随着网络的高速发展,人们彼此之间沟通越来越顺畅,企业利用网络建立联系的同时,却常常遇到带宽不足、工作效率低下、机密外泄等困扰。最大的元凶,莫过于IM、P2P网络应用:

大家一谈到IM应用,往往首先想到的就是聊天。IM进入了企业的门槛,仍然主要是作为聊天工具,充其量也就是个传传文件,发发消息的小玩意。只不过现在大家聊的话题涉及公事更多而已。对企业的管理者而言,多半并不喜欢员工进行工作以外的事情,因此企业需要在便利及安全之间作选择。目前,大部分企业还是把IM定义为聊天而非沟通工具,因此国内有些大企业还是以限制与监控网络通讯过程,作为员工考核与奖惩的依据。不少企业为了避免员工在上班时没事就跟人聊天闲扯,为防止员工工作效率低下便主张禁止IM软件的使用。

至于P2P,相信大家都用过迅雷吧,没错,他就是一款P2P软件。自从出现诸如迅雷、电驴、BT等P2P软件之后,海量的数据文件(如大容量文件交换、视频文件下载等)逐渐占据了大部分的网络带宽。P2P这一新应用给用户带来了前所未有的方便和丰富的资源,但同时也引发了网络带宽和安全问题。当前,以BT、迅雷为代表的P2P下载软件流量占用了宽带接入的大量带宽,据统计已经超过50%。这对于以太网接入等共享带宽的宽带接入方式提出了很大的挑战,大量的使接入层交换机的端口长期工作在线速状态,严重影响了用户使用正常的Web、E-mail以及视频点播等业务。特别是为了防止员工上班期间,利用公司网络进行非法下载,大量占用网络带宽,从而影响其他员工的正常工作,因此,企业用户以及教育等行业的用户都有对这类流量进行限制的要求。

鉴于上诉越来越多的企业需要针对企业内部IM、P2P软件应用加以限制,因此越来越多的企业力图解决此问题。而一直以来网络层防火墙对IM、P2P无法可管的原因,就在于该应用建立连结时不使用特定连接端口号码(Port number)的特性,只提供网络层防护的防火墙无法以关闭连接埠的方式阻断IM、P2P的使用。因此市场上多家提供防火墙技术的厂商,正在积极发展应用层防火墙技术。而将技术延伸到应用层后,防火墙将可透过辨识P2P应用程序的 特征(Signature),来阻挡该程序的执行。

 

 

虽然现在市场上已经有越来越多的应用层防火墙,通过辨识P2P应用程序的特征,可以有效地阻挡QQ、MSN及迅雷、BT等应用软件的使用。但是在设计和使用上,任然存在缺陷。所有设定管制IM/P2P的条例,仅能遵循统一的定制规则。要么公司全网用户禁止使用IM/P2P应用软件;要么公司全网用户无任何IM/P2P应用软件使用的限制。而这种对于特定用户的限制尺度,无法弹性调整,显然这是无法满足企业内部实际应用灵活需求的,它没有突破管理的瓶颈。如下图1:


图1

 

为了应对上诉的情形,众至防火墙特别将IM/P2P的阻挡机制独立设计,把大家普遍使用的IM、P2P软件分门别类的归档于应用程式管制中。这样管理人员则可以依据企业内部员工工作性质,公司的网络政策,动态调整出可供个别运用的管理组合。如下图2:


图2

从图2,我们可以看出,企业可以根据内部的实际需求制定出相应的管制策略。如技术部门因为网络工具、网络资源的使用可能会比较频繁,因此开放P2P下载,但是对于技术部门来说,IM的使用无非就是私人聊天而已,因此加以禁止IM的使用。而对于销售部来说,由于跟客户通讯往来的需要,开放IM即时通讯软件的使用,而对于P2P下载加以禁止。至于总经理,哈哈,那当然是不需要任何限制哦。

补充说明:

当然众志防火墙不仅仅只能管制IM、P2P,还包括VOIP 管制、WEB 的应用管制等其它分类。特别针对大陆用户开发禁止股票软件应用的管制功能,如果说IM、P2P应用对于企业禁止与否值得商榷的话,相信对于上班期间炒股是绝对不允许的吧?那么果断禁止吧,当然它也可以像IM、P2P一样,针对个别用户或群组做到弹性管控。如图3:


 

总 结:

P2P(peer-to-peer)以及实时传讯软件(Instant Messenger, IM)的应用越来越频繁,例如近日快速窜红、提供VoIP应用的Skype,就是一种P2P应用;而QQ、MSN Messenger、Yahoo Messenger等,则是使用者惯用的通讯软件。企业如何做好管控内部网络的使用,关系到企业效率、正常运行,甚至是企业网络的安全。因此选购一台灵活有效地IM、P2P网络应用与管理的防火墙,相信是企业必须认真关切的一个问题。对于众志防火墙来说,无疑是你企业防火墙首选产品之一。


来源:www.nasi.cn  加入时间:2013-11-1 点击:48914