|
1引言
上网行为管理设备部署在局域网的Internet入口处,其主要功能是监视、控制用户的网络行为。
上网行为管理设备的管理对象是用户,管理的内容是网络行为。所以上网行为管理设备主要包括流量识别、应用识别、应用控制、应用审计、带宽分配与控制等模块。而用户跟踪,用户认证,用户组织结构与上网策略管理则是这些模块的一个基础。
本文主要将简要介绍用户子系统的各个模块,最想详细分析用户组织结构与上网策略管理模块。
2 用户子系统
用户子系统包括用户组织结构维护与上网策略管理模块、用户组织结构与外部服务器同步模块、用户认证模块。 对于通过设备的数据包,我们需要识别其来源:服务器、认证(授权)用户、未认证(非法)用户。用户认证模块的作用就是对强制未认证的用户进行用户认证,并管理已经认证的用户。
对用户的上网行为进行监控,监控的是用户且多个用户的上网权限和要监控的上网行为经常是相同的。比如:公司老板想要防止技术泄密,他要监控的重点就是开发部员工的外发文件,他设置的监控策略(上网策略)是针对整个开发部门而不是某一个具体的用户的。组织结构的引入可以很好的解决这个问题。
上网行为管理设备监控了用户的隐私,容易引起用户的敌对情绪,设计出人性化的、透明的上网行为管理设备是非常重要的。而用户认证系统需要与用户交互,需要用户输入用户名和密码等信息,这与透明的系统矛盾。所以与其它用户管理系统结合的上网行为管理系统是必须的。
采用标准的LDAP协议,同步各种LDAP域服务器上的用户,监控用户到LDAP域服务器上认证的过程——组织结构同步与用户单点登录也是用户子系统的重要模块。
用户管理子系统管理的是什么?为什么需要用户管理子系统?因为上网行为管理设备是监控和管理用户的网络行为的设备。要管理什么,要监控什么,这些内容统称为上网策略。所以用户管理子系统管理的是用户,但管理用户的目的是要管理用户的上网策略。
每一个经过设备的数据包,我们都知道这个数据包对应的用户,每一用户都有对应的上网策略,根据数据包的类型以及上网策略,我们就知道该对这个数据包进行怎样的操作了:记录、放行、丢包。
所以用户子系统是因为上网策略而存在,没有针对用户对数据包进行处理就没有上网策略,没有上网策略就不需要用户管理。
3组织结构管理模块简介及在内存中的表示
组织结构管理模块可分为几个子模块:a.核心模块——维护组织结构中的组、用户、组和户的上网策略。b. 人机接口----——操作(添加、删除、编辑)组织结构,操作组和用户的上网策略,显示组和用户的上网策略。c.将上网策略从应用层下发到驱动,供其他模块使用上网策略。d.与外部服务器同步组织结构。e.提供接口,让其他用户子系统使用用户子系统。
显然,组织结构和上网策略是保存在配置文件中的,且要使用组织结构的模块非常多。但是如果各模块以文件的形式交互数据,容易造成同步问题、I/O操作太多、同步问题、由于每个数据包都有访问上网策略而导致性能瓶颈。也显然,上网行为管理的各个模块不能都去读写该配置文件来实现自己的需求。
怎么办?
将组织结构和上网策略常驻内存。然后各模块以某种方式访问。
4.1 组织结构在内存中的表示
4.2 组织结构在文件中的表示及导入内存的方法
4 基于共享内存的组织结构和上网策略管理
5 基于服务的组织结构和上网策略管理
没写完 待续 | 
免费注册
发表于 2011-12-20 09:47