谨防忽悠：究竟如何选择网管软件？

    现在市场上有很多提供上网行为管理产品的厂家，作为一个新兴的IT领域，对于什么是“真正的上网行为管理”这一概念，各方观点不一。其中不乏一些厂商出于市场行为，向用户灌输一些有倾向性的理论，以误导客户的购买。笔者结合在网管软件市场多年的经验，以及听到大量的用户向我们诉苦、反馈，特别总结了一下当前忽悠客户的常见伎俩，便于用户在选择网管软件的时候提高警惕，做到明智投资，实现网络管理的最大收益。

目前市场常见的忽悠客户的方式主要如以下几种：

1、 上网行为管理软件厂家的宣传都很好，称自己对所有的网络应用都可以封堵。但经过实际测试、发现很多厂家的宣传都不属实，甚至根本无法实现。所以用户在购买上网行为管理产品前一定要和厂商确认能否封堵加密类的应用，例如QQ、飞信、SKYPE、迅雷等等，最好写入合同予以保证，如果能有测试条件一定要仔细测试，防止买了产品不能实现相应的功能，造成投资浪费。

2、 对一些较难以封堵的网络应用，如P2P下载，特别是迅雷、BT、电驴等为代表；以及一些聊天软件，如QQ、SKYPE等较难封堵，网管软件厂家宣称都可以封堵，但是这种封堵，却要求在被控制的电脑安装类似“木马”的客户端程序，在网管的电脑部署服务端程序，通过服务端向客户端发送结束进程的指令，客户端收到之后就将这种网络应用进程强行关闭，以此来达到禁止上述这些P2P工具和聊天软件的目的，但是如果客户端将进程的名字修改，就可以逃避监控了，因为这种结束进程的指令是根据进程的名字来判断的，比如我们将QQ.exe修改成TT.exe那么就可以逃避监控，正常登录QQ了。并且，如果每个被控制的电脑都安装客户端软件，如果在电脑数量较大的情况下，是一件非常繁重的任务，同时，客户端软件也容易被杀毒软件杀掉，或者被一些懂计算机技术的高手卸载掉，或者通过一键恢复等重做系统，从而去除了客户端，以达到逃避监控的目的。这样会造成网管工作更为繁重，不利于简化网络管理的目的，更不能达到网络管理的目的。

3、 有些网管软件厂商宣称自己的产品可以达到封堵各种P2P下载，各种聊天软件的功能。但是这种封堵，是以非常复杂的操作为目的的，并且这种操作是让客户自行完成的。例如，有些网管软件厂商宣称自己的产品可以封堵QQ聊天，但是封堵的方法却是让客户自己去把腾讯的QQ聊天的服务器的IP都找到，然后添加到过滤规则中去，由于腾讯的服务器的IP众多，并且每隔一段时间都会新增一些服务器，所以这种方法非常繁琐，并且也不现实；还有一些宣传可以封堵BT下载厂商，在具体告知客户封堵方法时，却是让客户把当前流行的BT较大的网站站点封掉，以达到封堵BT下载的目的，这种封堵方式十分可笑。一方面，BT站点极为众多，每天都在增加；其次，即便封堵了所有的BT站点，但是客户端只要得到BT种子就可以下载，这样同样可以不浏览BT站点就可以进行BT下载，因为得到BT种子的途径太多。所以最终还是无法封堵这些P2P软件，无法真正实现轻松管理。

4、 有些网管软件，宣称自己的网管软件部署极为简单，安装在局域网内的一台电脑上就可以完成部署。但是实际部署的时候，却要客户在交换机做端口镜像、或者部署HUB或者部署代理服务器。这种操作一般都需要改变本地的网络环境，因为不是每个交换机都要支持端口镜像，这样客户为了部署网管软件就需要另行采购支持端口镜像的交换机，然后还要进行复杂的端口镜像配置，这样无形中增加了客户的部署成本和复杂性；同时，如果让客户通过HUB或者代理服务器的情况下，由于这种上网方式是比较古老的上网方式，对网速的影响极为明显，从而影响了网络性能，失去了部署监控软件的目的。并且，这种旁路的方式进行监控，由于只能对过往的报文进行拷贝，发现不合规则的应用之后就发送伪造的HTTP报文从而将连接打断，以实现网络控制和记录，但是这种技术的架构只能打断普通的HTTP报文、TCP报文，却不能打断UDP报文、P2P报文，这是由不同的协议传输原理决定的，从而也就无法有效限制流行的P2P下载、QQ、SKYPE等聊天工具。

5、 有些网管软件宣称可以限制局域网的各个主机的流量。但是，实际上客户更需要的是限制各个主机的带宽，但是我们一般会将“带宽”说成是“流量”，实际上，这是两个不同的概念。带宽，也就是流速，流速的概念是某一个时刻公网传输的报文总数，是一个动态的数值，这就类似于汽车的“车速”；而流量是一段时间内公网传输的报文总数，是一个静态的概念，类似于汽车一天行驶的里程数。如果管理员给某个主机设定了一天10M的网络流量，如果此主机的使用者在一小时内通过BT下载了（或者通过其他下载、或者因为其他网络活动）10M的资料，而且是工作之需，那么他今天就不可以再访问因特网（除非管理员给他重新增加流量），因为他已经用完了自己的网络流量，并且因为他可能在较短的时间内大量的下载，所以在他进行下载时还可能影响到其他主机的网络流量；而真正限制带宽的软件，可以实时查询局域网其他主机的流速（也就是网速），当某个主机进行频繁的网络活动，或者进行超量下载时，管理员可以实时检测到，并且给这个主机进行限速，就是降低这个主机的传输公网报文的速度，这样一方面可以保证这个主机正常的工作继续进行，又防止了他的过量下载会影响到其他主机的上网速度。

6、 “硬忽悠”。现在国内很多网管软件厂商纷纷推出自己的硬件监控系统，并且大肆宣传硬件监控系统的各项优势，但是很少透漏硬件系统的具体配置，比如CPU、内存、硬盘、网卡等等信息。然而实际上，这些硬件多为1U架构，里面的硬件配置都很低，有些配置甚至连普通的PC性能都不如，所以运行效率而反而比将监控软件装在PC上速度还慢。其实，懂行的人都知道，这些硬件监控系统一般为工控机，成本低廉，用料粗糙，比一般的服务器性能差很多。同时，作为硬件监控系统，除了CPU和内存、硬盘、主板等配置以外，网卡的性能也至关重要，因为网卡承载数据捕获、过滤和转发。目前这些硬件监控系统宣称自己的硬件监控系统是千兆网卡，但是千兆网卡分为普通PCI插槽的和PCI-E插槽的，PCI-E是英特尔公司推出的更高性能的网卡，比普通千兆网卡速度快近10倍，可以很大程度上提升数据包捕获、过滤和转发的速度。同时，国内的网络管理员和企业的决策人员因为传统观念的原因，总觉得硬件监控系统肯定比纯软件的监控系统稳定，这种观念实际上是错误的，因为监控系统的稳定很大程度上取决于软件自身的稳定性，比如开发语言、开发环境、代码质量、程序逻辑和耦合等方面，如果软件自身漏洞百出，即便是装在再高端的服务器上也会导致系统崩溃，不能正常使用。同时，硬件监控系统收费很高，会大幅度增加企业的采购成本，而一旦系统出现问题，一般要返回厂家进行维修，过程漫长、复杂。总之，与其购买昂贵的硬件监控系统，不如购买纯软件的监控系统，然后自己配备性能较高的服务器更为实惠、划算。

    此外，当前厂家忽悠客户的方式还有很多种，在此就不再一一列举，广大用户在决定采购和部署网管软件、上网行为管理软件的时候一定要小心选择，尽可能测试相关功能之后再决定购买。不过，大体上我们可以通过以下几个关键点来衡量一个网管软件的总体功能和性能情况：

1、 通过测试封堵QQ、SKYPE等聊天软件来衡量网管软件，尽可能让网管软件厂商提供的试用版具有这个功能，并进行测试。

2、 测试迅雷等P2P软件，迅雷是当前下载速度最快的P2P软件，同时也是技术力量雄厚的P2P软件，它融合了当前所有流行的P2P协议技术，并结合自己独创的加密协议，从而也最难封堵，客户可以让网管软件厂商尽可能提供这个功能进行测试。

3、 能否限制局域网各个主机的带宽。目前国内主要的网管软件厂商的产品架构大都需要交换机端口镜像、或者hub或者代理服务器等，这样的架构一般只能限制一段时间的流量，而无法限制带宽，也就是各个主机的上网速度，这也是因为其技术原理决定的，所以，如果是这样的架构，而客户又想实现限制各个主机带宽占用大小，就不宜采用这种架构，因为这样的架构只能限制一段时间的流量，却不能实时限制局域网各个主机的上网速度。

4、 尽可能简单的快捷部署。考虑到国内网管人员的水平，以及国内企业对网络管理的需要，我们建议客户不要贪大求全的采购网络管理系统，大的网管软件，如基于硬件的监控系统，价格非常高，增加企业的采购成本，同时，操作和使用也较为复杂，要经过繁杂的培训，同时，如果基于硬件的监控系统，一旦硬件出现问题，维修会非常复杂，同时也会被厂家索取较高的维修费。

    综上所述，目前国内网管软件品牌众多，综合各方面的因素考虑，我们推荐国内较为知名的上网行为管理系统：聚生网管（官方网址：http://www.grabsun.com），采用多项专利技术，在封堵P2P下载，如迅雷、BT，以及封堵QQ、SKYPE等方面，以及限制各个主机的带宽和流量等方面都有明显的优势，并且所有的操作都是点点鼠标就可以完成、不需要安装客户端软件、不需要代理服务器、HUB或者其他硬件设备，也不需要对网络环境进行调整，只需要安装在局域网一台电脑上就可以控制整个局域网的上网行为，在国内网管软件品牌中，具有较强的竞争力。有兴趣的用户，可以到他们的官方网址下载试用。