当前位置: 首页 > 解决方案 > 产品解决方案 > 下一代防火墙 NGFW

解决方案Solutions

  • 产品解决方案

  • 行业解决方案

    教育

流量管理技术方案

1. 背景介绍

1.1 避免网络拥塞

  很多公司为了业务发展进行了大量的IT设备与带宽资源投资,意图提升关键业务的使用质量,提升整体办公效率。但是宝贵的带宽资源却被各类P2P应用、在线视频、娱乐网站访问等挤占,这不仅造成带宽资源被大量浪费,还使得公司的正常业务得不到应用的带宽保障,关键业务的质量降低,比如视频会议的停顿、ERP访问速度慢、邮件无法正常收发等。

  针对以上问题,需要有效的方法实现对不同应用占用的带宽进行分类管理,对于P2P下载等无关应用进行带宽限制,对于ERP等关键引用进行带宽保障,从而提升带宽资源使用率,保障关键业务的质量。

1.2 流量负载均衡的需求

  很多公司已具有多个互联网访问出口,为了能充分利用这些链路,需要有效的方法实现多条出口链路之间的流量优化,提高现有互联网出口链路的使用效率,更好的解决南北互通问题,更好的利用好公司的出口带宽资源。

2. 网康下一代防火墙流量管理技术方案

2.1 网络拥塞避免

  随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。如果对网络应用的使用不加以管理,不可避免地会影响带宽资源的利用率。与工作无关的应用,如P2P下载、在线视频等对带宽资源的挤占,使得关键业务的使用质量无法保障,大大降低了出口链路的利用率,造成了企业带宽资源的严重浪费。另一方面,随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口审计采用加密方式进行传输的应用类型。例如,P2P类应用会使用跳动端口技术以及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完成失效。

  想要控制各种网络应用,必先准确识别。传统安全产品通过IP或者端口封堵各种协议,只能局限于标准的协议,如HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力,而且,如果IP与端口经过动态协商建立,比如QQ,P2P下载等,则完全不能胜任。网康NGFW对应用的识别是通过应用特征与行为特征实现的。所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的。类似地,NGFW可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。网康NGFW拥有国内全面的网络应用协议数据库,包括超过1600种的网络应用协议和500种以上的移动应用。

  每条物理链路均可划分为三级嵌套(主通道、子通道、微通道)的层次结构,保证各用户、各VLAN的各种网络应用在限定的带宽通道内传输。如管理员可为企业一级部门设置一个主通道,还可以为二级部门设置子通道,为三级部门设置微通道,也可以对单个用户或单个/某类应用分配一个独立的带宽通道。

  通过层次化的管理,管理员将不同部门用户的不同应用分别限制在一定带宽之内,保证了不同用户、不同VLAN、不同应用在预先规定的通道内按照设定的速率、时间段各行其道。这样既可以保证每个应用的正常使用,避免各部门间的无序带宽争夺,又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。

  三级嵌套的通道结构允许通道之间可存在借用关系:当上级通道的保证带宽有富余时,下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削峰填谷”,抑制突发流量,复用空闲带宽,从而保证通道内数据流能平稳有序地传输。网康NGFW的各级带宽通道均可以划分不同的优先级,优先级高的通道可以优先使用系统空闲的带宽资源。

  网康NGFW的一大优势是能够对各种网络应用进行精细粒度的管理控制,比如可以通过阻塞每一种具体的网络电视、流媒体来减少带宽资源浪费,保障员工工作的效率等。此外,对于一些多协议多用途的应用(如IM),NGFW可以精确识别子协议,将更多细节纳入策略框架中。例如:允许通过QQ聊天与文件传输进行产品技术支持,且保障QQ远程协助的带宽,但禁止玩QQ游戏,禁止欣赏音乐视频等等

2.2 流量负载均衡及应用路由

  网康下一代防火墙能够实现基于端口和流量的负载均衡功能,该功能基于时间、VLAN、内部地址、外部地址、端口对象等条件,将满足条件的流量按照一定选路算法转发到相应的链路出口上去。

  在负载算法上,能够实现发生故障时进行链路切换、链路带宽接近饱和时进行流量分担、按照相应的权重比例进行流量负载均衡(如链路1和链路2的权重分别为1和3,则NGFW将会把总流量的1/4转发到链路1出口,另外3/4转发到链路2出口)。从而帮助用户实现了链路备份功能和流量分担功能。

  同时,负载算法还支持强制进行负载,NGFW能够根据目的IP地址归属不同的运营商来选择对应的出口,通过将去往不同运营商的流量强制转发到相应的线路出口,从而实现南北互通功能,提高用户访问网络的速度。

  网康下一代防火墙还可以基于应用层进行负载均衡,不依赖于传统的IP端口来判断流量,而是通过对应用流量协议特征的识别,将不同的应用转发到不同的线路上去。特别是将网页访问、ERP业务等实时性应用转发到优质线路,将P2P这类对实时性要求不高又极大占用带宽资源的应用转发到一般线路。从而使得优质线路上主要承载有价值的业务流量,提升这些重要业务的上网体验,较大化优质线路的带宽价值。