上網行為管理產品在網絡管理中已經是一個不可或缺的部分，并且已經得到了廣泛的使用。

大家在選購上網行為管理產品的時候，一般都關注功能和價格。實際上，產品的部署方案才是首先要考慮的因素。

本文將討論上網行為管理產品的幾種典型部署方案，及各自的優缺點分析。

旁路部署方案

旁路部署的網絡結構圖如下（以WFilter為例）：

旁路部署方案的優點

1. 旁路部署方案是對當前網絡影響最小的監控模式。
   

2. 充分利用已有硬件的功能，部署方便，不會影響現有的網絡結構。
   

3. 不會對網速造成任何影響。旁路模式分析的是鏡像端口拷貝過來的數據，對原始數據包不會造成延時。

4. 旁路監控設備一旦故障或者停止運行，不會影響現有網絡。

5. 旁路部署方案一樣可以對上網行為進行控制。

旁路部署方案的缺點

1. 需要交換機或者路由支持“端口鏡像”功能才可以實現監控。
   

2. 旁路模式采用發送RST包的方式來斷開TCP連接，不能禁止UDP通訊。對于UDP應用，一般還需要在路由器上面禁止UDP端口進行配合。

旁路部署方案總結

如果現有的網絡設備運行穩定，且對網絡的穩定性要求高。在不考慮升級硬件的情況下，首先應當考慮旁路部署的軟件方案，這樣可以以最小的代價來部署上網行為管理，而且不會影響現有網絡的穩定性。

串聯部署方案

串聯部署方案有兩種：網關模式，網橋模式。如下圖：

• 網關模式：用上網行為管理產品替換現有的網關（路由器、防火墻）。

• 網橋模式：用上網行為管理產品串聯在網關和核心交換機之間。

串聯部署方案的優點

1. 解決了旁路部署方案的缺點，可以進行流控，可以禁止UDP通訊。
   

2. 硬件維護比較單一，避免了軟件的兼容性問題。

串聯部署方案的缺點

1. 需要購買新的硬件產品，并替換掉現有的網關。造成硬件資源的浪費。

2. 網絡中增加了新的硬件，穩定性需要時間的磨合。

3. 增加了單點故障的可能性。串聯設備一旦死機或者掉電，會導致網絡中斷。

串聯部署方案總結

公司決定升級現有設備時，可以考慮購買一臺行為管理硬件產品，并且進行串聯部署。但是串聯部署的設備一定要進行一段時間的穩定性測試，確保不影響網絡穩定性。

總體來說，根據公司的預算，現有網絡狀況來判斷是進行旁路部署還是串聯部署。旁路部署優選軟件方案（推薦WFilter上網行為管理軟件），串聯部署優選硬件方案。