網路流量控制1、主要危害
極度利用峰值頻寬,頻寬統計復用的服務模型隨之失效,運背商運營成本增bR民時間高度擁塞的網路帶來網路管理的困難和功能失效的危險;實時性要求較高的服務,例如vo1P,StreamingVide。和Audio將面臨前所術有的不確定的網路運行環境;網路擁塞導致的業務投訴增加,服務品質下降。
2、存在困難
傳統的流量控制只針對IP與端n進行控制,這在基於服務型的網路環境中是沒有問題的。隨著P2P端到端的套用蓬勃發展,以BT為代表的套用已經成為網路流量中的主要部分。這類套用的特點是:通訊流量巨大、種類繁多、無固定服務連線埠、特徵變化迅速、檢測困難。傳統千段管理P2P套用,會面臨局限:
(1)阻塞P2P常用端n:一方面拒絕了用戶的止常通信要求,降低或者違反了服務條約,另一方面導致rP2P套用轉向使用隨機端n和專用端n(如HTTP80連線埠)躲避檢查;(2)使用NAT方法隱藏用戶公網IP:導致了SAT穿越技術在P2P軟體中的廣泛套用;(3)阻塞P2P對等端向P2P信息服務節點的通信:導致了P2P對等端使用代理伺服器的方法躲避檢測,也導致P2P信息服務節點向隨機分布和隱藏的方向發展;(4)限制用戶的上行頻寬:違反了服務條約而且浮致f向公網用戶的數據請求童增大。
二、HTTD頻寬流量管理解決方案要解決P2P流量管理的困難,深度協定分析是最終解決方案。基於協定內容的流量控制技術(TrafficManagementbyApplication)和深層速率控制技術(DeeperKateControl)為這些問a的解決帶來曙光。19普通的最佳化技術相比,HTTD頻寬流量管理系列產品所使用的兒項專有技術有以!f幾個顯著特點:
(1)基於內容進行會話識別可以通過高速的深層協定分析,識別每一個網路會話所屬的套用,可以針對某種協定進行攔截或者制定相應的頻寬分配策略,而傳統的路由器和防火牆等網路設備只能根據連線埠進行最初級的識別(2)智慧型的頻寬調節功能可以根據網路負載智慧型調節網內的終端頻寬分配方式,例如:如果目前網路負載較重則自動限制那此流量較大的終端,保證多數用戶的網路套用能夠正常、快速的得到回響;當網路負載較軒時,則採用寬鬆的頻寬處理策略,以便網路的頻寬能得到充分的利用(3)基於終端的資源控制僅需設定一條規則,即可限定炸台終端的頻寬使用卜限,同時可以設定每台終端的會話數量,防止由一病毒等原囚造成的網路資源耗盡(4)頻寬的按需動態分配由於HTTD頻寬管理系統能看懂網路從第二到第七的協定層乃至會話間的關聯,它能自動地分辨各種不同的協定、服務和套用深層速率控制技術(DeeperRateControl少根據1P地址、子網、伺服器地點、協定、套用連線埠、套用類型等基本特點及套用的關聯性分析將這個信息流和其他信息流區分開來再根據不同的需要給予適當或應有的頻寬級別(Privilege)和頻寬政策(Policy),頻寬級別和頻寬政策可以按區間劃分,實施方式是硬性或彈性的,根據不同的靈活實施,可以確保廣域網有限資源的按需動態分配。
1、主要功能(1)網路資源監控監控各類網路流量,生成流量監控圖表(2)支持多種網路接口和協定支持10/100M以太接口以及1000M以太和光纖接n,支持DHCP,PPP,PPPoE和902..1Q等網路協定。(3)提供深度套用分析功能基於會話層的套用分析,實現針對套用層的處理和流量管理功能,高速高效的分析算法,可以在子兆環境下線速作。(4)提供多種網路控制功能集成防火牆、NAT,PAT和服務映射等功能;支持地址、服務、套用和時間等多種管理對象;支持會話控制、實時監控與負載均衡。(5)提供深度帶寬和劊活控串助能可以性篩U每個終端的頻寬總量和會話總量,對於超出會話/頻寬限額的終端進行限制和A-}o(6)可以部署在各種網路環境下支持路由、透明橋接、VLANTrunk及路由橋接混合工作模式,部署簡便,同時提供多出n負載均衡功能,同樣適用於複雜的網路壞境。
2、相應策略(1)總量抑制即時通訊的發展趨勢和特點據Gartner預測,即時通訊將超越電子郵件而成為網際網路用戶最主要的電了聯絡工具,有超過50%網際網路應用程式將把即時通訊軟體嵌入其中。根據艾瑞市場諮詢(iResearch)推出的((2004年中國即時通訊研究報告》數據顯示,2004年中國有即時通訊用戶6272萬入,2005年將達到8267萬人,2006年將達到10334萬人,增長將超過全球年平均增長率25%的水平。即時通信市場的發展和繁榮,有幾大趨勢和特點:
(1)實時線上即時通信不同於傳統的郵件或者FTP,K0是保持實時線上的狀態,恆個人可以通過即時通信顯示自己的狀態,是否線上,是否忙碌,是否樂意交談等。網際網路越來越普及,即時通信逐漸地融合到各類設備中去,比如平機、掌上電腦。這樣,每個用戶通過即時通信的線上時間就越來越長,所帶來的安全風險是把自己暴露於攻擊的時間變長,病毒和攻擊的傳輸成為實時和迅速的(2)互聯互通目前市場上即時通訊的廠家很多,市場占有率比較高的,國外產品有MSN,Yahoo通、AOL,Skype,國內產品有QQ、網易泡泡、新浪Uc等。其中很多產品已經或者在計畫著互聯互通,比如說MSN已經和Yahoo通實現互通,Skype已經公開白己的API。互聯互通消除了不同產品用戶之間的籬笆,給病毒的快速傳播帶來更大的機,產、‘‘0(3)多種功能捆綁即時通信越來越多地被捆綁上了各類功能,比如語音、視頻、個人門戶、遊戲、桌面管理等。繁雜的功能使得即時通信類的軟體原來越龐大,越來越複雜,其出現漏洞的可能性就越來越大Fortinet公司為即時通信提供安全解決方案正是因為即時通信這些特點,其安全向題一也越來越受方方面面的關注,其中包括即時通信廠商、安全廠商、安奈服務商以及黑客等。致力丁網路安全的Fortinet公司即將推出的網關型產品FortiGate053.0,以UTM技術從網路第一層到第七層為即時通信提供了安全解決方案。該方案有以下功能
:(1)訪問控制FortiGateR-有防火牆的訪問控制的功能,可以根據時間、IP,服務、域書對網路的訪問實現控制。(2)入侵阻斷FortiGate採用IPS技術,可以根據數據包內容對即時通信或P2P等套用採用阻斷、記錄日誌、通過這些策略也可以對針對即時通信和P2P等套用的漏洞進行攻擊的行為進行防禦,為如何防止黑客利用系統漏洞提供了非常有效的手段。(3)病毒掃描鑒於越來越多的病毒利用MSN這樣的即時通信軟體進行傳播,FortiGate可以實現對其傳輸的病毒進行掃描與清除。有組織預測,隨著即時通信的普及,病毒以前利用郵件這些傳統手段傳播的速度是以小時計,而以即時通信的傳播卻是分鐘計的。因此網關型病毒過濾產品在阻止病毒的迅速傳播,起到至關重妥的作用。(4)URL過濾病毒或者網F釣魚通過傳送URL給即時通信的用戶,引誘其傳送自己的私密信息或者卜載木馬病毒,FortiGate為形形色色的網站建立r一個實時更新的分類系統,從而把這ua非法的網站排除在外,為用戶抵制這些欺騙行為提供r有效的手段(5)用戶管制FortiGate可以對即時通信的用戶進行管制,可以允許某些用戶使用即時通信軟體,也可以阻擋非法或未授權的用戶,而且FortiGate即時通信用戶是與各類即時通信軟體的用戶名是統一的。(6)監控FortiGate可以實現對即時通信用戶狀態.通信信息、時間等等。
FortiGate為UTM技術又增添了新的亮點,通過建K多層次的安奈體系,為即時通信的安全間題提供全面的解決方案。總量抑制策略是第一步要採取的手段,即保證現有的受控套用流量的總量封頂,將此類套用限制到一個目前的水平卜限制新的增長,這是保證所有用戶能充分公平使用網路的必要乎段,否則就是對不使用BT的用戶權利的漠視(2)漸進控制漸進控制的策略是以當前網路套用的流量結構為基礎,經過一段時lulA漸調整到一個合理水平的策略方式。主要套用的是設備時間策略管理的功能。將用戶在一個相對長的時間段內逐步適應新的網路環境。從而避免直接封堵而產生的用戶投宿。經驗數據表明,在兩到三個月內,通過漸進控制的手段,可平穩的將BT等P2P套用頻寬壓縮到網路流量的10%(3)優先權控制優先權控制是要改變BT技術本身既有的資源搶占的特點而帶來的危害。在網路結構上調格網路套用的優先權別,讓關鍵的套用得到關鍵的保障,讓重要的套用得到優先的服務,這也是用技術的方法來平衡技術因素導致的危害。
