wǎng)絡(luò)管理的需求必然不斷提高，現(xiàn)有的上網(wǎng)行為管理產(chǎn)品已經(jīng)日漸無(wú)法滿(mǎn)足當(dāng)今客戶(hù)的復(fù)雜需求。作為上網(wǎng)行為管理的明星企業(yè)深信服公司，再次提出了“第二代上網(wǎng)行為管理”的概念，將終端與網(wǎng)關(guān)形成了端到端的管理解決方案，以適應(yīng)用戶(hù)對(duì)上網(wǎng)速度和安全的最新需求。

那么，為什么會(huì)有第二代上網(wǎng)行為管理產(chǎn)品的出現(xiàn)呢？第一代與第二代有什么樣的區(qū)別？面對(duì)現(xiàn)在復(fù)雜的網(wǎng)絡(luò)應(yīng)用，究竟有哪些方面是現(xiàn)有上網(wǎng)行為管理產(chǎn)品已經(jīng)不能管理的呢？深信服市場(chǎng)行銷(xiāo)部技術(shù)總監(jiān)殷浩在接受記者采訪(fǎng)時(shí)表示，第二代上網(wǎng)行為管理設(shè)備與第一代的在設(shè)計(jì)思路上最大區(qū)別就是在“封堵”的基礎(chǔ)上增加了“隔離”與“削減”的核心思想。

“安全隔離”+“流量削減”

除了延續(xù)第一代上網(wǎng)行為管理的網(wǎng)關(guān)殺毒、防火墻、防DOS攻擊、防ARP欺騙功能外，深信服第二代上網(wǎng)行為管理針對(duì)目前肆行的以經(jīng)濟(jì)利益為目的的惡意網(wǎng)頁(yè)、病毒木馬推出了上網(wǎng)安全桌面。當(dāng)使用上網(wǎng)安全桌面時(shí)，一切都在虛擬中進(jìn)行。即使點(diǎn)到了惡意鏈接或惡意郵件，他們攻擊的都是一個(gè)虛擬化桌面。當(dāng)退出上網(wǎng)安全桌面后，那些木馬、病毒，都將即刻化成浮云。

“安全桌面”實(shí)際是使用沙盒技術(shù)，構(gòu)建的一個(gè)虛擬化“容器”，使得用戶(hù)在該“容器”中，對(duì)文件、注冊(cè)表的操作都被虛擬化。當(dāng)用戶(hù)退出“容器”時(shí)，之前在“容器”里面所做的修改，全部都被還原。除此之外，安全桌面還結(jié)合了一系列的規(guī)則(網(wǎng)絡(luò)規(guī)則，放行規(guī)則等)用來(lái)限制用戶(hù)在“容器”中操作的權(quán)限。

深信服上網(wǎng)安全桌面

深信服第二代上網(wǎng)行為管理可以通過(guò)“上網(wǎng)安全桌面”這個(gè)新功能，幫助用戶(hù)在一臺(tái)終端上設(shè)立兩個(gè)相互“隔離”的桌面環(huán)境，用默認(rèn)桌面訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)，用“安全桌面”訪(fǎng)問(wèn)互聯(lián)網(wǎng)，從而保證了在不改變用戶(hù)使用習(xí)慣，不增加操作復(fù)雜度的前提下，讓終端“永不中毒”，避免了內(nèi)網(wǎng)引入互聯(lián)網(wǎng)風(fēng)險(xiǎn)。

深信服第二代上網(wǎng)行為管理設(shè)備的“安全桌面”將終端與網(wǎng)關(guān)形成了端到端的管理解決方案，是一套真正適合企業(yè)級(jí)市場(chǎng)的上網(wǎng)行為管理方案，在網(wǎng)關(guān)設(shè)備上可以將網(wǎng)絡(luò)安全策略與終端安全策略統(tǒng)一部署，在行為管理的同時(shí)保障內(nèi)網(wǎng)安全，簡(jiǎn)化管理；而防病毒廠(chǎng)商提供的安全桌面僅僅是在單獨(dú)PC上進(jìn)行配置、安裝，無(wú)法進(jìn)行統(tǒng)一調(diào)控部署。

殷浩表示，“安全桌面”的創(chuàng)新，是上網(wǎng)行為管理在安全方面的重大舉措，彌補(bǔ)了第一代上網(wǎng)行為管理在上網(wǎng)安全方面的嚴(yán)重不足，是第二代上網(wǎng)行為管理的重要標(biāo)志。

在傳統(tǒng)的上網(wǎng)行為管理設(shè)備中，流控是主要的功能之一。但是流控的目的是什么呢？是為了合理分配出口帶寬，提高帶寬使用率。有研究顯示，同一個(gè)工作環(huán)境下的人員，訪(fǎng)問(wèn)同一個(gè)或者同一種網(wǎng)頁(yè)的概率高達(dá)70%。有些企業(yè)內(nèi)部每天訪(fǎng)問(wèn)新浪門(mén)戶(hù)網(wǎng)站的次數(shù)達(dá)到5000多次，使用抓包工具看到，新浪門(mén)戶(hù)網(wǎng)站包含200多個(gè)元素，每次訪(fǎng)問(wèn)此門(mén)戶(hù)網(wǎng)站產(chǎn)生的平均流量在1178918 字節(jié)，5000多次的訪(fǎng)問(wèn)將產(chǎn)生5000Mb的流量，其中有99%的流量為重復(fù)冗余的數(shù)據(jù)。

深信服第二代上網(wǎng)行為管理在帶寬管理上推出緩存加速功能，通過(guò)內(nèi)容緩存功能，在網(wǎng)絡(luò)出口形成了一個(gè)針對(duì)http、視頻、flash等應(yīng)用的緩存池，第一次訪(fǎng)問(wèn)這些資源時(shí)將會(huì)直接存入緩存池中，如果后續(xù)檢測(cè)到有其他人訪(fǎng)問(wèn)同樣的資源，將會(huì)直接從本地的緩存調(diào)去，從而不用在通過(guò)互聯(lián)網(wǎng)下載，從而既提升了響應(yīng)速度，又合理節(jié)約了帶寬，延后了帶寬升級(jí)的問(wèn)題，提高內(nèi)部用戶(hù)上網(wǎng)速度達(dá)3倍以上。同時(shí)，提供更高的ROI，從而達(dá)到“削減”的目的。

作為部署在出口網(wǎng)關(guān)的上網(wǎng)行為管理設(shè)備，在承載過(guò)多的控制功能時(shí)勢(shì)必存在性能瓶頸和壓力。因此，深信服第二代上網(wǎng)行為管理采用的是分布式建設(shè)思想。將部分安全功能下載到了終端上的“安全桌面”進(jìn)行，比如分部的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制等功能，將原先“集中式”的防護(hù)模型，變?yōu)榱?ldquo;分布式”模型，從而極大的提升了設(shè)備的處理性能。據(jù)悉，為了滿(mǎn)足像運(yùn)營(yíng)商、高校這種高端用戶(hù)需求，深信服將會(huì)推出萬(wàn)兆級(jí)第二上網(wǎng)行為管理產(chǎn)品。

一代VS二代

上網(wǎng)行為管理產(chǎn)品需要能精確識(shí)別上網(wǎng)的行為，所以專(zhuān)業(yè)的上網(wǎng)行為管理廠(chǎng)商都具有兩個(gè)庫(kù)，一個(gè)是網(wǎng)頁(yè)庫(kù)——URL庫(kù)，一個(gè)是應(yīng)用識(shí)別規(guī)則庫(kù)。URL庫(kù)主要用于網(wǎng)頁(yè)過(guò)濾。應(yīng)用識(shí)別規(guī)則庫(kù)主要用于行為的控制和根據(jù)應(yīng)用分配流量。但縱觀(guān)國(guó)內(nèi)各廠(chǎng)商的上網(wǎng)行為管理，真正有這兩個(gè)庫(kù)，并且實(shí)時(shí)更新的廠(chǎng)商屈指可數(shù)。

殷浩表示，深信服第二代上網(wǎng)行為管理具有2000多萬(wàn)條URL，并且針對(duì)最新的惡意URL地址可以做到每小時(shí)更新一次，從而確保了訪(fǎng)問(wèn)的安全性。同時(shí)，深信服與中科院聯(lián)合開(kāi)發(fā)的URL智能識(shí)別系統(tǒng)，自動(dòng)搜索和更新詞條。在第一時(shí)間錄入新浪、騰訊、搜狐等微博網(wǎng)頁(yè)，解決市場(chǎng)上目前靜態(tài)庫(kù)帶來(lái)的弊端，并且第二代上網(wǎng)行為管理突出了對(duì)加密網(wǎng)頁(yè)的內(nèi)容識(shí)別和管理，彌補(bǔ)以往上網(wǎng)行為管理中的不足，解決了SSL加密網(wǎng)頁(yè)管理的漏洞。配上應(yīng)用智能識(shí)別庫(kù)，解決了P2P應(yīng)用更新速度快的問(wèn)題，為P2P的流控和整體網(wǎng)絡(luò)的穩(wěn)定管理提供了保障。這個(gè)是第一代上網(wǎng)行為管理產(chǎn)品目前沒(méi)有觸及的。

從在架構(gòu)上看，深信服第二代上網(wǎng)行為管理萬(wàn)兆平臺(tái)仍然采用X86架構(gòu)。NP架構(gòu)在萬(wàn)兆網(wǎng)絡(luò)中數(shù)據(jù)處理能力優(yōu)于X86架構(gòu)。那么為什么采用X86架構(gòu)而不采用NP架構(gòu)呢？殷浩向記者解釋到，對(duì)于應(yīng)用層設(shè)備來(lái)說(shuō)需要更為強(qiáng)大的計(jì)算能力來(lái)滿(mǎn)足針對(duì)L4-L7數(shù)據(jù)報(bào)文的分析和對(duì)比，而NP芯片主頻遠(yuǎn)遠(yuǎn)落后于X86的多核CPU，相差數(shù)倍。此外，大家一直認(rèn)為X86性能不足的原因在于南北橋的總線(xiàn)架構(gòu)導(dǎo)致了64字節(jié)小包處理能力弱；但是，目前采用最新技術(shù)的X86硬件平臺(tái)通過(guò)對(duì)總線(xiàn)技術(shù)的改近，64字節(jié)的小包轉(zhuǎn)發(fā)能力已經(jīng)達(dá)到了20G，性能瓶頸已經(jīng)打消。綜上兩方面原因，X86架構(gòu)目前已經(jīng)成為大多數(shù)萬(wàn)兆應(yīng)用層設(shè)備的首選。
同時(shí)，深信服做上網(wǎng)行為管理的數(shù)據(jù)處理、架構(gòu)優(yōu)化上積累了豐富的經(jīng)驗(yàn)，而且深信服在X86架構(gòu)上做了很多的優(yōu)化以提高性能。

隨著互聯(lián)網(wǎng)的急速發(fā)展，傳統(tǒng)的上網(wǎng)行為管理似乎開(kāi)始捉襟見(jiàn)肘。深信服科技適時(shí)提出了“第二代上網(wǎng)行為管理 = 安全桌面+內(nèi)容緩存+萬(wàn)兆高性能”的概念,率先推出了第二代上網(wǎng)行為管理產(chǎn)品，我們期望第二代的上網(wǎng)行為管理設(shè)備能夠?yàn)橛脩?hù)提供更加安全的上網(wǎng)體驗(yàn)，更加快速的訪(fǎng)問(wèn)效果，降低用戶(hù)的IT運(yùn)維工作量，提升效率，降低成本。