上网行为管理的技术实现大概分为几个部分：IP分组管理、特定应用封锁、行为审计、行为记录等。

      一、IP分组管理是实现上网行为管理的基础，对于每个特定的分组分配不同的上网权限，对各种不同部门、不同业务、不同人员的上网行为管理进行要求，这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以，分组管理和权限策略在路由器中设计为多重搭配组合的模式。

      二、特定应用封锁技术包括静态过滤、协议型封锁二种模式。

      静态过滤是通过封锁特定应用的网络服务器IP和端口，达到应用无法连接到服务器的目的，实现行为封锁的一种方式。这种功能其实在路由器中早就存在，它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来，预制进产品中，通过一个在界面上的名字表达这个功能。这样做法就是方便了用户，不必让用户自己去查找要封锁项目的相关信息，再一条一条地在路由器上配置保存，这大大提高了产品的易用性。

      而协议型封锁是通过对要封锁的协议进行分析，识别上网行为身份，进行对该协议的拦截，实现行为封锁的一种方式。这是编制在产品的执行程序中的，用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用，它们虽然有相对固定的服务器IP群，但它们的连接方式是靠协议握手，动态地变换IP和端口，甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。

      当前的网络设备市场，提供上网行为管理功能的路由器很多，表面上是大家都有上网行为管理功能，但实际上由于技术实现方式的不同，导致了有的上网行为管理功能只是空架子、有漏洞、不实用。

      如果使用简单的静态过滤方式，而不是协议型封锁来实现上网行为管理，功能虽然提供了，而效果是不能令人满意的。遗憾的是，很多上网行为管理路由器就是这么做的。

      拿大家熟悉的QQ来说，我们登陆QQ时，都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表，然后通过路由器进行这些服务器IP的过滤处理，这样QQ帐号密码认证不了，当然也就实现了拦截QQ的目的。

这种封QQ的方式存在两个问题：

      1、当网络中特定应用添加或变更服务器IP时，就会出现行为管理失效，路由器不得不进行软件升级，效果不彻底，应用麻烦。

      2、当使用代理服务器进行应用访问的中转时，由于认证和访问信息通过第三方中转，自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP，就是用来破解此种行为管理的，QQ聊天软件也提供了绕过此种封锁的代理服务器设置，区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分，所以静态过滤的方式对行为管理是不彻底的，无效的。

      而协议型封锁方式由于直接分析网络数据协议，所以无论如何设置代理都能直接识别封锁，效果彻底，然而此种行为管理方式需要的技术较高，路由器中很少使用。

      网域科技的AC-Q上网行为流量管理设备具有高技术ALG协议的识别功能，识别ALG协议的方法一般常见的ALG实现都是采用内容匹配的方法，直接在字符串中找相关的ip地址和端口。这样做的好处是实现简单，坏处是有时不能正确匹配协议，会存在误识别的问题，更好的办法是使用协议分析，但这样做比较复杂，如果是基于tcp的应用协议，还可能涉及到流重组的问题（无法确定包边界）。所以简单协议用内容匹配，复杂协议用协议解析（特别是基于udp的协议），从而达到更好的管理效果。