网络新时代下的流量安全.ppt

,网络新时代下的流量安全 AceNet流控墙产品及应用,2,日程,1. 流控墙产品设计背景,2. AceNet流控墙,3. 高教行业应用分析,4. 成功案例,5. FAQ,3,日程,1. 流控墙产品设计背景,2. AceNet流控墙,3. 高教行业应用分析,4. 成功案例,5. FAQ,4,各种用户连入网络,P2P、IM各种应用带来的挑战,各种业务在网络开展，对网络提出更高要求,多条链路，多出口需要更加策略化的使用,网络应用的变迁带来的挑战,5,P2P时代的流量模型,6,用户网络行为模型的变化,每个用户的开启的应用程序在增加 单个用户的并发连接数也在迅速增加 UDP报文在迅速增加,过去,现在,7,网络带宽占用比例,8,P2P占用网络带宽比例,9,流量安全变得越来越重要,流量可控,流量可追溯,流量可视,流量安全,10,挑战对设备要求的改变,传统网络设备不能在L7应用层分析数据流量,传统设备不能有效的进行带宽保障和管理,传统设备不能有效的进行流量记录,新设备来进行 流量管理,11,现有设备的叠加方案1,防火墙,流量控制,DMZ,Internet,Internet,内网,流控设备无法感知外部链路的流量状况,防火墙没有带宽保障和流量优化功能,内部攻击流量控制设备,12,现有设备的叠加方案2,防火墙,流量控制,DMZ,Internet,Internet,内网,无法对内网IP进行流量分析和优化控制,多条链路需要多台流控设备,外部攻击对流量控制设备的影响,13,AceNet的流控墙解决方案,DMZ,ISP1,ISP2,AceNet流控墙,内网,14,日程,1. 流控墙产品设计背景,2. AceNet流控墙,3. 高教行业应用分析,4. 成功案例,15,AceNet 公司介绍,Found in 2003 Headquarters in Santa Clara, California, USA Greater China Sale Offices: Beijing , Shanghai , Guangzhou, HK,Taipei R&D: Santa Clara in USA , localization team in Shenzhen China Extensive Network and Distributed infrastructure experience Leader of Network Application Layer IC/Device design AceNet delivers Wire-Speed, High-performance, comprehensive, policy-based, Application Services and Security Control appliance. Base on awarded patent SSPPTM Sales Awareness Product release 2nd half of 2006. Implement up to 100+ customers globally Focus on Service Provider, FSI, Education ,Manufacture ,Transportation, Utility, Healthcare ,Governments ,16,AceNet 流控墙,高性能防火墙,多出口策略,流量分析管理,Security control,Service control,流量的应用层识别、分析控制和安全组合的领先产品 SSPP专用集成芯片为核心 全线速产品,AceNet 流控墙,17,SSPPTM 业务流策略处理器,Service Session Policy Processor业务流策略处理器,AceNet设计的流量安全的专用集成电路,3千万逻辑门以上级专用芯片,革命性的集成L2L7处理芯片,高达10Gbps的处理量,18,Business Intelligence Real time ,Alerts , Reports,Adaptive Capability Transparent ,Routing ,NAT,System Scalability Wire-Speed,Policy Enforcement IP ,Subnet ,User ,Group ,Schedule etc.,L7 Service Control QoS ,Bandwidth Guarantee,Application Visibility Video,VoIP,P2P/IM,hhttp,email etc.,ASIC SSPP,SSPPTM 系统先进性,19,Service Control,P2P Traffic Control,Security Control,+,=,Security,Business Traffic,Audit Trail,P2P Application Analysis P2P Behavior Monitoring P2P Bandwidth Control,Optimize Bandwidth Policy-based traffic control Multi-homing Load Balance Traffic Statistic Dynamic Bandwidth control,NAT/PAT User Authentication & Authorization User Blacklist User/Group IP traffic comtrol,IM / P2P / FTP log URL / email log,AceNet 流控墙应用点,20,R,R,R,R,R,R,Bandwidth,Qos,Concurrent Session,Subnet,User,IP,Group,Schedule,Policy,Policy,Policy,Policy,Policy,AceNet 流控墙多层次流控,21,WAN Load balance,Concurrent Session,Application QoS,Bandwidth,强大的策略引擎,22,Analysis Module L7 DPI,Action Module QoS, Rate-limit Pass-through,log,BT, Emule.,Http,IM(MSN),Http(QoS),IM(MSN),Traffic Monitor,PP Stream,PP Stream,Rate-limit,AceNet SSPPTM,AceNet 流控墙SSPP中的流控模块,23,Performance Report,Servegate EdgeForce Fortinet Nortel ASF185FE CISCO PIX525,Netscreen AceNet AG3000,This is the test result from a China Telecom. The ones with model name are most middle-end USA product. Test result of AceNet is from NCTU, Taiwan The Curves, from low to high in 64 byte packet are the following vendors from top to buttom, left column and then right column The y-axis is the access rate instead of the throughput. Most of the tested products are subgigabit product (multiple FE ports). e.g. NS-208s is 550Mbps. AceNet is targeting 100% access rate of throughput 2000 Mbps,AceNets Traffic Delay: 0.022ms (max.),24,Session Connection Rate,25,25,Instant Message,VoIP,Azureus,File Sharing & Streaming,Instant Message,and rapid update.,Signature and Behavioral Recognition,26,P2P行为分析,27,P2P行为分析,28,业务流控制图,Analysis chart of network usage BT and PPlive occupied 80% of the bandwidth From 21:30 21:50, BT was controlled under 200Mbps, and around 21:40, PP live is rate limited too.,29,IM 控制,Support rich of IM applications and deny by chat ,voice and file transfer .Besides , chat message would be recording by AceReporter.,IM Log- MSN,Control by behavior,30,P2P 控制,Deny the specific P2P application or assign the bandwidth and limit the session.,return,31,BlackList Setting,Administrator define the traffic quota by day/week/month/quarter/year on every user .If the user exceed the traffic limit then will be classify as “Blacklist” and system automatically enable SOQ feature of service , the default rule is suspend service for 1 day. Besides, its manageable of suspend user from Blacklist table.,Blacklist Users,Cycling of quota,32,Real Time Traffic Monitoring,33,Top 10 Traffic and Session Ranking,34,用户流量统计,User statistics function is able to monitor the traffic per user and online time information.,35,Service and Session Statistic Report,36,Host Pair and Protocol Statistic Report,return,37,产品 Road Map,$,Carrier Grade,Enterprise,SMB,Performance,AG-500,AG-5000,AG-8000,AG-3000,AG-1000,AG-300,AG-100,CME,AME,10G,1G,10M,IPv6,38,AG产品系列和特性,Value Features: Application Traffic Management including P2P. Security Firewall, NAT, anti-DoS/DDoS, VPN, AAA, etc. Multi-ISP (up to 8) policy routing. All ports can be programmable to WAN, LAN or customer defined.,39,AceNet 部署 1 LAN & Gateway,AceNet deploy in LAN & Gateway,Desktops,Server,Internet,AceNet,Internet,ISP1,ISP2,AG部署模式 透明模式 交换模式 路由和地址转换模式,40,AceNet 部署2 Hub & Spoke Net,AceNet deploy in branch and Central management,Desktops,Router,Server,Internet,AceNet,Internet,AceNet,Desktops,Central office,41,AceNet 部署 3 服务器网段前,Desktops,Router,Server,AceNet,Desktops,Central office,42,AceNet复合部署模式,43,日程,1. 流控墙产品设计背景,2. AceNet流控墙,3. 高教行业应用分析,4. 成功案例,44,高校网络状况和需求分析,活跃和大量的用户群体 不受管理和控制的用户机器设备 各种应用的普遍使用，难以管理和控制 多个出口并存，教育网和电信或网通 承载教学业务流量和学生上网流量 巨大的数据流量,45,AG流控墙在高校中的应用,高校网络出口 新旧校区或校园网重点区域中的连接 服务器网段前,46,AG设备出口应用,高校网络出口,多出口的P2P控制,高性能防火墙地址转换,用户会话数控制,详细的日志记录,47,AG设备在服务器网段前,高校服务器群前,关键业务的带宽保障,服务器网段流量监测和控制,服务器会话数管理,详细的日志记录,48,流控墙使用能给高校用户带来什么好处？,优化网络流量,保障业务正常开展,管理网络流量，降低企业运行成本,流量安全控制，提高网络可用性,IM和流量内容记录，降低安全风险,高投资回报率,49,日程,5. FAQ,1. 流控墙产品设计背景,2. AceNet流控墙,3. 高教行业应用分析,4. 成功案例,50,中国大陆地区2007年部分成功案例,南京师范大学 复旦大学 扬州大学 南京信息大学 山东理工大学 山东建筑大学 天津科技大学 北京语言大学 上海静安区教委 ,四川省政府信息中心 上海松江区信息委 西安碑林区政府 四川移动公司 贵州省建行 宁波商业银行 吉林网通 北京海淀宽带(二级运营商) 北京人民网 上海海洋局 ,51,高教行业应用方案介绍,52,教育行业山东某高校,校园网原先的网络状况 需求分析 AceNet的方案 用户应用AceNet方案之后的网络状况分析 用户选择AceNet的理由 案例特点总结,53,山东某大学原有网络出口拓扑图,Internet,网通出口 1000M,教育网,PAT,核心路由器,接入宿舍等,接入教学楼等,天融信防火墙,155M,54,网络问题分析(1),在天融信防火墙上只做了地址转换，不能再添加任何安全策略，否则导致网络丢包,原因: 1. 启用PAT(地址转换)功能后，防火墙CPU的利用率比较高; 2. 在学校出口的大流量高带宽下，在增加安全策略后，受防火墙的性能限制，导致网络丢包会比较严重,解决问题的办法: 更换性能更强的防火墙设备,55,网络问题分析(2),普遍存在学生上网行为不能有效控制，特别是P2P软件的应用占用大量网络带宽（如BT，迅雷等）,原因: 学生对网络资源需求广泛，会对各种新的软件，影音资料等进行大量下载,后果: 严重影响了正常的web，Email，FTP应用和学校远程教育等其它正常业务应用的带宽,解决问题的办法: 可以针对这些P2P应用进行带宽的限制,56,网络问题分析(3),学校正常的应用不能得到有效保障，时常出现网络阻塞情况,原因: 被其它非重要应用(P2P等)占用,后果: 导致学校的一些重要业务应用在流量高峰期不能正常运行,解决问题的办法: 利用AG设备提供的带宽保障功能来保障web访问、Email、FTP、远程教育等重要应用,57,网络问题分析(4),带宽有效使用率偏低，运用各种手段无法了解网络带宽真正使用情况,后果: 对平时的网络运行状况无法全面了解,无法准确发现网络中的瓶颈,出现流量异常,也无法很快定位问题,解决问题的办法: 需要添加流量监控设备提供的实时的流量分析和流量审计等功能来进行分析查看，找出问题所在,58,网络问题分析(5),网络带宽资源不能合理有效的分配,原因: 一些终端用户过度使用网络资源,例如使用P2P下载软件等，同时不能准确的了解网络中用户的使用状况，没有有效的措施和手段来控制发现的问题，导致网络带宽资源不能合理的有效分配,解决方法: 对流量做适当的优化,对用户占用网络资源(带宽,并发会话数)做适当控制,提高出口的防火墙的PAT性能, 同时利用日志，审计等功能来分析网络的使用情况，根据分析的结果利用策略来进行网络资源的合理分配,59,网络问题分析(6),在网络出口中有1G的网通链路，和155M的CerNet出口链路,原因: 学校想增加多个出口，为学生，老师等提供更好的网络服务,解决方法: 在拓扑方案设计,设备选用的时候,一定要能满足各种复杂网络应用,从成本的考虑,又要求单台设备可以提供更多的功能,更高的性能（要保证1Gbps带宽下实现PAT）.要求支持多出口（目前2个出口，以后还会增加）,各个出口配置不同的PAT或者透明模式的多种方案,要支持基于源地址,目的地址或协议的策略路由,60,用AceNet方案改造后出口拓扑图,Internet,网通出口 1000M,教育网,PAT,核心路由器,接入学生宿舍等,接入教学楼等,AG3000E,155M,61,AceNet方案网络路由拓扑说明,在网通出口开启PAT功能,配置IP地址池 Cernet出口以路由方式接入 配置VLAN,将网通链路和教育链路做了隔离 配置基于安全区的策略路由,所有从网通出入口进来的,只走网通通路 开启基于安全区的策略路由 开启了对PAT转换的日志-记录所有session的详细信息 开启了允许cernet访问内部web服务器策略,62,AceNet方案开启的功能说明,开启了IM的监控功能 开启了对所有用户的子网统计功能,可以实时查看流量最高用户的速率和总流量以及并发会话数的排名 开启对单个IP地址的上下行带宽的限制功能 开启对单个IP地址进出的并发会话数的限制功能 开启了P2P流量的分析功能，并开启定时控制功能 使用了AceReporter软件，统计和分析各种AG发出的流量日志,63,用户应用AceNet方案之后的网络状况分析(1),在线用户的状况,在统计中,一共出现过1971个IP地址!,目前在线的IP有1147个.,64,用户应用AceNet方案之后的网络状况分析(2),并发会话数的情况,通过这两幅图我们可以分析不同时间的网络并发会话数的情况,65,用户应用AceNet方案之后的网络状况分析(3),用户的5分钟的平均速率状况(case 1),公网IP没有对下载速率做限制,可以看到最高的下载速率可以达到3.5Mbps,对10.x.x.x网段的IP上行速率做限制之后,可以看到用户的上行速率明显被限制在2M之内,未做带宽限制时，单个IP最高占用12M的带宽！,66,用户应用AceNet方案之后的网络状况分析(4),用户并发会话数排名情况,在对10网段的会话数控制之后,最高并发会话被控制在310以下,未对IP做任何并发会话限制的时候，看到最高单个IP的并发会话达到了9084！,67,用户应用AceNet方案之后的网络状况分析(5),每秒新建会话数的情况,中午平均每秒新建会话数4K,学生中午时间正在吃饭时间，所以不是很高,早上平均每秒新建会话数2K,学生早上时间利用网络不是很高,68,山东XX大学选择AceNet的方案理由,采用ASIC硬件的高性能的AG设备,轻松处理学校大流量大带宽的流量 强大的基于IP和应用的并发会话数控制和上下行带宽的控制,使校园用户提高了带宽的利用率 灵活的组网方式,可以满足学校出口的复杂的网络拓扑需求,一台设备完成了2台设备的用途, 具有强大的防火墙功能,而且还有流量分析和控制功能,不仅解决了PAT的性能问题,而且实现了对网络流量的优化 在高带宽下,可以通过对流量日志和用户审计功能的分析,归纳总结出整网的流量特点,用户的上网行为规律,同时可以更快,更准确的定位网络问题,制定有针对性的流量控制策略，提高对校园用户的服务质量,69,用户的其他选择,Allot 只有流控功能,无法解决网络出口性能瓶颈,只能工作在透明方式下,无法满足用户复杂网络拓扑的部署需要,无法满足经济性要求. Packeteer 性能不够,无法处理超过300Mbps以上的流量,70,校园网出口应用特点总结,大学对做PAT的设备的性能有很高的要求,只有我们的设备能够满足,其他厂家的包括之前最强的NETSCREEN/FORTINET的高端产品的PAT性能,都无法满足需求 大学除了Cernet出口外,一般还会租用多个网通、电信等ISP的互联网出口,导致网络拓扑环境复杂,就需要象我们设备这样有灵活的组网方式，提供多出口的流量管理设备 校园网的上网用户的网络行为比较复杂，有强烈的网络流量优化的需求,做好流量优化,可以保证校园网络的正常业务不会受到因学生下载等造成意外中断 校园网由于要做PAT,对高带宽下完成PAT日志审计是有需求的,但是之前并没有很好的解决方案 校园网对P2P的控制功能非常感兴趣,采用针对这些应用的限制带宽和并发会话数的方式做到了有效调控,返回,71,数据中心方案介绍,72,数据中心应用方案,数据中心网络管理中存在的问题 问题分析 AceNet的方案介绍 用户应用AceNet产品之后的网络状况分析 为什么选择AceNet的产品,73,数据中心网络结构介绍,VIP用户托管服务器,普通用户 托管服务器,用户内部局域网,74,数据中心的网络中存在的问题,出口拥塞,VIP用户的带宽在高峰期无法有效保障 无法提供复杂差异化的带宽控制策略 无法了解托管的主机的各种应用的详细流量状况 出现端口流量异常,无法迅速定位 目前对托管主机的并发会话数(登录用户数)的控制方式影响主机运行效率 在出口拥塞的时候,用户无法远程登录托管的主机 由于防火墙性能的瓶颈,出口带宽一直跑不满,75,数据中心的网络问题分析(1),出口拥塞,VIP用户的带宽在高峰期无法有效保障,原因: 没有专用的流量控制设备,有VIP用户的托管服务器需要保障固定的带宽,都是采用直接拉线到核心交换机,其他普通服务器通过汇聚交换机汇聚后,才接入到核心交换机上,非VIP主机流量特别大的时候,同样会占用VIP用户的带宽,解决方法: 需要添加专用的流量控制设备,对VIP用户做带宽保障,对非VIP用户托管占用网络带宽和并发会话数资源要做适当的控制,避免非VIP主机过度占用网络资源,76,数据中心的网络问题分析(2),无法提供复杂差异化的带宽控制策略,原因: 用户希望能更细致的划分用户的等级,为不同等级的用户提供不同的服务,真正实现差异化化服务,根据服务等级收取不同的费用,但是用户这个愿望一直没有找到好的解决方案来实现,解决方法: 用专用的流控设备,对托管主机的占用的最大带宽做限制,占用的并发会话数做控制,还可以对托管主机占用网络资源的情况做统计和分析,制定相应基于时间的流量控制策略,优化网络流量,同时可以制定更灵活的收费策略,吸引更多的用户,77,数据中心的网络问题分析(3),无法了解托管的主机的各种应用的详细流量状况,原因: 数据中心的服务器中,有很多服务器的所有权不属于数据中心,数据中心的网管人员无法了解用户托管的主机运行什么应用,各种应用流量有多大,当用户托管的主机被非法入侵,发生流量异常的时候,或者被用于非签约用途的时候,无法及时发现并采取相应措施,解决方法: 用专用的流量分析设备,对每一个托管的主机的流量做详细的分析和统计,定期以报表的形式通知用户,及时发现异常流量,并向用户报警;同时也可以及时发现托管的服务器被用作其他非签约的用途(游戏服务器),78,数据中心的网络问题分析(4),目前对托管服务器的并发会话数(