上網(wǎng)行為管理產(chǎn)品在網(wǎng)絡(luò)管理中已經(jīng)是一個不可或缺的部分，并且已經(jīng)得到了廣泛的使用。

大家在選購上網(wǎng)行為管理產(chǎn)品的時候，一般都關(guān)注功能和價格。實際上，產(chǎn)品的部署方案才是首先要考慮的因素。

本文將討論上網(wǎng)行為管理產(chǎn)品的幾種典型部署方案，及各自的優(yōu)缺點分析。

旁路部署方案

旁路部署的網(wǎng)絡(luò)結(jié)構(gòu)圖如下（以WFilter為例）：

旁路部署方案的優(yōu)點

1. 旁路部署方案是對當(dāng)前網(wǎng)絡(luò)影響最小的監(jiān)控模式。
   

2. 充分利用已有硬件的功能，部署方便，不會影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。
   

3. 不會對網(wǎng)速造成任何影響。旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù)，對原始數(shù)據(jù)包不會造成延時。

4. 旁路監(jiān)控設(shè)備一旦故障或者停止運行，不會影響現(xiàn)有網(wǎng)絡(luò)。

5. 旁路部署方案一樣可以對上網(wǎng)行為進行控制。

旁路部署方案的缺點

1. 需要交換機或者路由支持“端口鏡像”功能才可以實現(xiàn)監(jiān)控。
   

2. 旁路模式采用發(fā)送RST包的方式來斷開TCP連接，不能禁止UDP通訊。對于UDP應(yīng)用，一般還需要在路由器上面禁止UDP端口進行配合。

旁路部署方案總結(jié)

如果現(xiàn)有的網(wǎng)絡(luò)設(shè)備運行穩(wěn)定，且對網(wǎng)絡(luò)的穩(wěn)定性要求高。在不考慮升級硬件的情況下，首先應(yīng)當(dāng)考慮旁路部署的軟件方案，這樣可以以最小的代價來部署上網(wǎng)行為管理，而且不會影響現(xiàn)有網(wǎng)絡(luò)的穩(wěn)定性。

串聯(lián)部署方案

串聯(lián)部署方案有兩種：網(wǎng)關(guān)模式，網(wǎng)橋模式。如下圖：

• 網(wǎng)關(guān)模式：用上網(wǎng)行為管理產(chǎn)品替換現(xiàn)有的網(wǎng)關(guān)（路由器、防火墻）。

• 網(wǎng)橋模式：用上網(wǎng)行為管理產(chǎn)品串聯(lián)在網(wǎng)關(guān)和核心交換機之間。

串聯(lián)部署方案的優(yōu)點

1. 解決了旁路部署方案的缺點，可以進行流控，可以禁止UDP通訊。
   

2. 硬件維護比較單一，避免了軟件的兼容性問題。

串聯(lián)部署方案的缺點

1. 需要購買新的硬件產(chǎn)品，并替換掉現(xiàn)有的網(wǎng)關(guān)。造成硬件資源的浪費。

2. 網(wǎng)絡(luò)中增加了新的硬件，穩(wěn)定性需要時間的磨合。

3. 增加了單點故障的可能性。串聯(lián)設(shè)備一旦死機或者掉電，會導(dǎo)致網(wǎng)絡(luò)中斷。

串聯(lián)部署方案總結(jié)

公司決定升級現(xiàn)有設(shè)備時，可以考慮購買一臺行為管理硬件產(chǎn)品，并且進行串聯(lián)部署。但是串聯(lián)部署的設(shè)備一定要進行一段時間的穩(wěn)定性測試，確保不影響網(wǎng)絡(luò)穩(wěn)定性。

總體來說，根據(jù)公司的預(yù)算，現(xiàn)有網(wǎng)絡(luò)狀況來判斷是進行旁路部署還是串聯(lián)部署。旁路部署優(yōu)選軟件方案（推薦WFilter上網(wǎng)行為管理軟件），串聯(lián)部署優(yōu)選硬件方案。