5.3 上网行为管理的部署

上网行为管理产品的部署模式分为串联部署和旁路镜像部署，企业通常采用串联部署的方式。串联部署可以实现对特定行为进行阻断，而旁路镜像部署仅能起到监测作用。

5.3.1 串联部署

串联部署方式如图 5-2 所示。串联部署方式能实现对每一种网络应用的精确控制，完整审计所有上网数据。在实际配置中，串联部署分为网桥模式和网关模式两种。

1.网桥模式

这种模式以透明网桥方式接入网络，部署到企业或部门的网络出口位置，无须改动用户网络结构和配置。

（1）单网桥部署：上网行为管理系统提供一个内网口和一个外网口，作为网桥接入到要管控网络的出口处，是最普遍的部署模式。

（2）多网桥部署：当企业拥有两个互联网出口，且企业内部不同子网需要通过不同的互联网出口连接互联网时，上网行为管理系统可提供双入双出、双网桥的部署模式，通过一台设备即可同时管控两条链路内的用户互联网行为。

2.网关模式

这种模式支持多出口网络，可以同时配置联通、电信等多条线路。多出口环境下同时支持静态 IP 接入和 ADSL 拨号接入。将设备部署在网关处，起到隔离内网、外网和NAT/路由的作用，需要为设备配置内网 IP 地址和外网 IP 地址。上网行为管理系统在网关模式下，支持 DNAT 功能，可将内网 IP 地址或特定端口映射到互联网，从而使公网主机能够访问特定的内网服务器。

5.3.2 旁路镜像部署

如果对于网络连续性需求极高，需要全面的行为审计功能，则可以采用镜像旁路的部署模式。旁路模式使得上网行为管理系统通过监听方式抓取网络数据包，而不影响数据包的正常传输，其优点是其对客户网络环境和网络性能无任何影响，不会引入新的故障点，部署方式如图5-3所示。