网络流量控制
一 、网络流且控制现状据统计,P2P数据流量占因特网总流量达60%,并且在用户总数没有显著增长的情况下,P2P数据流量仍然在快速持续增长。它在改变数据网络流量突发性数学模型的同时,也影响了ISP的商业运作模式
1、主要危害
极度利用峰值带宽,带宽统计复用的服务模型随之失效,运背商运营成本增bR民时间高度拥塞的网络带来网络管理的困难和功能失效的危险;实时性要求较高的服务,例如vo1P,StreamingVide。和Audio将面临前所术有的不确定的网络运行环境;网络拥塞导致的业务投诉增加,服务品质下降。
2、存在困难
传统的流量控制只针对IP与端n进行控制,这在基于服务型的网络环境中是没有问题的。随着P2P端到端的应用蓬勃发展,以BT为代表的应用已经成为网络流量中的主要部分。这类应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。传统 千 段 管理P2P应用,会面临局限:
(1)阻塞P2P常用端n:一方面拒绝了用户的止常通信要求,降低或者违反了服务条约,另一方面导致rP2P应用转向使用随机端n和专用端n (如HTTP 80端口)躲避检查;(2)使用NAT方法隐藏用户公网IP:导致了SAT穿越技术在P2P软件中的广泛应用;(3)阻塞P2P对等端向P2P信息服务节点的通信:导致了P2P对等端使用代理服务器的方法躲避检测,也导致P2P信息服务节点向随机分布和隐藏的方向发展;(4)限制用户的上行带宽:违反了服务条约而且浮致f向公网用户的数据请求童增大。
二、 HTTD带宽流量管理解决方案要解决P2P流量管理的困难,深度协议分析是最终解决方案。基于协议内容的流量控制技术(Traffic Management by Application)和深层速率控制技术(Deeper KateControl)为这些问a的解决带来曙光。19普通的优化技术相比,HTTD带宽流量管理系列产品所使用的儿项专有技术有以!f几个显著特点:
(1) 基于内容进行会话识别可以通过高速的深层协议分析,识别每一个网络会话所属的应用,可以针对某种协议进行拦截或者制定相应的带宽分配策略,而传统的路由器和防火墙等网络设备只能根据端口进行最初级的识别(2) 智能的带宽调节功能可以根据网络负载智能调节网内的终端带宽分配方式,例如:如果目前网络负载较重则自动限制那此流量较大的终端,保证多数用户的网络应用能够正常、快速的得到响应;当网络负载较轩时,则采用宽松的带宽处理策略,以便网络的带宽能得到充分的利用(3) 基 于 终端的资源控制仅需设定一条规则,即可限定炸台终端的带宽使用卜限,同时可以设定每台终端的会话数量,防止由一病毒等原囚造成的网络资源耗尽(4) 带 宽 的按需动态分配由于HTTD带宽管理系统能看懂网络从第二到第七的协议层乃至会话间的关联,它能自动地分辨各种不同的协议、服务和应用深层速率控制技术(DeeperRateControl少根据1P地址、子网、服务器地点、协议、应用端口、应用类型等基本特点及应用的关联性分析将这个信息流和其他信息流区分开来再根据不同的需要给予适当或应有的带宽级别(Privilege)和带宽政策(Policy),带宽级别和带宽政策可以按区间划分,实施方式是硬性或弹性的,根据不同的灵活实施,可以确保广域网有限资源的按需动态分配。
1、主要功能(1) 网络资源监控监控各类网络流量,生成流量监控图表(2) 支持多种网络接口和协议支持10/100M以太接口以及1000M以太和光纤接n,支持DHCP, PPP, PPPoE和802.1Q等网络协议。(3) 提 供 深度应用分析功能基于会话层的应用分析,实现针对应用层的处理和流量管理功能,高速高效的分析算法,可以在子兆环境下线速作。(4) 提供多种网络控制功能集成防火墙、NAT,PAT和服务映射等功能;支持地址、服务、应用和时间等多种管理对象;支持会话控制、实时监控与负载均衡。(5) 提供深度带宽和刽活控串助能可以性筛U每个终端的带宽总量和会话总量,对于超出会话/带宽限额的终端进行限制和A-}o(6) 可 以 部署在各种网络环境下支持路由、透明桥接、VLAN Trunk及路由桥接混合工作模式,部署简便,同时提供多出n负载均衡功能,同样适用于复杂的网络坏境。
2、相应策略(1) 总量抑制即时通讯的发展趋势和特点据Gartner预测,即时通讯将超越电子邮件而成为互联网用户最主要的电了联络工具,有超过50%互联网应用程序将把即时通讯软件嵌入其中。根据艾瑞市场咨询(iResearch)推出的((2004年中国即时通讯研究报告》数据显示,2004年中国有即时通讯用户6272万入,2005年将达到8267万人,2006年将达到10334万人,增长将超过全球年平均增长率25%的水平。即时通信市场的发展和繁荣,有几大趋势和特点:
(1) 实时在线即时通信不同于传统的邮件或者FTP,K0是保持实时在线的状态,恒个人可以通过即时通信显示自己的状态,是否在线,是否忙碌,是否乐意交谈等。互联网越来越普及,即时通信逐渐地融合到各类设备中去,比如平机、掌上电脑。这样,每个用户通过即时通信的在线时间就越来越长,所带来的安全风险是把自己暴露于攻击的时间变长,病毒和攻击的传输成为实时和迅速的(2 )互 联 互通目前市场上即时通讯的厂家很多,市场占有率比较高的,国外产品有MSN, Yahoo通、AOL,Skype,国内产品有QQ、网易泡泡、新浪Uc等。其中很多产品已经或者在计划着互联互通,比如说MSN已经和Yahoo通实现互通,Skype已经公开白己的API。互联互通消除了不同产品用户之间的篱笆,给病毒的快速传播带来更大的机会。(3) 多种功能捆绑即时通信越来越多地被捆绑上了各类功能,比如语音、视频、个人门户、游戏、桌面管理等。繁杂的功能使得即时通信类的软件原来越庞大,越来越复杂,其出现漏洞的可能性就越来越大For tin et公司为即时通信提供安全解决方案正是因为即时通信这些特点,其安全向题一也越来越受方方面面的关注,其中包括即时通信厂商、安全厂商、安奈服务商以及黑客等。致力丁网络安全的Fortinet公司即将推出的网关型产品FortiGate 053.0,以UTM技术从网络第一层到第七层为即时通信提供了安全解决方案。该方案有以下功能(1) 访 问 控制FortiGateR -有防火墙的访问控制的功能,可以根据时间、IP ,服务、域书对网络的访问实现控制。(2) 入 侵 阻断FortiGate采用IPS技术,可以根据数据包内容对即时通信或P2P等应用采用阻断、记录日志、通过这些策略也可以对针对即时通信和P2P等应用的漏洞进行攻击的行为进行防御,为如何防止黑客利用系统漏洞提供了非常有效的手段。(3) 病 毒 扫描鉴于越来越多的病毒利用MSN这样的即时通信软件进行传播,FortiGate可以实现对其传输的病毒进行扫描与清除。有组织预测,随着即时通信的普及,病毒以前利用邮件这些传统手段传播的速度是以小时计,而以即时通信的传播却是分钟计的。因此网关型病毒过滤产品在阻止病毒的迅速传播,起到至关重妥的作用。(4) U RL 过滤病毒或者网F钓鱼通过发送URL给即时 通信的用户,引诱其发送自己的私密信息或者卜载木马病毒,FortiGate为形形色色的网站建立r一个实时更新的分类系统,从而把这ua非法的网站排除在外,为用户抵制这些欺骗行为提供r有效的手段(5 )用 户 管制FortiGate可以对即时通信的用户进行管制,可以允许某些用户使用即时通信软件,也可以阻挡非法或未授权的用户,而且FortiGate即时通信用户是与各类即时通信软件的用户名是统一的。(6 )监 控 FortiGate可以实现对即时通信用户状态.通信信息、时间等等。
Fo rti Ga te为UTM技术又增添了新的亮点,通过建K多层次的安奈体系,为即时通信的安全间题提供全面的解决方案。总量 抑 制 策略是第一步要采取的手段,即保证现有的受控应用流量的总量封顶,将此类应用限制到一个目前的水平卜限制新的增长,这是保证所有用户能充分公平使用网络的必要乎段,否则就是对不使用BT的用户权利的漠视(2) 渐 进 控制渐 进 控 制的策略是以当前网络应用的流量结构为基础,经过一段时lul A渐调整到一个合理水平的策略方式。主要应用的是设备时间策略管理的功能。将用户在一个相对长的时间段内逐步适应新的网络环境。从而避免直接封堵而产生的用户投宿。经验数据表明,在两到三个月内,通过渐进控制的手段,可平稳的将BT等P2P应用带宽压缩到网络流量的10%(3) 优 先 级控制优先 级 控 制是要改变BT技术本身既有的资源抢占的特点而带来的危害。在网络结构上调格网络应用的优先级别,让关键的应用得到关键的保障,让重要的应用得到优先的服务,这也是用技术的方法来平衡技术因素导致的危害。
网络流量控制器bitSaver(又称应用流量管理器,带宽管理器或QoS设备)早在2000年就已经出现了,最早是美国的Packteer公司研发。但是由于网络带宽问题还没有显著,所以企业IT部门对带宽的重视程度还不够,随着各种网络新技术的应用以及网络多媒体技术的发展,网络带宽紧缺的问题越来越明显。尤其是2005年来,P2P应用更是对带宽的管理带来了严重威胁,所以带宽管理器的市场在近3年来得到了很大的发展。据不完全统计,这个市场已经超过了近25亿美元。中国的带宽管理市场从2004年才开始逐渐受到重视,2007年中国带宽管理市场份额也在2亿人民币,预计中国带宽管理市场将以20%以上的速度增长。而具有带宽管理设备提供商的除了国外Packteer、Allot公司外,国内的北京英智兴达,畅讯科技等厂商,国外厂商带宽管理设备还没有实现界面的本地化,都是以授权代理的形式进入中国;国内的厂商在经历了3到4年的产品研发攻坚,产品才日益稳定,市场、技术、产品的竞争将在2008年展开。带宽管理器的基本功能非常简单,就是根据应用和用户进行带宽的分配与监控。由于是七层的网络管理设备,所以网络管理人员无需具备较高的网络知识就能直接对应用和用户进行带宽的分配,这在一定程度上降低了网络管理人员的投入。虽然功能很简单,但是能够实现的各种应用却很多,只是大部分用户对带宽管理的应用没有得到很好的认识。国外的带宽管理设备昂贵,且不支持中文展示所以Packteer和Allot的应用主要集中在电信和金融,国内的北京英智兴达等厂商虽然在教育、政府、能源与医疗行业有所斩获,但是产品系列才成型一年,所以在市场应用的推广各厂商没有过多投入,导致用户对带宽管理的应用处于初级阶段。
在电信和金融领域带宽应用主要表现在SLA(服务等级协议)上,通过带宽管理设备给不同等级的用户提供不同等级的带宽服务,从而保障核心客户的投资回报率。
在教育、政府等应用,带宽管理器主要应用集中在对P2P的管理方面,尤其是BT的管理。同时带宽管理设备也开始作为视频会议的QoS的保障设备出现。由于P2P等应用的客户端不断升级,所以只有具有自主研发的国内产品才能实现快速根据新版本推出管理策略,在这个应用上国际厂商不具有优势。当然作为带宽管理器,还具有更多的应用方式。如以下的应用:
一、网络应用透明度问题,通过带宽管理器可以让以前未知的网络应用的状况能够详细查看。
二、防范突发的流量激增和未知应用的攻击,如DoS攻击等,保障网络安全。
三、评估核心应用的价值,通过对核心应用流量的监查,了解核心应用的使用率与效率。
四、保证关键应用(如:CRM、VPN、无线网络、视频会议、VoIP、等)所需的带宽,保证任何时候关键应用不受阻
五、准确评估网络的负载能力以及新应用上线对整体网络应用的影响,保证客户的IT投资合理性。
六、实现按照用户的等级提供不同的网络资源配给,保障客户核心用户的网络价值。
七、降低网络管理人员的重复操作,并提供应用的量化数据,便于管理层根据应用状况做出决策。
这些应用只是在一些具体案例中出现,大部分用户还没有将带宽管理与自身的网络管理进行有效的融合。应用的前景很大。
产品介绍:Allot的NetEnforcer系列:可管理的带宽在2M到1G之间,由于需要网络管理人员具备较高的网络技术水平,而且对于一些中国本地化应用并不支持,所以主要在电信等实施国际化的大型应用系统的行业。
英智兴达的bitSaver产品系列:其管理的带宽从2M到1000M之间,主要客户集中在教育、政府和企业单位,主要作为外网的管理设备。由于具有定制功能,可提供用户特定应用的识别和管理,所以对于国内的软件视频会议系统、VoIP系统以及网络游戏、迅雷、IM等有良好的管理性能。(完)