初次结识海蜘蛛(2)

接上篇《初次结识海蜘蛛(1)》

6. NAT策略，由于长期以来IPV4地址的紧张，一般的办公网络很少能拥有大量的公网IP地址，因此只能采取私有IP地址解决内部众多终端IP通信的问题，但私有地址除了内部通信外，还需要通过NAT与公网或互联网进行通信，通常是各种对外的服务使用一对一地址或NAT策略，因此，需将某些私有地址或一定数量的私有地址转换成公网地址后再与其他公网地址进行通信并实现公网的资源共享。海蜘蛛这款设备中也集成了NAT所有常用的功能：端口映射， NAT， DMZ等。

如下图，就是NAT端口映射的功能，一般可用于内部服务器对外发布，允许外部如internet用户访问到该服务器时使用，此应用非常广泛，如架设企业Web站点, FTP等都可以使用这种方式，并且可以同时映射多个端口以满足不同应用程序的需求。

 

下图则为NAT的标准映射，一对一映射，一个内部地址对一个外部地址的映射，它是整个地址的映射，而不是某个协议和端口。但这种方法将会比较浪费公网地址资源，如非大量用户访问服务器或者所申请公网地址资源较多及一些特殊程序需求如***等，一般此NAT模式在普通办公应用中较少。

 

而DMZ则是我们日常使用的过载NAT技术，就是将内部从多私有地址转换成一个或几个公网地址的技术，目前几乎大部分的企业和用户都会使用这种技术。同时，DMZ，NAT及端口映射可以根据不同的需求同时使用。    

同时，作为上网行为管理，其日志的内容是非常关键的，在领导或IT部门需要了解网络情况时，该日志可以起到强大的辅助作用，尤其是在发生故障或网络异常时。如下图为用户上网日志存储配置。

 

 

7.上网行为管理应该是本软件的特色功能，也是关键功能，它可以帮助企业管理人员、网络管理人员灵活地解决在工作时间员工网上娱乐的问题，如员工上班时间玩QQ，打游戏，看电影电视， BT下载等行为，不仅扰乱了正常的工作秩序，也影响了公司网络的正常运行，并占用了公司有限的网络带宽，同时也可能将一些病毒或恶意程序带入公司内部网络，危害到公司的信息和网络安全，也给我们网管人员的工作带来诸多的麻烦。

如果你是公司的行政管理人员或网络管理人员，你也不希望公司的员工在上班时间做一些与工作无关的事情吧？海蜘蛛的上网行为管理功能，不仅可以针对即时通讯的程序进行限制，还可以针对如预设的对象、应用协议、恶意网址等按照需求进行配置。如下图，即为针对即时通讯软件进行限制和监控的配置界面。

 

下面这个图片则是恶意网址拦截项的配置界面，除了恶意网站放入黑名单外，我们也可以把一些与工作无关的站点加入拦截范围，还可以设置白名单列表放行允许的网站：

 

接下来的图片，则展示了应用协议过滤的配置界面，并举例对QQ，QQ农场，Baidu，邮件以及游戏等应用程序的限制操作。

 

点击编辑第一项的配置，进入到如下界面，我们可以根据应用特征过滤和控制某些应用，主要配置选项如定义名称，优先级，控制对象，控制类别以及控制时间等：

 

8. 支持无线AP，麻雀虽小，五脏俱全，它带有802.11a/b/g的无线AP功能，满足一定范围内的无线覆盖，可惜的是没有提供802.11n 300Mbps的技术。尽管如此，它仍然支持一些通用的无线安全认证和加密协议，如WEP/WPA/WPA2，TKIP/CCMP等。

 

9. 流量控制功能，在办公网络中非常实用，我们可以通过该功能限制某些IP
地址或应用程序的带宽和速率，确保办公网络带宽的正常和高效利用。基本限速规则设置页面如图：

 

智能QoS设置页面如下图：

 

除以上功能外，上网行为管理还能够提供URL页面重定向、推送网页通知、对象分组管理等比较实用的功能配置。

10. 在系统工具模块，还发现了很多实用的小工具，如路由追踪、IP地址查询、MAC地址查询、计算子网、在线抓包分析等，如下图即为计算子网的工具，减少了人为计算的过程，方便了用户进行IP地址的规划等。

        

        最终因现场条件所限，很多功能我并没有实际操作过，但总体上来讲，这款海蜘蛛企业版产品，在软件和功能方面，做的已经非常不错了，更主要的是它的实在，功能多且实用，另外，虽然海蜘蛛厂家不提供硬件设备，但由于这款软件对硬件的性能要求比较低，用户可以根据不同的网络规模和流量，配备不同的硬件产品，这样也有一定的灵活性，性价比也较高，非常适用于中小企业的网络。