隨著網(wǎng)絡科技的不斷發(fā)展,新生的網(wǎng)絡產品越來越多,防火墻、流量控制、UTM、VPN、IDS、IPS、審計等等,越來越多的設備串聯(lián)進原有的網(wǎng)絡中,就出現(xiàn)了一個不大不小的問題:在客戶的網(wǎng)絡出口位置往往能串聯(lián)上三個甚至更多的出口設備,使整體安全性下降的同時,也嚴重影響了原有網(wǎng)絡的性能。
有些設備是可以以旁路的方式接入網(wǎng)絡工作的,但是有些網(wǎng)絡設備,因為其特殊的需求,是不可能旁路部署的,必須以串聯(lián)的方式工作,比如防火墻和流量控制。這些設備是要對進出的數(shù)據(jù)包做檢測、控制的,單臂部署方式不能起到百分百的控制檢測,更不能起到有效地控制,所以必須串聯(lián)到原有網(wǎng)絡中。但是,由于不同設備、不同廠家、不同產品型號等因素,造成不同的處理能力,所以難免會對原有網(wǎng)絡造成一定的延時,這樣就會降低網(wǎng)絡帶寬的利用效率,越多設備串聯(lián),問題就越明顯。同時,這些網(wǎng)絡設備作為網(wǎng)絡的一個個節(jié)點,任何一個點發(fā)生故障都會導致網(wǎng)絡的癱瘓,這樣就大大增加了斷網(wǎng)的可能性。因此,在保證用戶需求的同時,盡可能減少出口設備是一個比較明智的選擇。
上海西默科技通信有限公司自主研發(fā)的智能流量控制產品,充分考慮到用戶的需求和現(xiàn)在網(wǎng)絡邊界設備存在的問題,集流量控制、防火墻、路由網(wǎng)關三大功能于一身,基于高性能的ASIC芯片架構,充分保證了穩(wěn)定性和高性能。同時,自主開發(fā)的基于Linux內核的高效系統(tǒng)平臺,專門針對西默智能流控的硬件平臺編譯、優(yōu)化,強大的性能完全可以滿足大中小規(guī)模企業(yè)用戶對出口網(wǎng)關、防火墻和流量控制的需求。大大節(jié)省了硬件投入的成本,保護了用戶的投資。
什么是西默智能流量控制
隨著信息化的不斷提高,企業(yè)網(wǎng)絡的高可用性的目的也都是為了提高工作效率,擴展員工知識面,從而增強企業(yè)的核心競爭力。從早期的少數(shù)應用,如:BBS、Web、Email等,到現(xiàn)在豐富多樣的應用如:視頻會議、電子商務、多媒體應用等,這些網(wǎng)絡應用給我們帶來的好處大家也有目共睹,但也正是因為這些豐富多樣的應用,同時給我們的企事業(yè)單位管理帶來了新的挑戰(zhàn)。
1、員工沉迷網(wǎng)絡娛樂,影響工作效率
據(jù)相關數(shù)據(jù)顯示:員工在上班時大量時間用在與工作無關的應用上,如QQ聊天,在線看電影,P2P下載影音等,嚴重干擾了我們正常的網(wǎng)絡辦公,從而也造成了人力資源的極大浪費。
2、訪問不法網(wǎng)站及與工作無關的網(wǎng)站
隨著網(wǎng)絡的發(fā)展,很多企事業(yè)員工的工作已經(jīng)離不開互聯(lián)網(wǎng),如企業(yè)電子商務。但是網(wǎng)上的誘惑層出不窮:上班時間瀏覽一些與工作無關的論壇,甚至訪問一些色情、暴力網(wǎng)站,這不但降低了工作的效率,還影響了企業(yè)的文化建設,甚至給我們的網(wǎng)絡造成了不安全因素。
3、重要信息外泄
互聯(lián)網(wǎng)的方便也給重要信息和機密信息的泄露帶來了一個便捷的途徑:不法員工可以通過QQ、MSN、郵件等形式將公司的內部機密信息發(fā)送給Internet的任何人,所有的研發(fā)機密和商業(yè)機密可以很容易落入競爭對手手中,使企業(yè)蒙受巨大的損失。
4. 非業(yè)務流占用巨大帶寬
在一些企業(yè)中,員工沉迷于炒股、在線聽音樂、看電影和下載(P2P)與工作無關的視頻等資料,這無疑給我們的網(wǎng)絡帶來了巨大的負擔,導致公司的正常業(yè)務無法運轉,甚至連郵件也發(fā)不出去,因此要改變這種現(xiàn)狀已經(jīng)迫在眉睫。
XMNTC是西默公司自主研發(fā)的專業(yè)級流控設備,能夠實現(xiàn)業(yè)務數(shù)據(jù)流帶寬優(yōu)化、動態(tài)QoS調度、負載均衡、網(wǎng)站及內容過濾、內部網(wǎng)絡防御、網(wǎng)絡流量過濾和監(jiān)控統(tǒng)計、網(wǎng)絡用戶接入認證管理、訪問授權等多種技術。其可以輕松做到對網(wǎng)絡應用進行管理;對P2P、網(wǎng)上視頻、網(wǎng)絡游戲等無關應用的流量限制和屏蔽;并融合業(yè)界先進的DPI和DFI技術,可以對基于流量行為的應用識別分析和數(shù)據(jù)包的匹配過濾。同時,西默流控還可以讓用戶隨意對應用和用戶分組進行監(jiān)控;能實現(xiàn)行為審計、帶寬分配、流量報表等的功能,是網(wǎng)絡管理者必備的網(wǎng)絡流量管理設備。
西默智能流量控制產品解決方案
1、基于用戶的流量控制
西默流量控制產品支持本地認證和多種第三方認證方式,可以針對用戶和用戶組進行公網(wǎng)帶寬的分配,如在政府和高校,可根據(jù)用戶的職位靈活地分配帶寬,保證重要領導的辦公應用。
2、針對終端的管理
支持基于IP組、子網(wǎng)、應用類型/網(wǎng)站類型/文件類型、時間段,支持對內網(wǎng)關鍵業(yè)務的帶寬保證(視頻會議)、帶寬借用、非關鍵業(yè)務的帶寬限制、以及多優(yōu)先級的QoS保障;還可以針對單個IP的流量配額、流量排除、上網(wǎng)時長控制以及連接數(shù)限制。
3、多協(xié)議識別
西默流量控制產品支持當前多數(shù)應用協(xié)議,在企業(yè)網(wǎng)和校園網(wǎng)應用:
1)優(yōu)化網(wǎng)絡運行管理:通過檢測分析帶寬使用狀況,合理分配帶寬資源;
2)強化網(wǎng)絡行為管理:根據(jù)各種應用業(yè)務的流量,制定相關策略限制非主流業(yè)務(例如可以對即時通訊、P2P下載、網(wǎng)絡游戲、網(wǎng)絡電視等)在峰值時段進行限速、阻斷,規(guī)范員工或師生的上網(wǎng)行為;
3)保障關鍵網(wǎng)絡應用:根據(jù)企業(yè)需求保障關鍵應用(例如ERP、CRM、視頻會議等),限制非主流業(yè)務占用過多的帶寬,監(jiān)測、阻斷異常流量;
4)實時監(jiān)控網(wǎng)絡運行:識別阻斷網(wǎng)絡攻擊,根據(jù)并發(fā)連接個數(shù)可以確定并阻斷DoS攻擊等異常行為,保護網(wǎng)絡設備安全。
4、完善的日志及查詢
西默流量控制產品有完善的日志分析及查詢功能,企業(yè)的網(wǎng)絡管理員可以根據(jù)日志,對網(wǎng)絡進行優(yōu)化管理,同時日志還可以保存到遠程服務器,自定義保存期限,使您滿足法規(guī)要求——組織單位對內網(wǎng)用戶的互聯(lián)網(wǎng)訪問行為進行控制和記錄,并且行為記錄至少留存60天的要求,有效防止員工訪問非法網(wǎng)站及一些非法動作對企業(yè)造成的法律風險。
5、審計功能和上網(wǎng)行為管理
提供Web訪問、即時通信、防御、上網(wǎng)行為、P2P行為等等所有日志,可以對所有的內網(wǎng)用戶進行審計,做到出現(xiàn)問題,由內置內容檢索工具,可以讓管理者更加快速而精確地找出原因所在;
系統(tǒng)內部設有海量非法URL庫,提供在線實時更新;管理人員也可以隨意添加,可自定義關鍵字過濾設置,并有效地隔離不良網(wǎng)站。提供基于用戶、IP、時間上網(wǎng)限制管理,對一些非法行為系統(tǒng)會自動加入黑名單。
6、集成DPI(深度包檢測)防火墻功能
目前在防止黑客攻擊上,使用廣泛的是狀態(tài)檢測防火墻,狀態(tài)檢測防火墻工作于網(wǎng)絡層,其判斷允許還是禁止數(shù)據(jù)流的依據(jù)不僅僅是依靠源IP地址、目的IP地址、源端口、目的端口和通訊協(xié)議等數(shù)據(jù)包信息,而是基于會話信息做出決策的。
狀態(tài)檢測防火墻驗證進來的數(shù)據(jù)包時,判斷當前數(shù)據(jù)包是否符合先前允許的會話,并在狀態(tài)表中保存這些信息,狀態(tài)檢測防火墻還能阻止基于異常TCP的網(wǎng)絡層的攻擊行為。網(wǎng)絡設備,比如路由器,會將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀。因此,狀態(tài)檢測設備,通常需要進行IP數(shù)據(jù)幀的重組,按其原來順序組裝成完整的數(shù)據(jù)包。
但是在當初設計狀態(tài)檢測技術時,并沒有專門考慮Web應用程序的攻擊,在應用格式以爆炸速度增長的今天,數(shù)據(jù)載荷中可能充斥著垃圾郵件、廣告視頻以及企業(yè)所不欣賞的P2P傳輸,而各種電子商務程序的HTML和XML格式數(shù)據(jù)中也可能夾帶著后門和木馬程序在網(wǎng)絡節(jié)點之間交換。IT權威機構Gartner認為,雖然應用程序代理不是阻止未來黑客攻擊的關鍵,但是防火墻應能分辨并阻止數(shù)據(jù)包的惡意行為,包檢測技術需要有新的發(fā)展。于是,新一代的深度檢測防火墻技術(Deep Packet Inspection)便應運而生。
深度檢測防火墻,將狀態(tài)檢測和應用防火墻技術結合在一起,以處理應用程序的流量,防范目標系統(tǒng)免受各種復雜的攻擊。因為結合了狀態(tài)檢測的所有功能,深度檢測防火墻能夠對數(shù)據(jù)流量迅速完成網(wǎng)絡層級別的分析,并做出訪問控制決:對于允許的數(shù)據(jù)流,根據(jù)應用層級別的信息,對負載做出進一步的決策。深度包檢測技術可以更有效地辨識和防護緩沖區(qū)溢出攻擊、拒絕服務攻擊、各種欺騙性技術以及類似尼姆達這樣的蠕蟲病毒。從本質上來講,深度包檢測將入侵檢測(IDS)功能融入防火墻當中,從而使我們有條件創(chuàng)建一種一體化的安全設備。
西默智能流控基于可編程的ASIC架構并采用更有效的規(guī)則算法,大大增強了深度包檢測引擎的執(zhí)行能力。而將防火墻與入侵檢測系統(tǒng)的功能封裝在單個設備中,也可以使得管理方面的負擔得到減輕,所以應用了深度包檢測技術的西默智能流控設備受到了相當一部分管理員的好評。
7、內置強大的NAT功能,可作為網(wǎng)關設備
由于具備強大的數(shù)據(jù)包檢測、轉發(fā)能力,以及強大的NAT性能,XMNTC設備的部署方式推薦使用路由模式,即將西默智能流控作為網(wǎng)絡的出口網(wǎng)關設備串接在網(wǎng)絡邊界。這樣,即省去了防火墻,又節(jié)約掉了路由器,不僅節(jié)約了大量的設備采購成本,更增強了網(wǎng)絡的安全性,使得網(wǎng)絡拓撲更加清晰、簡捷。