面向中小企业 5款上网行为管理设备横评

     网络的发展让企业信息化进程日益加快，随着企业内部网络应用的增多，如何有效分级对员工行为进行控制成为一个重要课题，传统的防火墙只能对数据流安全作出判断，无法识别应用层。面对这一窘况，上网行为管理设备开始大行其道，并在市场上热卖。

    对于国内市场，上网行为管理设备品牌众多，针对中小企业的产品更是数不胜数。如何选择一款性能优良，运行稳定的设备，对于广大采购者来说确实是个问题。我们根据目前市场上的热销产品，特选择以下5款上网行为管理设备，从外观设计、内部配置、应用管控、安全项目等几方面进行测试，看看哪款产品更具有自己的优势。

    评测的产品为以下5款：飞鱼星VE982W、艾泰U2000、IP-COM R9、TOTOLINK M985W、D-Link DI7001。

飞鱼星VE982W

艾泰U2000安全网关

IP-COM R9

TOTOLINK M985W 无线路由器

D-Link DI-7001 企业管理路由器

    需要注明的是，评测的这几款产品中有部分产品并不是以“上网行为管理”设备宣传的，但不可否认的是其均是面向中小企业，并且具备了行为管理功能，而本次评测则主要针对上网管理和安全方面进行评测。 

    飞鱼星科技创新推出的无线上网行为管理路由器——飞鱼星VE982W。它是以备受广大中小企业用户喜爱的明星产品VE982为蓝本，创新的融入安全无线、打印共享、文件服务、IPSEC VPN等中小企业高频应用功能，同时大幅提升硬件配置的创新产品。飞鱼星VE982在市场上已经得到了众多好评，这个升级无线版本的新产品又会给大家带来哪些惊喜呢？

    整个产品做工给人感觉非常扎实，提在手中很重，侧面反应了用料很足，外包装产品印有“企业专用”字样，并且在2011年购买该款产品，可以获得免费延保半年的活动。

    飞鱼星VE982W前面板提供了两个10/100Mbps广域网接口WAN以及三个10/100Mbps局域网接口LAN；右边设系统状态以及接口状态指示灯；同时配备一个USB接口，左右两侧分布有散热孔。两根天线手工安装，信号强劲。

飞鱼星 VE982W
网络标准	无线标准：IEEE 802.11n、IEEE 802.11g、IEEE 802.11b 有线标准：IEEE 802.3、IEEE 802.3u
最高传输速率	300Mbps
网络接口	2个10/100Mbps WAN口 3个10/100Mbps LAN口
天线类型	外置全向天线
天线数量	2根
是否可拆卸	是
天线增益	5dBi
VPN支持	支持
Qos支持	支持
防火墙功能	内置防火墙
无线安全	无线MAC地址过滤 无线安全功能开关 WPA-PSK/WPA2-PSK、WPA/WPA2安全机制 独创的“客人网络”，可将无线用户与内网物理隔离
网络管理	中文WEB管理界面，配置简单，使用方便 双BIOS系统保护，固件升级安全无忧 支持配置参数的备份和恢复
电源电压	AC 170-260V
电源功率	≤10W
产品尺寸	280×170×44mm
环境标准	工作温度：0-40℃ 工作湿度：10%-90%RH（不凝结） 存储温度：-40-70℃ 存储湿度：5%-90%RH（不凝结）
其它性能	内存：64MB 闪存：8MB
其它特点	上网行为管理：网址分类管理，WEB安全，聊天软件过滤，P2P软件过滤，股票软件过滤，游戏过滤；支持IP分组管理，分时段管理，电子公告系统

前面板接口

 
组装天线以及侧方散热孔

一应俱全的配件

    从外观上看，飞鱼星VE982W小巧的机身配合扎实的做工，加上赠送的质保活动，给予中小企业客户放心的感觉。后面我们将针对其内部功能和性能进行详细评测。

    艾泰科技是中国领先的中小型网络解决方案提供商和服务商。其产品广泛应用于中小企业、网吧、酒店、学校、连锁机构等众多行业。

    艾泰U2000安全网关外包装简洁大方，“轻松体验全能型安全网络”几个字赫然可见，这也体现了U2000的多功能性。对于一款和A4纸面积大小差不多的网络设备，到底能为用户带来哪些功能呢？

简洁大方的包装设计

　　U2000安全网关采用高性能的硬件平台，提供双WAN接口，方便用户接入多条网络。设备采用了艾泰自主研发的ReOS网络操作系统，融合网络安全管理、上网行为管理、网络维护管理于一身，在具备智能NAT、带宽管理、IP/MAC绑定、业务管理等网关常见功能的同时其防火墙架构集防病毒、防攻击性能于一身。

　　艾泰U2000具备4个10/100M自适应LAN口和2个10/100M自适应WAN口，支持100个PPPoE Server账号数，拥有多种形式的VPN功能，支持PPTP/L2TP/IPSec等协议，16条并发隧道，是组建中小网络的一款典型设备。

    虽然艾泰U2000体积不大，但是黑色的周身设计和深蓝色为主色的前面板让人感觉其是一款专为企业设计的网络产品，低调稳重，给人以可靠的感觉。六个网络接口整齐的部署在设备前端，细节设计精细。

 
LAN口与WAN口

    机身两侧的散热口可以保证设备的良好运行，在测试过程中，艾泰U2000的表面一直处于温和状态，噪声可以忽略。

 
机身两侧的散热区域

    除此之外，一应俱全的配件也让我们感觉到艾泰U2000的贴心。电源线、网线、快速配置说明书、详细配置说明书、VPN配置说明书、产品速查手册、保修卡等方便用户快速安装和了解设备特性。

配件一览

    事实上，对于很多中小企业来说，由于技术上的不足，对于网络设备的配置和管理则寄期望于简单、简单、再简单。艾泰U2000从设计之初就考虑到了用户需求，让网络管理变得更加高效与简洁。

     IP-COM R9上网行为管理路由器配备了高达550MHZ中央处理器；是一款专门针对中小型企业、政府、小区等用户开发的一款管理设备，提供最多4个千兆WAN口1个LAN口（其中3个接口支持WAN/LAN切换）。标准的机身设计，散热模块良好，外观简洁大方，而外置的USB接口让其具备更好的扩展性。

接口设计

    除此之外，独具电子公告设计，方便企业、小区内部沟通；可对内网用户的上网行为管理进行集中管理、监控；丰富的协议特征库，更方便网络管理员的操作；基于协议的优先级，可针对不同用户提出不同的处理解决方案；提供高级策略路由与负载均衡，支持带宽叠加；支持智能带宽管理、支持单机限速，保证带宽稳定性，使网络资源得到合理的利用。

 
散热区域

    IP-COM R9还配备了产品说明书、保修卡、设备固定装置以及电源线，遗憾的是没有发现随机附赠的网线。

随机附件

    TOTOLINK M985W是TOTOLINK最新推出的一款特色网络行为管理路由器，与一般的上网行为管理产品不同，M985W不仅具有独特的基于人名及部门的分组细致化管理模式，同时还可以对网络应用（如网页、邮件等）进行带宽保障，做到了真正的网络智能化管理。

TOTOLINK M985W 无线路由器

    TOTOLINK M985W集安全网关，上网行为管理，智能网桥，无线AP、多线路接入、USB扩展网络共享存储、上网时间控制、身份识别、连接数限制等功能于一体。它支持IEEE 802.3、IEEE 802.3u、IEEE 802.3x标准，同时支持IEEE 802.11b、IEEE 802.11g、IEEE 802.11n无线标准，最高无线传输速率达300Mbps。

    TOTOLINK M985W采用纯黑色外观设计，低调中彰显稳重。它拥有5个RJ45接口，其中左边第一个是固定WAN口，右边第一个是固定LAN口，而中间三个则是WAN/LAN可转换接口。此外，M985W还配备了两根5dBi全向可拆卸天线，为其出色的无线性能提供了保证。

 
可拆卸全向天线                      电源接口    

 
USB接口                          状态指示灯

    在5个RJ45接口的旁边，我们还能看到一个USB接口，通过它连接移动存储设备即可实现网络共享存储；M985W拥有8个状态指示灯，分别代表电源、网络系统、无线和5个网络接口的工作状态。 

 

TOTOLINK M985W铭牌信息

    TOTOLINK M985W机身的两侧设计了大量的散热孔，这样可以保证内部热量的及时散出，让M985W工作更稳定。而在M985W的名牌信息上，我们可以找到默认IP地址：192.168.0.1，用户名和密码（admin），这些信息将帮助我们进入M985W的Web配置界面。

    虽然目前市场上与企业挂钩的网络设备产品一直都是以黑色为主色调，金属材料的外壳以及厚重的质感给用户扎实的体验，但D-Link DI-7001在保持黑色为主色调的基础上增加了时尚的前面板与各处精心的细节处理，为企业用户带来更具活力的使用感受。

    D-Link DI-7001拥有黑色金属外壳，出去外观视觉上的考虑之外，主要的还是为设备散热性这一功能上的设计着想，顶部大Logo也很好的表明了其身出名门。

 
D-Link DI-7001 企业管理路由器

    在网络设备工作时，如何良好的处理其工作产生的大量热量是厂商必须考虑的重大问题之一，D-Link DI-7001 企业管理路由器采用无风扇设计，除了全金属的外壳，还通过两侧的大栅栏散热口来保证设备的长时间稳定工作。

D-Link DI-7001 企业管理路由器

    前面板良好的状态指示灯提醒将为网管提供最为直观的设备工作指示，能够随时轻松的掌握设备工作状态。

D-Link DI-7001 企业管理路由器

    D-Link DI-7001提供了5个网络端口.采用网络专用处理器，性能优越，能满足20-40个用户同时上网的需求.功能强大，具有IP-MAC绑定，弹性流量控制，链接数限制，上网行为管理，VPN应用功能，内置硬件防火墙，能有效防范DoS类攻击，ARP欺骗，蠕虫等病毒入侵。

    对于中小企业来说，网络安全更加依赖设备本身，由于技术支持力度有限，一款放心可靠的网络产品将会起到重大作用，飞鱼星VE982W的强大安全功能助力广大中小企业用户，保障网络安全。

    提到飞鱼星的网络安全就不得不提“客人网络”，这个概念的提出和应用彻底将网络管理变得简单高效。“客人网络”可选择是否将无线用户与内外物理隔离。例如在合作伙伴、供应商等访客频繁的企业，客人使用无线网络仅能访问外网，既满足工作所需，又保护企业的内网信息安全。若仅是内部员工使用无线网络，则可关闭“客人网络”，外网内网都能访问，充分享受到移动办公的便利。

    在无线网络的客人网络设置中，需要首先开启这个功能并设定一个SSID，密码按需设定。

启用客人网络

非内部人员可以连接客人网络的热点

可以打开外网却无法访问内网资源

取消客人网络后可以打开外网并能访问内部资源

    除此之外，对于网络安全还有很多项目可供用户选择。其中包括抵御多种攻击防御、连接限制、ARP攻击等。

内网安全

　　飞鱼星VE982W支持WPA-PSK/WPA2-PSK高强度加密协议，还具有IP+MAC一键绑定、IPMAC地址过滤等功能。而IPSEC功能让网络建立起一条加密隧道，帮助用户在外部网络环境中也能安全访问内网资源。

    作为一款安全网关，艾泰U2000的安全性自然不容小觑。在网络安全中包含了攻击防御、IP/MAC绑定、防火墙、域名过滤、连接限制、地址组配置、服务组配置、时间段配置等几项。

    攻击防御分为内网防御和外网防御。内网防御包含了IP欺骗防御、洪水攻击防御、端口扫描防御等多个项目，而外网防御主要是否启用允许响应外部ping，一般情况下，为安全性起见，建议关闭此功能。

内网防御

    IP/MAC绑定主要用于防止ARP攻击，由于网络ARP攻击频繁，造成终端断网，通过绑定可以防止IP地址盗用，达到维护内网安全的目的。

IP/MAC绑定

    艾泰U2000在防火墙功能上采用了更灵活的自定义方式，用户可以根据动作类型、生效地址进行端口或者服务的策略限制。

防火墙规则配置

    域名过滤是根据需要杜绝用户访问特定网站，比如公司可以禁止一些游戏、网上购物网站，以提高员工的工作效率。

域名过滤

    应该说艾泰U2000在安全方面的设计还是非常全面的，不但考虑到用户可能面临的安全问题，而且针对用户需求，将功能定制设计的更简单，同时又留出了一定的自由空间，可谓左右兼顾的全能型安全产品。

    IP-COM R9内置多种安全功能，保障网络安全运行。

    如果网络内终端较少，可以通过准入规则让指定的MAC地址登入网络，反之如果发现具有威胁的MAC地址，利用禁止模式可以将其剔除网络。

MAC地址过滤

    APR攻击是目前最难以应对的网络攻击之一，IP-COM R9可以屏蔽ARP攻击、ARP欺骗以及ARP广播。

ARP防御

    在攻击防御中包含了内网防御和外网防御两大项，内容可谓丰富，包括了针对洪水攻击、扫描探测、可疑包过滤等多项内容。

外网防御

    IP-MAC地址绑定可以让主机身份更加明确，地址不会被盗用，从而实现管理端更方便的管理。具有普通模式和强制模式两种方案。

IP-MAC绑定

    IP-COM R9上网行为管理路由器不仅有效抵御了来自外网的网络攻击，还成功的防止企业内部泄密，在优化网络资源的基础上，大大提高了企业员工的工作效率，减少了网管工作量，使得企业级用户的职员上网行为得到有效控制和管理。

     面对越来越多的网络威胁，中小企业也更加重视网络的安全性能。TOTOLINK M985W就拥有多种安全防护功能，让企业的网络变得更加安全可靠。

PPTP VPN设置

    通过设置PPTP VPN，可以使企业在外员工通过拨入ISP、直接连接Internet或其它网络，安全地访问企业内网，保证企业内部信息的安全。

攻击防御

    开启syn-flood攻击防御功能后，用户可以设置每秒通过的包的个数（50-5000），以过滤的方式保护网络安全。

IPMAC绑定

    通过IPMAC绑定，主机IP与MAC一一对应，这样可以有效避免绑定的IP+MAC配对信息遭受网上恶意ARP攻击，保护网关设备与绑定主机的网络通信。

ARP限速

    启用ARP限速机制可以保护网关设备免受ARP泛洪攻击，网关设备将丢弃发送间隔过快的ARP包，限制速度范围为20-2000（包/秒）。

ARP信任机制

    启用ARP信任功能，网关设备将会自动学习并记录内网主机的IP+MAC信息，可以在网关设备不添加IP+MAC到绑定列表的情况下有效的防止内网ARP病毒攻击，提升企业内网整体的安全性。

    全面的功能性设置必然为网络用户带来强大的使用体验，但是对于企业网络来说，其安全防护方面的措施一个也不能少，而D-Link DI7001企业管理路由便拥有足够强大防护，有效保障网络安全。

防火墙设置

　　最前面的规则具有最高的优先级，可以使用移动按钮来调整防火墙规则的优先顺序。不使用这条规则，该规则被保存但不会生效，可以在需要的时候手动启用规则，时间留空但配置了日期的情况下，将会在设置日期全天生效。

网络攻击防御

　　外网开放端口保护和阻断外网请求功能默认禁止，如果不需要使用高级选项的各种功能，可以启用以保证外网的安全。内网ARP欺骗防御保护功能建议开启，发包频率推荐使用默认值。内网病毒防御功能开启，synflood、udpflood和icmpflood及其设置的连接限制功能才会生效。

连接数限制

　　如果您开启连接数限制功能，本页面设置的数值为全局默认的最大连接数。启用高级连接数限制可以在启用连接数限制的情况下对特殊应用连接不进行限制，如ICMP，CS刷新服务器的瞬间大量连接，建议启用该功能。

流量控制

　　启用传统流控功能可对内网每个IP或者网段进行带宽限制，可以有效地防止P2P应用过渡消耗带宽资源。

 
VPN设置

　　如果您启用PPTP客户端功能，就是将路由器作为PPTP VPN客户端，通过PPTP协议连接到服务端，实现本地网络与远程网络的直接互访。

    上网行为管理功能是飞鱼星VE982W的一个重要功能，丰富的限制类型，自定义化的限制时段，配合灵活的应用优先和智能流量控制，在网络繁忙时自动抑制带宽大户；网络空闲时，充分使用空闲带宽，堪称一款聪明的网络设备。

    进入上网行为管理项目，我们需要先设置IP地址组和时间组，方便后面的管理。然后直接进入行为管理策略，点击添加新规则，首先需要设定那些IP地址主机会被限制，将刚才设定的IP组地址加入，并勾选“启用策略”。

    小提示：优先级设置是飞鱼星VE982W用于权限设定的一种新方法，优先级0为高优先级。优先级1为中优先级。优先级2为低优先级。同级别的优先级，防火墙高于行为管理策略。

    设定好目标后，就可以针对其做应用软件、网址分类、WEB安全等管理了。切换到应用软件，这里包括了聊天、股票、P2P、游戏、代理等多个过滤项目，以QQ为例，首先勾选“启用功能”，然后勾选“QQ过滤”，保存以后指定IP的主机就无法登录QQ客户端了。

阻止QQ登录

丰富的应用过滤项目（点击放大）

    网址分类主要针对网页浏览的限制。默认设置了包括娱乐、聊天、游戏等11个分类，其丰富的数据库基本可以满足用户的需要。其中阻断操作会将网址跳转到指定页面，记录操作会在系统日志记录访问信息，警告操作会给出必要的阻断或者警告信息。

    用户如果担心某些网页被误屏蔽，可以将其添加到白名单，白名单的访问策略为允许，并且不会记录和警告。反之黑名单的访问策略为阻断并警告，不记录。优先级为白名单>黑名单>分类网址库>其他网址，即同时存在于白名单、黑名单和分类网址库的地址，以高优先级的分类操作策略为准。

    比如我们添加开心网到黑名单，启用后再次访问该地址，就会跳转到无法访问的指定页面。

网址被屏蔽

屏蔽项目

    WEB安全是一种类安全服务，对某些特定文件后缀和URL关键字进行屏蔽，用户可以根据实际需求设置。

WEB安全设定

    在上网管理模块中，有用户管理和行为管理两大主要功能。用户管理可以针对每台内部主机都采取不同的策略（可以任意限定某台PC可使用的带宽、NAT会话数，是否禁止QQ、MSN、P2P，等等），解决了传统的分区管理不够灵活的问题。该功能不仅可以大大加强管理的灵活性，并在一定程度上降低了管理员的工作量。

    勾选对应用户的个性化标签，就可以通过限速和行为管理两种方式对指定终端进行限定操作。

用户管理

    行为管理中，艾泰U2000做了非常丰富的内容细化，包括IM聊天工具、P2P客户端、游戏、网页元素、DNS、代理等都可以进行管理。做到限时限类型限终端的分布管理。

丰富的管理项目

    我们以IM工具为例，禁止所有客户端禁止登录IM软件后，点击保存按钮，终端在此连接QQ和MSN，均无法登录。

 
测试成功

    QQ白名单是一个很有意思的功能，上面我们提到了用户终端会被禁止登录IM软件，可是如果有需要的用户希望登录（比如老板、IT管理员等），如何过滤这些用户呢？也许你会想到将需要登录的用户终端解禁，这的确是一个方法，但通用性太差，如果用户换一台终端将无法实现正常登录，QQ白名单可以将特定的QQ号码添加进去，以不变应万变。

设置例外QQ号码

    首先点击新建按钮，添加白名单QQ号码，确定后启用该规则，在同样所有终端
禁止登录QQ的情况下，指定号码仍然可以进行登录。

 
除了设定QQ号码可以登录外，其它QQ号码不能连接到网络

    上网行为管理功能可谓是IP-COM R9的看家本领，其丰富的管理和自由的控制让网络管理员管理网络更加游刃有余。打开“行为管理”页面，分为组设置，客户端过滤，URL过滤，网址分类过滤，协议特征过滤，带宽&连接数设置几个项目。

    要想对终端进行管控，就需要设置用户组，即管控对象，同样添加时间组用于特定时间的管理（比如上网行为控制在9-18点有效）。

IP组添加

时间组设定

    在客户端过滤中，可以对指定IP指定时间段进行端口或者是网络连接上的限制，只需添加IP设定组和时间组即可。

客户端过滤

    URL过滤是针对用户访问网络的一类项目的限制，包括了URL字符串和文件后缀，比如我们在URL字符串中加入了sina后，所有URL中包含sina的网址将无法访问，同样在文件后缀中加入的rar后，所有rar后缀的压缩包将不能在网络上下载。

URL过滤

页面已经无法打开

    网址分类过滤中包含了音乐、游戏、新闻等几十个项目，由于其内置丰富的网址数据库，所以可以快速的将相应分类的网站过滤掉，方便管理者操作。

网址分类过滤

    协议特征过滤是根据网络协议，对一些特殊客户端的过滤和屏蔽，包括了炒股软件、游戏客户端等，设置方法同样是选择管控对象，然后将需要屏蔽的协议类型添加即可。

协议特征过滤

    在协议特征过滤旁边还有一项IM聊天软件过滤，是针对QQ、MSN等IM客户端进行限制。这里有一个小技巧，如果我们希望不对某个特定的QQ号码限制（比如管理员或者老板的QQ号码），可以将其添加进来，让管控更加自由。

IM聊天软件过滤

屏蔽后QQ无法登录

    带宽连接数设置中还是建议使用智能管理方式，路由器会自动根据网络连接情况分配资源，而连接数一般情况下则不需进行限制。

自定义带宽设置

    首先来看看我们为实际测试设置的上网策略，其中包含了网站限制、P2P下载、即时通信、网络电视、游戏平台和股票行情等六方面的限制。

网站限制

    在网站限制中我们勾选了全部的门户网站，并选择“以下网站为黑名单”。

P2P下载限制

    在P2P下载工具中，我们选择了“丢弃”迅雷下载。

即时通信限制

    在即时通信中，我们选择了“丢弃”腾讯QQ和RTX。

网络电视限制

    在网络电视中，我们选择了“丢弃”PPS网络电视。

股票行情限制

    在股票行情中，我们选择了全部“丢弃”。

游戏对战平台限制

    在游戏对战平台中，我们选择了“丢弃”VS对战平台。

关联用户

    制定完上网管理策略后，我们要选择关联用户，即设置禁止哪些用户在哪些时间进行上述上网行为。

策略已被引用

    当我们制定的“上网管理策略1”被引用后，还需点击“应用生效”按钮。

1、门户网站限制结果

门户网站打开失败

    我们尝试打开新浪和搜狐两大门户网站，结果是“无法打开该页面”，而打开百度和中关村在线首页则毫无影响，可见TOTOLINK M985W的网站限制表现还是非常准确的。

    2、P2P下载限制结果

迅雷下载停止

    我们是在迅雷下载任务开启一段时间后点击了M985W的Web配置界面中“应用生效”按钮，大约3秒钟后，迅雷下载速率就自动将为0了，限制作用非常明显。

    3、即时通讯限制结果

 
QQ和RTX登录失败（点击看大图）

    无论是登录QQ还是RTX，结果都是登录失败。

    4、网络电视限制结果

网络电视播放失败

    打开PPS软件，我们随机选择了几部电影进行播放测试，可得到的结果均是“服务器未响应，停止播放”。

    5、股票行情限制结果

股票行情连接失败

    我们打开股票行情软件“同花顺”的客户端，发现系统正在不停地尝试新的服务器连接，但最终结果都是连接失败。

    6、游戏平台限制结果

游戏平台连接失败

    打开VS游戏平台客户端，点击“登录”，连接进度条到一半时不再发生变化，最终得到的结果是“网络故障”。

    通过实际测试我们可以看到，TOTOLINK M985W的上网行为限制效果非常的出色，无论是网站限制还是应用程序限制，它都能百分百地准确完成，整体表现令人非常满意。

    对于企业来说，员工在上班时间段访问网络上一些休闲娱乐站点或者其他非工作需求网站肯定将影响其工作效率与办公质量，D-Link DI7001企业管理路由设备提供全方位的上网行为管理设置，有效提高员工办公效率。

WEB访问控制

　　此配置将阻断操作会将网址跳转到指定页面，记录操作会在系统日志记录访问信息，警告操作会给出必要的阻断或者警告信息。

 
WEB安全与网页游戏过滤

    启动此类过滤功能，设备将通过IP来确定对指定设备的过滤功能开启或关闭，以便保障用户能够分类进行管理。

 
股票软件与聊天软件过滤

    从配置功能名称就可以获知此类配置界面是管理用户对于股票软件与聊天软件进行过滤的选项。

P2P软件过滤

    对于企业网络来说，P2P软件所带来的巨大网络流量将直接导致网络内部数据交流的负担，甚至让网络阻塞，影响正常办公的进行。此过滤功能选项便是帮助企业有效控制P2P软件的使用。

    当然，对于各项过滤功能，提供白/黑名单选项以便让有工作需要的用户能够正常使用过滤功能，保证不同类型用户的正常办公。

    我们将根据外观、安全、上网行为管理几项给出打分，总分10分，外观、安全、上网行为管理各自占用权重为20%、30%、50%。最后得到各款产品的加权成绩。

    外观对比

    坦白讲，用户对于产品外观已经不是特别在意，但通过产品，还是能够体现出其做工水平、设计理念等。飞鱼星VE982W采用了其一贯的蓝色风格，整体体积不大，细节做工可圈可点，同样附着在前面板的USB接口为用户带来更好的应用体验；艾泰U2000则秉承企业设备的一惯思路，低调且波澜不惊，让人感觉是一位内功高手；IP-COM R9的黑色外观并没有太多亮点，虽然前置了USB扩展接口，但其相比其它产品硕大的体积还是让很多用户另眼相看。TOTOLINK M985W的外观设计更为典雅清新，接口处做工极为精细，并且同样嵌入USB接口；作为老牌网络设备生产厂商，D-Link DI-7001的设计无可挑剔，与众不同的侧面散热区域和简洁的前面板设计让用户更好体会到高效管理的精髓。

    安全对比

    安全保障方面，飞鱼星VE982W独具客人网络功能让人眼前一亮，并且在内外网的安全控制上也有很详细的分类；艾泰U2000除了内外网安全，更注重防火墙的规则设置，功能较为强大，自定义程度较高，用户上手需要学习一段时间。IP-COM R9在安全方面设置较为详细，并具备针对ARP攻击的项目，自带IP-MAC地址绑定模式；TOTOLINK M985W则主要针对了内网ARP安全进行了设置；D-Link DI7001的安全功能注重实用，内外网安全项目详细，还具备流量智能管理控制。

    上网行为管理

    飞鱼星VE982W的上网行为管理功能分类非常详细，并且具备用户自定义功能，防护效果也很不错；艾泰U2000的防护项目相对较少，但例外QQ防护功能让人眼前一亮，操作较为简单；IP-COM R9的上网行为管理设置相对复杂，需要定制用户库和时间库，并且灵活度不高；TOTOLINK M985W的向导话设置非常人性化，并且限制的项目种类也很多；D-Link DI7001的管理功能中规中矩，对于企业SOHO办公来说，一款如此小巧的设备拥有如此多的功能已属不易。

    综合以上三个方面，本次5款产品的综合得分如下：

    这5款上网行为管理路由器不仅有效抵御了来自外网的网络攻击，还成功的防止企业内部泄密，在优化网络资源的基础上，大大提高了企业员工的工作效率，减少了网管工作量，使得企业级用户的职员上网行为得到有效控制和管理。

    中小企业在预算和技术不足的前提下，需要一款高性价比高可控的优势网络设备。在这个上网应用管理越来越重要的今天，相信此类设备会有更多的表现机会。