热点推荐
ZOL首页 > 中国IDC > IDC动态 > 行业动态 > 初次结识海蜘蛛

初次结识海蜘蛛


CBSi中国·ZOL 【转载】 2011年11月10日 14:23 评论

一次偶然的机会,我帮朋友测试上网行为管理的软件,初次结识了海蜘蛛,并对其进行了安装和测试,虽有五六年不做技术工程师了,一时也不记得使用哪些命令配置或调试Cisco、Nortel和华为等设备,但像这种全中文、人性化、界面化操作的设备,对我来说还是很容易的,为了让大家更直观一些,我把此产品的界面截图发布上来供大家参考,有使用过的朋友也请指点一二或共同探讨一下:

首先,我们需要输入它的管理地址登录到它的主界面,如下图所示,共有九个模块,而每个模块下又设置了很多功能子模块,功能比较强大,其中包括路由、交换、防火墙、VPN、流量控制、带宽控制、监测中心以及上网行为管理等,一应俱全,配置参数也简单明了,可以算得上一款多功能综合性的网关设备,但由于初次结识海蜘蛛,还不能详细地介绍它的各项功能和配置,这里只是把它的一些关键特性及重要应用向大家介绍一下:


初次结识海蜘蛛

1、多线负载及策略,如下图所示,它可以支持多外线路的接入及负载均衡,省去你买多WAN口路由器的钱,你可申请多条宽带线路,不管是相同或不同的ISP运营商线路,这样一旦其中任一条ISP线路中断,网络仍然可以自动切换到其他线路,更重要的是设备还可以按照预定策略或自动分配流量与带宽到不同的线路,达到负载均衡的目的。 

初次结识海蜘蛛

2. VLAN虚拟局域网功能,这个也比较实用,它可以配合支持802.1Q封装的交换机使用,每个物理端口可以设置多个VLAN子接口,我们可以按照部门或IP地址或者区域等进行VLAN划分,并指定子接口作为网关。另外,还可以启用透明网桥功能,将选定的物理端口进行桥接捆绑,实现二层通信,还可以通过扩展子网掩码扩大网段的方式,实现VLAN间通信的功能。

初次结识海蜘蛛

3.3G无线接入internet,如下图所示,可以支持市面上常用的3G 网络制式: WCDMA/TD-CDMA/CDMA2000-EVDO/CDMA1x 等,当你的有线网络中断或者临时架设网络时,而又缺少有线网络的接入条件,我们便能够通过这种方式接入,具备这个功能说明海蜘蛛对前沿的技术和用户需求还是比较用心的,但由于当时没有随身携带3G网卡,未能进行实际测试其效果。

初次结识海蜘蛛

4.VPN功能强大,基本上常用的VPN服务都支持,包括PPTP VPN,IPSEC VPN,SSL VPN,如下图为IPSEC VPN服务器的配置界面,它可以支持所有通用的加密和认证算法如AES,DES,3DES,MD5,SHA等,也算得上一款功能比较全的VPN设备了。但还不知道它对VPN用户数和性能的支持及稳定度如何,有待进一步验证。据说此IPSEC是根据思科路由来编译调试的,能够做到和CISCO路由对接成功。

初次结识海蜘蛛

而除了设备本身作为VPN服务器端使用外,也可以作为PPTP,L2TP和SSL VPN客户端使用,如下图为PPTP VPN客户端配置,从图中可以看到它的每条客户端配置,可支持2条线路(首选和备选)用于和VPN服务器的对接,能够相互备份,尤其是用于多外部线路接入,最好是多ISP线路接入,降低VPN中断率,以确保VPN连接的可靠性。

初次结识海蜘蛛

5.防火墙模块,如下图,基本安全设置项,可以设置针对通用网络协议的攻击(如ICMP,DNS,TCP SYN, UDP等),配置连接数以及相关的接口的限制等,该项还提供了高级模式和特殊应用,可对防地址欺骗、路由欺骗、TCP攻击以及VPN穿透等参数进行配置。防火墙模块还可以按照用户要求针对IP-MAC地址绑定、DNS/IP过滤、网址/关键字过滤及黑白名单等进行配置,以更进一步满足用户的网络安全需求。 

初次结识海蜘蛛

另外,防火墙模块中还有一个更通用更重要的功能就是ACL访问控制列表功能,我们可以针对不同的源/目的地址、协议、端口、数据流向、数据包大小以及时间限制等参数配置过滤符合条件的数据,从而满足我们的安全需求。比如:允许某些IP地址访问另外一些IP地址,而限制其他IP地址的访问等,我们就可以在此进行配置。

初次结识海蜘蛛

还有一个比较突出的功能就是端口镜像,如下图,这个在可网管型的交换机上都支持,但这个功能与交换机上有所不同,交换机上一般主要配置设备端口,可通过设备本身或第三方软件如Sniffer, Etheral等抓包分析,而此处的端口镜像虽然原理上与交换机原理一样,都是通过复制相关数据到指定端口,但我们可以从图中看到,它是通过IP地址、协议和流向等进行过滤,虽然功能没有交换机上的端口镜像强大,但能在网关级设备上配置此功能的确不容易,开启此功能对设备的性能尤其是接口的处理能力要求比较高。

初次结识海蜘蛛  

6. NAT策略,由于长期以来IPV4地址的紧张,一般的办公网络很少能拥有大量的公网IP地址,因此只能采取私有IP地址解决内部众多终端IP通信的问题,但私有地址除了内部通信外,还需要通过NAT与公网或互联网进行通信,通常是各种对外的服务使用一对一地址或NAT策略,因此,需将某些私有地址或一定数量的私有地址转换成公网地址后再与其他公网地址进行通信并实现公网的资源共享。海蜘蛛这款设备中也集成了NAT所有常用的功能:端口映射, NAT, DMZ等。

如下图,就是NAT端口映射的功能,一般可用于内部服务器对外发布,允许外部如internet用户访问到该服务器时使用,此应用非常广泛,如架设企业Web站点, FTP等都可以使用这种方式,并且可以同时映射多个端口以满足不同应用程序的需求。

初次结识海蜘蛛

 

下图则为NAT的标准映射,一对一映射,一个内部地址对一个外部地址的映射,它是整个地址的映射,而不是某个协议和端口。但这种方法将会比较浪费公网地址资源,如非大量用户访问服务器或者所申请公网地址资源较多及一些特殊程序需求如VPN等,一般此NAT模式在普通办公应用中较少。

初次结识海蜘蛛  

而DMZ则是我们日常使用的过载NAT技术,就是将内部从多私有地址转换成一个或几个公网地址的技术,目前几乎大部分的企业和用户都会使用这种技术。同时,DMZ,NAT及端口映射可以根据不同的需求同时使用。 

7.上网行为管理应该是本软件的特色功能,也是关键功能,它可以帮助企业管理人员、网络管理人员灵活地解决在工作时间员工网上娱乐的问题,如员工上班时间玩QQ,打游戏,看电影电视, BT下载等行为,不仅扰乱了正常的工作秩序,也影响了公司网络的正常运行,并占用了公司有限的网络带宽,同时也可能将一些病毒或恶意程序带入公司内部网络,危害到公司的信息和网络安全,也给我们网管人员的工作带来诸多的麻烦。

如果你是公司的行政管理人员或网络管理人员,你也不希望公司的员工在上班时间做一些与工作无关的事情吧?海蜘蛛的上网行为管理功能,不仅可以针对即时通讯的程序进行限制,还可以针对如预设的对象、应用协议、恶意网址等按照需求进行配置。如下图,即为针对即时通讯软件进行限制和监控的配置界面。

初次结识海蜘蛛  

下面这个图片则是恶意网址拦截项的配置界面,除了恶意网站放入黑名单外,我们也可以把一些与工作无关的站点加入拦截范围,还可以设置白名单列表放行允许的网站:

初次结识海蜘蛛

 

接下来的图片,则展示了应用协议过滤的配置界面,并举例对QQ,QQ农场,Baidu,邮件以及游戏等应用程序的限制操作。

初次结识海蜘蛛

 

点击编辑第一项的配置,进入到如下界面,我们可以根据应用特征过滤和控制某些应用,主要配置选项如定义名称,优先级,控制对象,控制类别以及控制时间等:

初次结识海蜘蛛

 

同时,作为上网行为管理,其日志的内容是非常关键的,在领导或IT部门需要了解网络情况时,该日志可以起到强大的辅助作用,尤其是在发生故障或网络异常时。如下图为用户上网日志存储配置。

初次结识海蜘蛛

 

除以上功能外,上网行为管理还能够提供URL页面重定向、推送网页通知、对象分组管理等比较实用的功能配置。

8. 支持无线AP,麻雀虽小,五脏俱全,它带有802.11a/b/g的无线AP功能,满足一定范围内的无线覆盖,可惜的是没有提供802.11n 300Mbps的技术。尽管如此,它仍然支持一些通用的无线安全认证和加密协议,如WEP/WPA/WPA2,TKIP/CCMP等。

初次结识海蜘蛛

 

9. 流量控制功能,在办公网络中非常实用,我们可以通过该功能限制某些IP地址或应用程序的带宽和速率,确保办公网络带宽的正常和高效利用。基本限速规则设置页面如图:

初次结识海蜘蛛

 

智能QoS设置页面如下图:

初次结识海蜘蛛

 

10. 在系统工具模块,还发现了很多实用的小工具,如路由追踪、IP地址查询、MAC地址查询、计算子网、在线抓包分析等,如下图即为计算子网的工具,减少了人为计算的过程,方便了用户进行IP地址的规划等。

初次结识海蜘蛛

 

最终因现场条件所限,很多功能我并没有实际操作过,但总体上来讲,这款海蜘蛛企业版产品,在软件和功能方面,做的已经非常不错了,更主要的是它的实在,功能多且实用,另外,虽然海蜘蛛厂家不提供硬件设备,但由于这款软件对硬件的性能要求比较低,用户可以根据不同的网络规模和流量,配备不同的硬件产品,这样也有一定的灵活性,性价比也较高,非常适用于中小企业的网络。


  •  相关阅读:
给文章打分 5分为满分(共0人参与) 查看排行>>
频道热词:声卡驱动  驱动精灵  驱动之家  
视觉焦点