网络流量控制

络信息技术领域术语网络流量控制01简介管理软件趋势特点单位应用目录030204基本信息络流量控制现状据统计，P2P数据流量占因特总流量达60%，并且在用户总数没有显著增长的情况下，P2P数据流量仍然在快速持续增长。它在改变数据络流量突发性数学模型的同时，也影响了ISP的商业运作模式简介危害存在困难特点功能相应策略12345简介危害极度利用峰值带宽，带宽统计复用的服务模型随之失效，运营商运营成本增bR民时间高度拥塞的络带来络管理的困难和功能失效的危险;实时性要求较高的服务，例如VoIP、StreamingVide。和Audio将面临前所未有的不确定的络运行环境;络拥塞导致的业务投诉增加，服务品质下降。存在困难络流量控制传统的流量控制只针对IP与端口进行控制，这在基于服务型的络环境中是没有问题的。随着P2P端到端的应用蓬勃发展，以BT为代表的应用已经成为络流量中的主要部分。这类应用的特点是：通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。传统管理P2P应用，会面临以下局限：（1）阻塞P2P常用端口：一方面拒绝了用户的正常通信要求，降低或者违反了服务条约，另一方面导致了P2P应用转向使用随机端口和专用端口（如HTTP80端口）躲避检查；（2）使用NAT方法隐藏用户公IP：导致了SAT穿越技术在P2P软件中的广泛应用；（3）阻塞P2P对等端向P2P信息服务节点的通信：导致了P2P对等端使用代理服务器的方法躲避检测，也导致P2P信息服务节点向随机分布和隐藏的方向发展；（4）限制用户的上行带宽：违反了服务条约而且导致向公用户的数据请求量增大。解决方案HTTD带宽流量管理解决方案要解决P2P流量管理的困难，深度协议分析是最终解决方案。基于协议内容的流量控制技术（TrafficManagementbyApplication）和深层速率控制技术（DeeperKateControl）为这些问题的解决带来曙光。特点（1）基于内容进行会话识别可以通过高速的深层协议分析，识别每一个络会话所属的应用，可以针对某种协议进行拦截或者制定相应的带宽分配策略，而传统的路由器和防火墙等络设备只能根据端口进行最初级的识别。（2）智能的带宽调节功能可以根据络负载智能调节内的终端带宽分配方式，例如：如果络负载较重则自动限制那此流量较大的终端，保证多数用户的络应用能够正常、快速的得到响应；当络负载较轻时，则采用宽松的带宽处理策略，以便络的带宽能得到充分的利用。（3）基于终端的资源控制仅需设定一条规则，即可限定每台终端的带宽使用下限，同时可以设定每台终端的会话数量，防止由一病毒等原因造成的络资源耗尽。（4）带宽的按需动态分配，由于HTTD带宽管理系统能看懂络从第二到第七的协议层乃至会话间的关联，它能自动地分辨各种不同的协议、服务和应用。深层速率控制技术（DeeperRateControl）会根据IP、子、服务器地点、协议、应用端口、应用类型等基本特点及应用的关联性分析将这个信息流和其他信息流区分开来，再根据不同的需要，给予适当或应有的带宽级别（Privilege）和带宽政策（Policy），带宽级别和带宽政策可以按区间划分，实施方式是硬性或弹性的，根据不同的灵活实施，可以确保广域有限资源的按需动态分配。功能全面透视络流量控制，快速发现与定位络故障从整体、应用、员工多个角度透视络流量。通过对出口带宽利用率、应用流量排名、员工流量排名、主要流量流向、主要使用端口、员工流量排名、部门流量排名、络的质量、连接成功率、数据重传率等反映络真实状况等数据与指标的分析，为设置流量管理策略提供依据。所有实时分析每5秒刷新一次，方便及时发现络问题；并通过几次鼠标点击操作就可快速地定位到出现异常或故障的主机或应用。保障关键应用的稳定运行，确保重要员工顺畅地使用络支持多种智能带宽保障模式，满足关键业务（VPN、ERP、OA、视频会议、邮件等业务）与重要员工的带宽保障需求。动态保障这些业务与员工所需的带宽，在其需要使用络时得到带宽的保障，优先使用络；在其空闲的时候，带宽可以被其他业务或者员工使用。在不增加带宽的前提下，提升被保障业务与员工访问互联的质量与速度。限制与工作无关的流量，防止对带宽的滥用对那些与企业工作无关且会消耗大量带宽的信息流，如P2P下载、络视频、娱乐信息流、可疑数据流等进行必要的限制，减少其对络资源的占用，提高企业员工与办公业务的上速度。相应策略总量抑制，即时通讯的发展趋势和特点据Gartner预测，即时通讯将超越电子邮件而成为互联用户最主要的电了联络工具，有超过50%互联应用程序将把即时通讯软件嵌入其中。根据艾瑞市场咨询(iResearch)推出的((2004年中国即时通讯研究报告》数据显示，2004年中国有即时通讯用户6272万入，2005年将达到8267万人，2006年将达到万人，增长将超过全球年平均增长率25%的水平。趋势特点改进优点技术介绍趋势特点改进实时在线即时通信不同于传统的邮件或者FTP,K0是保持实时在线的状态，恒个人可以通过即时通信显示自己的状态，是否在线，是否忙碌，是否乐意交谈等。互联越来越普及，即时通信逐渐地融合到各类设备中去，比如平机、掌上电脑。这样，每个用户通过即时通信的在线时间就越来越长，所带来的安全风险是把自己暴露于攻击的时间变长，病毒和攻击的传输成为实时和迅速的(2)互联互通市场上即时通讯的厂家很多，市场占有率比较高的，国外产品有MSN,Yahoo通、AOL,Skype，国内产品有QQ、易泡泡、新浪Uc等。其中很多产品已经或者在计划着互联互通，比如说MSN已经和Yahoo通实现互通，Skype已经公开自己的API。互联互通消除了不同产品用户之间的篱笆，给病毒的快速传播带来更大的机会。(3)多种功能捆绑即时通信越来越多地被捆绑上了各类功能，比如语音、视频、个人门户、游戏、桌面管理等。繁杂的功能使得即时通信类的软件原来越庞大，越来越复杂，其出现漏洞的可能性就越来越大Fortinet公司为即时通信提供安全解决方案正是因为即时通信这些特点，其安全问题一也越来越受方方面面的，其中包括即时通信厂商、安全厂商、安奈服务商以及黑客等。致力于络安全的Fortinet公司即将推出的关型产品FortiGate053.0，以UTM技术从络第一层到第七层为即时通信提供了安全解决方案。该方案有以下功能(1)访问控制FortiGateR-有防火墙的访问控制的功能，可以根据时间、IP,服务、域书对络的访问实现控制。技术介绍入侵阻断FortiGate采用IPS技术，可以根据数据包内容对即时通信或P2P等应用采用阻断、记录日志、通过这些策略也可以对针对即时通信和P2P等应用的漏洞进行攻击的行为进行防御，为如何防止黑客利用系统漏洞提供了非常有效的手段。(3)病毒扫描鉴于越来越多的病毒利用MSN这样的即时通信软件进行传播，FortiGate可以实现对其传输的病毒进行扫描与清除。有组织预测，随着即时通信的普及，病毒以前利用邮件这些传统手段传播的速度是以小时计，而以即时通信的传播却是分钟计的。因此关型病毒过滤产品在阻止病毒的迅速传播，起到至关重妥的作用。(4)URL过滤病毒或者F钓鱼通过发送URL给即时通信的用户，引诱其发送自己的私密信息或者卜载木马病毒,FortiGate为形形色色的站建立r一个实时更新的分类系统，从而把这ua非法的站排除在外，为用户抵制这些欺骗行为提供r有效的手段(5)用户管制FortiGate可以对即时通信的用户进行管制，可以允许某些用户使用即时通信软件，也可以阻挡非法或未授权的用户，而且FortiGate即时通信用户是与各类即时通信软件的用户名是统一的。(6)监控FortiGate可以实现对即时通信用户状态.通信信息、时间等等。优点FortiGate为UTM技术又增添了新的亮点，通过建K多层次的安奈体系，为即时通信的安全问题提供全面的解决方案。总量抑制策略是第一步要采取的手段，即保证现有的受控应用流量的总量封顶，否则就是对不使用BT的用户权利的漠视(2)渐进控制渐进控制的策略是以当前络应用的流量结构为基础，经过一段时lulA渐调整到一个合理水平的策略方式。主要应用的是设备时间策略管理的功能。将用户在一个相对长的时间段内逐步适应新的络环境。从而避免直接封堵而产生的用户投宿。经验数据表明，在两到三个月内，通过渐进控制的手段，可平稳的将BT等P2P应用带宽压缩到络流量的10%(3)优先级控制优先级控制是要改变BT技术本身既有的资源抢占的特点而带来的危害。在络结构上调格络应用的优先级别，让关键的应用得到关键的保障，让重要的应用得到优先的服务，这也是用技术的方法来平衡技术因素导致的危害。管理软件应用流量管理管理软件流量管理(又称应用流量管理器,带宽管理器或QoS设备）早在2000年就已经出现了，最早是美国的Packteer公司研发。但是由于络带宽问题还没有显著，所以企业IT部门对带宽的重视程度还不够，随着各种络新技术的应用以及络多媒体技术的发展，络带宽紧缺的问题越来越明显。尤其是2005年来，P2P应用更是对带宽的管理带来了严重威胁，这个市场已经超过了近25亿美元。中国的带宽管理市场从2004年才开始逐渐受到重视，2007年中国带宽管理市场份额也在2亿人民币，预计中国带宽管理市场将以20%以上的速度增长。而具有带宽管理设备提供商的除了国外Packteer、Allot公司外，国内的北京英智兴达,畅讯科技等厂商，国外厂商带宽管理设备还没有实现界面的本地化，都是以授权代理的形式进入中国；国内的厂商在经历了3到4年的产品研发攻坚，产品才日益稳定，市场、技术、产品的竞争将在2008年展开。带宽管理器的基本功能非常简单，就是根据应用和用户进行带宽的分配与监控。由于是七层的络管理设备，所以络管理人员无需具备较高的络知识就能直接对应用和用户进行带宽的分配，这在一定程度上降低了络管理人员的投入。虽然功能很简单，但是能够实现的各种应用却很多，只是大部分用户对带宽管理的应用没有得到很好的认识。国外的带宽管理设备昂贵，且不支持中文展示所以Packteer和Allot的应用主要集中在电信和金融，国内的北京英智兴达等厂商虽然在教育、政府、能源与医疗行业有所斩获，但是产品系列才成型一年，所以在市场应用的推广各厂商没有过多投入，导致用户对带宽管理的应用处于初级阶段。应用在电信和金融领域带宽应用主要表现在SLA（服务等级协议）上，通过带宽管理设备给不同等级的用户提供不同等级的带宽服务，从而保障核心客户的投资回报率。在教育、政府等应用，带宽管理器主要应用集中在对P2P的管理方面，尤其是BT的管理。同时带宽管理设备也开始作为视频会议的QoS的保障设备出现。由于P2P等应用的客户端不断升级，所以只有具有自主研发的国内产品才能实现快速根据新版本推出管理策略，在这个应用上国际厂商不具有优势。当然作为带宽管理器，还具有更多的应用方式。如以下的应用：一、络应用透明度问题，通过带宽管理器可以让以前未知的络应用的状况能够详细查看。二、防范突发的流量激增和未知应用的攻击，如DoS攻击等，保障络安全。三、评估核心应用的价值，通过对核心应用流量的监查，了解核心应用的使用率与效率。四、保证关键应用（如：CRM、VPN、无线络、视频会议、VoIP、等）所需的带宽，保证任何时候关键应用不受阻五、准确评估络的负载能力以及新应用上线对整体络应用的影响，保证客户的IT投资合理性。六、实现按照用户的等级提供不同的络资源配给，保障客户核心用户的络价值。单位应用单位应用企事业单位的流量控制络流量控制图册(8张)在大家注重流量管理软件进行络管理的同时，却忽视了从本质上控制带宽流量的问题。络行为是人的行为，在络管理中，最难以控制的便是人。这一问题往往出现在许多企事业单位的络管理中，在络管理员利用各种手段去调配络资源的情况下，依然难以从根本上解决流量带宽的问题。很多企事业单位流量控制的方法是利用相关流控设备进