随着网络科技的不断发展,新生的网络产品越来越多,防火墙、流量控制、UTM、VPN、IDS、IPS、审计等等,越来越多的设备串联进原有的网络中,就出现了一个不大不小的问题:在客户的网络出口位置往往能串联上三个甚至更多的出口设备,使整体安全性下降的同时,也严重影响了原有网络的性能。
有些设备是可以以旁路的方式接入网络工作的,但是有些网络设备,因为其特殊的需求,是不可能旁路部署的,必须以串联的方式工作,比如防火墙和流量控制。这些设备是要对进出的数据包做检测、控制的,单臂部署方式不能起到百分百的控制检测,更不能起到有效地控制,所以必须串联到原有网络中。但是,由于不同设备、不同厂家、不同产品型号等因素,造成不同的处理能力,所以难免会对原有网络造成一定的延时,这样就会降低网络带宽的利用效率,越多设备串联,问题就越明显。同时,这些网络设备作为网络的一个个节点,任何一个点发生故障都会导致网络的瘫痪,这样就大大增加了断网的可能性。因此,在保证用户需求的同时,尽可能减少出口设备是一个比较明智的选择。
上海西默科技通信有限公司自主研发的智能流量控制产品,充分考虑到用户的需求和现在网络边界设备存在的问题,集流量控制、防火墙、路由网关三大功能于一身,基于高性能的ASIC芯片架构,充分保证了稳定性和高性能。同时,自主开发的基于Linux内核的高效系统平台,专门针对西默智能流控的硬件平台编译、优化,强大的性能完全可以满足大中小规模企业用户对出口网关、防火墙和流量控制的需求。大大节省了硬件投入的成本,保护了用户的投资。
什么是西默智能流量控制
随着信息化的不断提高,企业网络的高可用性的目的也都是为了提高工作效率,扩展员工知识面,从而增强企业的核心竞争力。从早期的少数应用,如:BBS、Web、Email等,到现在丰富多样的应用如:视频会议、电子商务、多媒体应用等,这些网络应用给我们带来的好处大家也有目共睹,但也正是因为这些丰富多样的应用,同时给我们的企事业单位管理带来了新的挑战。
1、员工沉迷网络娱乐,影响工作效率
据相关数据显示:员工在上班时大量时间用在与工作无关的应用上,如QQ聊天,在线看电影,P2P下载影音等,严重干扰了我们正常的网络办公,从而也造成了人力资源的极大浪费。
2、访问不法网站及与工作无关的网站
随着网络的发展,很多企事业员工的工作已经离不开互联网,如企业电子商务。但是网上的诱惑层出不穷:上班时间浏览一些与工作无关的论坛,甚至访问一些色情、暴力网站,这不但降低了工作的效率,还影响了企业的文化建设,甚至给我们的网络造成了不安全因素。
3、重要信息外泄
互联网的方便也给重要信息和机密信息的泄露带来了一个便捷的途径:不法员工可以通过QQ、MSN、邮件等形式将公司的内部机密信息发送给Internet的任何人,所有的研发机密和商业机密可以很容易落入竞争对手手中,使企业蒙受巨大的损失。
4. 非业务流占用巨大带宽
在一些企业中,员工沉迷于炒股、在线听音乐、看电影和下载(P2P)与工作无关的视频等资料,这无疑给我们的网络带来了巨大的负担,导致公司的正常业务无法运转,甚至连邮件也发不出去,因此要改变这种现状已经迫在眉睫。
XMNTC是西默公司自主研发的专业级流控设备,能够实现业务数据流带宽优化、动态QoS调度、负载均衡、网站及内容过滤、内部网络防御、网络流量过滤和监控统计、网络用户接入认证管理、访问授权等多种技术。其可以轻松做到对网络应用进行管理;对P2P、网上视频、网络游戏等无关应用的流量限制和屏蔽;并融合业界先进的DPI和DFI技术,可以对基于流量行为的应用识别分析和数据包的匹配过滤。同时,西默流控还可以让用户随意对应用和用户分组进行监控;能实现行为审计、带宽分配、流量报表等的功能,是网络管理者必备的网络流量管理设备。
西默智能流量控制产品解决方案
1、基于用户的流量控制
西默流量控制产品支持本地认证和多种第三方认证方式,可以针对用户和用户组进行公网带宽的分配,如在政府和高校,可根据用户的职位灵活地分配带宽,保证重要领导的办公应用。
2、针对终端的管理
支持基于IP组、子网、应用类型/网站类型/文件类型、时间段,支持对内网关键业务的带宽保证(视频会议)、带宽借用、非关键业务的带宽限制、以及多优先级的QoS保障;还可以针对单个IP的流量配额、流量排除、上网时长控制以及连接数限制。
3、多协议识别
西默流量控制产品支持当前多数应用协议,在企业网和校园网应用:
1)优化网络运行管理:通过检测分析带宽使用状况,合理分配带宽资源;
2)强化网络行为管理:根据各种应用业务的流量,制定相关策略限制非主流业务(例如可以对即时通讯、P2P下载、网络游戏、网络电视等)在峰值时段进行限速、阻断,规范员工或师生的上网行为;
3)保障关键网络应用:根据企业需求保障关键应用(例如ERP、CRM、视频会议等),限制非主流业务占用过多的带宽,监测、阻断异常流量;
4)实时监控网络运行:识别阻断网络攻击,根据并发连接个数可以确定并阻断DoS攻击等异常行为,保护网络设备安全。
4、完善的日志及查询
西默流量控制产品有完善的日志分析及查询功能,企业的网络管理员可以根据日志,对网络进行优化管理,同时日志还可以保存到远程服务器,自定义保存期限,使您满足法规要求——组织单位对内网用户的互联网访问行为进行控制和记录,并且行为记录至少留存60天的要求,有效防止员工访问非法网站及一些非法动作对企业造成的法律风险。
5、审计功能和上网行为管理
提供Web访问、即时通信、防御、上网行为、P2P行为等等所有日志,可以对所有的内网用户进行审计,做到出现问题,由内置内容检索工具,可以让管理者更加快速而精确地找出原因所在;
系统内部设有海量非法URL库,提供在线实时更新;管理人员也可以随意添加,可自定义关键字过滤设置,并有效地隔离不良网站。提供基于用户、IP、时间上网限制管理,对一些非法行为系统会自动加入黑名单。
6、集成DPI(深度包检测)防火墙功能
目前在防止黑客攻击上,使用广泛的是状态检测防火墙,状态检测防火墙工作于网络层,其判断允许还是禁止数据流的依据不仅仅是依靠源IP地址、目的IP地址、源端口、目的端口和通讯协议等数据包信息,而是基于会话信息做出决策的。
状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并在状态表中保存这些信息,状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备,比如路由器,会将数据包分解成更小的数据帧。因此,状态检测设备,通常需要进行IP数据帧的重组,按其原来顺序组装成完整的数据包。
但是在当初设计状态检测技术时,并没有专门考虑Web应用程序的攻击,在应用格式以爆炸速度增长的今天,数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的P2P传输,而各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。IT权威机构Gartner认为,虽然应用程序代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为,包检测技术需要有新的发展。于是,新一代的深度检测防火墙技术(Deep Packet Inspection)便应运而生。
深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。因为结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决:对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。深度包检测技术可以更有效地辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。从本质上来讲,深度包检测将入侵检测(IDS)功能融入防火墙当中,从而使我们有条件创建一种一体化的安全设备。
西默智能流控基于可编程的ASIC架构并采用更有效的规则算法,大大增强了深度包检测引擎的执行能力。而将防火墙与入侵检测系统的功能封装在单个设备中,也可以使得管理方面的负担得到减轻,所以应用了深度包检测技术的西默智能流控设备受到了相当一部分管理员的好评。
7、内置强大的NAT功能,可作为网关设备
由于具备强大的数据包检测、转发能力,以及强大的NAT性能,XMNTC设备的部署方式推荐使用路由模式,即将西默智能流控作为网络的出口网关设备串接在网络边界。这样,即省去了防火墙,又节约掉了路由器,不仅节约了大量的设备采购成本,更增强了网络的安全性,使得网络拓扑更加清晰、简捷。
