电子政务网络出口流量管理设备升级项目需求及解决方案

PagePAGE6ofNUMPAGES29电子政务网络出口流量管理设备升级项目需求及解决方案2015年7月目录TOC\o"1-3"一、 项目背景 3二、 项目现状 4三、 项目需求 4(一) 新的互联网出口管理方案需要满足的要求 4(二) 当前拓扑 6四、 互联网出口管理解决方案 6(一) 具体方案 7(二) 方案拓扑 14(三) 未来扩展 15(四) 互联网出口流量管理设备的对比 16五、 总结 20项目背景随着互联网的暴发式增长，近年来无论从新应用出现的速度角度，还是流量增长的速度角度来看都已经对用户的互联网出口链路带来的非常大的压力，特别是最近两年的智能移动终端的普及更加剧了对互联网出口链路的压力。因此像微博、微信、团购、在线购物越来越多的应用都使用Web方式来进行通讯，更多的视频资源也都是使用web方式来进行通讯，像各门户网站的新闻已大量使用视频方式交付，专业视频类的网站（如：土豆、优酷、酷6、爱奇艺等）也同样将视频流量使用web方式来提供；都是大大方便了访问互联网的人员更加方便地使用这些应用，无需要安装特别的客户端程序。当然目前还是有很多使用客户端的应用（PPStream、PPTV、QQLive等）也在提供视频服务。当然除了这些娱乐性流量网站访问流量存在外，还有正常的上网流量，甚至越来越多的企事业单位还需要通过互联网来使用一些云服务应用（SaaS）进行日常工作，当这么多类型的流量经过企业的互联网出口链路时，互相争抢带宽则不可避免，大量的突发数据则会造成链路的不稳定（偶尔的延时、掉包）。项目现状XX区信息服务中心为XX区科学技术委员会下属单位，承担着区内各委、办、局、镇、街道、工业区等各单位的互联网出口接入，随着上网人数的不断增加，所以也同样持续每年都面临带宽升级和管理上的压力。目前区政府信息中心的互联网出口带宽为800Mbps，分别为四家运营商（电信、联通、移动、XX东方有线），目前上网的管理有微软的TMG、流控设备、天融信防火墙以及链路负载均衡设备，这些设备都已使用多年，且除了防火墙外的产品，要么厂家宣布停止产品研发和支持（微软TMG），要么厂家不再销售产品和支持（流控和负载均衡），因此XX科委将对区政府信息中心互联网出口进行改造和升级换代，以满足新的应用使用模式和新的流量模型。项目需求本项目仅涉及到出口流量管理设备和TMG的更新。新的互联网出口管理方案需要满足的要求1、适应当今互联网应用发展趋势，对越来越多的Web应用进行识别和管理；同时能够解码任意HTTPS通讯，以判断是正常访问还是非正常的访问，并bypass所有金融类网站不进行解码；2、可以对所有内网上网用户的上网流量进行基于应用上的带宽控制，并可以控制总流量、单个会话流量、并发连接数、每分钟新起连接数；并可以使用这一台设备控制互联网上远端服务器向本单位发送的流量速度。3、所选方案必须考虑未来的IPV6与IPV4在相当长时间内的共同存在，所有设备都必须支持IPV4和IPV6双栈，识别IPV6流量和应用，可以进行流量控制，并且可以提供IPV4地址到IPV6网站的访问和IPV6地址到IPV4网站的访问的转换，同时进行严格的访问控制；4、解决方案具有相当的开放性和扩展性，为以后加固互联网出口的安全级别部署新的安全设备做好架构性设计，且能够与这些安全设备进行联动，比如：DLP设备，沙盒设备，大数据安全分析设备；6、所有方案都必须保障良好的用户体验，因此方案中要能提供上网内容缓存功能和流理管理功能来确保用户的体验在互联网出口加固安全级别时不受影响。当前拓扑图2-1如图2-1所示，区政府信息中心有四条互联网链路（电信、联通、移动、XX东方有线），从外而内，负载均衡设备、防火墙、TMG、核心交换都采用双机配置以保障高可用性。互联网出口管理解决方案经过前期不同品牌的设备设备测试，我们初步意向为采购BlueCoat互联网出口管理设备。具体方案BlueCoat根据区科委对互联网出口改造的指导方针，提出相对应的方案如下：1、使用BlueCoatProxySGS500设备替换现有的TMG：A）将目前TMG上的策略导入到BlueCoatPorxySGS500设备上；B）基于用户进行认证、授权；客户端无需安装客户端程序，无需设置浏览器代理；C）基于用户、组、源IP、源网段、目标IP、目标URL、目标域名、通讯协议、HTTP头信息等进行访问控制，并且可以根据时间来制定策略；D）提供网站本地分类库和实时云端分类相结合的方式；并且管理员可以基于BlueCoat85种网站分类进行策略管理；E）提供高性能的HTTPS解码功能，让缓存、网站过滤、防病毒设备、DLP等其他安全设备可以对HTTPS流量进行处理，同时可将金融类网站或管理员指定网站排除在外。并且可以基于HTTPS网站的URL进行策略控制；F）提供强大的Web内容缓存功能，不仅可以缓存HTTP网页对象，还可以对HTTPS网站解码后进行缓存，改善用户访问体验；G）提供IPV4地址到IPV6网站的访问和IPV6地址到IPV4网站的访问的转换，同时进行严格的访问控制。H）提供用户访问行为报表：TOP用户排名，TOP用户排名，TOP网站排名，TOPWeb应用排名，TOPIP排名，自定义报表功能，指定报表定期发送邮件给管理员，详细日志查询审记（时间、源地址、用户、所属组、目标URL、目标URL所属网站类别、策略匹配结果、HTTP返回码、传送数据量等）。2、使用BlueCoatPacketshaperS500设备替换现有的流控设备，并实现如下功能：A）可由设备自动以应用协议对网络流量进行识识别，也可以基于用户、用户列表、组、源IP、源IP地址列表、源网段、源网段列表、目标IP地址列表、目标网段、目标网段列表、目标域名、目标URL、应用协议、应用协议组对网络流量进行手工创建分类并进行带宽控制和报表；B）提供对于TCP应用的延时分析（提供总延时、服务器延时、网络延时的细分）、TCP健康状况分析，在处理应用上的疑难问题时提供帮助；C）联机提供秒级别实时监视报表；D）联机提供两月数据报表；E）策略控制提供细化到单个会话，单个IP的带宽控制粒度，并可以进行优先级控制，阻挡控制等策略，提供单个IP的TCP及UDP并发连接控制、每分钟新起连接控制，提供单个流量分类的并发连接控制；F）同时支持IPV4流量和IPV6流量的识别与流量控制；G）提供基于网络指标或应用指标的监视，阀值触发后设备自动进行报警（snmptrap，email）或自动变更策略；H）提供报表系统存储时间更久的报表数据；提供所设备上的报表类型外再提供：IP地址（源或目的）历史数据记录，IP对的历史数据记录，所有会话的历史数据记录（会话开始时间、结束时间、持续时长、源地址、源端口、目标地址、目标端口、产生的流量大小、所属应用协议、匹配设备流量分类等信息）。方案拓扑图3-1如图3-1所示，使用一台BlueCoatProxySGS500设备替换现有微软的TMG系统的多台服务器，部署在相同位置，通过两根10/100/1000Mbps的以太网线连接，通过交换机2960策略路由（PBR）将出向互联网的目标为TCP端口80和443的流量转给BlueCoat的ProxySGS500设备，将从互联网回来的数据包来源为TCP端口80或443的流量转给BlueCoat的ProxySGS500设备，并在在功能上替换现有微软的TMG系统，同时不再需要每个客户端安装TMG客户端软件，实现本方案前面所描述的所有功能。在核心交换上指定的服务器VLAN部署一台windows服务器并安装BlueCoat报表软件——Reporter，来处理由ProxySGS500设备传送过来的用户上网访问日志，进行日志处理与分析，实现报表与审记要求。使用BlueCoatPacketShaperS500带宽管理设备替换现有的流控设备，部署在与现有流控相同的位置上串接现有的网络链路中，实现本方案前面提到的流量管理方面的功能。在核心交换上指定的服务器VLAN部署一台windows服务器并安装BlueCoat报表软件——IntelligenceCenter，来处理由PacketShaperS500带宽管理设备传送过来流量控制报表数据，进行日志处理与分析，实现报表数据长期留存和深度挖掘的要求。未来扩展1、可以根据用户和带宽的增长，增加相同型号的BlueCoatProxySGS500设备,以多台设备来承担未来更多的流量或将目前的ProxySGS500设备在不更换硬件设备的前提下通过升级包升级至更高吞吐量；BlueCoatPacketShaperS500带宽管理设备，可以通过升级软件许可的方式升级到更高带宽级别的许可，以及控制和处理更多的流量。2、当部署机密信息防泄露的DLP设备时，可以通过BlueCoatProxySGS500设备与其联动，实现互联网出口向往发送数据的检查（不管是HTTP还是HTTPS）,确保机密信息不能通过互联网出口这个途径向外传送。互联网出口流量管理设备的对比经过长时间的测试与论证，市场上无论是专业的流量管理设备还是流控设备或是上网行为管理设备都具有互联网流量管理的功能，下面是一些主要技术上的对比。功能描述所需技术BlueCoat深信服网康七层应用识别DPI、Signature、应用识别引擎等支持支持支持七层+应用识别深度解析识别应用引特征，比如识别数据库应用下的具体数据库支持不支持不支持实时监控每秒采样与刷新流量秒级采样技术支持做不到秒级采样与刷新做不到秒级采样与刷新基于应用、IP、用户、网段或时间的带宽控制，以及并发连接数控制队列技术、优先级技术等支持支持支持基于网站类别的静态库进行过滤URL分类技术支持支持支持基于动态URL的实时动态网站类别分类实时动态URL分类技术支持不支持不支持一台设备双向控制带宽，控制远端服务器发包速率，减少链路上的拥堵，而不是只是带宽管理设备漏进来的带宽被控制。TCP速度控制技术，通过修改TCP滑动窗口的方式，在对端没有设备的情况下，来控制对端发包的速率支持不支持不支持应用延时分析，而非ping的结果延时分析引擎记录每个会话的延时进行分析，给出总延时、网络延时与服务器延时支持不支持不支持根据预设监控指标（网络或应用）阀值自动调整策略或报警自适应响应技术支持不支持不支持历史报告（各种排名报告与查询报告）报表引擎或报表软件有有有从上表来对比来看，我们看流量管理设备最核心的带宽控制技术，但是无论是DPI技术还是队列/令牌桶技术、DFI技术、DART技术、PRQ技术、优先级技术等都是流量到达流控设备之后再进行控制，此时进到企业内部的流量确实控制住了，但是进来的流量在到达流控设备之前，则是无控制的，如果流量峰值较大时，则还是会塞满带宽。企业员工上网的流量是典型的下行流量大，上行流量小的特点，因为上网发送的请求包是上行方向，请求包是非常小的，而互联网上的服务器响应数据时则是下行流量。因此如果流量管理设备如果控制不了互联网上服务器向企业发送数据包的速率，则是无法解决互联网链路最后一公里的拥塞问题的。而市场上唯一能做到一台设备可进行双向流量控制且控制远端服务器发送数据速度的就是使用TCP速率控制技术的BlueCoat公司PacketShaper设备，其他流控设备或上网行为管理设备（比如：深信服或网康）则无此功能，并达不到一台设备进行双向流量控制且控制远端服务器发送数据速度的技术要求。此技术为BlueCoat公司专利技术。TCP速率控制可计算流量速率对应的TCP窗口大小，如果当前交互双方的TCP窗口大于根据所设带宽策略换算出来的TCP窗口大小时，PacketShaper就会修改它至换算出来的值，这样服务器收到带有这样窗口大小的ACK时，就会以这样的速率向数据接收的客户来发送数据包；如果当前交互双方的TCP窗口小于或等于根据所设带宽策略换算出来的TCP窗口大小时，PacketShaper则不会其窗口大小值。所以PacketShaper设备是根据我们众所周知的原理来控制流量，这个原理就是“决定服务器与客户端之端数据包传送速度的就是TCP/IP协议中的TCPWindowSize”,PacketShaper就是通过修改这个WindowSize的大小来实现控制数据包传速度的结果。这相当于PacketShaper通知流量的发送端减速或加速。但是如果数据包只有使用特定发送速率到达时才可接收，那么就没有必要加快传输速度。并且TCP速率控制是通过检测、计算数据包的发送及传输来避免拥塞，而不是在拥塞的队列中不断丢包。TCP速率控制克服了TCP的缺点，阻止了下行和上行的双向拥塞。当然互联网链路上不只有TCP流量，还有UDP流量，由于UDP流量并不是面向连接的，没有每次的ACK确认，因此无法控制ACK包中所包含的窗口大小，所以它从服务器端发送出来的速度是不能使用一台设备在一点上进行控制。但是互联网链路上目前来讲产生较大流量的应用几乎都是TCP的通讯，比如HTTP下载、HTTP视频、P2P（也大量使用TCP通讯）等，只有少数P2P或网络攻击流量会使用到UDP，所以PacketShaper的TCP速率控制技术可以达到一台设备控制双向流量，并控制远端服务器发包速度的效果，可以很好地减少下行和下行方向的双向拥塞的机率，并提高网络效率，改善用户体验。而未使用这种技术的带宽控制都是展现了控制好带宽的假象，如果对比流控设备之前的防火墙上的流量和内部交换机上连口上的流量，会发现是防火墙的流量是要大于内部交换机上连端口上的流量的，那是因为进来的流量并没有被控制住，而是经过流控设备后漏进来的流量是按照带宽策略进来的，这并不能解决流量高峰时段的带宽拥塞问题、网络效率不高问题、用户体验问题。另外市场上的其他流控