网络新时代下的流量安全——AceNet流控墙产品及应用

1、 网络新时代下的流量安全 AceNet流控墙产品及应用 2007 AceNet Technology Inc. All rights reserved. 2 日程日程 1. 1. 流控墙产品设计背景流控墙产品设计背景 2. AceNet2. AceNet流控墙流控墙 3. 3. 高教行业应用分析高教行业应用分析 4. 4. 成功案例成功案例 5. FAQ5. FAQ 2007 AceNet Technology Inc. All rights reserved. 3 日程日程 1. 1. 流控墙产品设计背景流控墙产品设计背景 2. AceNet2. AceNet流控墙流控墙 3. 3. 高教行

2、业应用分析高教行业应用分析 4. 4. 成功案例成功案例 5. FAQ5. FAQ 2007 AceNet Technology Inc. All rights reserved. 4 各种用户连入网络 P2P、IM各种应用带来的挑战 各种业务在网络开展，对网络提出更高要求 多条链路，多出口需要更加策略化的使用 网络应用的变迁带来的挑战网络应用的变迁带来的挑战 2007 AceNet Technology Inc. All rights reserved. 5 P2P时代的流量模型时代的流量模型 2007 AceNet Technology Inc. All rights reserved.

3、6 用户网络行为模型的变化用户网络行为模型的变化 每个用户的开启的应用程序在增加每个用户的开启的应用程序在增加 单个用户的并发连接数也在迅速增加单个用户的并发连接数也在迅速增加 UDP报文在迅速增加报文在迅速增加 过去过去 现在现在 2007 AceNet Technology Inc. All rights reserved. 7 网络带宽占用比例网络带宽占用比例 2007 AceNet Technology Inc. All rights reserved. 8 2007 AceNet Technology Inc. All rights reserved. 9 流量安全变得越来越重要流量

4、安全变得越来越重要 流量可控 流量可追溯 流量可视 流量安全 2007 AceNet Technology Inc. All rights reserved. 10 挑战对设备要求的改变挑战对设备要求的改变 传统网络设备不能在L7应用层分析数据流量 传统设备不能有效的进行带宽保障和管理 传统设备不能有效的进行流量记录 2007 AceNet Technology Inc. All rights reserved. 11 现有设备的叠加方案现有设备的叠加方案1 防火墙 流量控制 DMZ Internet Internet 内网 流控设备无法 感知外部链路 的流量状况 防火墙没有带 宽保障和流量

5、优化功能 内部攻击流量 控制设备 2007 AceNet Technology Inc. All rights reserved. 12 现有设备的叠加方案现有设备的叠加方案2 防火墙 流量控制 DMZ Internet Internet 内网 无法对内网IP 进行流量分析 和优化控制 多条链路需要 多台流控设备 外部攻击对流 量控制设备的 影响 2007 AceNet Technology Inc. All rights reserved. 13 AceNet的流控墙解决方案的流控墙解决方案 DMZ ISP1 ISP2 AceNet流控墙 内网 2007 AceNet Technology

6、Inc. All rights reserved. 14 日程日程 1. 1. 流控墙产品设计背景流控墙产品设计背景 2. AceNet2. AceNet流控墙流控墙 3. 3. 高教行业应用分析高教行业应用分析 4. 4. 成功案例成功案例 2007 AceNet Technology Inc. All rights reserved. 15 AceNet AceNet 公司介绍公司介绍 2007 AceNet Technology Inc. All rights reserved. 16 AceNet 流控墙流控墙 高性能防火墙高性能防火墙多出口策略多出口策略 流量分析管理流量分析管理 S

7、ecurity control Service control v 流量的应用层识别、分析控制和安全组合的领先产品流量的应用层识别、分析控制和安全组合的领先产品 vSSPP专用集成芯片为核心专用集成芯片为核心 v全线速产品全线速产品 AceNet 流控墙流控墙 2007 AceNet Technology Inc. All rights reserved. 17 SSPPTM 业务流策略处理器业务流策略处理器 Click to add Title Click to add Title Click to add Title Click to add Title Click to add Titl

8、e Service Session Policy Processor业务流策略 处理器 AceNet设计的流量安全的专用集成电路 3千万逻辑门以上级专用芯片 革命性的集成L2L7处理芯片 高达10Gbps的处理量 2007 AceNet Technology Inc. All rights reserved. 18 ASIC SSPP SSPPTM 系统先进性系统先进性 2007 AceNet Technology Inc. All rights reserved. 19 AceNet Service Control P2P Traffic Control Security Control +

9、 = Security Business Traffic Audit Trail lP2P Application Analysis lP2P Behavior Monitoring lP2P Bandwidth Control lOptimize Bandwidth lPolicy-based traffic control lMulti-homing Load Balance lTraffic Statistic lDynamic Bandwidth control lNAT/PAT lUser Authentication & Author ization lUser Blacklist

10、 lUser/Group IP traffic comtrol lIM / P2P / FTP log lURL / email log AceNet AceNet 流控墙应用点流控墙应用点 2007 AceNet Technology Inc. All rights reserved. 20 R R R R R R BandwidthQos Concurrent Session Subnet User IP Group Schedule Policy Policy Policy Policy Policy AceNet AceNet 流控墙多层次流控流控墙多层次流控 2007 AceNet

11、Technology Inc. All rights reserved. 21 WAN Load balance Concurrent Session Application QoS Bandwidth User Group Schedule Subnet 强大的策略引擎强大的策略引擎 IP 2007 AceNet Technology Inc. All rights reserved. 22 Analysis Module L7 DPI Action Module QoS, Rate-limit Pass-through,log BT, Emule. Http IM(MSN) Http(Qo

12、S) IM(MSN) Traffic Monitor PP Stream PP Stream Rate-limit AceNet SSPPTM AceNet AceNet 流控墙流控墙SSPPSSPP中的流控模块中的流控模块 2007 AceNet Technology Inc. All rights reserved. 23 Performance Report lServegate EdgeForce lFortinet lNortel ASF185FE lCISCO PIX525 lNetscreen lAceNet AG3000 This is the test result from

13、 a China Telecom. The ones with model name are most middle-end USA product. Test result of AceNet is from NCTU, Taiwan The Curves, from low to high in 64 byte packet are the following vendors from top to buttom, left column and then right column The y-axis is the access rate instead of the throughpu

14、t. Most of the tested products are subgigabit product (multiple FE ports). e.g. NS-208s is 550Mbps. AceNet is targeting 100% access rate of throughput 2000 Mbps AceNets Traffic Delay: 0.022ms (max.) 2007 AceNet Technology Inc. All rights reserved. 24 Session Connection Rate 2007 AceNet Technology In

15、c. All rights reserved. 25 25 Instant Message VoIP Azureus File Sharing & StreamingInstant Message Signature and Behavioral Recognition 2007 AceNet Technology Inc. All rights reserved. 26 P2PP2P行为分析行为分析 2007 AceNet Technology Inc. All rights reserved. 27 P2PP2P行为分析行为分析 2007 AceNet Technology Inc. Al

16、l rights reserved. 28 业务流控制图业务流控制图 lAnalysis chart of network usage BT and PPlive occupied 80% of the bandwidth From 21:30 21:50, BT was controlled under 200Mbps, and around 21:40, PP live is rate limited too. 2007 AceNet Technology Inc. All rights reserved. 29 IM IM 控制控制 l Support rich of IM applic

17、ations and deny by chat ,voice and file transfer .Besides , chat message would be recording by AceReporter. 2007 AceNet Technology Inc. All rights reserved. 30 P2P P2P 控制控制 l Deny the specific P2P application or assign the bandwidth and limit the session. return 2007 AceNet Technology Inc. All right

18、s reserved. 31 BlackList Setting l Administrator define the traffic quota by day/week/month/quarter/year on every user .If the user exceed the traffic limit then will be classify as “Blacklist” and system automatically enable SOQ feature of service , the default rule is su spend service for 1 day. B

19、esides, its manageable of suspend user from Blacklis t table. Cycling of quota 2007 AceNet Technology Inc. All rights reserved. 32 Real Time Traffic Monitoring 2007 AceNet Technology Inc. All rights reserved. 33 Top 10 Traffic and Session Ranking 2007 AceNet Technology Inc. All rights reserved. 34 用

20、户流量统计用户流量统计 l User statistics function is able to monitor the traffic per user and online time information. 2007 AceNet Technology Inc. All rights reserved. 35 Service and Session Statistic Report 2007 AceNet Technology Inc. All rights reserved. 36 Host Pair and Protocol Statistic Report return 2007

21、 AceNet Technology Inc. All rights reserved. 37 产品产品 Road Map $ Carrier GradeEnterpriseSMB Performance AG-500 AG-5000 AG-8000 AG-3000 AG-1000 AG-300 AG-100 CMEAME 10G 1G 10M IPv6 2007 AceNet Technology Inc. All rights reserved. 38 AGAG产品系列和特性产品系列和特性 ModelGEFEPerformanceHA Concurrent Sess ion Number

22、of Traff ic Control Policies Target Market AG30019Up to 0.3 GbpsNo256K4KSOHO, SME AG500081.0 GbpsOpt.256K4KEnterprise AG1000081.6 GbpsOpt.512K32KEnterprise AG1000E282 GbpsYes1M64KEnterprise AG3000285.6 GbpsOpt.1M64KEnterprise, Campus AG3000E485.6 GbpsYes2M 128KCampus, Telecom AG5000489.6 GbpsYes 2M1

23、28KCampus, Telecom lValue Features: Application Traffic Management including P2P. Security Firewall, NAT, anti-DoS/DDoS, VPN, AAA, etc. Multi-ISP (up to 8) policy routing. lAll ports can be programmable to WAN, LAN or customer defined. 2007 AceNet Technology Inc. All rights reserved. 39 AceNet 部署部署

24、1 LAN & Gateway AceNet deploy in LAN & Gateway Desktops Server Internet AceNet Internet ISP1 ISP2 AG部署模式部署模式 透明模式透明模式 交换模式交换模式 路由和地址转换模式路由和地址转换模式 2007 AceNet Technology Inc. All rights reserved. 40 AceNet AceNet 部署部署2 2 Hub & Spoke NetHub & Spoke Net AceNet deploy in branch and Central management De

25、sktops Router Server Internet AceNet Internet AceNet Desktops Central office 2007 AceNet Technology Inc. All rights reserved. 41 AceNet 部署部署 3 服务器网段前服务器网段前 Desktops Router Server AceNet Desktops Central office 2007 AceNet Technology Inc. All rights reserved. 42 AceNetAceNet复合部署模式复合部署模式 2007 AceNet T

26、echnology Inc. All rights reserved. 43 日程日程 1. 1. 流控墙产品设计背景流控墙产品设计背景 2. AceNet2. AceNet流控墙流控墙 3. 3. 高教行业应用分析高教行业应用分析 4. 4. 成功案例成功案例 2007 AceNet Technology Inc. All rights reserved. 44 高校网络状况和需求分析高校网络状况和需求分析 l活跃和大量的用户群体 l不受管理和控制的用户机器设备 l各种应用的普遍使用，难以管理和控制 l多个出口并存，教育网和电信或网通 l承载教学业务流量和学生上网流量 l巨大的数据流量 20

27、07 AceNet Technology Inc. All rights reserved. 45 AG流控墙在高校中的应用流控墙在高校中的应用 l高校网络出口 l新旧校区或校园网重点区域中的连接 l服务器网段前 2007 AceNet Technology Inc. All rights reserved. 46 AG设备出口应用设备出口应用 高校网络出口高校网络出口 多出口的多出口的P2P控制控制 高性能防火墙地址转换高性能防火墙地址转换 用户会话数控制用户会话数控制 详细的日志记录详细的日志记录 2007 AceNet Technology Inc. All rights reserve

28、d. 47 AG设备在服务器网段前设备在服务器网段前 高校服务器群前高校服务器群前 关键业务的带宽保障关键业务的带宽保障 服务器网段流量监测和控制服务器网段流量监测和控制 服务器会话数管理服务器会话数管理 详细的日志记录详细的日志记录 2007 AceNet Technology Inc. All rights reserved. 48 流控墙使用能给高校用户带来什么好处？流控墙使用能给高校用户带来什么好处？ Add Your Text Add Your Text Add Your Text Add Your TextAdd Your Text 优化网络流量优化网络流量, ,保障业务保障业务

29、正常开展正常开展 管理网络流量，降低企业运行成本管理网络流量，降低企业运行成本 流量安全控制，提高流量安全控制，提高 网络可用性网络可用性 IMIM和流量内容记录，和流量内容记录， 降低安全风险降低安全风险 高投资回报率高投资回报率 2007 AceNet Technology Inc. All rights reserved. 49 日程日程 5. FAQ5. FAQ 1. 1. 流控墙产品设计背景流控墙产品设计背景 2. AceNet2. AceNet流控墙流控墙 3. 3. 高教行业应用分析高教行业应用分析 4. 4. 成功案例成功案例 2007 AceNet Technology In

30、c. All rights reserved. 50 中国大陆地区中国大陆地区2007年部分成功案例年部分成功案例 l南京师范大学 l复旦大学 l扬州大学 l南京信息大学 l山东理工大学 l山东建筑大学 l天津科技大学 l北京语言大学 l上海静安区教委 . l四川省政府信息中心 l上海松江区信息委 l西安碑林区政府 l四川移动公司 l贵州省建行 l宁波商业银行 l吉林网通 l北京海淀宽带(二级运营商) l北京人民网 l上海海洋局 . 2007 AceNet Technology Inc. All rights reserved. 51 高教行业应用方案介绍高教行业应用方案介绍 2007 Ace

31、Net Technology Inc. All rights reserved. 52 教育行业山东某高校教育行业山东某高校 l校园网原先的网络状况 l需求分析 lAceNet的方案 l用户应用AceNet方案之后的网络状况分析 l用户选择AceNet的理由 l案例特点总结 2007 AceNet Technology Inc. All rights reserved. 53 山东某大学原有网络出口拓扑图山东某大学原有网络出口拓扑图 Internet 网通出口网通出口 1000M 教育教育 网网 天融信防火墙天融信防火墙 155M 2007 AceNet Technology Inc. All

32、 rights reserved. 54 网络问题分析网络问题分析(1) l在天融信防火墙上只做了地址转换，不能再添加 任何安全策略，否则导致网络丢包 2007 AceNet Technology Inc. All rights reserved. 55 网络问题分析网络问题分析(2) l普遍存在学生上网行为不能有效控制，特别是P2P 软件的应用占用大量网络带宽（如BT，迅雷等） 2007 AceNet Technology Inc. All rights reserved. 56 网络问题分析网络问题分析(3) l学校正常的应用不能得到有效保障，时常出现网 络阻塞情况 2007 AceNet

33、 Technology Inc. All rights reserved. 57 网络问题分析网络问题分析(4) l带宽有效使用率偏低，运用各种手段无法了解网 络带宽真正使用情况 2007 AceNet Technology Inc. All rights reserved. 58 网络问题分析网络问题分析(5) l网络带宽资源不能合理有效的分配 2007 AceNet Technology Inc. All rights reserved. 59 网络问题分析网络问题分析(6) l在网络出口中有1G的网通链路，和155M的CerNet 出口链路 2007 AceNet Technology

34、Inc. All rights reserved. 60 用用AceNet方案改造后出口拓扑图方案改造后出口拓扑图 Internet 网通出口网通出口 1000M 教育网教育网 155M 2007 AceNet Technology Inc. All rights reserved. 61 AceNet方案网络路由拓扑说明方案网络路由拓扑说明 l在网通出口开启PAT功能,配置IP地址池 lCernet出口以路由方式接入 l配置VLAN,将网通链路和教育链路做了隔离 l配置基于安全区的策略路由,所有从网通出入口进 来的,只走网通通路 l开启基于安全区的策略路由 l开启了对PAT转换的日志-记录所

35、有session的详 细信息 l开启了允许cernet访问内部web服务器策略 2007 AceNet Technology Inc. All rights reserved. 62 AceNet方案开启的功能说明方案开启的功能说明 l开启了IM的监控功能 l开启了对所有用户的子网统计功能,可以实时查看 流量最高用户的速率和总流量以及并发会话数的 排名 l开启对单个IP地址的上下行带宽的限制功能 l开启对单个IP地址进出的并发会话数的限制功能 l开启了P2P流量的分析功能，并开启定时控制功能 l使用了AceReporter软件，统计和分析各种AG发出 的流量日志 2007 AceNet Tec

36、hnology Inc. All rights reserved. 63 用户应用用户应用AceNet方案之后的网络状况分析方案之后的网络状况分析(1) l在线用户的状况 在统计中,一共出现过1971个 IP地址!,目前在线的IP有 1147个. 2007 AceNet Technology Inc. All rights reserved. 64 用户应用用户应用AceNet方案之后的网络状况分析方案之后的网络状况分析(2) l并发会话数的情况 通过这两幅图我们可以分析 不同时间的网络并发会话数 的情况 2007 AceNet Technology Inc. All rights reser

37、ved. 65 用户应用用户应用AceNet方案之后的网络状况分析方案之后的网络状况分析(3) l用户的5分钟的平均速率状况(case 1) 公网IP没有对下载速率做限 制,可以看到最高的下载速率 可以达到3.5Mbps 对10.x.x.x网段的IP上行速 率做限制之后,可以看到用户 的上行速率明显被限制在2M 之内 未做带宽限制时，单个IP最 高占用12M的带宽！ 2007 AceNet Technology Inc. All rights reserved. 66 用户应用用户应用AceNet方案之后的网络状况分析方案之后的网络状况分析(4) l用户并发会话数排名情况 在对10网段的会话数

38、控制之 后,最高并发会话被控制在 310以下 未对IP做任何并发会话限制 的时候，看到最高单个IP的 并发会话达到了9084！ 2007 AceNet Technology Inc. All rights reserved. 67 用户应用用户应用AceNet方案之后的网络状况分析方案之后的网络状况分析(5) l每秒新建会话数的情况 中午平均每秒新建会话数 4K,学生中午时间正在吃饭 时间，所以不是很高 早上平均每秒新建会话数 2K,学生早上时间利用网络 不是很高 2007 AceNet Technology Inc. All rights reserved. 68 山东山东XX大学选择大学选

39、择AceNet的方案理由的方案理由 l采用ASIC硬件的高性能的AG设备,轻松处理学校大流量大 带宽的流量 l强大的基于IP和应用的并发会话数控制和上下行带宽的控 制,使校园用户提高了带宽的利用率 l灵活的组网方式,可以满足学校出口的复杂的网络拓扑需求, 一台设备完成了2台设备的用途, 具有强大的防火墙功能,而 且还有流量分析和控制功能,不仅解决了PAT的性能问题,而 且实现了对网络流量的优化 l在高带宽下,可以通过对流量日志和用户审计功能的分析, 归纳总结出整网的流量特点,用户的上网行为规律,同时可 以更快,更准确的定位网络问题,制定有针对性的流量控制 策略，提高对校园用户的服务质量 200

40、7 AceNet Technology Inc. All rights reserved. 69 用户的其他选择用户的其他选择 lAllot 只有流控功能,无法解决网络出口性能瓶颈,只 能工作在透明方式下,无法满足用户复杂网络拓扑 的部署需要,无法满足经济性要求. lPacketeer 性能不够,无法处理超过300Mbps以上的流量 2007 AceNet Technology Inc. All rights reserved. 70 校园网出口应用特点总结校园网出口应用特点总结 l大学对做PAT的设备的性能有很高的要求,只有我们的设备 能够满足,其他厂家的包括之前最强的NETSCREEN/F

41、ORTI NET的高端产品的PAT性能,都无法满足需求 l大学除了Cernet出口外,一般还会租用多个网通、电信等IS P的互联网出口,导致网络拓扑环境复杂,就需要象我们设备 这样有灵活的组网方式，提供多出口的流量管理设备 l校园网的上网用户的网络行为比较复杂，有强烈的网络流 量优化的需求,做好流量优化,可以保证校园网络的正常业 务不会受到因学生下载等造成意外中断 l校园网由于要做PAT,对高带宽下完成PAT日志审计是有需 求的,但是之前并没有很好的解决方案 l校园网对P2P的控制功能非常感兴趣,采用针对这些应用的 限制带宽和并发会话数的方式做到了有效调控 返回 2007 AceNet Tec

42、hnology Inc. All rights reserved. 71 数据中心方案介绍数据中心方案介绍 2007 AceNet Technology Inc. All rights reserved. 72 数据中心应用方案数据中心应用方案 l数据中心网络管理中存在的问题 l问题分析 lAceNet的方案介绍 l用户应用AceNet产品之后的网络状况分析 l为什么选择AceNet的产品 2007 AceNet Technology Inc. All rights reserved. 73 数据中心网络结构介绍数据中心网络结构介绍 VIPVIP用户托管服务器用户托管服务器 普通用户普通用户

43、托管服务器托管服务器 用户内部局域网 2007 AceNet Technology Inc. All rights reserved. 74 数据中心的网络中存在的问题数据中心的网络中存在的问题 l出口拥塞,VIP用户的带宽在高峰期无法有效保障 l无法提供复杂差异化的带宽控制策略 l无法了解托管的主机的各种应用的详细流量状况 l出现端口流量异常,无法迅速定位 l目前对托管主机的并发会话数(登录用户数)的控制 方式影响主机运行效率 l在出口拥塞的时候,用户无法远程登录托管的主机 l由于防火墙性能的瓶颈,出口带宽一直跑不满 2007 AceNet Technology Inc. All right

44、s reserved. 75 数据中心的网络问题分析数据中心的网络问题分析(1) l出口拥塞,VIP用户的带宽在高峰期无法有效保障 2007 AceNet Technology Inc. All rights reserved. 76 数据中心的网络问题分析数据中心的网络问题分析(2) l无法提供复杂差异化的带宽控制策略 2007 AceNet Technology Inc. All rights reserved. 77 数据中心的网络问题分析数据中心的网络问题分析(3) l无法了解托管的主机的各种应用的详细流量状况 2007 AceNet Technology Inc. All rights reserved. 78 数据中心的网络问题分析数据中心的网络问题分析(4) l目前对托管服务器的并发会话数(登录用户数