DCFS技术白皮书

1、流量整形网关系统DCFS技术白皮书、问题分析互联网正飞速改变着全球企业的经营模式，企业能以崭新且有效的方式与客户、雇员、供应商 及业务伙伴进行沟通。随着互联网的普及，用户对网络的依赖越来越深，同时网络给用户带来的烦 恼也日益严重，总结起来，困扰用户的主要问题有以下几个：用户总是觉得自己的带宽不够用主干互联网虽然年年升级，但仍然不能满足用户日益增长的需求。很多企业用户和运营商长期 面临带宽的烦恼：申请充足的带宽投入太多，带宽少了又不够用。造成用户带宽拥塞的原因很多， 出口带宽永远低于桌面带宽是最根本的原因，其次，网络应用的迅猛发展是导致带宽不够用的主要 原因，尤其是最近几年出现的P2P软件和网络

2、病毒，极大的消耗了有限的网络资源。对于那些P2P 软件的使用者来说，下载一个文件花5个小时或者10个小时差别并不大，但是对于其他浏览网页 的用户，访问一个网页需要5秒钟还是10秒钟还是有很大区别的。同样，如果某个用户急需下载 一个几兆大小的文件或者电子邮件，他也会很在乎当前的网络速度，而此时的网络带宽也许正在被 某些P2P软件或者其他一些网络资源消耗较多的用户占用。因此，解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户，当网络资源紧 张的时候限制那些使用量大的用户，保障那些使用量小的用户，反之，当网络资源有较大空闲时则 取消这些限制，让每个用户都能进行高速下载，有效利用租用的线路

3、。如果关键应用无法得到保障，申请再多带宽也无济于事用户对于不同应用的耐心也不同，比如对待大文件的下载一般都不会太在乎时间，而对浏览网 页和邮件收发则比较在意，至于语音和视频等实时通讯稍有时延则无法容忍。显然，目前网络的现 状是：文件下载、浏览网页、邮件收发和视频通讯都采用相同的带宽处理策略，很多网络资源实际 上没有得到有效的利用。所以，如何保障用户所关心的应用的正常运行也是网络管理者最关心的问 题之一。用户饱受网络安全问题困扰目前，多数用户的桌面操作系统都是Windows家族产品，单一化的桌面环境导致了基于 Windows系统的网络病毒大规模流行。多数病毒都是通过网络进行复制和传播，这些病毒为

4、了传播 经常针对相邻网段进行大规模的扫描，而病毒的垃圾请求往往会消耗大量的网络带宽，同时可能耗 尽出口路由器的NAT会话资源，致使网络的管理者误以为是带宽资源不够导致网络的拥塞。传统的 防火墙设备、IDS和IPS设备只能进行简单的拦截和过滤，针对那些已知的病毒和攻击有一定的效 果，但病毒和攻击日新月异，面对新的网络攻击，它们则变得束手无策。网络攻击导致网络服务中断网络服务是多数ICP生存的基础，DoS/DDoS攻击制造了大量的无效访问或者垃圾访问，严重 影响了正常的网络服务，导致网络服务中断，甚至导致整个运营网络瘫痪。由于DoS/DDoS工具可 以轻易从网上获取，这类攻击也日益泛滥。很多内容服

5、务提供商都没有防护工具，遇到这类攻击他 们只能采取一些简单的防护措施，面对大量的网络攻击数据流，这些防护措施显得十分脆弱。2、技术解决方案神州数码网络是国内网络安全和网络管理领域的开拓者，我们致力于解决网络的管理问题和安 全问题。针对目前困扰用户的网络问题，推出了神州数码DCFS-2000/8000系列产品，率先采用深 层内容分析(Deep Inspection)、深层速率控制(Deeper Rate Control)和智能会话管理等一系 列业内领先技术，为这些问题的解决带来曙光。与传统技术相比，神州数码DCFS-2000/8000系列 产品所使用的几项专有技术有几个显著的特点：深层内容分析技

6、术一网络安全发展的趋势基于内容进行会话识别：可以通过高速的深层协议分析，识别每一个网络会话所属的应 用，针对某种协议进行控制或者制定相应的带宽分配策略，拦截那些具有攻击意图的会话 和连接，而传统的路由器和防火墙等网络设备只能根据端口进行最初级的识别；支持传统的识别技术：可以识别二到四层的网络数据特征，这些特征也可以同时配合内容 分析技术一并使用。深层速率控制技术一网络管理的未来之路智能的带宽调节功能：可以根据网络负载智能调节网内的终端带宽分配方式，例如：如果 目前网络负载较重则自动限制那些流量较大的终端，保证多数用户的网络应用能够正常、 快速的得到响应；当网络负载较轻时，则采用宽松的带宽处理策

7、略，以便网络的带宽能得 到充分的利用；基于终端的资源控制：仅需设定一条规则，即可限定每台终端的带宽使用上限，同时系统 可以根据当前网络资源的使用状况动态的调整分配给每个用户的带宽资源，保证带宽分配 的公平性与合理性，另外系统还可以设定每台终端的会话数量，防止由于病毒等原因造成 的网络资源耗尽；弹性灵活的资源管理机制：由于神州数码DCFS-2000/8000能看懂网络从第二到第七的协 议层乃至会话间的关联，它能自动地分辨各种不同的协议、服务和应用。深层速率控制技 术(Deeper Rate Control)根据IP地址、子网、服务器地点、协议、应用端口、应用类 型等基本特点及应用的关联性分析将这

8、个信息流和其它信息流区分开来，再根据不同的需 要给予适当或应有的带宽级别(Privilege)和带宽政策(Policy)。带宽级别和带宽政 策可以按区间划分，实施方式是硬性或弹性的，根据不同的灵活实施，可以确保广域网有 限资源的按需动态分配。DOS/DDoS攻击防范一网络安全的基本保障采用SYN Cookie防范的机制：在TCP确认数据包中插入一个ID号来鉴别SYN请求。保 证合法的请求发送到服务器，同时终止全部SYN flood攻击，防止SYN flood攻击蔓延 到服务器或 神州数码DCFS-2000/8000自身；智能的流量识别技术：采用取样机制和基准流量行为监测来识别异常流量，一旦达到

9、了某 个潜在攻击的激活阈值，保护措施将自动启用，拦截那些具有攻击性质的访问，保障服务 系统的正常运行。多层实时监控体系一保证网络的可管理性细致周到的监控功能：宏观上，神州数码DCFS-2000/8000系统提供接口、通道、应用、 主机、会话等多个层次的实时监控功能，随时掌握网络各个方面的运行状态；微观层面 上，系统可以观察到流量、报文数量、会话数量等一系列特性参数；全面完善的日志机制：通过专用的日志服务器，神州数码DCFS-2000/8000的数据可以汇 总到日志服务器内，以供管理员查询和统计，同时可以生成报表帮助管理员分析网络运行 状况，管理者还可以通过日志服务系统监测多台神州数码DCFS-

10、2000/8000的运行状况。3、技术分析深层速率控制技术的实现原理和传统带宽控制技术相比，深层速率控制技术（Deeper Rate Control ）通过五大步骤保障网 络利用的高效性，保障关键应用，满足一般应用，避免在广域网接入瓶颈出现阻塞。分类系统自动根据应用程序的协议、应用类别、来源域、目标域和其他应用特征，将网络数据流分 成为不同类别。系统所作的远远超过静态地对端口、IP地址等作分辨，而是深入OSI网络模型的 第七层对信息进行应用层和关联性的分类，对如Netmeeting和Oracle等各种应用程序进行精确 定位。控制通过当前系统的处理策略进行带宽分配，针对用户一级，系统能够保障多数

11、用户的使用、安置 超量占用资源的个别用户，针对应用一级，系统能够保护关键的应用、快速处理用户的一般应用、 限制非关键信流，使有限的广域网接入性能实现最优。此外，您还可以为单个会话（session）. 单个应用程序或者某类会话和某类应用指定具体的带宽区间。系统的深层速率控制技术能够主动地 同时控制流出和流入的信息传输以避免阻塞、防止不必要的数据包丢弃和重发，力保平稳、均一的 流量，实现吞吐优化。分析根据当前的状况对应用程序的网络效率进行分析，然后生成带宽利用率、响应时间、应用关联 性以及其他信息的数据，通过分析这些数据生成相应的调整参数。调整根据应用程序的分析结果对当前的网络使用情况进行预估，如

12、果发现当前的处理策略没有达到 最优的网络效率，则智能的调整当前的处理策略，实现网络性能的最大化。报告系统可以根据用户的定制产生图表、数据等管理信息的实时监控。您可以定制监控的对象，掌 握当前真实性能的状态。灵活带宽通道的管理神州数码DCFS-2000/8000支持非常灵活的带宽通道管理（带宽通道：Bandwidth Pipe，是用 户自定义的为某个用户、某个网络应用或者是某个网络接口、线路定义的带宽管道）：可以支持带宽通道的上限带宽和下限带宽下限带宽指通道的保障带宽，如果空闲可以出租给其他通道，上限带宽是带宽通道的最大带 宽，如果通道带宽已经用满，而其他通道空闲，可以租用其他通道的带宽。可以支

13、持带宽通道的优先级神州数码DCFS-2000/8000支持带宽通道的优先级定义，优先级决定了哪条带宽通道可以优先 被系统处理，优先级越高的带宽通道可以优先占用共享/空闲的带宽通道资源。带宽的分配精确到IP地址传统的Qos技术每个策略定义一个先进先出的队列，带宽的上限只能应用于整个策略，而神州 数码DCFS-2000/8000的通道管理技术实现的是基于用户地址的动态处理队列，能够精确的控制每 个用户端IP地址/地址段的带宽流量。动态的带宽分配技术用户访问网络的速度很大程度取决于用户终端与网络资源之间建立连接的数量，例如著名的下 载软件NetAnts、Flashget以及一些P2P软件就是通过增加

14、网络会话的数量来加速的。如果用户的网络中没有带宽管理，有些用户使用网络工具打开了较多的网络会话，获得了 较大的网络带宽资源，而多数用户使用了较少的会话连接，因而访问速度较慢，如下图所示：传统的Qos技术可以通过定义用户带宽的上限来限制用户的访问速度，但是这种方法在网 络资源紧张的时候不能起到缓解的作用，而当网络资源空闲的时候容易造成网络资源的浪费。神州数码DCFS-2000/8000支持动态的带宽分配技术，可以在用户分配的带宽通道内动态的 调节、均衡用户带宽的使用，此技术具有如下的优点：在网络资源紧张时均衡的分配带宽资源；在网络资源空闲时可以充分利用带宽资源；可以配合用户带宽限制使用；可以针对

15、某种应用，确保关键应用的带宽分配；带宽分配与用户建立的会话数无关。动态的带宽分配技术可以从根本上解决用户带宽分配不均的问题，防止个别用户过多的占用有 限的带宽资源。如下图所示：1M带宽分配与会话数无关双重带宽控制技术很多网络管理员在规划网络带宽分配方式的时候，都有这样一类需求：每个用户的带宽要控制 在一个范围内，同时对某些应用限制一个总的带宽，如下图:BT限制1QM每个用户1M以前，这种规划需要两台设备才能实现：一台设备控制每个用户的接入带宽，另一台设备控制 应用的带宽分配。这样虽然可以解决问题，但是却增加了设备投入的成本。使用神州数码DCFS- 2000/8000的双重带宽控制技术，即可轻松

16、的解决这一难题，双重带宽控制技术可以在限制每个用 户带宽使用的基础上，对某些应用占用的总带宽进行限制。这项技术不仅可以有效的提高管理员对 网络的控制能力，同时还降低了网络建设的投入成本。TCP速率控制技术TCP/IP是目前网络传输时使用的主要协议族。该协议族中，TCP和IP是核心，还包括一些其 它协议。TCP和IP协议分别控制着数据在互联网上的传输和路由选择。从本质上说，IP是指导网 络上的数据包从发方计算机送达收方计算机。TCP则负责确保数据在设备之间进行端到端的可靠交 付。TCP使用基于滑动窗口的流量和拥塞控制方式，通过确认分组流实施控制（接收方窗口通 知）。TCP使用基于往返定时器（RT

17、T： round-trip timer）的自适应时钟来调谐重发超时。TCP 为完成对数据的确认使用了滑动窗口机制，为避免拥塞采用了称为“慢启动”的策略。发方对丢失 或损坏数据的重发，要求保留数据副本直至收到数据确认（ACK）。为避免大量可能丢失的数据副 本占用大量存储器并浪费带宽，TCP采用了一个滑动窗口装置来限制传送中的数据数量。随着确认 的返回，TCP在前移窗口的同时，发送不断增加的数据。一旦窗口被占满，发方必须停止传输数据 直至更多的确认到达。虽然TCP能发现数据没有送达，但重新发送会进一步加剧信道的拥塞，从而 进一步导致数据丢失。为避免网络因拥塞而瘫痪，TCP只能降低传输速率以对数据丢

18、失做出反应。TCP的窗口大小是网络传输中最重要的参数之一，动态的调整TCP窗口尺寸的大小，可以很好 的控制TCP会话传输的速率。神州数码DCFS-2000/8000支持动态的TCP窗口控制技术，可以有效 的控制TCP的会话速率；在没有神州数码DCFS-2000/8000的TCP窗口控制的情况下，发送端和接受端的TCP WinSize 由会话的两端决定，这种情况可能会导致两端的通讯带宽无法控制，对于整个网络带宽的利用率不高，而且可能会因为少数用户导致网络的拥塞。发送方接收方神州数码DCFS-2000/8000支持动态的TCP WinSize调整，神州数码DCFS-2000/8000可以 网络线路

19、的负载状况动态的调整WinSize的大小，在这种情况下，发送端和接受端的TCP WinSize 由神州数码DCFS-2000/8000动态决定，而不是由传输的两端决定，如下图所示：发送方流量管理hlO24接收方神州数码DCFS-2000/8000的TCP速率控制技术有如下优点:通过改变window size控制TCP会话速率；可以实现双向控制；可以减小设备的缓冲压力；可以针对单个用户动态实施；DOS/DDoS攻击防范技术TCP/IP是目前网络传输时使用的主要协议族。该协议族中，TCP和IP是核心，还包括一些其 它协议。TCP和IP协议分别控制着数据在互联网上的传输和路由选择。从本质上说，IP是

20、引导网 络上的数据包从发方计算机送达收方计算机。TCP则负责确保数据在不同的设备之间进行端到端的 可靠传输。神州数码DCFS-2000/8000采用多层DoS/DDoS攻击防范体系，确保网络服务的正常：神州数码DCFS-2000/8000针对各种类型的SYN flood攻击提供了强大的防护能力（无论该攻 击是使用何种工具发动的）。这种被称为SYN Cookie防范的机制可以在TCP会话建立前在TCP确 认数据包中插入一个ID号来鉴别SYN请求。完成这种三向握手后，神州数码DCFS-2000/8000仅处 理含有在此前插入的ID号的请求。这种机制可以保证会被只有合法的请求才发送到服务器，而任 何

21、SYN flood攻击都将在神州数码DCFS-2000/8000处被终止，因而不会蔓延到服务器以及神州数 码 DCFS-2000/8000 自身。此外，神州数码DCFS-2000/8000借助额外的取样机制和基准流量行为监测来识别异常流量， 提供了实时的DoS防范。该机制会对照策略设定的阈值来比较流量样本。一旦达到了某个潜在攻 击的激活阈值，该潜在攻击的状态就被激活，这样就会使用该潜在攻击的特征文件来比较各个数据 包。如果发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给 网络。应用级别的入侵防范黑客在发起攻击之前，通常都会设法确定打开的TCP和UDP端口。一个打开

22、的端口可能意味 着一种服务、应用或者一个后门。如果端口不是用户特意打开的，则可能导致严重的安全问题。神 州数码DCFS-2000/8000的应用安全模块通过应用层分析技术提供了旨在阻止黑客获取该信息的全 面机制，方法是拦截并修改发送给黑客的服务器应答。对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的 威胁。据2003年8月刊的Network World报道，77%的应用级别攻击都是通过80端口发动的。 这些攻击会使用80端口和其它打开的应用端口（如139、445等）穿越防火墙而进入公司网络中。神州数码DCFS-2000/8000入侵防范功能采用高速检测引擎和拦

23、截多种病毒、蠕虫和特洛伊木 马，从而快速而全面地清除所有恶意入侵。4、功能介绍神州数码DCFS-2000/8000系列产品可以实现： 网络资源监控：监控各类网络流量，生成监控图表;KFOT-5L I Tr-EI-=-ETnmFTraffic Graph!U： ULI ULI10： 0012： 0014： 0016： 00200 M00： 0002：0004：0006：0008： 00M M M o o O5 0 52q5puouOJ5s.TrafficUDPOTHERSother TCP MULE MMS RTSP GNUTELLh HTTP E：TTCPTotalMMX25.92Mbps 1

24、.25MbpS 53.42MbpS 11.24Mbps 5.77Mbp5 58.04MbpS 383.S2kbpS 30.73Mbp5 62.48MbpS 176.35Mbps 1S8.23MbpsHuerage12.32MbpS 224.53kbpS 29.19MbpS4.30MbpS 1.89MbpS 29.06Mbps 25.76kbpS 14. 17MbpS 43.OOMbpS 121.61Mbps 134.18MbpsMin3.79MbpS 11.16kbps 12. 41 Mbps 809.09kbps0.00 bps 2.58Mbps 0.00 bps 2.21 Mbps 18.

25、94MbpS 63.37MbpS 72.24MbpsLast14. 37MbpS 19.47kbps 44.58MbpS7.04MbpS 1.42MbpS 39.62MbpS2.54kbpS 11.73MbpS 39.59MbpS 143.97MbpS 158.38MbpsTue Dec 2- - 7： 42： 52 CST 2004流量监控图表支持多种网络接口和协议：支持10/100M以太接口以及1000M以太和光纤接口，支持DHCP、 PPP、PPPoE和802.1Q等网络协议；提供深度应用分析功能：基于会话层的应用分析，实现针对应用层的处理和流量管理功能，高 速高效的分析算法，可以在千兆环境下线速工作；新增应用带竟分配规则应用带宽分配规则列表接口名称带宽移动状态犒辑r内网外网日T带限制上限1珈，每用户W55Kr内网外网Edonkey 策略上限1珈，每用户W55Kr内网外网流媒体上限3珈，每用户W55Kt启用规则禁用规则册1除