网络流量控制

   

   为了 有 效 监管与分析网络带宽的使用情况，防止BT等占用
网络带宽的应用过度使用，并针对出现问题的时间、应用种类做
优先级控制与优化。北京航天腾达科技有限公司推出了基于应用
层协议分析为基础的I1TTD带宽流量管理设备与解决方案
一 、网 络 流 且 控 制 现 状
据统 计 ， P2P数据流量占因特网总流量达60%，并且在用
户总数没有显著增长的情况卜，P2P数据流量仍然在快速持续
增长。它在改变数据网络流量突发性数学模型的同叶，也影响
了工SP的商业运作模式
1、 主 要危 害
极 度利 用 峰值带宽，带宽统计复用的服务模型随之失效，
运背商运营成本增bR民时间高度拥塞的网络带来网络管理的
困难和功能失效的危险;实时性要求较高的服务，例如vo1P,
Streaming Vide。和Audio将面临前所术有的不确定的网络运
行环境;网络拥塞导致的业务投诉增加，服务品质下降。
2、 存 在困 难
传 统 的流 量控制只针对IP与端n进行控制，这在基于服
务型的网络环境中是没有问题的。随着P2P端到端的应用蓬勃
发展，以BT为代表的应用已经成为网络流量中的主要部分。
这类应用的特点是:通讯流量巨大、种类繁多、无固定服务端
口、特征变化迅速、检测困难。
传统 千 段 管理P2P应用，会面临如I;局限:(1)阻塞P2P
常用端n:一方面拒绝了用户的止常通信要求，降低或者违反
了服务条约，另一方面导致rP2P应用转向使用随机端n和专
用端n (如HTTP 80端口)躲避检查;(2)使用NAT方法隐
藏用户公网IP:导致了SAT穿越技术在P2P软件中的广泛应
用;(3)阻塞P2P对等端向P2P信息服务节点的通信:导致了
P2P对等端使用代理服务器的方法躲避检测，也导致P2P信息
服务节点向随机分布和隐藏的方向发展;(4)限制用户的上行带
宽:违反了服务条约而且浮致f向公网用户的数据请求童增大。
二、 H TT D带宽流量管理解决方案
要解 决 P 2P流量管理的困难，深度协议分析是最终解决方
案。兆维电子集团提出的基于协议内容的流量控制技术
(Traffic Management by Application)和深层速率控制技
术(Deeper Kate Control)为这些问a的解决带来曙光。19
普通的优化技术相比，HTTD带宽流量管理系列产品所使用的
儿项专有技术有以!f几个显著特点:
(1) 基 于 内容进行会话识别可以通过高速的深层协议分
析，识别每一个网络会话所属的应用，可以针对某种协议进行
拦截或者制定相应的带宽分配策略，而传统的路由器和防火墙
等网络设备只能根据端口进行最初级的识别
(2) 智 能 的带宽调节功能可以根据网络负载智能调节网
内的终端带宽分配方式，例如:如果目前网络负载较重则自动
限制那此流量较大的终端，保证多数用户的网络应用能够正
常、快速的得到响应;当网络负载较轩时，则采用宽松的带宽
处理策略，以便网络的带宽能得到充分的利用
(3) 基 于 终端的资源控制仅需设定一条规则，即可限定
炸台终端的带宽使用卜限，同时可以设定每台终端的会话数
量，防止由一病毒等原囚造成的网络资源耗尽
(4) 带 宽 的按需动态分配由于HTTD带宽管理系统能看
懂网络从第二到第七的协议层乃至会话间的关联，它能自动地
分辨各种不同的协议、服务和应用深层速率控制技术(Deeper
Rate Control少根据1P地址、子网、服务器地点、协议、应用
端口、应用类型等基本特点及应用的关联性分析将这个信息流和
其他信息流区分开来再根据不同的需要给予适当或应有的带宽
级别(Privilege)和带宽政策(Policy),带宽级别和带宽政策可
以按区间划分，实施方式是硬性或弹性的，根据不同的灵活实
施，可以确保广域网有限资源的按需动态分配。
1、 主 要功 能
(1) 网 络 资源监控监控各类网络流量，生成流量监控图表
(2) 支 持 多种网络接口和协议支持10/100M以太接口以
及1000M以太和光纤接n，支持DHCP, PPP, PPPoE和902.
1Q等网络协议。
(3) 提 供 深度应用分析功能基于会话层的应用分析，实
现针对应用层的处理和流量管理功能，高速高效的分析算法，
可以在子兆环境下线速「作。
(4) 提 供 多种网络控制功能集成防火墙、NAT,P AT和
服务映射等功能;支持地址、服务、应用和时间等多种管理对
象;支持会话控制、实时监控与负载均衡。
(5) 提供 深 度带宽和刽活控串助能可以性筛U每个终端的带宽总
量和会话总量，对于超出会话/带宽限额的终端进行限制和A-}o
(6) 可 以 部署在各种网络环境下支持路由、透明桥接、
VLAN Trunk及路由桥接混合工作模式，部署简便，同时提
供多出n负载均衡功能，同样适用于复杂的网络坏境。
2、相应策略
(1） 总量抑制
即时 通 讯 的发展趋势和特点
据 Ga rt ner预测，即时通讯将超越电子邮件而成为互联
网用户最主要的电了联络工具，有超过50%互联网应用程序
将把即时通讯软件嵌入其中。根据艾瑞市场咨询
(iResearch)推出的((2004年中国即时通讯研究报告》数据
显示，2004年中国有即时通讯用户6272万入，2005年将达
到8267万人，2006年将达到10334万人，增长将超过全球
年平均增长率25%的水平。即时通信市场的发展和繁荣，有
儿大趋势和特点:
(1) 实 时 在线即时通信不同于传统的邮件或者FTP,K0
是保持实时在线的状态，恒个人可以通过即时通信显示自己
的状态，是否在线，是否忙碌，是否乐意交谈等。互联网越
来越普及，即时通信逐渐地融合到各类设备中去，比如平机、
掌上电脑。这样，每个用户通过即时通信的在线时间就越来
越长，所带来的安全风险是把自己暴露于攻击的时间变长，
病毒和攻击的传输成为实时和迅速的
(2 )互 联 互通目前市场上即时通讯的厂家很多，市场
占有率比较高的，国外产品有MSN, Yahoo通、AOL,
Skype，国内产品有QQ、网易泡泡、新浪Uc等。其中很多
产品已经或者在计划着互联互通，比如说MSN已经和Yahoo
通实现互通，Skype已经公开白己的API。互联互通消除了
不同产品用户之间的篱笆，给病毒的快速传播带来更大的机
，产、
‘ ‘0
(3) 多 种 功能捆绑即时通信越来越多地被捆绑上了各
类功能，比如语音、视频、个人门户、游戏、桌面管理等。繁
杂的功能使得即时通信类的软件原来越庞大，越来越复杂，
其出现漏洞的可能性就越来越大
For tin et公 司为即时通信提供安全解决方案
正 是因 为 即时通信这些特点，其安全向题一也越来越受方
方面面的关注，其中包括即时通信厂商、安全厂商、安奈服
务商以及黑客等。致力丁网络安全的Fortinet公司即将推出
的网关型产品FortiGate 053.0，以UTM技术从网络第一
层到第七层为即时通信提供了安全解决方案。该方案有以下
功能:
(1) 访 问 控制FortiGateR -有防火墙的访问控制的功能，
可以根据时间、IP ,服务、域书对网络的访问实现控制。
(2) 入 侵 阻断FortiGate采用IPS技术，可以根据数据
包内容对即时通信或P2P等应用采用阻断、记录日志、通过
这些策略也可以对针对即时通信和P2P等应用的漏洞进行
攻击的行为进行防御，为如何防止黑客利用系统漏洞提供了
非常有效的手段。
(3) 病 毒 扫描鉴于越来越多的病毒利用MSN这样的即
时通信软件进行传播，FortiGate可以实现对其传输的病毒进
行扫描与清除。有组织预测，随着即时通信的普及，病毒以
前利用邮件这些传统手段传播的速度是以小时计，而以即时
通信的传播却是分钟计的。因此网关型病毒过滤产品在阻止
病毒的迅速传播，起到至关重妥的作用。
(4) U RL 过滤病毒或者网F钓鱼通过发送URL给即时
通信的用户，引诱其发送自己的私密信息或者卜载木马病
毒,FortiGate为形形色色的网站建立r一个实时更新的分类
系统，从而把这ua非法的网站排除在外，为用户抵制这些欺
骗行为提供r有效的手段
(5 )用 户 管制FortiGate可以对即时通信的用户进行管
制，可以允许某些用户使用即时通信软件，也可以阻挡非法
或未授权的用户，而且FortiGate即时通信用户是与各类即
时通信软件的用户名是统一的。
(6 )监 控 FortiGate可以实现对即时通信用户状态.通
信信息、时间等等。
Fo rti Ga te为UTM技术又增添了新的亮点，通过建K多层
次的安奈体系，为即时通信的安全间题提供全面的解决方案。
总量 抑 制 策略是第一步要采取的手段，即保证现有的受控
应用流量的总量封顶，将此类应用限制到一个目前的水平卜
限制新的增长，这是保证所有用户能充分公平使用网络的必要
乎段，否则就是对不使用BT的用户权利的漠视
(2) 渐 进 控制
渐 进 控 制的策略是以当前网络应用的流量结构为基础，
经过一段时lul A渐调整到一个合理水平的策略方式。主要应
用的是设备时间策略管理的功能。将用户在一个相对长的时
间段内逐步适应新的网络环境。从而避免直接封堵而产生的
用户投宿。经验数据表明，在两到三个月内，通过渐进控制
的手段，可平稳的将BT等P2P应用带宽压缩到网络流量的
10%
(3) 优 先 级控制
优先 级 控 制是要改变BT技术本身既有的资源抢占的特点
而带来的危害。在网络结构上调格网络应用的优先级别，让关
键的应用得到关键的保障，让重要的应用得到优先的服务，这
也是用技术的方法来平衡技术因素导致的危害。