一、中小企业面临内网安全及上网行为管理的困境

　　随着业务的发展和信息化建设步伐的加快，中小企业的网络安全和内网员工的互联网访问行为管控等问题日益严峻，虽然很多企业在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了中小企业应用系统的运行和业务的正常运作;另外，在针对内网安全方面(尤其是PC客户端准入安全检查)，由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。

　　更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露企业机构内部机密信息，并可能因访问非法网站或发表非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了中小企业机构内部关键应用和业务的开展。

　　通过对中小企业机构的网络状态的分析，我们可以看到大部分中小企业在内网安全管理、互联网访问行为管控方面存在或多或少的管理和监控的问题，如何有效的解决这些存在的问题，提升企业员工的工作效率，降低IT人员的管理成本是当务之急。

　　针对以上这些问题，我们选择了业界内有着广泛知名度的，且有针对性的上网行为管理路由器产品----D-Link DI-7001上网行为管理路由器(适用中小企业，价格只有数百元)，并通过实际环境的测试，来展示在内网安全、上网行为管理等方面为企业带来的益处。

　　本文将通过以下几个步骤来进行：

　　一、中小企业面临内网安全及上网行为管理的困境

　　二、D-Link解决方案的架构及测试环境介绍

　　三、基本配置及WEB登录

　　四、测试或介绍的功能点

　　1、IP地址组

　　2、WEB访问控制

　　3、WEB安全

　　4、电子公告

　　5、聊天软件过滤

　　6、P2P软件过滤

　　7、股票软件过滤

　　8、网页游戏过滤

　　9、网络安全

　　10、流量控制

　　11、其它特色功能

　　12、固件升级及新功能体验

　　五、测试总结

　　二、DI-7001解决方案的架构及测试环境介绍

　　1、产品特性

　　DI-7001是D-Link专为小型企事业设计的宽带接入路由器，提供1个互联网端口和4个局域网端口。它采用网络专用处理器，性能优越，能满足20-40个用户同时上网的需求。功能强大，具有IP-MAC绑定、弹性流量控制、连接数限制、上网行为管理、VPN应用等功能。内置硬件防火墙，能有效防范DoS类攻击、ARP欺骗、蠕虫等病毒入侵。

　　DI-7001具备多样化的宽带接入方式，以及更能引起大家兴趣的对内网安全的管理以及上网行为管理，这也是本文测试验证的重点。带机量在20-40台的限制也可以看出是专门为中小企事业设计的。

　　本产品提供一个WAN口，四个LAN口，均为10M/100M自适应，且LAN口为可交换式。放在一张A4纸上，约占有4/5的面积，小巧而精致。

　　2、DI-7001解决方案架构

　　如图所示，为典型的企业Internet接入方式，尤其是中小企业。DI-7001直接接入Internet(此时，其既可以充当ADSL拨号功能，亦可充当静态IP地址的路由器)。后端接入核心交换机等。

　　3、产品功能测试的环境简介

　　本次的环境为家用办公室环境，2Mb宽带接入，DI-7001路由器的前端为一带有防火墙功能的拨号路由器，DI-7001路由器主要起到内网安全管理及上网行为管理的角色，同时后端接有一八口的交换机以及无线路由器。带机量为10台左右，重点使用其上网行为管理功能。

　　三、WEB登录及基本配置

　　前面提到，本款路由器支持多种接入方式，可以根据企业机构的Internet接入情况的多样化而选择最适合的方式(考虑ISP的同时，也要考虑网络管理)。

　　1、WEB登陆及首页

　　通过IE浏览器连接路由器进行管理或配置，好像是目前最流行的方式了，DI-7001路由器也不例外。同时亦提供了通过Internet访问进行远程管理的方式，前提是有固定的公网IP或动态域名(公网IP视接入方式，而动态域名要看是否申请)。可以访问http://192.168.0.1,导航至基础设置--内网选项，在右侧进行相应内网连接管理的IP配置。同时亦可控制对路由器管理地址访问的主机。

　　登录后的首个页面，给人一种绿色环保的感觉，的确，此款路由器耗电量相当少，最大能耗只有8W。由此，可以看出D-Link在用户使用体验及成本降低方面是下了一番功夫的：把一些常用的管理项集中在第一页，这就像桌面上的快捷方式一样，能迅速快捷定位到想要的功能;更值得赞赏的就是如上图所示的右侧帮助提示，你完全可以根据此简明扼要的说明完成所有的配置(类似于“傻瓜型”指南)，笔者就是看此完成所有的所需功能的设置的。

　　2、基本配置

　　基本配置，主要讲此路由器在本次架构中所担任的角色，NAT功能。产品中是通过“基础设置”-“外网配置”来完成的。从下图中亦可看出提供了几种网络接入的方式，基本上满足了小型企事业Internet接入的需要。此环境中设置成静态线路。

　　四、测试或介绍的功能点

　　产品确有不少可以介绍的地方，本文的重点是测试上网行为管理的功能及内网管理的工具(功能)，这些均是“一、”中所面临问题的相应的解决方法。

　　测试需要全面、深入的、长时间的测试，这样才能发现问题，同时也才能确认此功能在本企业机构应用的可能性。

　　笔者一直负责公司总部及40多家分支公司的上网行为管理的工作，依据管理的经验、用户的体验、老板的要求、企业的网络接入及管理的特点，重点选择了一些功能进行说明和效果截图。为大家分享经验，供借签。

　　1、IP地址分组

　　企业均有不同部门的设置，或是有不同职位级别的划分，他们对上网行为或有不同，可以根据这些性质进行IP分组，如把老板们分在一个IP组中，可以让他们具有与别人不同的上网权限(视企业内部管理制度而定)。如果不清楚如何设置及作用如何，看右侧的帮助啦，下同。

　　这项功能，为接下来要进行的功能启用提供了一种前提，也就是可以根据不同的IP分组进行不同的网络行为的管理(阻断、记录、警告)

　　接下来的功能点，也可以称为是规则或规则库，它的一个很重要的特点，就是变化性，要知道每天产生多少个网站，产生多少个应用或变化等，这些需要定期及时的更新的，而且DLink提供了这些规则或策略的升级通道。导航至“系统工具”—“策略升级”。

　　2、WEB访问控制

　　根据网站的性质，D-Link分成了不同的类型，如休闲娱乐、新闻资讯等等，不好的一点缺少明确的分类特征，如果能细化也许全更好。不过通过文字描述一般也能分出不同来。而且对于这样一款价值几百元产品能做到如此已相当不错了。

　　前面的IP地址分组，从这个功能点开始能派上用场了，通过“例外IP地址组”，Boss组在任意时间均可以访问所有的网址。

　　图中的“黑、白名单”提供了用户不能访问的或是能访问的网址，这是“网址分类管理”的一种细化或补充。如开心网，虽然可能在“网址分类管理”中阻断，但如果在白名单的话，亦能让大家访问。

　　“跳转地址设置”，笔者以为是一项很好的功能，如果你访问了一个被阻断的网站或是黑名单中的网站，就会跳转到这个页面，而且这个页面可以是公司的官网，也可以自定义。

　　下图便是被用户访问的位于“黑名单”中的开心网被阻止后跳转的截图(当时跳转地址为D-Link的网址)。

　　3、WEB安全

　　WEB的安全管理，主要是对一些文件扩展类型的过滤，以及对一些URL关键字的过滤，同样也提供了“例外IP地址组”。如果担心用户下载的EXE或RAR文件有病毒等，启用此功能后填入后面的框中就可以了。

　　URL关键字过滤，可以是整个网址，也可以是部分字符串，亦或是中文名称。提醒大家设置时，要慎之又慎，且设置后定要测试使用，且在老板或同事使用前进行测试，以免误事。

　　结合着“WEB访问控制”，可以进行一些细化的设置，但注意策略或规则生效的先后顺序，sina网站在白名单中，QQ网站不在白名单中。

　　4、电子公告

　　公告功能可以按照设置的周期向员工发送公告内容，且是通过浏览器在你浏览时自动显示的。很好的功能哟，启用后，就可以用来发送对员工的表扬，或是放假通知啦。

　　5、聊天软件过滤

　　这个功能是相当多的企业都需要在企业机构实现控制的，常见的几种聊天工具和即时通讯软件都在列，可以进行开启、关闭、记录(虽然QQ有记录选项，但本产品并没有提供上网行为管理审计功能)。

　　“例外的QQ号”配合着“聊天软件过滤”可以实现灵活的管理，被例外后，是不受过滤功能影响的。

　　6、P2P软件过滤

　　本来带宽就有限，可又被一些“可恶”同事用来在上班期间疯狂BT、迅雷等，有限的带宽变成了无限的等待了，而企业网络管理人员又束手无策。现在好啦，本产品所提供的这个功能让你在有限的带宽中无限畅游。

　　你只需要“开启”就可限制，亦可通过“例外IP地址组”把一些需要特殊使用的人员不受限制。

　　受控的类型较全面了，不但是下载软件，还有视频网站等，常见的使用P2P技术的软件或网站一网打禁。

　　限制的效果相当的不错，相对全面的P2P软件在列，且能控制住，就相当让人口吐佛语了。

　　7、股票软件过滤

　　上班期间玩股票的人真个不少，可是影响工作的，怎么办?要控制。老板需要，又要怎么办?排除掉。

　　8、网页游戏过滤

　　现在的网页游戏网站是相当的多，尤其是开心网和QQ农场，笔者曾经有段时间，月黑风高之时起床偷菜，虽然公司上班基本白天，但也严重影响工作效率，那就利用DI 7001来限制吧，最好能结合“URL关键字过滤”及“WEB访问控制功能”。

　　9、网络安全及管理

　　内网安全也是一项重要内容，如ARP病毒的防御，如一些FLOOD的攻击等，本产品提供了一些防御功能。当然也可与“上网行为管理”—“防火墙设置”相配合，以灵活管理。

　　内网的管理方式，也提供了如IP与MAC地址过滤和绑定的功能，ARP监控等等，这些功能结合着上网行为管理，能帮助IT管理人员定位及排除网络问题的。

　　10、 流量控制

　　这也是一个很好的功能点，可以通过对主机流量的限制，来避免因一个带宽占用过多而影响全局的情况。

　　再结合着P2P的阻断功能，可以灵活、有效、多样的进行带宽管理，充分利用有限带宽，提高工作效率，也能显现IT人员的水平和能力哟。

　　11、 其它特色功能

　　DI 7001的好功能不少，结合使用体验，介绍几个对大家有用的功能点。

　　A、VPN

　　没想到这样一款专注于上网行为管理的路由器，竟然内置了VPN功能，而且还有IPSEC网对网式的VPN(也就是所谓的站点到站点的VPN连接，常用于分支公司与总公司之前的网络连接)。

　　B、内网监控

　　通过“系统状态”—“内网监控”，可以对内网主机的流量进行统计，如果发现异常，亦能阻断此IP或主机的连网。

　　C、端口映射

　　端口映射功能，可以将内网的服务器发布到公网上，实现通过访问路由器外网IP和端口从而达到访问内部服务器服务的功能。

　　12、固件升级及新功能体验

　　产品的功能强与否，很大程度上取决于厂商的支持与后期的开发，如固件升级及规则库升级，在测试使用的过程中，D-Link已发布了针对此产品新的固件版本，新增了两个很切合企业使用的功能。

　　A、固件升级

　　从官网http://www.dlink.com.cn/products/?pid=DI-7001下载新的固件文件，通过向导进行升级，方便快捷。

　　B、新增功能之共享破解

　　一些省市的ISP会对接入网络尤其是ADSL等进行机器使用数限制，导致带宽不能共享使用，而在新版本中的这个功能，对这些用户来说是一个很好的福音，可以说这个产新增的功能很是符合小型企业以及多台电脑家庭网络使用：

　　C、新增功能之多WAN模式

　　此功能可以让企业在有多条ISP线路接入时均能使用，不但负载分流还能实现冗余。是相当实用的功能，且配置起来简单，只需要通过帮助就能轻松搞定：

　　五、测试总结

　　本次测试虽然没有针对这款产品所提供的功能进行面面俱到的使用，但中小企业常见的产品所能提供的功能均进行了测试，与大家分享以下几点：

　　1、DI 7001这款产品的用户界面友好，配置不但简单，亦可通过通俗易懂的帮助，让管理人员快速上手，非常有利用于快速部署及使用。

　　2、上网行为管理功能强大，结合国内中小型企事业的网络行为特点，提供了针对的管控功能，如果配合使用，更能发挥作用。

　　3、针对内网安全不但提供了防御功能，还提供了快速定位及处理主机(IP地址)的工具。对内网管理亦如此，且提供了公告功能，这些对管理人员(含行政管理人员)的管理帮助较大。

　　4、宽带接入方面，动、静结合，又加上各地均支持的ADSL接入方式，符合企业Internet接入方式多样化，同时新版本中的共享破解和多WAN功能，更是切合企业及家庭访问Internet时需求。

　　5、上网行为管理中的控制部分虽然提供了解决方案，但如果能有相应的审计功能(记录或报表)会更加适应企业需求。

　　产品没有真正的好与坏，只有适合与否，相信通过笔者的使用体验，你会对这款上网行为管理路由器最大程度给予肯定的。选择性价比不错的D-Link的DI 7001路由器产品，明智之举。