【IT168 资讯】入手TMA-10已经一个多月了,我觉得是时候对这款强悍的流控设备做一个总结了。
我以前接触过不少流控产品,比如Ctrl-IT、嗅探狗、流控狗、Panabit等,他们共同的特点便是全部都基于软件进行操作,如果安装这个软件的机器Down掉了,那么OK,这个流控软件也变SB了;如果安装这个软件的机器中病毒了、性能下降了,那么恭喜你,这个流控软件也变SB了。
最终我选择TMA-10的原因之一就是这个系列的产品都是基于硬件的,它就像一台交换机,所有的功能都是使用硬件实现的。举个例子,为什么交换机是基于硬件的而不是基于软件的?就是要将交换机的稳定功能特点发挥到最大,在这方面,TMA-10的特性是一样的。
再有我觉得特别爽的就是TMA的流量嗅探和控制管理功能,真的太TMD强大了!就像我们这个网络游戏研发公司,研发人员和策划人员原则上在上班时间是不允许玩游戏的,但是在中午休息时间是允许的,此外有时候策划人员又需要在上班时间玩游戏来寻找灵感和创意;另一方面,网络游戏研发企业当中员工的上网行为是很难管理的,一般小公司对员工的上网行为管理都比较宽松,对于迅雷、电驴等P2P软件不做限制,这也是这个行业的特点决定的,你很难界定员工上网行为中“娱乐”和“工作”的具体标准。
总之我刚来到这个公司的时候,面对的就是这样一种复杂的网络流控需求,那个台资老板直接交代给我的任务大致就是把员工身上最后一滴血汗都榨干,上班时间把迅雷、电驴之类的P2P软件都禁了,也不许玩游戏。如果策划人员需要测试或者找灵感A人家方案的话,先打报告,再放行流量。总之就是将原有的公司制度没能实行的部分落实。
一开始的时候简直一团糟,我下载了很多流控软件,发现大多数流控软件对于电驴和BT的限制和阻断都比较成功,可能也可以解释成这两种P2P下载方式的行为模式比较单纯,协议类型比较单一。但是我要着重说一下迅雷,这个凝聚了我们中国人无数技术人员心血的、世界上最强的综合协议P2P下载软件,一直在给我找麻烦,不仅流控软件,连很多厂商的硬件流控设备面对迅雷都无解,所有策略全开,就差拔网线了,可是迅雷的下载速度还能冲到100多KB,而且那些厂商的流控防火墙动辄两三万的报价也实在让我接受不了。
一个偶然的机会,我从一个在政府部门负责IT管理的朋友那里得知了TMA这款产品,经过他的撮合,比蒙新帆的销售和技术人员给我做了一次面对面的产品演示,对于我最关心的基于时间和流量的复杂流量控制需求和基于时间的流控,销售人员给了我正面的答复。其实根本不用他介绍,我一看他们的管理界面就都明白了,除了一些山寨的流控小软件之外,我还没见过有一款流控产品有这么友好的界面。就好像一本书的目录一样,登陆进去一切都一目了然,所谓的流控策略管理,留给我的操作也就是点点鼠标而已。
但是关于迅雷的封堵,比蒙的销售人员告诉我现在暂时还无法做到,他又跟我扯了一通迅雷流量的复杂性之类的废话。但是他的谈话内容里面有一点吸引了我,就是可以对迅雷的流量进行限制,甚至可以降低迅雷流量的优先级。经过现场演示,TMA对于迅雷流量的限制,确实可以在两分钟之内降低到我们设定策略的控制范围。现场我也自己操作了一下,在电玩巴士和太平洋网上找了几个比较热门的游戏,下载。在不作流控策略的时候,下载速度迅速攀升到300KB/s,占用了大部分的带宽,其中电玩巴士的流量占了80%,太平洋的占了20%左右。我为什么能知道流量和带宽占用的细节,因为这一切都在TMA管理页面上用饼状图明明白白的画出来了。
然后我按照技术人员的指导设置了流控策略,两分钟过去了,整个网络的流量降低到了15K,尽管我设定的策略是10K,但这已经是一个我可以接受的结果了,问了一下代理商,最后谈了一万五,成交。
我原本以为自己只是为公司添置了一台优秀的流控设备而已,但经过工作当中实际操作,我才发现这台TMA-10集成了流量分析、上网行为分析、内网威胁检测、自动告警等一系列功能,流控尽管是它的核心功能,但是围绕着这个核心功能,它又绑定了许多增值服务。
比起这些增值服务来,我更好奇的是为什么TMA能提供这些服务?查过资料我才知道,TMA的流量分析和流量获取技术是比蒙新帆他们自主研发的,听说是在美国硅谷有一个1000多平米的研究所,圈养着一堆变态整天开发这些技术。以往我接触的流控设备只能对OSI第四层的信息进行截获和分析,显然这只是一堆很模糊的信息,端口号说明不了太大的问题,面对一堆流量数据,我们做网管的还得一点一点分析……虽然说很能向老板展示我们的技术实力。
TMA的流量嗅探可以深入到第七层,这就是一个很玄妙的概念了!不要跟我提那些在用户电脑里植木马的应用层监控行为。TMA设备运到公司的第一天我就申请加班,和我们的策划一起做了一个测试,他用一台内网电脑上网、聊QQ、聊MSN、下载、玩游戏……然后我用流控设备进行检测和行为分析……说是行为分析,其实就是打开行为分析那个界面选择几个筛选条件然后盯着看,技术含量很低。结果他的一切上网行为在我的屏幕上都有直观的显示,为什么说是直观显示?因为TMA界面里就直接在他的上网行为那一栏里写着“聊QQ”、“聊MSN”、“玩游戏”、“FTP下载”!What the hell!
然后我在TMA上开始设定策略,我封堵了网络游戏流量,我们策划正在玩的永恒之塔立刻掉线;我封堵了QQ和MSN,他立刻就没法聊天了;我设置了下载流量限制,他的BT、电驴、在线电影等软件马上无法连接到服务器,只剩下一个打不死的迅雷,维持着不到20K的流量苟延残喘,而其实我们公司接入的10M带宽几乎全部空闲。
像前面所说的,流量控制只是整个TMA功能的一部分,它附带的增值功能也很实用,举个例子,在专家级分析里面可以基于用户、业务、外网情况、流量、性能和质量几方面对历史和当前网络状况进行有条件的筛选,这个功能的意义在哪里,就是当内网爆发ARP、蠕虫、病毒的时候,我立刻就可以从流量和用户的连接发起数分析出来网络质量下降的原因,更方便的是TMA专家分析会自动根据我选定的标准来对前二十名用户进行排序,如果内网有一个用户中木马,不停干扰网络质量,我只要点击“发起连接”排名的第一名用户,他的IP、MAC以及连接对象、发起连接和流量占总数的百分比、网络业务类型都会井井有条的列举在我面前,我一眼就能分析出它是不是出问题的那台电脑,真是方便太多了!
而传说中的P2P流量分析,则是基于比蒙新帆第二个自主研发的核心技术“Trixflow”。以前我接触的那些流控设备采用P2P的特征库,对网络行为进行行为特征匹配的方式来进行识别,很像我们使用的杀毒软件的病毒库。我觉得能做到这点已经很强了。但TMA的Trixflow则是运用数学建模的方式,分析P2P业务的本质,能够识别未知的、隐藏的、变种的P2P业务。这种模式的好处就是不用像杀毒软件那样不停地升级特征库,还整天担惊受怕有新的变种P2P出现。
设备安装的第二天,我向老板提供了一份全面的流控策略报告,老板看了很满意,因为所有需求都得到了满足,而且还有各种实用的增值的功能。老板对内网用户上网行为分析这个功能特别感兴趣,让我每天提交一份当天的员工上网行为统计,作为绩效考核的依据……我靠。
第一天下班的时候我向老板提交了一份当天网络流量分析的报表,当然也是TMA自动生成的,我只需要点点鼠标就好。
如果要用八个字来总结TMA的功能特点,那就是“功能强大,操作简便”。操作有多简便?我用一天半的时间把我们公司一个对IT一无所知的游戏策划师培训成了一个可以像我一样做多种流控策略和员工网络行为分析的管理员!
刚刚更新的体验:比蒙新帆公司的客户支持也非常强大。三天之前,我们还在为迅雷下载业务的完全封堵而头疼,最终不得不妥协于将迅雷流量封堵改为迅雷流量限制。而今天上午,比蒙新帆公司的技术人员对我刚刚购买的TMA版本进行了一次免费升级,最新的版本最大的特点就是完美解决了迅雷下载的封堵问题。经过现场测试,我的TMA-10完全封锁了迅雷的一切流量,几天前的测试还无法封堵的那几个资源如今也无法连接了。现场测试的技术人员很激动的告诉我这个技术是一个历史性的突破……我觉得有点扯淡,不过我的需求终于得到了完整的解决。
经过这次技术支持的升级服务,我感觉自己当初选择TMA产品是没错的,最起码比蒙新帆公司是在以我们实际需求为核心日夜不停的进行产品开发,解决问题的效率也很高,这让我很感动。光是这种服务质量就足以打动我去继续支持他们的产品线了,更何况他们的产品品质相当过硬。
晚上和比蒙的销售电话聊天的时候我又得知,他们现在开始逐渐推出一款叫AMS的系列产品,不仅整合了TMA的全部功能,还增强了内网审计、账号安全审核、从网络层面上进行企业战略分析等功能。我觉得这一系列设备与其说是一种新的产品,倒不如说是一种新的概念,因为之前没有人提出“以网络业务分析的结果为依据,进行企业战略决策”这种理念,尽管是大胆的尝试,但距离我们公司的实际需求还有一定差距。不过我现在已经有充分的时间学习网络新知识了,相信接触到BMC AMS这样的设备不会太久。