正在阅读：轻松实现企业上网行为管理 飞鱼星VE982评测轻松实现企业上网行为管理 飞鱼星VE982评测

　　[PConline喜讯]：风雨征程十二载，羽翼渐丰展新颜，今年，是PConline成立的十二周年。从一张白纸到中国IT第一门户，PConline，打造了一个互联网业界的奇迹！与PConline广大网友共同分享PConline十二周年巨献专题《IT最前沿 领跑12年! PConline（1997-2009）》！

　　飞鱼星上网行为管理路由器VE系列（VOLANS Enterprise Series），是专为中小企业、政府机关、教育及科研机构等用户而设计的宽带接入设备，采用多WAN口设计并且具备“上网行为管理”功能。这一系列产品除了具备宽带路由器的基本功能之外，内置的“上网行为管理”功能为企业提供了低成本，易实现的INTERNET访问管理手段。今天饭盒为大家介绍的是其中的一款——飞鱼星 VE982，也是这一系列中的最低型号，主要面向小型网络用户，适用于50人的网络规模，支持4000并发连接，用户借助VE982可轻松实现对P2P下载、聊天软件，网络游戏等进行有效管理。

　　近段时间（2009年3月），飞鱼星正在全国范围内进行七周年庆典活动，这款VE982正是其主打促销产品，降价幅度可谓非常之大，从1580元骤降为768元，性价比近乎无敌。在小型企业中，可能很多还是使用“PC+代理软件”组合的方式来实现INTERNET访问，乍一看来这种组合成本很低，细想一下其实不然，一台PC怎么也要在千元之上，而且这种组合的稳定性也是个很让人头疼的问题；代理软件方面，要么功能非常简单，完全没有上网行为管理功能，要么过于复杂，一般用户根本无法搞清各项功能具体如何使用。相比较来讲，针对小型企业而设计的上网行为管理路由器无论是在稳定性还是在功能方面都远远优于“PC+代理软件”的组合。

 
飞鱼星 VE 982  图　库  评　测  论　坛  报　价

　　VE982采用双WAN口，三LAN口设计，全部为10/100Mbps自适应接口，指示灯位于网络接口右侧，再右边是RESET键及系统状态指示灯。

　　使用IE登录VE982的管理页面，饭盒觉得这个页面设计得很实用，在这里用户可以使用“配置向导”设置路由器，还可以在这里快速查寻到路由器的工作（负荷）状况，易用性和便捷性方面考虑的还是很周到的。

　　　　系统状态

　　在“系统信息”页面可以了解到路由器当前的工作状状，比较重要的信息像“路由器负荷”， 系统负荷在5%－30%之间属于正常，在40%-100%之间属于繁忙；“当前网络连接数”，这是全局的会话数量，至于每客户端的连接数可以在“连接数排行”中看到，上图中192.168.1.194的连接数达到了140，是因为开了“电驴”的原因，默认情况下每客户端的连接数被限制为300条；“网络攻击报警”需要用户手动启用“系统日志”功能后才会生效，如果VE982检测到攻击行为，会在此处发出警报，饭盒使用UDP攻击测试软件向192.168.1.1发起UDP Flood攻击，VE982检测到异常流量后给出了相应的报警信息。“系统信息”这个页面对于网管来讲还是很重要的，VE982设计时也考虑到了这点，在VE982首页上只需一步点击就可以访问该页面。

　　路由器起动过程以及攻击测试所产生的日志记录，默认情况下“系统日志”功能是关闭的，用户可以在“参数设置”中开启。

　　默认情况下，“内网分折”功能是关闭的，如果需要用户可手动开启。在这里可以了解到客户端的流量及连接数，如果管理员认为某客户端对网络资源的占用异常，只需点击“管控”一列相应客户端的 "√” 符号，就可方便的阻止客户端访问INTERNET。如上图所示，对192.168.1.194进行管控后，连接数和下载速度都变成了零。

　　上网行为管理

　　VE982的主要功能是对上网行为进行管理，支持网址分类过滤，P2P流量过滤，网游过滤，聊天软件过滤等。

　　如上图所示，VE982不仅提供“白名单”，“黑名单”还提供了“网址分类管理”功能，这一功能在千元级别的宽带路由器上是很少见的。黑白名单功能很好理解，不在本评测中进行介绍，在这里我们着重关注基于网址分类的管理功能。VE982内置了十个分类，其中最后一个“其他网址”在帮助手册中有说明，建议用户不要开启该功能。在实际的应用中，为了限制客户端访问某些网址，使用“黑名单”功能无疑是最有效果的，但“黑名单”功能有一个很大的不足——需要管理员工动去设置，这种管理方式的可操作性存在很大问题，所以在中小企业中如果想实现INTERNET访问控制，使用基于网址分类的方式进行管理是比较可行的，主要是对于用户来讲管理功能实现起来非常简单。

　　饭盒对VE982的“网址分类管理”功能进行了测试，方法是对每种分类测试10个网址，测试用的网址均来自国内排名前5位的门户网站及相应类别的专业网址。启用“网址分类管理”后测试访问这些网址，可被成功拦截的记录为”Y”，没有成功拦截的记录为”N”，网址明细及测试结果如下图：

　　作为一款千元级别的上网行为管理路由器，这一测试结果还是可以接受的，本次测试中共测试了78个网址，其中34个拦截失败，44个拦截成功。凭借以往的测试经验来讲，如果想实现非常强大的网址分类过滤功能，这需要非常专业且巨大的URL分类数据库支持，有这种实力的数据库提供商如以色列的Commtouch，当然使用这类数据库的网络安全设备价格也基本在万元左右，甚至数万元，不是一般小型企业可以承受的。

　　VE982提供了对主流IM软件的过滤功能，包括QQ，MSN，飞信和SKYPE。VE982对QQ的过滤功能支持比较完善，不仅提供了日志功能，还允许用户设置例外QQ号登录功能，就是说管理员可以只对个别用户开放QQ，但在全局范围禁用QQ。

QQ登录失败提示

　　日志记录，细心的网友可能会发现，此处可以看到QQ号码，就是说VE982可以识别数据包中的QQ号码，这应该也正是VE982“例外QQ号码登录”功能实现的基础。

　　饭盒还测试了MSN，飞信和SKYPE，在开启过滤功能时，飞信和SKYPE被成功拦截，但MSN拦截失败，关于MSN的问题可能是微软在前不久强制用户升级MSN，而这次升级较之前的改动较大，飞鱼星这边还没有更新其策略库所致。

　　大智慧V5.9版：“大智慧经典版”拦截成功  “大智慧新一代”拦截失败

　　钱龙旗舰2007：拦截失败

　　同花顺2009：拦截成功

　　证券之星快赢标准版：测试服务器状态成功，登录失败

　　指南针：注册页面无法打开，无法测试

　　公司局域网内有人使用P2P软件是件很麻烦的事情，这种软件会严重消耗有限的网络资源，并且所下载的东西基本都是为私人需要，而非因工作需要。VE982提供了完善的P2P过滤功能，包括迅雷，电驴，BT，Vagaa等，另外还支持对在线视频进行过滤，像PPLIVE，PPSTREAM。

使用迅雷下载BT资源

使用迅雷下载电驴资源

　　迅雷与VAGAA类似，都是“集大成者”，它们既可以下载BT资源也可以下载电驴资源。启用“讯雷过滤”功能后，无论是下载BT还是下载电驴资源都得到了完全的抵制，没有任何P2P流量，效果今人满意。

　　启用“电驴过滤”功能后，eMule客户端软件无法与Kad和eD2K网络建立连接。

　　启用“BT过滤”功能后，这项任务已经运行了1分49秒，依然没有任何流量。BT客户端：BitSpirit

　　禁用“BT过滤”功能后，与之前相同的任务，下载流量达到了102KB/S，这一速度已将饭盒家的ADSL带宽占满。

　　VE982对P2P流量的抑制效果今人十分满意，目前P2P下载方式主要有两种，BT方式和电驴方式，当然下载客户端有多种，像BitSpirit，VAGAA，迅雷，从测试来看，VE982的P2P过滤机制是基于下载类型的，而非基于客户端，用户无论使用任何客户端软件都无法进行P2P下载。

　　VE982对目前主流网络游戏提供了过滤功能，饭盒测试了两款，QQ游戏和联众世界。

　　QQ游戏登录失败后，提示用户修改端口号后可以再次尝试，饭盒修改后再次登录，依然失败。

VE982防火墙功能设置页面

　　网络安全

VE982“网络攻击防御”配置页面

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家也都拥有自己的技术，VE982使用的ARP防欺骗机制是通过发送广播包来实现的，下图是使用Wireshark抓到的广播包，VE982持续的向局域网内发送着ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抵制ARP欺骗的目的。

　　ICMP-FLOOD攻击防御测试时，饭盒将ICMP-FLOOD域值设置为每秒50包，随后使用kn-ping向VE982发送ICMP包，KN-PING这个工具有一个“特性”，就是当被攻击目标成功拦截过量的ICMP数据包时，KN-PING会报错，这证明ICMP-FLOOD防御是有效的，相应的事件记录在日志中也可以看到。

　　UDP-FLOOD攻击测试时，饭盒将ICMP-FLOOD域值设置为每秒200包，测试时饭盒将UDP测试工具设置为每秒发送250个UDP包，其实单一客户端这一发包频率是远达不到DoS效果的，我们为的只是看出VE982对UDP-FLOOD的拦截效果，如上图日志所示，拦截是有效的。

　　SYN-FLOOD攻击防御功能可以通过IxChariot来验证，方法是在IxChariot中同时启动大量脚本，此时将SYN-FLOOD域值设为一个较低的值，例如使用默认值每秒50包，在安全策略中只启用SYN-FLOOD防御功能，此时IxChariot测试是无法进行的，将安全策略禁用后，IxChariot可顺利完成。如上图是功能验证过程中产生的日志记录。

　　“连拉数限制”页面，VE982除了提供有基本的连接数限制功能，还提供了“高级连接数限制”功能。所谓高级连接数限制功能是一种弹性的连接数管理策略，可以在启用连接数限制的情况下对特殊应用连接不进行限制，如ICMP，CS刷新服务器的瞬间大量连接，建议启用该功能。本页面设置的数值为全局默认的最大连接数，您可以通过规则列表来针对特殊IP主机设置不同的连接限制数量。

　　启用ARP信任检测功能，路由器将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息，可以在路由器不绑定IPMAC情况下有效的防止内网ARP病毒。启用ARP超时机制，路由器将定期对内网IP主机ARP信息进行重新学习。

　　QoS流量控制，本功能可对内网每个IP或者网段进行带宽限制。可以有效地防止P2P应用过渡消耗带宽资源。您启用流量控制后，您可以选择是否启用优先级流控和分接口的流控功能，分接口流控，可以针对不同WAN口配置不同的流控规则；优先级流控，可以对设置的优先数据在流控情况下优先传送。

　　性能实测

　　性能测试使用的是IxChariot测试工具，分别测试VE982在“裸奔”情况下和应用安全策略后的吞吐量和混合数据包吞吐量。安全策略涉及网址分类管理、域名安全、WEB安全、聊天软件管理、股票软件管理、P2P软件管理、游戏过滤、攻击防御、ARP信任机制、应用调度等。

High_Performance_Throughput.scr脚本 10Pairs “裸奔” 吞吐量：20.149Mbps

High_Performance_Throughput.scr脚本 10Pairs 已应用安全策略 吞吐量：15.169Mbps

　　从测试结果可以看出，应用安全策略后的吞吐量比“裸奔”情况下有所衰减，大概5Mbps左右，考滤到VE982相对复杂的安全策略，这一损耗是可以被接受的。

混合数据包脚本集

混合数据包脚本集 120Pairs “裸奔" 吞吐量：5.307Mbps

混合数据包脚本集 120Pairs 已应用安全策略 吞吐量：4.094Mbps

　　从测试结果可以看出，应用安全策略后的吞吐量比“裸奔”情况下有所衰减，不过考滤到VE982相对复杂的安全策略，这一损耗是可以被接受的。

　　总结：飞鱼星VE982是一款针对小型网络用户而设计的宽带接入设备，除了具备宽带路由器的基本功能外，像双WAN口接入、自动负载平衡、防火墙功能、IP/MAC绑定、基于端品的VLAN、智能QoS带宽管理等功能，VE982的最大亮点是其主打的上网行为管理功能。通过本次评测，饭盒以为VE982确是小型网络用户的一个不错选择，给饭盒印象最深的是其高效的P2P管理能力，可以做到彻底封杀P2P流量，而且功能实现起来非常简单。在其它上网行为管理方面，像网页分类过滤，聊天软件过滤，虽然并没有做到百分百成功拦截，但表现还是可以让人接受的，再考虑到它只有千元左右的价格，整体性价比还是比较高的，是小型网络用户的推荐选择。但说到其不足，也不是没有，从性能测试结果来看，VE982的吞吐量有些偏低，不过这只是站在评测的角度来讲，在实际应用中，VE982的吞吐性能还是足够用的。

　　注：由于本次评测针对的是VE982的上网行为管理功能，所以并没有对其基本功能像IP/MAC绑定、基于端品的VLAN、智能QoS带宽管理等进行介绍。

　　这段时间（2009-3），飞鱼星正在举行7周年庆典促销活动，VE982作为主打促销产品价格由平时的1580元骤降为768元，性价比几乎无敌了，对于有需要的朋友这不失为是一个采购的好时机，饭盒笑~