终端安全管理 > 互联网流量管理解决方案
互联网流量管理解决方案
2017/3/2 11:16:28 分享到:
前言:
网络的发展与普及使得用户无论工作、生活都与网络紧密联系;而企业、政府等组织机构通过互联网不仅获取丰富的信息资源,同时与其他组织建立了便捷、低成本的沟通;与分支机构建立VPN、对外发布应用、内部人员上网等都对互联网带宽提出较高要求。但往往P2P、流媒体、甚至DOS攻击等严重滥用组织宝贵的互联网带宽资源,组织的网络管理者一直在考虑,如何让宝贵的互联网带宽资源更高效、可控的使用、并发挥其价值?
互联网的挑战:
缺乏流量管理的互联网将严重影响组织的使用:用户上网争抢带宽,关键用户的带宽无保障,众多用户抱怨上网速度慢;非关键应用(尤其P2P/流媒体)滥用带宽,关键应用(视频语音、ERP等)带宽无保障;网络管理者扩容带宽后很快又遇到以上问题,怎么办?互联网挑战主要体现在:
1. 互联网不透明。路由交换设备在连通互联网后,却未能向管理者展示用户流量排行、应用流量统计、带宽占用率等情况,导致互联网对管理者不透明。管理者无法发现互联网瓶颈、无法预知问题。
2. 带宽低效、网速慢。依赖于互联网的业务系统传输速度慢、用户上网速度慢、关键用户带宽缺乏保障;同时带宽使用情况没有分析、缺少管理。单纯扩容带宽后,上网速度并未改善,互联网带宽依然低效。
3. 成本难回报。由于缺乏对互联网瓶颈的分析与掌控,带宽扩容成本被浪费;缓慢的业务系统和上网速度影响员工积极性;泛滥的非工作网络行为,降低工作效率;IT成本不断增加,但网络服务质量却未见提升。
组织看似充裕的互联网带宽由于承载着众多用户、大量数据的传输,加上P2P等带宽杀手应用的泛滥使用,管理粗放式的互联网已经不堪重负。
深信服科技解决方案:
深信服科技SANGFOR BM带宽管理网关,专注于网络应用的识别与分析,通过丰富的统计报表等图形化工具,帮助管理者更全面的掌握互联网带宽的使用情况,再通过SANGFOR BM网关为不同用户、不同应用、不同文件、甚至不同网站划分和分配带宽资源。SANGFOR BM的典型部署方式如下:
无需改变原有网络结构,SANGFOR BM网关以透明网桥方式部署在互联网出口处。
BM网关全面识别各种互联网应用协议、访问行为、及用户身份等,进而实现带宽的细致划分与分配。BM可将一条物理链路分割成多条虚拟线路,对组织的多条互联网链路分别实现流量管理。
A) 流量分析,增强互联网透明度。
BM网关不仅广泛识别互联网应用协议,且能识别用户身份,详细记录各种互联网访问行为日志,包括IP、端口、访问时间、流量、流速等信息,进
而BM将向管理者展示互联网链路中的流量组成、使用情况,各协议/各用户的带宽占用细节等信息。让网络真正对管理者完全透明,便于管理者发现瓶颈、预知风险、提前做好互联网建设规划。
B) 细致的带宽划分与分配。
BM网关不仅支持基于应用协议类型划分和分配带宽,且可基于用户上传下载的文件类型、网站类型实现带宽划分与分配,同时带宽管理策略可实现与用户身份的绑定,确保在DHCP等动态IP环境中关键用户的带宽得到有效保障。
C) 优先级与公平性保障。
BM网关借助特有的“轮转调度+分层三色令牌桶”技术,为访问行为提供差异化优先级处理机制,确保关键应用和行为得到快速响应。而同一带宽通道中多个用户、多个应用行为,SANGFOR BM网关将平均分配带宽资源,确保公平性。另外BM网关还提供带宽借用、流量整形等,帮助组织充分、高效的使用互联网带宽资源
D) 识别并管理网络行为。
组织互联网出口中承载的流量和访问行为纷繁复杂,其中尤以迅雷、BT等P2P行为,PPLive、土豆网等在线流媒体等带宽杀手行为最盛。
SANGFOR BM网关能够管控70多种P2P和流媒体协议,及其他三百多种互联网协议;同时BM能够管理URL网页访问行为等,结合BM对上网用户身份的识别,实现从网络第七层帮助组织规范内网用户的互联网访问行为,提升工作效率。
E) 识别并管理异常流量。
由于内网终端设备感染病毒、蠕虫而爆发DOS等泛洪流量,导致互联网出口严重拥塞、网络设备负载过大、甚至链路中断等问题。基于此BM网关能防御DOS攻击,避免泛洪流量影响互联网的可用性。
SANGFOR BM网关的优势:
A) 流量策略与用户身份绑定。BM网关支持WEB认证、或与组织原有LDAP、Radius等结合认证,BM精准识别用户身份,确保流量策略与用户身份绑定,保障关键用户的带宽需求,避免动态IP环境下流量策略随IP变化而不可控的问题。
B) 多网络出口流量管理。虽然组织已部署的多条互联网出口链路未物理连接到SANGFOR BM网关上,但通过虚拟线路技术,将穿过BM的一条物理线路逻辑分割成多条虚拟线路,且虚拟线路与组织的各互联网出口链路一一对应,从而实现多互联网出口链路的分别流量管理。
C) 细致的带宽分配策略。SANGFOR BM支持基于时间段、用户/用户组、源IP/IP组、目标IP/IP组、应用类型、文件类型、网站类型、出口链路等实现带宽的细致划分与分配。
D) 全面的带宽管理手段。SANGFOR BM支持三级带宽管理通道:物理线路、虚拟线路、虚拟通道;支持基于用户上网总时长、上网总流量的管理;支持带宽静态保障、动态保证、带宽借用、通道内带宽平均分配等。