感谢大家已完结 企业网络改造和管理软件安装

VincentHu

更新：

感谢大家的热情帮助，最后详细了解比较之后，选了360企业云   买了三年70个客户端
然后买了华为的  AR6121EC-S  

有这俩相关想了解的可以直接评论，能帮到的我都会回复




更新：   

    万分感谢大家的指点，经过这两天的测试和了解，  我目前是准备   360云安全+华为AR6121EC-S路由器      

   1. 软件功能确实强大，不仅我想要的完全能满足，还多了很多很多方便远程运维的功能。 80块的版本  功能列表我贴出来，给大家参考

   2. 对行为管理的需求，有很大程度的降低，降低到   能添加网站黑名单，就够了，这样360就能满足了     经过进一步确认，这方面并不需要太强大的行为管理功能。


我准备试一下火绒的     









给一个公司升级下网络                  百八十个电脑       俩AP


之前不归我管，这次他家分到我头上了。想搞好点。（在能满足要求的情况下，帮他家预算压底点）


我暂时是这种想法：

1. 最开始是想买防火墙，华为华三，看了两款，4200的和4500的，京东是七八千    但是这种机器的行为管理都需要授权，都得额外买，而且每年续费，原机只有一年使用权        限，     我需要带上网行为管理。  华三的客服，说     如果用防火墙去解析很多https的加密网站，会极大损耗性能，导致防火墙性能被用掉大部分。
    我有点奇怪，我只需要黑名单呀，比如我屏蔽    百度的网址。  为什么要它解析？   不是单纯的屏蔽就行了么？  

2.想到这个之后，我就在想到底是防火墙+行为管理，带防火墙的行为管理，或者带行为管理的防火墙。  

3.然后我突然想到，有个公司用的一个挺特别的软件。  360安全云。 相当于360卫士+杀毒+防火墙+远程桌面+行为管理+计算机监控++++加好多功能

4.那这样，为了尽量安全，我再单独买一个防火墙   比如之前用的 飞塔 。下面只需要一个好点的交换机   再加上360安全云。是不是就足够安全并且功能强大。
   这个软件甚至我感觉远远   远远   超过了landesk和威盾的功能性。  并且最重要的是，它比赛门铁克，诺顿，甚至江民，卡巴斯基，趋势，全都便宜。。


希望给我点意见      360企业安全云















要求如下：    要收费（很奇怪但是真的要的要求）

                     上网行为管理  （不太需要了，有黑名单网址过滤功能就够了）
                     

phliar

目前在金融外包公司上班，做网管。知道的基本都是银行、客服之类的网络要求。有意可以私我联系方式

VincentHu

phliar 发表于 2024-7-3 23:38
目前在金融外包公司上班，做网管。知道的基本都是银行、客服之类的网络要求。有意可以私我联系方式 ...

好好 感谢感谢 我私一下

nn1122

带上网行为的不一定要搞防火墙，中高端路由器就可以，可能还不要授权，比如H3C ER8300 G3/H3C MSR 3610/3620等等，也带有防火墙的一些功能，比如各种协议/数据包的控制过滤等等。还有360安全云这种，可以用，但其他安全厂商也有这个产品，叫EDR，比如深信服/安恒/天融信等等。可以多家比较看看

Wilson163abc

之前自己研究，用过panabit行为管理，挺好用
要不考虑下标准的硬件路由+panabit

duoduoluo7

你这个黑白名单的不算上网行为管理吧。
上网行为管理是基于应用层去做管控，可以做得更细，比如可以禁止微信发送/接收/图片或者文字/上传或者下载文件。
如果不需要这么做到这么细的管控，普通防火墙就能满足你的要求了。
可以看看这款安全一体机设备，还包含企业级杀毒。
https://www.qianxin.com/product/detail/pid/494

银月

你只需要黑名单的话连防火墙都不需要，tp的企业级就带行为管理，防火墙可以挂在前面做好本职工作就行

我看了看还挺细

7155071

简单的行为管理没必要防火墙，大部分企业级网关就可以搞定了，比如**之类的，完全可以做到地址黑名单。

yaoiverson

上网行为管理最好和防火墙分开2个设备

redog

https的网址确实是需要进行解析的，所以好一点企业行为管理干脆在使用的电脑上安装证书和客户端，完美解决了监控和管理的问题，我只能说666

bchb

别想有的没的，给自己找不痛快。
整个华为、h3c的防火墙就行了，基本功能都有，不需要那些个授权，最多加块硬盘存日志。

YoshinoSakura

https确实是要解析的
你可能觉得，dns看看有没有黑名单，或者是ssl握手证书看看有没有黑名单域名就好

https://www.cloudflare.com/zh-cn ... t-is-encrypted-sni/
但配合上DOH还有SNI加密的话就歇菜了
实际上的https还更多花活

xiaoyu717

12年前我做一个企业的网络管理时，用的一套winroute里面的管理，完全免费，需要屏蔽的网址手动添加。不过好像也就能屏蔽网址

时光清浅

我们公司是外企，目前的结构就是最前端是核心防火墙，思科的ASA，做一些ACL和出口啥的，后面就是深信服的行为管理，用来限制一些软件访问和网站，再往后就是核心交换机了。供你简单的参考

TWSzzz

1.如果只是屏蔽网站的话，防火墙甚至普通路由器都行就行了，没必要上行为管理，这种设备淘宝开专票就行吧，或者找找本地经销商，注意检查设备封条对一下官网SN就没什么问题，京东的厂家指导价很离谱
2.企业级杀毒软件其实还可以，设置的好能减轻桌面运维的压力，就是有的功能开多了电脑卡，设备不多一年LIC倒也没多少钱，多找几个品牌问问，功能大同小异
3.真的对安全很关注可以去看看等保要求，很多品牌全套方案都有，按需选购即可

chazikai24

本人软硬件维护有超过十年的工作经验。恕我直言，可能我接触的企业少，我没见过使用华为华三的防火墙的企业。国产一般都是天融信，深信服的较多，防毒墙再加一个奇安信。
防火墙的话，看公司是否有服务器，是否需要对外发布业务。防火墙一定需要购买授权每年升级IPS库。如果没有就不需要防火墙，好一点的网关就行。
行为管理，行业内北天融信南深信服，每年需要买授权升级特征库。个人维护下来深信服的优于天融信。
EDR的话，目前火绒还行，天融信，深信服也有EDR，有一家是火绒换皮。

zxssddd

你的行为管理是指啥

VincentHu

nn1122 发表于 2024-7-4 08:39
带上网行为的不一定要搞防火墙，中高端路由器就可以，可能还不要授权，比如H3C ER8300 G3/H3C MSR 3610/362 ...

恩嗯感谢，有个客户家用的是edr   比较了一下准备给他家用360安全云，和华为的 AR6121EC-S  

VincentHu

zxssddd 发表于 2024-7-5 10:00
你的行为管理是指啥

软件方面他家没做什么限制，所以目前 侧重的还是类似    简单的网址黑白名单功能，基本就差不多了

就发帖那天，华为客服给我说了个解析 加密域名，给我搞蒙了，寻思上来问问

经过这两天了解，我是准备用360安全云+华为的AR6121EC-S    来做

VincentHu

时光清浅 发表于 2024-7-4 18:21
我们公司是外企，目前的结构就是最前端是核心防火墙，思科的ASA，做一些ACL和出口啥的，后面就是深信服的行 ...

感谢感谢

VincentHu

chazikai24 发表于 2024-7-4 21:13
本人软硬件维护有超过十年的工作经验。恕我直言，可能我接触的企业少，我没见过使用华为华三的防火墙的企业 ...

我们的其他客户公司基本都是飞塔，少量的深信服，这家其实也是深信服，但是问题是这个机器，中间有点时间 许可过期，由于他们公司审批流程耽搁了，现在得到的消息就是，无法续费了，而且深信服家的设备，只有当时和我们对接的那个人才能续费，说是别人根本不能给他续费，  直接导致这个机器几乎就是残废了，所以我们就想着这次直接把它彻底换掉

经过这几天的了解， 我试用了一下360安全云，最开始我们的目光还是放在传统杀毒上，赛门铁克，诺顿，趋势等等，但是这种软件一个是繁琐，在一个价格确实高，而且效果其实并不是非常好，老哥你说的天融信  火绒，我确实还没了解到，一会我去搜搜看，360云安全，我试用了两天，这个软件相对来说功能我感觉还是非常够的，  而且由于360杀毒实际的效果，我们对他还是相对放心的，并且价格也只有赛门铁克的几乎三分之一。  

我暂时是准备用360安全云，加上华为的  AR6121EC-S    就不用专门的防火墙了，用路由带的防火墙功能，和软件方面这两种来代替     

VincentHu

TWSzzz 发表于 2024-7-4 20:53
1.如果只是屏蔽网站的话，防火墙甚至普通路由器都行就行了，没必要上行为管理，这种设备淘宝开专票就行吧， ...

嗯嗯 感谢感谢， 刚刚在别的老哥回复里，看到了几个企业杀毒，我目前是360云安全，我准备在找一两个试用一下，看看具体效果和费用方面的区别

VincentHu

YoshinoSakura 发表于 2024-7-4 16:33
https确实是要解析的
你可能觉得，dns看看有没有黑名单，或者是ssl握手证书看看有没有黑名单域名就好

我好像是明白了一点点，就是https的加密，我单纯屏蔽域名，是不一定起作用的，需要深一点的解析之后，才能屏蔽的更准确，是这个意思么

VincentHu

redog 发表于 2024-7-4 09:26
https的网址确实是需要进行解析的，所以好一点企业行为管理干脆在使用的电脑上安装证书和客户端，完美解决 ...

老哥，那是不是说，比如我现在暂时是准备用，  360云安全，他能直接在你电脑都360里，添加黑白名单，屏蔽网址，我测试了几个网站，添加黑名单之后，比如wwww.baidu.com  确实是无法访问了

这是不是就已经算是达到目的了呢？
这样还可以给很多人比较直观的分组，分配允许的网站权限。

VincentHu

银月 发表于 2024-7-4 08:47
你只需要黑名单的话连防火墙都不需要，tp的企业级就带行为管理，防火墙可以挂在前面做好本职工作就行

我看 ...

对，这功能在华为 和华三   就只随机器给一年使用权   之后就要买许可。，，

我暂时是准备用edr的 黑白名单直接在客户端上禁止访问

VincentHu

duoduoluo7 发表于 2024-7-4 08:44
你这个黑白名单的不算上网行为管理吧。
上网行为管理是基于应用层去做管控，可以做得更细，比如可以禁止微 ...

那我懂了老哥，就是我的需求是用不到行为管理那么多功能的，我只需要简单的黑白名单名义上控制一下上网权限，就可以了，确实不需要细分到， qq 能发消息不能传文件，这么细致，这家对这方面的软件，没有这么严格的要求。

wujiwu

给你参考。
面对电脑中毒arp欺诈、wifi共享、局域网环路、网络风暴等等


防火墙，网御 安全网关系统V3.0 power_V6000系列。做路由器、用的最多就是 mark黑名单攻击ip地址。偶然用arp 查 mac 地址 和ip地址关系。还有限流，nat策略等。

审计系统,网御上网行为管理系统V3.0，拿来搞封应用和网址（类似什么股票网站、特殊关键字 等）和禁用wifi共享（有特征库，单位禁止共享wifi，之前屡禁不止。最后上行为管理直接禁止了，偷偷共享wifi出来的用户  网页会提示 5分钟，另外目前网络有给其他外单位使用，所以非常难管理 一些列行为规范的问题，其他单位用起来都是嘴巴说好，但是我们管不着，也不好意思经常搜查他们 电脑和网络情况。

楼层交换机 华为 S5735？好像是这个系列。三层 web应用交换机（我不太会telenet 界面 命令）。这个交换机最大特点，可以防止arp欺诈、环路、风暴，实测 接 小交换机 环路，会自动识别 异常端口网络状态，并且自动堵塞端口不给影响其他网络（我用了这种堵塞策略，测试环路），环路解除，会自动通网（之前单位 网络瘫痪一次，怀疑有人环路，机房找了半天。没找到 出来，接近30分钟网络瘫痪才恢复网络，老板让我选一个 高级交换机看看有没办法避免，2022年的时候也硬着头皮去看资料，当时候将近七千元买了一台 回来给我玩1个月，测试通过后，批量把楼四台层交换机 全部换了，配置堆叠）







这个交换机最大的好处就是找端口，真的爽。直观啊，策略也算直观的。

终端，奇安信 杀毒。就是预防别单位发压缩**来中招。

至于价钱，防火墙和审计 网御 还有杀毒  确实好像是要续费一些扩展功能。每年都要续签。单位好像搞了一次四年的授权，算了事
交换机 买断了......
------------
这三套组合 比较完美
尤其 防火墙 通过arp 可以翻查所有经过它的  mac 设备，另外防火墙限速 每个ip地址速度。保证宽带 流畅。
审计系统，可以通过日志，查看ip地址 应用使用情况，浏览过什么网页等等日志（其实这个我也懒得看，只是有要求备用），主要是屏蔽wifi共享的动作。
交换机，可以通过mac 定位具体端口，然后 找跳线非常容易对于的网络面板模块。端口可以直接web 界面看到 接入的 设备 mac地址 情况。简直 只要通网的一个都没跑，随时可以 封禁

为什么选择网御？其实理论上深信服 是比较知名。老板早期10年前已经使用网御产品，而且这里 服务比较好 ，有问必答，随时上门协助排除故障或远程协助，服务各方面都比较给力，赢取了老板信任(前提产品也没怎么掉链子)。这里也不求顶级性能安全。

还有出现过上级单位 有可能随时给一个异常ip地址设备让我们自己排查和汇报，你可以想想拿着这种ip地址，在没有换交换机之前（老款h3c 100m的交换机），去找设备那个痛苦。现在通过其中一个信息（ip地址或者mac），都可以快速找到楼层房间位置，锁定排查设备（如果不想跑去找人，直接禁用它的mac地址，禁用设备跑去哪里接网络都没用，必须找管理员报网络故障，还真的试过测试搞一个人，上不了网找我）。

VincentHu

wujiwu 发表于 2024-7-5 17:57
给你参考。
防火墙，网御 的。就是 搞黑名单那种。型号忘记
面对电脑中毒arp欺诈、wifi共享、局域网环路、 ...

感谢感谢   我都搜搜看了解了解

wujiwu

1、解释是dns，例如你屏蔽baidu的域名，但是解释ip地址吧（一般好的知名域名，起码几个ip地址做服务，而且随时换ip地址）。想要准确屏蔽，基本就要准确定位ip地址和更新数据库。例如你屏蔽了百度，输入域名确实不能访问，但是别人用ip 输入直接登录首页，你觉得这个防火墙。屏蔽 到底有效还是无效 ？
2、这东西看价钱，两个买便宜，还是一个集成功能便宜，这个不清楚。另外性能也千差万别。找供应商了解区别，让他们介绍，达到什么功能
3、软件这些一方面拉低计算机性能，第二方面也存在破解，卸载，绕过等方面。去客户端部署，其实不是最佳方案。我还是偏向于 网络那边搞策略，一刀切。客户端只需要部署简单的杀毒软件了事，我们单位网络管控比较自用，手动设置一下ip地址可以上网。没有绑定端口+固定ip +设备mac。不然我基本不用休息，一直在上班
4、我也不太懂

chazikai24

VincentHu 发表于 2024-7-5 17:41
我们的其他客户公司基本都是飞塔，少量的深信服，这家其实也是深信服，但是问题是这个机器，中间有点时间 ...

飞塔是好，不是国产的啊，国外的防火墙，思科跟飞塔肯定是好的。
另外我看了下你的需求，我感觉行为管理，再你说的网络中，重点担任的任务难道不是流控吗？基于应用的流控。要不然百八十号人流畅上网都是个问题。顺便实现你说的黑白名单问题。深信服值钱的就是他家的特征库，不升级么，也不是不能用，就是部分应用可能识别不准而已。但是你说的黑白名单还是没问题的。
防火墙可以省了，买个满足性能要求的网关就行了。
至于杀毒客户端，EDR方便的地方就是统一管理，规则自动下发，自动升级。对于用户来说安装完就没事了，配置由服务端统一管理。如果没有这种统一管控的需求，其实安装个360安全卫士极速版，抛开别的不谈，它的防毒能力还是很强的。