公司里上QQ一般是不被允许的,除非确实有这方面的业务需求。当然,这个也跟公司有关,有的公司可能允许所有员工在公司里上QQ,但是有的公司可能就有这方面的顾虑,可能会担心员工在公司里上QQ会影响工作。而更多的公司其实是希望自己能有方法控制某些员工可以在公司里上QQ,而另一些员工不能在公司里上QQ。
神州数码ER400多功能网关,就可以满足这种精确控制员工上网行为的需求。ER400是神州数码网络有限公司采用MIPS 64位多核高性能处理器,结合专用ASIC交换芯片,针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。
神州数码ER400网关
ER400多核出口网关采用全中文图形化Web管理页面,在配置向导的帮助下只需几分钟即可接通网络;支持性能监控、故障告警、病毒及攻击告警等多种监控手段,提供基于用户、应用等多种方式的带宽、会话统计及排名等统计信息,便于网络维护;支持SNMP协议,和标准的syslog传输,易于设备管理。
ER400集成了宽带路由、防火墙、交换机、VPN、流量管理及监控、内网安全等功能,配置简单易用。推荐用于320用户以内的应用环境,比方说大中型网吧、中小企业、中小学、政府、运营商等复杂网络应用环境。
ER400多核出口网关,能够精确控制哪些员工可以上QQ,而哪些员工不可以上QQ,或者哪个时间段可以上QQ,而哪些时间却不可以使用等等,可以说给在公司里上QQ的用户开尽了特权。
此外,在精确控制员工是否可以在公司上QQ的同时,神州数码ER400多功能网关,还具备许多其他的上网行为管理功能,比方说精确控制每一位员工的带宽,将更多的带宽分配给有特殊需求的员工。或者限制员工使用BT工具,对这种P2P软件进行限流或者封杀等。另外,神州数码ER400还具备有效的防火墙安全功能。
在网络功能方面,神州数码ER400支持“负载均衡”、“智能选路”、“链路备份”等多种方案的多线路策略,可覆盖绝大多数的需求。虽然功能丰富,但是神州数码ER400的使用却并不复杂。相反,你看到它的管理后台,一定会发现非常的简洁,这得益于神州数码对管理工具的分类优化。
2【公司里上QQ】神州数码ER400外观
神州数码ER400多核出口网关,三围尺寸为442x220x43.6mm。黑色金属外壳,做工杂实。ER400采用被动无风扇设计,免去维护散热风扇的投入,也增强了机器的抗摔落能力,与其稳重做工相得益彰。同时ER400机身两个侧面布满散热孔,保证了多余的热量能够及时的排出去。
神州数码ER400正面
神州数码ER400散热及其机架部署螺丝孔
网络接口方面,ER400配备8个10/100/1000M以太网电口,外加2个1000M Combo端口。而在管理配置这方面,ER400配备1个RS-232 RJ-45串口,并在机箱内置了另外一个相同的串口,给网络管理工程师带来很多方便(不过中关村在线评测工程师所评测的这台工程机还没有开通Console功能)。同时,ER400还提供2个USB2.0接口便于3G、外接存储等扩展应用。
神州数码ER400两组网络接口
神州数码ER400网络接口和USB接口
这些接口依次分布在ER400机箱的前面板右边,每个接口的上方或者下方,都用字母和数字标识,和前面板中间的指示灯标识字母和数字相对应。除了8个10/100/1000M以太网电口,和两组1000M Combo端口所对应的指示灯,ER400还有一个电源指示灯(PWR)和一个状态指示灯(RUN)。
神州数码ER400 LOGO和指示灯/重置按钮
紧挨着ER400指示灯,有一个很小的孔(Reset),这个就是用来重置设备的按钮。机身前面板最左边是神州数码ER400的logo——DCN ER400,使用白色字体,和下方绿色的线条一起,在黑色的机身背景下更加的鲜艳。
神州数码ER400背部视图
神州数码ER400接口等的布置,非常集中,都在前面板,这样便于管理和使用。而其机背则非常简单,除了一个电源接口和它旁边的接地螺丝,再没有其他东西。ER400体型适中,部署方式也比较灵活,可以采用桌面式部署,也可以采用机架式部署,在机身的两侧,各有三个供机架安装使用的螺丝孔位,搭配包装附带的配件即可使用。
3【公司里上QQ】神州数码ER400向导
ER400支持多种方式配置,这里我们使用最简单的web方式。ER400工程机默认的ip地址为192.168.0.1,理论上ER400的8个10/100/1000M以太网电口,外加2个1000M Combo端口,十个端口功能上是平等的,也就是说都可以做内、外网连接。不过HG1和HG2为高安全端口,拥有多种硬件防护功能,所以建议2个1000M Combo端口做外网连接使用。
神州数码ER400光电复用接口
我们首先使用网线连接设备G1口至本地管理计算机,连接电源线(220V)。配置本地管理计算机的网络设备信息,IP地址192.168.0.10 (或192.168.0.X子网内的任意地址[192.168.0.1除外]) ,子网掩码: 255.255.255.0 ,默认网关: 192.168.0.1 (可不填)。
配置ip地址
等待计算机设定网络完毕,就可以登录ER400了。打开浏览器窗口,输入http://192.168.0.1,并按回车。如果网络设置正常,并且线路连接没有问题的话,你将看到ER400网络管理登录页面。ER400的默认用户名和密码都是admin,点击“登录”即可进入ER400管理界面。
神州数码ER400登录窗口
ER400提供了非常简单的网络配置向导,选择“配置向导”点击“下一步”进入快速配置,只需要两步完成网络配置。步骤一是设置WAN口模式,根据外线数量可以选择“单外网口”、“双外网口”、“三外网口”,然后选择连接外线的接口(HG1,HG2,G1-G8),线路类型用户根据自己的实际情况进行设置,中关村在线评测室使用的公司局域网,所以我们选择“DHCP获取地址”,最后自行分配对应的“上行带宽”、“下行带宽”。
第二步配置LAN口模式,根据内网需要要划分网段数量选择“单内网口”、“双内网口”、“三内网口”。选择用于连接内网设备的接口(G1——G8)。填入对应的“IP/掩码长度”。 内网用户是否需要自动获取IP,如果需要请启用“DHCP-Server”并填入“起始IP地址”、“结束IP地址”、“首选DNS服务器”、“备用DNS服务器”。设置完这两步点击“下一步”——“完成”即可实现快速上网功能。
4【公司里上QQ】神州数码ER400界面
神州数码ER400网关的配置界面十分简洁,整体框架采用了红色主元素,这和神州数码的红色标志主题相称。配置界面被红色的框架分成四个区域,分别是顶部的控制区域和中间左右两个主要工作区,以及底部的信息区。
神州数码ER400主界面
顶部的控制区域和底部的信息区都比较简单,其中顶部控制区有5个红色的按钮链接,可以查看设备相关信息,或者在线查看帮助文档(目前还未完善在线帮助文档),因为ER400有多种身份授权,所以还有一个“注销用户”的按钮,另外,为了方便重启设备,这里还有一个重启设备的按钮。
底部的信息区,显示当前登录工作人员的身份和ID名称,依次是系统时间和神州数码的版权信息。
我们主要介绍一下ER400的中间主要工作区,左边是主菜单栏,总共有十个主菜单,每个主菜单基本都有若干个子菜单,点击主菜单即可弹出。占主要区域的右边工作区,就是现实和配置各个参数细节的区域了,这里会现实相应菜单的细节。
主菜单的向导、系统、网络,还有防火墙、VPN、QoS等等这些,从字面上来看都比较容易理解。但是,展开他们的子菜单,再联系一下对象、应用安全等看起来新鲜的主菜单,或许你就会发现ER400菜单的独特之处。
神州数码ER400系统状态
我们这里先大致的说一下ER400配置界面和菜单的特色,有看不明白的同学可以通过后面的实际操作来理解。先来看系统状态界面,这里ER400通过非常直观的表盘的形式来实时展示系统的资源等消耗,另外,你还可以通过“系统状态”了解更加详细的信息,或者查看安全日志等。为了便于用户的使用,该系统状态界面还提供了定制功能,可以定制显示的信息。
5【公司里上QQ】神州数码ER400基础
使用网络配置向导大家可能觉得非常简单,其实在这简单的背后,还有许多的东西大家没有看到。ER400是一款生就的安全产品,自打配置网络开始就已经融入了安全因素。首要的就是安全域,所有的网络接口都要分配到某一个安全域里面,系统预置了6种安全域,除此之外,用户还可以自建安全域。
神州数码ER400安全域
神州数码ER400接口列表
在接口列表里大家可以看到,在我们使用网络配置向导配置完毕后,系统已经自动将HG1即WAN口分配到untrust安全域里,将个G1接口即LAN口分配到了trust安全域里。而且,大家在防火墙的策略里可以看到,系统也已经做了一条trust到untrust的策略,对所有的应用都允许,这是一条基本策略。
神州数码ER400策略
谈到策略也就到了我们揭开主题的时候了,ER400正是通过一条条策略,来对各种应用进行控制。我们前面讲到的在公司里上QQ,或者限制员工使用QQ都是通过策略来达到的。ER400的策略就是制定不同安全域之间的访问规则,是构筑在安全域、网络接口和“应用”之上的。
神州数码ER400应用簿
这里我们谈的应用,并不是大家常规意义上的应用,比方说安卓应用、windows应用等等,我们这里所提的应用,是ER400对所有应用制定的访问规则的统称,比方说我们谈到的封杀QQ,就是一条“应用”。“应用”十分的强大,ER400预置了所有常见的应用控制规则,IM、BT、P2P等等,这些预置的应用规则已经做好了配置,用户使用的时候,在两条安全域之间添加相应的策略,并应用相应的“应用”规则即可。
6【公司里上QQ】神州数码ER400应用
这么说起来貌似有些难于理解了,怎么给大家说的更简单直接呢,接口,安全域,应用,策略,如何理清他们四者的关系,我们用示例说明:内网G1接口我们放在trust安全域,外网HG1接口我们放在untrust安全域,为了封杀G1接口上的QQ应用,我们要新建一条策略,这条策略只需要添加QQ“应用”(即应用规则)就可以了。如此类推,你需要限制什么,就添加什么策略。
神州数码ER400新建策略对话框
“需要限制什么就添加什么规则”,大家肯定会为这个想法吓坏的。因为可能有的人有如此多的应用需要管理,QQ、MSN、阿里旺旺,还有大智慧、电驴、P2P影视等等,这样一条条的添加那得多少策略?ER400早就想到了这一点,把所有常见的应用规则分为了十个应用组,分别是IM,这样,你就可以使用一个规则组限制一类应用,而不用逐条添加了。
神州数码ER400预定义应用
这样看起来似乎问题基本解决了,但是有的用户还是不能满足,如果我们公司只允许使用MSN和阿里旺旺,那我使用一个IM应用组岂不是把所有的IM应用都封杀了,而岂不是还得逐条添加?不要担心,ER400给你充分的自定义空间,你还可以自定义应用组,把你希望限制的应用添加到一个自定义应用组里,这样,一条应用组就可以完成你所有的需求。
神州数码ER400预定义应用组
自定义应用组不但可以自主添加单个的应用规则,还可以制作多个应用组集合的自定义应用组。
了解了ER400的工作思路,我们再来详细的看一下它的配置界面,就很容易理解了。使用过其他上网行为管理产品的用户,看到ER400的配置界面一定会感觉非常的“简单”。但是你仔细一看,许多东西似曾相识,有的却让你“摸不着头脑”,展开折叠菜单,也是这样。
7【公司里上QQ】神州数码ER400封QQ
其实,真正了解了ER400,你就会觉得之前用过的那些所谓的产品,配置界面太繁杂、纷乱了,就像没有经过整理的书架,而ER400把这些“东西”摆放的井井有条。在ER400的界面上,你甚至看不到“上网行为管理”的条目,但是它的上网行为管理功能,在体验上却超越了许多同类产品。这里的奥秘,在于“对象”里的“应用簿”和“防火墙”里的“策略”,下面,我们就以一个实例来演示ER400如何使用“上网行为管理”功能。
神州数码封杀QQ
我们这里模拟一次限制G1接口上所有的QQ应用,我们的内网接口是G1,外网接口是HG1。为了达到这个目的,我们只需要打开“防火墙”—>“策略”(展现在大家眼前的是“策略列表”),点击“新建”按钮,在弹出的“策略高级配置”对话框里,我们发现我们不但可以通过“安全域”进行控制,还可以精确到“地址”(IP地址)进行控制。
我们这里选择源安全域是“trust”,目的安全域是“untrust”,注意,策略管控的两个网络,不能在一个安全域里。在应用簿下拉列表,我们找到“QQ”选项并选中,然后在下面的“行为”选项里选择“拒绝”,并确认此条策略。
神州数码ER400策略列表
现在,策略列表里有了两条策略,一条系统自建全部允许的策略,另一条是我们刚刚创建的封杀QQ的策略,主要信息可以在这个列表里看到,比如应用“QQ”和缺省行为“拒绝”等。每条策略的左侧都有一个复选框,对应“活跃”这一列,如果你想让某条策略失效,只需取消选中对应的复选框即可。除此之外,我们还可以在右侧的几个按钮“编辑”、“删除”、“调整顺序”等进行编辑。
神州数码策略列表调整策略顺序
谈到这个“调整顺序”,有必要给大家单独提一下,ER400的策略是有顺序之分的,这个顺序不仅仅是视觉上的先后顺序,更是策略应用的先后顺序。这里我们看到策略1是系统默认策略,允许所有应用,而策略2是我们新建的策略应用,这时候默认策略在新建策略之先,如果我们把它们的顺序调整一下,我们的封杀QQ就失效了。
原因在于,我们先封杀了QQ,又允许了所有应用,等于没有应用。所以,如果你在使用ER400策略时,发现策略没有问题,但是无法生效,可以检查一下它们的排序。一定要在逻辑先后顺序上理清它们,否则你的策略就可能失去了意义。
8【公司里上QQ】神州数码ER400特权
现在封杀QQ策略已经配置完毕,我们到测试电脑上去体验一下。QQ登录失败,策略已经开始起作用了。如果就这么把所有的QQ都封杀掉,有的人或许会不愿意,因为可能某些QQ有一定的特权,比方说你的BOSS,你要把他的QQ也封死吗,当然我们最好还是不要这么做,等到你的BOSS找你谈话的时候,你就得想办法了。
那么,我们如何在不使用IP精确控制的情况下,又能精确控制可以使用的特权QQ号码呢,ER400给我们提供了QQ审计功能,这里的QQ审计可能和你印象里的那个“审计”不太一样,ER400的QQ审计,其实是给特权QQ账户开了大门。所有加入这个QQ审计列表里的QQ号,都可以无视你创建的“封杀”QQ策略,在公司里畅通无阻。
新建QQ审计
让我们来体验一下特权QQ账户功能,现在我把这个QQ号加入到QQ审计列表里,然后,在测试电脑上同时登陆这个QQ号和另外一个QQ号,你可以发现这个QQ号丝毫不受封杀QQ策略的影响,而另一个没有加入到QQ审计列表的QQ号,是死活都登陆不上去的。怎么样,体验到公司里上QQ的特权了么。
特权QQ不受QQ封杀的影响
ER400可以做到对QQ的精准控制,同样,其他常见的上网行为管理对象,也都不在ER400的话下。我们分别对常见员工上网行为进行了测试,ER400都能做到弹无虚发,招招中的。
BT下载是企业办公网络的最大杀手,我们首先瞄准BT下载。在策略列表页面,新建一条策略,和封杀QQ的策略一样我们选好安全域等,然后加入BT这一组应用规则,并设置拒绝,保存并查看是否设置好所有策略的先后顺序。迅雷是目前很常见的BT工具之一,我们安装迅雷并启动进入,发现迅雷提示P2P被封杀,甚至我们无法看到完整的迅雷界面。
上班炒股,会给员工心情造成比较大的影响,同时也会浪费许多公司有效上班时间。封杀炒股软件是非常有必要的,ER400预置了对大智慧、同花顺等主流炒股软件的封锁策略,我们只需要将该组应用加入到策略即可,实际测试发现非常有效,加入封锁炒股软件策略后,同花顺无法和主机进行通信,也就无法进行登陆使用了。
神州数码ER400封杀在线视频
微博、SNS社区,近年来发展迅速,甚至超过了IM软件的发展速度,尤其是新浪微博,在短短的两年时间里,迅速积累了大量用户,员工刷微博,玩人人已经成为一种流行趋势,但这同样会浪费员工上班时间,所以,对这种危害员工的应用,能够有效诛而杀之是很多BOSS的心愿,使用ER400可以非常轻松的达成,只需添加web application应用策略即可。效果非常显著,新浪微博和腾讯微博还有人人网站都无法登陆了。
页游以其无需安装、公司难于监控,为越来越多的办公族所喜爱,同时也给公司管理层和网络管理人员带来了很大的挑战。ER400应用簿里已经预置了目前常见的页游封锁规则,在防火墙策略里,添加一条封锁web game的应用规则,即可全面封杀所有常见页游,让员工安心工作。
9【公司里上QQ】神州数码ER400总结
评测总结
外观——神州数码ER400作为一款企业级的网关产品,黑色外观以及金属外壳突出了其做工的扎实。同时,其合理的接口和指示的布置,给使用者带来了极大的便利,非常的人性化。而其合适的体型也给企业在部署产品时,提供了更多的选择。
功能——在功能方面,神州数码ER400不愧是一款企业级的网关产品。提供全千兆、光电双用接口的,给企业的网络性能打下了坚实的基础,同时也给企业更多的方案组合可能。而作为网关,ER400不但提供了时下企业用户急需解决的员工上网行为管理功能,还提供了ARP攻击防护、DDoS防御等高危防护功能。
尤其神州数码ER400的上网行为管理功能,完全打破了常规产品“条分缕析”的弊端,直接将众多的企业常用上网行为管理规则,预集成到了“应用簿”中,使企业用户可以直观简单的配置管理,同时,ER400还充分挖掘应用簿的潜力,不但提供给用户单条规则的使用,还提供给用户多条规则集成为一组的使用方式,而且还将常见的十几种应用规则合理分组,使得用户直接使用一组应用即可对所有类似应用进行控制。
使用——神州数码ER400接口明了,布置合理,界面简单而人性化。便于用户进行部署和安装,其打破常规的主菜单功能安排,让用户可以在很短的时间内熟悉一切,非常快的就可以上手,即便是一个门外汉也可以在短时间内做出专业的配置。
部署——ER400具备卓越的性能以及强大的数据处理能力与传统防火墙、宽带路由器相比拥有超高的线速吞吐能力和业界领先的新建连接能力,推荐用于320用户以内的应用环境。ER400集成了宽带路由、防火墙、交换机、VPN、流量管理及监控、内网安全等功能,配置简单易用特别适用于大中型网吧、中小企业、中小学、政府、运营商等复杂网络应用环境。
编辑总结:
神州数码ER400多功能网关,拥有高配置、高性能、灵活使用的特点,它采用64位多核处理器打造,配合专用ASIC高速交换引擎,使得整个硬件平台运行在高速以太网架构之上。另外整机包含8个千兆以太网电口+2个千兆Combo接口 ,可根据实际环境进行任意WAN口LAN口组网。
ER400多核出口网关提供灵活精准的流控策略,可基于应用、IP、用户、协议等多种方式进行带宽管理,设定上下行最大、最小、保障带宽;可对100多种网络协议进行识别,并对特定协议进行带宽保障、带宽限制。
