上網(wǎng)行為管理的提出是的企業(yè)的工作效率得到了大幅度的提高，也通過身份確認、網(wǎng)頁過濾、應(yīng)用控制等功能體高了企業(yè)網(wǎng)絡(luò)安全性。筆者會持續(xù)對上網(wǎng)行為管理技術(shù)和使用技巧做深度剖析，希望能夠使得廣大讀者更深入地理解上網(wǎng)行為管理，同時避免一些使用誤區(qū)。

從哪里說起也是一個值得思考的事情。正好最近上網(wǎng)行為管理產(chǎn)品附屬的代理緩存功能實現(xiàn)上網(wǎng)優(yōu)化、上網(wǎng)安全的話題比較熱門，因此就先從這一點做一些技術(shù)原理的較深入剖析，希望能夠?qū)V大用戶正確地使用好代理緩存有所幫助，同時避免一些使用誤區(qū)。

代理緩存技術(shù)其實一直是上網(wǎng)行為管理產(chǎn)品的一個子功能，技術(shù)實現(xiàn)是在上網(wǎng)行為管理產(chǎn)品中開啟一個簡單的代理服務(wù)器模塊，對所有80端口的報文進行代理轉(zhuǎn)發(fā)（包含可緩存的網(wǎng)頁訪問，也包含不可緩存的P2P 80端口借用技術(shù)），通過把對某個網(wǎng)頁***次訪問的內(nèi)容存儲在設(shè)備當中，當以后再有相同的訪問請求出現(xiàn)時，就能夠直接從設(shè)備中讀取該頁面提供給本地訪問者。

直觀看來這樣的機理是能夠提升網(wǎng)頁的訪問速度的，但由于代理固有的一些低性能特點，例如TCP端口級代理觸發(fā)、4層拆包、存儲轉(zhuǎn)發(fā)等，也導致代理緩存的開啟受制于嚴格的注意事項和特定條件，并不是放之四海而皆準的。

為了能夠讓用戶更好地利用好上網(wǎng)行為管理產(chǎn)品的緩存功能，特抽取了3個比較有代表性的認知誤區(qū)進行分析，避免用戶在開啟代理緩存后達不到預(yù)期的效果。

上網(wǎng)行為管理誤區(qū)一：代理緩存網(wǎng)關(guān)比透明轉(zhuǎn)發(fā)網(wǎng)關(guān)性能更高

不少用戶認為，既然代理緩存可以減少網(wǎng)外出請求的訪問量，那么相同硬件型號下應(yīng)該是代理緩存的性能更高、速度更快。

我們從下圖分析一下機理，結(jié)果會一目了然

可以看出，代理緩存型網(wǎng)關(guān)在處理同樣數(shù)據(jù)時的開銷比透明轉(zhuǎn)發(fā)型網(wǎng)關(guān)要大得多。因此相同硬件平臺下，代理緩存型網(wǎng)關(guān)的性能一定會差。并且由于透明代理的部署是串聯(lián)在網(wǎng)路中，所有報文都要處理，網(wǎng)絡(luò)中存在大量無效代理的P2P 80報文，會引起網(wǎng)關(guān)性能更加降低。

因此：如果希望在網(wǎng)絡(luò)中使用代理緩存型網(wǎng)關(guān)就需要在設(shè)備選型時比透明轉(zhuǎn)發(fā)型網(wǎng)關(guān)的型號高1-2等級。這樣才有可能避免由于設(shè)備開銷增加導致的網(wǎng)速降低。

上網(wǎng)行為管理誤區(qū)二：在任何情況下代理緩存型網(wǎng)關(guān)都可以加速網(wǎng)絡(luò)

不少用戶覺得既然緩存可以存儲網(wǎng)頁，那在任何情況下都應(yīng)該是可以加速網(wǎng)絡(luò)的。

從緩存的固有參數(shù)看，有效加速依賴兩個重要的指標：1、命中率 ；2、設(shè)備繁忙程度。

1、人數(shù)少將導致命中率低、難以起到加速效果：如果一個單位的人數(shù)少（1000人以下），網(wǎng)頁的廣度就不可能很大；而由于人數(shù)不多，導致訪問相同內(nèi)容的幾率也大大降低。從概率論的角度來闡述就是網(wǎng)頁訪問成離散的分布狀態(tài)，命中率會很低。有些讀者會問，人數(shù)雖然不多，但經(jīng)過長時間的積累應(yīng)該也可以有很豐富的緩存資源了，但是由于目前網(wǎng)頁多采用動態(tài)頁面，頁面變化很快，緩存不能長期存儲，生命周期最長也就是1天，甚至更短，因此很難實長期積累效果。這樣的環(huán)境中很難感受到加速。

2、串接方式代理多將導致設(shè)備繁忙、難以起到加速效果：串接方式下由于大量不可被代理緩存的應(yīng)用會穿越設(shè)備并出發(fā)代理功能（例如P2P，股票，游戲，聊天），導致網(wǎng)關(guān)的繁忙程度會很高。并且目前的HTTP多采用短連接，也就是每次傳送的內(nèi)容很少，此時即便本地有緩存，很可能訪問的速度也不一定比直接訪問外部快。

因此：人數(shù)較少的單位（1000人以下）需要謹慎采用緩存代理的方式。即便是1000人以上的單位，為了避免無法代理的大量業(yè)務(wù)穿越設(shè)備，引起設(shè)備繁忙，也不建議采用串接的透明代理方式，***是采用旁路的指定代理部署。這樣才不會導致設(shè)備因性能而降低網(wǎng)速。

上網(wǎng)行為管理誤區(qū)三：開啟代理緩存后會更安全

代理可以帶來安全，但不是適合所有環(huán)境。透明代理模式下安全性實際得不到提升。

我們分析一下機理：代理之所以安全是因為網(wǎng)絡(luò)中的用戶根本沒有對外直接發(fā)送報文的路由。這樣可被代理的報文由于代理的斷開內(nèi)外連接的特性實現(xiàn)了安全，不可被代理的風險行為報文由于沒有路由外出，也無法引起風險?？梢钥闯龃淼陌踩蛢?nèi)網(wǎng)的組網(wǎng)及路由設(shè)定是很有關(guān)系的。

除此之外，在代理緩存有效工作的情況下，筆者還有3個重要的建議：

1、 代理開啟后必須要正確配置路由，在內(nèi)外網(wǎng)每次一路由變動后注意調(diào)整好代理設(shè)備的路由

2、 用戶訪問的頁面如果不是標準頁面，可能產(chǎn)生代理錯誤，定位方法稍復(fù)雜，建議提前和設(shè)備提供商咨詢清楚出現(xiàn)代理頁面錯誤時應(yīng)該如何定位。

3、 由于動態(tài)網(wǎng)頁更新頻度很高，例如搜狐首頁，緩存可能引起訪問失真，建議合理調(diào)整好緩存的存在時間。

2004年以來代理緩存技術(shù)就已經(jīng)是上網(wǎng)行為管理產(chǎn)品的一個進行客戶上網(wǎng)優(yōu)化的附屬功能之一。當用戶具備大規(guī)模人群、采購更高型號硬件、合理的部署旁路的指定代理后，上網(wǎng)行為管理產(chǎn)品不僅可以管理好您的網(wǎng)絡(luò)，也可以幫助您實現(xiàn)上網(wǎng)優(yōu)化。希望本文的內(nèi)容對您正確使用上網(wǎng)代理緩存的技術(shù)有所幫助，讓緩存真正地幫助您實現(xiàn)網(wǎng)絡(luò)加速和優(yōu)化。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類 
2. 企業(yè)網(wǎng)絡(luò)防護應(yīng)注意的四個基本點
3. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓
4. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風險