高效网络流量监测和多层安全防御解决方案

1、目录VSS 公司介绍3成功案例6第一部分第二部分第三部分网络监测解决方案8网络监测概述8传统网络监测架构带来的一系列问题9网络监测的发展与需求10第一章第二章第三章VSS 解决方案网络监测介绍11的优点12第四章第五章VSS网络监测第四部分安全保护解决方案13防护体系演进概述13第六章第七章防护及13第八章VSS 解决方案安全保护安全保护介绍15优势16应用场景17第九章第十章安全保护第五部分典型产品介绍19案例32国内金融用户数据中心全网监测案例32第六部分案例一案例二国内用户、支付用户数据中心全网监测案例34构建高效多层防御体系案例36案例三sby VSS Monitoring Inc.P

2、age 2第一部分VSS 公司介绍中转数据包并优化工具最大化网络智能优化的投资回报率关于VSS Monitoring公司VSS Monitoring 公司是网络智能优化和网络数据包中转（NPB）领域的者,为交换网络与智能网络分析、安全、加速设备间的互连,提供最佳的、可扩展的前瞻性系统级解决方案。VSS Monitoring 的网络数据包中转系统,改善了各类工具的使用和效率,简化了 IT 运营模式,极大om了工具的投资回报率。欲了解VSS公司成立于2003年，总部位于加州硅谷，在东京和中国设有及代表处，还在世界其他大洲有十几处办事机构。所有产品的设计研发、生产以及测试均在于加州硅谷采购。总部完成

3、，产品零亦世界领先VSS Monitoring,Inc.公司是网络智能优化技术的者， 为交换网络与智能网络分析设备、串接得了更高的投资回报率。跻身国际市场自2003年以来，已有遍及120多个国家成千上万式、广域网加速设备间的互连，提供最佳的、可扩展的前瞻性系统级解决方案。的电信、企业、和金融部门的客户得益于VSS Monitoring公司提供的基于系统的先进解决 方案。公司在美洲、亚洲和欧洲地区拥有行业最 具规模和最专业的客户支持工程师和商团队。公司产品在加州硅谷设计生产。前瞻性解决方案VSS的高度可扩展的解决方案以其特有的 elliScale架构技术为基础，为IP网络和数据中心的系统的所有关

4、键性能和安全功能提供更出色的系统容错性和真正的模块化扩展。此外，产品线VSS 公司的产品线包括了如下 5 大类：VSS可以帮助控制部署、使用和各种需求工具，尤其因IP融合的规模和复杂程度而产生的资本支出及运营成本。数据包中转设备（vBroker）中转器（vBroker）系列提供全网的可视性，从一个或多个全双工的网络接入、捕获、中转流产品质量VSS设计和生产了180余款符合最高可靠性和性量，到多个主动或的网络智能工具。 基于策略的触发器、健康检查和失效开/关设置组合，与过滤和负载均衡一起，为带内和带外的可视性提供冗余和高可用性。能标准的创新产品，通过网络智能的可扩展性实现了更高的可扩展性。这就将

5、复杂的事情简单化，提高了效率，更快的节省了成本并取sby VSS Monitoring Inc.Page 3流量安全导向设备（vProtector）流量安全导向器（Protector）系列从一个或多个全双工的网络接入、捕获、传送流量，到多个主深度数据包检测设备（Finder）Finder系列可以基于目标、字符串（pattern）和签名，进行大规模实时深度数据滤检索。该动或的网络智能工具。基于策略的触发器、产品从一个或多个全双工的网络接入、传送流量，到多个网络智能工具，为的合法侦听（LI）、预防诈骗和其他的敏感类需求提供合规的检索结 果。传统型 TAP 设备网络Tap(或称 1x1Tap) 可以

6、对一个全双工的网健康检查和失效开/关设置组合，与过滤和负载均衡一起，为带内和带外的可视性提供冗余和高可用性。分布式流量捕获设备（DTCS）分布式Tap 是新一代的流量捕获工具，由可高度灵活应用的设备组成，能够在不影响网络运行下收集多个网络流量，并依用户选择设定将流量数据传输到多个独立的监测端口。络提供的监测接入。将网络Tap 设置在两个网络通信设备之间捕获双向的数据流，然后镜像到两个输出端口，为监测的分析或工具提供数据。对于多个网络的流量捕获，可以将多个网络Tap 集成在 1U 高的机箱里变成高密度Tap，节省机柜空间。运用分布式Tap 可以组成一个具有选择性汇聚、过滤、负载均衡、管理（用户图

7、形界面/命令行）等功能的硬件接入配置来集中监测设备。，可依用户需求灵活部分获奖情况近期奖项介绍VSS Monitoring 公司被公认为业界领先的网络数据包中转提供商荣获 Frost & Sullivan 颁发的网络基础架构数据包中转市场 2012 年度全球竞争奖市 2012 年 7 月 23 日架构数据包中转市场 2012 年度全球竞争加州圣领全球网络数据包中转（Network Packet Brokers ，导奖。VSS Monitoring 公司因其领先的技术创新、与众不同的产品线、广大的客户基础和无与伦比NPB）领域的者 VSS Monitoring 公司今天宣布获得了由 Frost

8、& Sullivan 颁发的网络基础的投资回报率/成本节约，获得此独立第奖项。sby VSS Monitoring Inc.Page 4为了支持其多种业务性能类别最优方法的评估，Frost & Sullivan 使用了定制化的分析工具决策支持矩阵（DSM），并通过相关的数量和质量算获得了地位。现在，其网络数据包中转设备独具特色得应对了复杂网络的可视性、优化和可扩展性等需求。”VSS Monitoring 公司全球销售和市场高级副Rob Markovich 先生说，法来比较各个公司产品的性能。竞争奖使用了如下基准来比较主要几个竞争公司的产品“为的服务提供商和企业用户持续的工性能：竞争智能的力、对

9、市场份额的能力、竞争的执行能作，帮助他们最大化网络的安全和性能。Frost &Sullivan 认可这些成就，、品牌的竞争地位（品感到非常荣幸。”牌优势和独特的市场定位）和对用户满意度/价值成长合作伙伴公司 Frost & Sullivan 帮助客户加的等。速成长，达到成长、创新和的最佳位置。公2012 年，VSS Monitoring 公司在几个关键评估项上得分远高于竞争对手，整体得分平均超过竞争对手 20%。司的成长合作伙伴服务提供给 CEO 和 CEO 的成长团队精炼的研究和最优的模型，驱动有力的成长策略的产生、评估和执行。Frost & Sullivan 拥有五十年与全球 1000 强

10、公司、并购业务和投资行业合作的经验，在六大洲有超过四十个“从持续增长的最大化网络和应用的性能需求的角度来说，VSS Monitoring 公司业已通过其强大的客户基础和全面的产品线建立了竞争优势。”中提及，“VSS Monitoring 公司持续不断的建立竞争优势，确保其在网络基础架构数据包中。欲了解htVSS Monitoring 公司是网络智能优化和网络数据包中转（NPB）领域的者,为交换网络与智转领域的地位，从而获得了极其重要的市场能网络分析、安全、加速设备间的互连,提供最佳的、可扩展的前瞻性系统级解决方案。VSSMonitoring 的网络数据包中转系统,改善了各类工份额。VSS Mo

11、nitoring 公司为用户展示其业界最佳的性能、实时查看数据包流量、高效的数据过滤能力和高效的成本解决方案（每用户年度成本节约），与网络基础架构数据包中转市场其他竞争对手相比更出类拔萃。”具的使用和效率,简化了 IT 运营模式,极大工具的投资回报率。欲了解om了“荣获 Frost & Sullivan 的竞争奖证明了 VSS Monitoring 公司在相关产品和市场业已关于赫2012 年 6 月，赫公司完成了对 VSS Monitoring 公司的收购。VSS Monitoring 公司的全球员工将整体作为独立的实体，加入赫的通讯。赫是科学和技术的者，为专业、医疗和商业客户设计、制造并销售

12、创新产品和服务。主要的品牌在所从事的每个行业都是最知名的，赫通讯的 Fluke、Tektronix 和 Arbor 公司。赫商业系统在全球有超过 59000 名同如同属于事，服务于超过 125 个国家和地区的客户。2011 年，。的收入超过 161 亿美金。欲了解sby VSS Monitoring Inc.Page 5第二部分成功案例VSS Monitoring公司的数据包中转系统目前正在被广泛部署，成功案例遍及各个行业，用户包括运营商、通讯设备制造商、应用服务提供商、商、大型、保险以及金融服务公司。VSS数据包中转系统目前正在被广泛部署，成功案例遍及各个行业，用户包括运营商、通讯设备制造商

13、、应用服务提供商、商、大型、保险以及金融服务公司。目前大陆，包括国内的三大电信运营商在内的各运营商，也是VSS的忠实用户，目前在网使用数万台设备，足见VSS的产品价值和信誉。另外，国内的四大国有和中国民生、光大、招商、中信、苏格兰、浦东、发展、中国银联、申银万国等都是VSS的客户；国外的花旗力、汇丰、道琼斯、伦敦证交所、纽约证交所、费城证交所、SEB、CITRIX等也都是VSS德意志的客户。VSS的产品为的可靠运行。此外国安、网络的性能监测提供了巨大便利，提高了网络的管理水平，保证了网络、电力以及教育、都采用过的产品，来提高网络的可视性。VSS的合作伙伴或商，在他们各自擅长的行业都有众多的工程

14、项目经验，强大的项目实施队伍和经验丰富的项目经理，保证了工程项目的完成质量。同时，VSS的智能优化解决方案可与业界所有基于以太网的网络基础架构和各类智能分析工具（包sby VSS Monitoring Inc.Page 6括网络和应用性能分析工具、遵从工具、安全&广域网优化工具、服务保障工具）无缝结合，为用户创造可控的管理环境，VSS 因此而成为业界唯一能为各行业数据中心提供整体解决方案的厂家。sby VSS Monitoring Inc.Page 7第三部分网络监测解决方案，构建独立的数据包中转和优化层，实现通过 VSS 数据包中转系统（vBroker）搭建网络监测网络监测 100%可视性、

15、提高各类监测工具效率并提高投资回报率。第一章网络监测概述IT系统已经成为支撑现代化企业发展的重要组成部分之一，企业的数据中心在向虚拟化到云计算发展的同时，企业的信息管理部门也在着力于从传统的“成本中心”向“价值中心”的转变。网络监测既是保障企业IT系统平稳、永续运行的基础同时也是IT管理部门向“价值中心”转变的重要的网络必须在应对快速增加的业务流量同时，也要支持日益增加的安全性、可分析性及需求，而这些刻不容缓的需求都在不断催生各种网络监测工具的出现及应用。之一。企业遵从方面的这些监测工具通常包括各种各样的网络协议分析、网络应用性能分析、 VoIP分析、检测（IDS）和防御系统（IPS）、网络数

16、据和安全取证、Web监测、数据库审计等。无论这些监测工具的功能和目标是什么，它们共同的需求就是从IT基础架构中获取网络流量作为基础数据，因此统称之为面向流量的网络监测。虽然企业通过在面向流量的各类监测工具进行了大量投资，但是这些管理系统能做的事情有限。另外，随着业务量的增长，网络的承载能力越来越大，所以在每一个流量监测点的流量会越来越多，企业不得不配置更高性能或的流量监测工具。问题是怎样才能用成本更低、效益更高的方法来实施网络监测，同时也能应对更高速率的网络以及更加密集的流量。IT部门的主管必须前瞻性地思考怎样整合网络监测系统来应对这些。数据流量的捕获早已不是那种使用便携式分析器来捕获数据包的

17、方式了，如今，大量的数据包必须分发给多个监测处理设备，例如面向的防御系统，以及进行故障排除的网络协议分析设备。这些不断增加的系统代表着企业的大量投资，即使网络接口的速率提高了，这些已有的投资也必须得到保护。企业需要在网络的恰当地点捕获恰当的流量，并将所捕获的大量数据流量分发到恰当的监测工具，同时不能对网络性能产生影响。最好的办法是将网络监测系统整合为网络基础架构的一部分，从而确保网络监测系统的低成本及高效率。然而，要做到这一点必须对网络进行改造，这种改造和迁移不可能完成。在可预见的时间内，sby VSS Monitoring Inc.Page 8企业还是需要支持目前这种互连了各种现有设备及下一

18、代系统的混合网络。网络的承载能力已经越来越大，同时也变得越来越复杂。因此，IT部门必须采用一套全新的网络性能及管理理念，来顺应一个聚合的全IP的网络时代的到来。必须从高度，系统地部属网络的实时监测及故障排除，因为这是及管理最终用户体验的需要。尤其是对网络的实时监测，在对网络服务的性能进行和分析时，在评估最终用户体验时，已经被证明是非常必要的。第二章传统网络监测架构带来的一系列问题在网络监测技术的初期阶段，企业忙于部署各种应用及服务，网络管理工具往往受制于IT厂商的设备。对于每一种新部署的IP服务，就会引过SPAN（端口镜像）方式或网络分路器方式。这种分散型的网络监测方式带来了很多性能及复杂性问

19、题，最明显的一个问题是，当多台监测工具需要接入网络中的同一个指定接入点时，入一种新的管理工具，所以又出现了叫做“管理员的管理者”的工具来观察网络设备网络工程师显然为力。这些监测工具通常采的状态。尽管这些管理工具可以提供一些网用交换机的端口镜像（SPAN）方式来获取网络流量。很容易看出，由于交换机的SPAN会话有限，可能没有足够的SPAN端口可供使用，或是一些简单交换机就没有SPAN端口；采用SPAN络设备的基本统计数据，但是，为了获得更好的网络性能可视性，基于探针方式的监测系统被部署到网络当中，用于实时地故障监测、问题协议分析或网络容量规划等目的。、方式获取流量时，还着设备性能及数据处理优先级

20、方面，可替代的方法是使用串接式网络分路器，高效地链路中的所有双向流量并转发给监测工具。但是，当网络工程师使用便携式监测工具进行故障排除时，改动之前的物理连接通常是不允许的，还有其他原因，例如，在应对各种网络速率、电源供应或其他关键业务要求时，传统型串接式网络分路器由于功能过于简单而不能胜任，导致流量捕获的盲点。具体表现在：由于分散各处，工具之间的互通性差，大大降低了监测工具的利用率，而且可扩展性差；存在许多网络盲点，无法做到全网全局监测，如果为了实现更高的可视性需要投入高昂的成本；此外，这种分散型的监测方式和技术称为网络监测1.0模式。这些监测工具包括：检测（IDS）设备、网络取证设备、协议分

21、析仪、及信令分析设备、流量（行为）预分析设备。总而言之，网络监测方案处于从属的、次要的考虑地位。这种监测方式几点严峻：管理成本分散的物理接入在一个比较典型的企业网络中，有接入层、正如网络监测1.0示意图所示，各种不同的监测工具分散地部署在网络中的不同物理地点，分布层、层和网关，为了实现各种监测和安每一个厂商的设备都有各自的管理，通常相全工具的部署，监测工具分散接入于网络的各个层级上。在数据和流量捕获技术的应用上主要通互之间不能兼容互通，因此，网络工程师不得不sby VSS Monitoring Inc.Page 9应付多家设备的数据流量。如果网络的部署发生监测工具可以方便地从网络链路中收集数据

22、流量，但是这并不算是高质量的数据流量捕获。如果一 台监测工具部署在数据流量较低的地方，那它的 性能就没有得到充分利用；同时，在一个流量很 大的地方，监测工具又由于处理性能不够而导致 过载及数据流量丢弃。这类问题并非罕见，因为 监测工具在进行数据分析前需要先对收到的流量进行过滤及整理，所以通常不能达到全线速的处了变化，大量网络设备的参数的重新配置及更新将把管理彻底淹没，潜在的也会遗留很多盲点。即使传统型串接式网络分路器可以提供盲点最少的物理接入，但是，由于每个网络分路器之间是相互的，对其他网络分路器的状态没有任何感知，当其中一个网络分路器失效时，所有与之连接的探针就失去了获取数据的能力而成为流量

23、捕获的盲点。根据网络分路器所采用的失效保护机制，失效的网络分路器还有可能导致网络链路失效。理速度，更严峻的是将来的网络速率会进一步聚（例如 10G甚至更高），监测工具必须汇的流量，收集并同步来自不同捕获点的数据流量。监测成本采用网络监测1.0的监测方式是分散的，网络本身包含多个厂商的设备，各个厂商采用自有若采用网络监测1.0示意图所示的方式配备及部署监测工具，由于每个需要监测的网段都需要部署相应的监测工具，整体解决方案的投资成本将是巨大的，而且很容易导致后续的监测系统运营成本失去控制，造成管理开销超支。在一个企业的关键业务网络中，这不仅仅会导致成本增加、投资回报率降低，而且会影响企业的收入，因

24、为此种监测方式不能帮助企业及时、准确地排除故障，结果是企业无法提供向最终用户承诺的服务水平。的方法来呈现关于网络性能的，所谓的完整解决方案扩展性差，因为这需要部署多台昂贵的、不同网络的设备，又会带来更大的复杂性、性能问题及管理开销大等新问题。传统型网络分路器有它们自身的价值定位，可以解术层面的某些基本问题。网络分路器怎样为监测系统提供高质量的数据流量梳理，网络分路器自身拥有强大的处理能力，具备对网络性能及业务流量的深度观察能力，这一直是近年来大型监测系监测效率有了串接式网络分路器的帮助，各式各样的统在对大型网络进行监测时的巨大。第三章网络监测的发展与需求随着企业的监测需求的不断成熟和网络监测领

25、域的技术发展，现代化的企业网络对网络监测已经不仅仅局限于零散的监测，从网络业务功能区域划分和管理规范化的角度出发，提出了通过测组建监测功能区的需求，可以具体概括为：的网络监全面的可视性：适应多种不同介质（光、电）和速率的网络，能够 100%的捕获所有流量，无丢失的捕获所有网络流量 构建的全程全网的监测监测区域的全面性：对关键业务和关键网络区域（如数据中心、异地或同城灾备中心、广域骨干网、电子交易系统、合作伙伴商业外联系统、呼叫中心等）全面监测。适应日益增长的高速率网络：具备高速网络（如目前的多千兆和 10GE，以及sby VSS Monitoring Inc.Page 10未来的 40GE 和

26、 100GE）的全线速流量捕获能力适用性：面向多种网络监测和安全分析系统的数据源复用，同一链路的网络流量可由多种监测工具共同使用基于业务的故障、事件和问题多点关联分析，汇聚业务全流程的多网段或多虚拟化通道的数据，实现面向业务的端到端的关联监测及分析高可扩展性，为未来不断发展的网络变化和监测需求预留扩容能力 高安全性和可靠性提高 ROI：通过的网络监测功能区域的构建，有效降低网络监测的整体投资和后期成本，达到投资最优化。监测自身的安全性和高可靠性，具备 高效率的监测基于各种业务和应用的高效的 7*24 小时监测，有效实现关键业务的主动监测和前摄预防为故障、事件和问题分析提供相关的网络带外管理及容

27、错能力有效保护各种监测工具的安全性，避免遭受网络 集中管理所有流量捕获设备具有智能，能够集中和基于用户角色的管理所有捕获的网络流量能够集中控制流量，快速定位长效的回溯分析、取证、评估和规划 关联和高扩展性第四章VSS 解决方案网络监测介绍通过数据包中转系统构建网络监测VSS Monitoring公司创新的数据包中转设备提高监测工具对网络的可视性，即使面向最复杂的大型网络，也可以捕获所有网络流量，同时并能增加用户生产效率、提高网络监测和安全工具的投资回报率。（vBroker），是一个智能的监测设备，可运用VSS数据包中转设备可以组成一个具有分路、选择性汇聚、过滤、负载均衡、管理（用户图形界面/命

28、令行）及流量统计等功能的硬件接入，能够在不影响网络运行下收集多个网络流量，并依用户选择设定将流量数据传输到多个独立的监测端口，为每台监测工具提供其各别所需的网络数据。通过分布式的流量捕获、数据梳理和集中管理，为各种类型的面向流量的监测工具提供的接入服务和流量分配管理，构建一个网络监测。对这种通过集中的监测管理形成称之为网络监测2.0模的网络监测功能区，sby VSS Monitoring Inc.Page 11式，它将原先离散式的监测部署演进成三层的层 该高级的流量梳理技术（如 27 层级式架构：网络基础架构层、监测系统层。网络监测、过滤、数据包优化等），端即为各种监测工具预先对网络流量进行过

29、处理，能够让监测工具专注于其所需要监测的网段数据或某种业务类型的数据，大大提高了监测工具的利用率和效率。网络监测：为监测工具提供网络接入服务和流量分配管理 VSS 数据包中转系统可以做到分布式、智能化及冗余保护，可适应于各种不同的网络介质（光、电）和网络速率（千兆、万兆），线速的捕获能力，满足所有流量捕获的需求，最大化 VSS 数据包中转系统具备简单高效的集中管理方式，所有分布式部署的设备都能够通过Web 方式工作。集中管理和，极大简化了管理独立的监测系统层：监测工具与网络基础架构分离网络可视性，实现可控的网络流量捕获。 VSS 数据包中转系统高密度端口和智能堆叠互联提供强大的扩展性，为各种面

30、向流量的监测工具提供集中的接入服务，监测工具无需再分别部署到各个网段，解决了监测工具部署难题。 所有的监测工具集中接入到并化管理，形成监测功能区域监测， 监测工具集中监测所有的网络区域，摆脱离散部署方式，方便管理，所需数量明显下降 VSS 数据包中转系统的这种在网络基础架构中分布式的部署和集中接入监测工具的方式形成网络监测，通过该灵活可控的数据流量分配能力，为各个监测工具分发获的网络流量。第五章VSS网络监测的优点为监测工具提供一个独立的流量捕获层实现监测工具简单高效的中心管理数据包优化提高监测效率基于硬件的流量梳理技术极大地提高了监测工具的效率获得网络端到端的最大化可视性将原始数据转化为真正

31、有用的信息，实现关键业务监测从原始的数据捕获方式过渡到可控的数据捕获方式降低监测系统整体成本分布式架构，实现网络监测的智能化可随着业务的发展而扩展网络监测发现功能具有自我感知的路径自动降低后期管理和运维成本使得 1G 监测工具可以监测 10G 链路，拓展了 1G 监测工具的使用范围和具备高可靠性，能够失效安全保护具备高度可扩展性，智能堆叠功能方便整个的扩展sby VSS Monitoring Inc.Page 12第四部分安全保护解决方案通过 VSS 流量安全导向系统（vProtector/Protector）构建供前所未有的安全可靠性、可扩展性和节约投资。安全保护，为企业安全防御系统提第六章

32、防护体系演进概述随着互联网技术的日益普及，基于互联网的应用已经在各行各业的用户中得到深入普及。用户的商业运营以及各种对外联系，越来越依赖网络的可靠运行及互联网的安全。但是，互联网的迅速发展，也为众多等分子提供的新的土壤和空间，充斥互联网的各种、灰色、及网络，对用户正常的业务运营及了极大。为了应对各种各样的网络和入侵，用户不得不部署各类安全产品及解决方案，来对抗网络，消灭网络威胁，用户在其互联网出口等关键网络链，串接安全网关设备以保护网络的安全，从最早的到后来的IPS、WEB/网关之类的安全产品，再到现在的不同品牌、不同种类、不同目的的安全产品，如左图所示网络架构演变。的互联网出口或其它链路中，

33、众多的串接在一起，虽然解决了的安全问题，但同时也带来新及不稳定。第七章防护及如下是一张典型的企业出口链路安全防护部署示意图，部署了各类安全工具，包括防护、WEB和，并加速和防护、DDOS防护等安全工具。通过各类安全工具来减少不对部分流量进行加速处理。子对企业内网的sby VSS Monitoring Inc.Page 13通过观察上图并完全了解用户真实的安全需求，发现该拓扑结构存在非常多，如下几点所示：网络可靠性差，存在单点故障运维成本高各种大部分没有冗余保护及旁路功能，的更新、添加、或移除，一旦其中某一台出现问题或损坏，因为这些操作同样会导致关键链路的通讯中断，必须安排专门时间进行割接，增加

34、都可能导致整个互联网出口处的通信中断，对用户的正常业务运营造成处理性能的影响影响了管理的成本及时间成本。可扩展性差在透明串接模式下，的当新的网络和时，如果要测处理性能随时都有可能影响网络的可用性，试和部署新的安全产品及解决方案时，同一旦网络流量超过可能 导致通信中断 的处理性能将样要断网的尴尬。故障排查各种间的连接顺序、连接关系复各种的不方便，例如某台安功能并重启，都将会杂，容易导致连接电缆，出现故障时全设备需要升级无法及时的定位、排障和快速恢复网络连通性。导致互联网出口链路的通讯中断。同时，企业的防御系统也着空前的：由于要考虑网络运维及的优先级，所以通常情况下用户会选择最符合需求的产品，试，

35、往往多个安全厂商竞争同一个项目，无法快速判断好坏，使得而不断的筛选过程需要不用的进高效快速完成项目成为之一。sby VSS Monitoring Inc.Page 14随身业务的发展壮大，企业的业务系统和互联网出口越来越繁忙，网络带宽也频繁升级至千兆或是万兆。网络带宽增加的同时，安全工具的性能即跟不上网络速率的增长，很多安全工具由于性能问题无法对链路流量进行保护，逐渐退变成旁边路部署模式的安全监测工具，主动防御功能不复存在。日益诡异的已不像几年前纯粹的、木马了，单个已无法有效判断的存在，无法对进行有效防御，业务影响各业务系统的正常运行，给企业的营收和竞争力带来巨大影响。虽然很多大型企业在其链路

36、，比如互联网出口链部署了各类安全工具，比如下一代、IPS、WEB网关、DLP等各类安全工具，投资成本巨大，但收效甚微，原因是这一堆的安全工具难以形成一套整体的防御系统，任何一种设备本身出现故障时将对链路造成影响，而且由于整套安全防御架构“糖葫”的不合理，导致防御效率不高，很难以实现高可靠性、高质量的安全防御。这也是当前企业链路安全防御的最大。第八章VSS解决方案安全保护介绍通过VSS公司的安全流量导向系统（Protector）构建为用户构建安全保护，为整个安全建设提供最有效的保障。VSS公司的Protector是一个独特的设备保护器，提供设备接入、策略驱动的负载均衡、速率转换、网络旁路和流量过

37、滤功能，为诸如IPS防御系统、网页过滤设备、流量整形、安全网关等透明串接式设备提供完美安全保护服务。如下图所示，Protector作为一个串接式保护设备，帮助实现基于串接式状态的精密控制。可以看出，VSS Protector 能够为多种串接式从容应对复杂的网络环境，大大提高了各种提供的、灵活的接入方式，帮助各种在测试、安装部署及运行时的效率，并为未来的网络规模扩大和安全解决方案的延伸提供高度可扩展性。sby VSS Monitoring Inc.Page 15第九章安全保护优势支持多种串接式：VSS Protector 可节约，保护已有投资：VSS Protector 支以配合各种不同厂商、不

38、同用途的，比防御系统持面向会话的流量负载均衡功能，该功能使得我们可以在网络速率扩容时，但尚未有计划或如：网页过滤器、防网关、（IPS）、上网行为管理、数据丢失保护系统（DLP）、广域网优化加速设备及其它众多串接更高性能的时，通过 Protector 将高速率的网络流量（例如 10G）均衡地分配给多式， 为这些设备提供灵活便利的接入服台低速率（例如 1G）的进行处理，从务。这种通用接入能力，除了可以优化互联网接入链路的拓扑结构外，还可以利用它搭建一个现而充分利用现有资源，保护已有投资。充分发挥高性能的处理能力：利用VSS Protector 的流量汇聚功能，可以将多个要保护的网络流量进行汇聚后，

39、送到高性能的安全网测试，后续新的安全产品需要进行现网流量测试时，只需将该接入到Protector 上，无须中断网络链路，通过Protector 操作界面重定向现网流量即可实现。设备进行处理和保护，从而充分发挥处理能力，避免处理资源的浪费。的拓展的适用范围：VSS Protector 无缝支持多种网络速率，从 10/100/1000M，IG 及10G 网络，以及铜线、多模/单模光纤等各种网提高的运行效率：VSS Protector 支持高速的过滤功能，可以根据不同用途的安全设备对不同流量的需求，对相应的流量进行过滤后络介质，轻松地为介质转换功能，大大拓宽了范围。提供网络速率转换及的网络使用再送给

40、进行处理，大大提高了的处理性能和运行效率。例如防网关主要针可以在对WEB的行为进行防护，sby VSS Monitoring Inc.Page 16Protector 上定义针对 HTTP 流量的过滤，然后Protector 上的移除，都不会再影响进行升级、重启、添加或网络链路的正常通讯，管理压力和成本。只将 HTTP 流量发送给防网关，防网关则无需处理那些它不关心的流量，大大提高了运行效率。降低了的日常为构建多层安全防护体系带来灵活性和可扩为提供冗余备份功能：现有网络中，展性：所的越来越诡异，构建只有有冗余保护措施，其它的均多层次的安全防护体系实现全面保护是一个趋势。借助 VSS Prote

41、ctor 的丰富功能，用户可以更加没有冗余保护设计，这意味着如果其中的一台安全设备出现故障或损坏，就会导致整个链路通讯的中断。即便未来需要扩展冗余设备，也要安排专门的割接时间，中断网络链路的通信后进行添方便及快速地利用现网流量对新的或解决方案进试和评估，避免的盲目性，保证所要构建的多层安全防护系统的可靠性及稳定性，从而最大程度地保护企业网络及业务的正常运营。加。如果采用 VSS Protector,情况的需要，方便地将某种可以根据实际的备用设备连接到 Protector 上，通过 Protector 灵活的冗余综上所述，VSS 公司的安全保护配置和流量重定向功能，为相应余保护功能。添加冗解决方

42、案不仅可以帮助的用户解决目前普遍的一系列问题，同时可以为今后多种安全设备的运行管理带来便利，为构建多层次的安全防护体系带来灵活性和可扩展性，使得用户的网络更加安全和稳定，业务运营更加高效可靠。降低各种的日常管理成本：有了 VSS Protector 以后，目前各种所都将不复存在，如果对接在第十章安全保护应用场景VSS安全保护应用范围较为广泛，只要是存在安全工具的网络，特别是安全工具较多的网络链路中，如互联网出口等链路，VSS的安全保护关重要的作用，常见的应用场景如下所示。都将对防御及管理起到至消除串接式进行功能验证时的顾虑当用户采购逐个对各厂家各型号的时，安全部门通常需要进行功能和性能测试，但

43、每次测试都需要将置于现网链路中，势必需要走一个复杂的割接变更然后找某一个晚上甚至凌晨将流程，割接入链路中进试。如此繁琐的产品功能验证方式实在大耗人力且效率非常低下。而VSS 的安全保护很好的解决了在进行产品功能验证中碰将 Protector 设备串接至原始链路中，将各厂家设备串接至 VSS Protector 上，VSS 将流量到的这些问题。如右图所示：sby VSS Monitoring Inc.Page 17导向至各厂家的安全工具，只需要走一次割接变更的流程即可以完成各厂家产品的功能验证。新增加一台需要测试的安全工具，只需要简单的连续 Protector 与安全工具的线缆并调整 Prote

44、ctor配置即可，无需中断链路。消除 POC 验证时的安全工具实现高流量链路的保护，并达到速率转换的效果。如下图所示。顾虑，大大提高效率，节约成本。保护多个安全区域在很多用户的网络中通常部署了少量安全工具，如IPS，但是随着业务的增长，需要保护的链路数量越来越多，而每台IPS的利用率却不到30%，再新的IPS显然很不划算，如何能利旧现有投资呢？VSS安全保护帮助用户部署并构建高效的多层防御系统解决这个问题。如下图所示：通过VSS的安全保护，可以为用户构建一个高可用性和高扩展性的多层防御系统。流量按需导向，使得整个防御系统不存在之前提到的“糖葫”，在链路流量增加或带宽扩充甚至需要保护的链路增加时

45、，都无需对防御系统进行大动作，仅需在安全工具资源和Protector端口资源允许的情况下调整Protector配置即可。如下图所示。该链的安全工具仅处理其所有关心的网络流量，共同协作。将所有需要保护的链路都通过 VSS 的 Protector设备串接起来，然后将这些链路的流量全部导向至一个IPS组，这样，现有IPS资源得到利旧，又提高了IPS利用率。在多个串接式之间实现负载均衡当用户的链路流量非常大，而现有的安全工具性能；低性能安全工具如何保护大流量链路呢？当链路带宽为 10GE，而安全工具仅为千兆端口时，如何使用现存的GE 安全工具来保护 10GE 链路呢？通过部署 VSS Protecto

46、r，串接至原始链路，并将大流量以负载均衡的方式导向给多台相对低性能的安全工具，使得低性能sby VSS Monitoring Inc.Page 18第五部分典型产品介绍vBroker 系列TMvBroker 100 64G 模块化 10G/1G 产品族vBroker 100是VSS高性价比千兆/万兆混合型的模块化数据包中转设备，端口数量可灵活选配，整机最大性能64Gbps。并提供丰富的数据包梳理及优化功能，可为大中型企业构建vBroker 100系列分为两款产品：vBroker 110和vBroker 120。数据包中转。vBroker 110为标准1U产品，为vBroker 100系列的标准

47、版和高级版产品。单台设备提供4个机箱板卡，其中包含1个万兆板卡（单个万兆板卡提供4个万兆 SFP+端口）和3个千兆板卡模块（单个千兆板卡提供8个千兆端口，可灵活选配光口/电口或SFP端口）；2个10/100/1000M管理端口；双冗流或直流电源模块；插拔交vBroker 120为标准2U产品，为vBroker 100系列的版产品。单台设备提供4个机箱板卡，其中包含1个万兆板卡（单个万兆板卡提供4个万兆 SFP+端口）和3个千兆板卡模块（单个千兆板卡提供8个千兆端口，可灵活选配光口/电口或SFP端口）；2个10/100/1000M管理端口；双冗流电源模块。插拔交流或直标准版产品具备流量捕获、流量

48、、流量汇聚功能、VLAN添加及突发流量缓存等基本功能，可扩展支持基于硬件的L2L7层过滤（包括自定义偏移量过滤）、面向会话的流量负载均衡及设备间智能互联等流量梳理功能。高级版产品除具备基本版产品所具有的功能外，还支持数据包分割（vSlice）功能、端口戳和时间戳功能、VLAN和MPLS等数据包优化功能。剥除版产品除具备基本版和高级版产品所具有的功能外，还支持丰富的版功能特性。另外，vBroker 100系列产品的均支持ersafe功能，即具有Protector的流量导向功能，提供串接sby VSS Monitoring Inc.Page 19式安全工具的接入。产品默认4个端口已激活，其余端口可

49、以用激活码激活。每个端口都可以被指定为输入端口或输出端口*。光电混合（LC）端口可以出厂设置为串接或镜像接入。光纤镜像版本是全输入/输出配置的，光纤的，端口只是输入，且完全。单/多模混合光纤配置也可选。串接版本是该系列产品支持本地串口管理，或者通vMC、HTTP/HTTPS、SSH/net和SNMPv1/v2/v3进行远程管理。过滤选项可以帮助用户在数据包层级，选择发送何种数据包到指定的监测端口。基于硬件的、用户独立的过滤允许数据流量通过源或目的MAC/IP过滤，也可以基于协议号进行过滤，如HTTP、VoIP或其他。用户自定义的过滤提供了更精细的说明，特别是在数据包载荷之内。过滤可以出、入或叠

50、加。基于会话的、数据流感知的负载均衡增加了用户对数据流量分发到监测工具的控制，在维持会话完整性的同时增加输出的能力。比如，可以捕获10GE的网络并根据用户自定义的会话条件，自动均衡到多个GE监测工具。基于会话的、数据流感知的负载均衡可以与基于硬件的过滤联动或单独。所有的vBroker系列产品都支持VSS私有的智能堆叠技术vStack+，可以让流量捕获设备部署在一个冗余、低时延的全网架构，且动态容错可视。vBroker系列产品还可以通过vStack+与分布式、Finder和流量安全导向器（Protector）系列产品全部互操作。同时, 可结合各类数据包优化功能，比如加时间戳标记、端口戳标记、切包

51、，对收到的数据包进行处理后再输出至各类监测工具，确保各种监测工具的监测效率和利用率。该系列产品还能使用五种用户自定义的事件触发器，提供自动的均衡监测输出定向和响应（日志信、LED指示灯和使端口失效等）。冗余电源适配器可以保障设备无缝电源切换和正常运行时间。符合NEBS规范，支持热备的电源、风息、扇和空气过滤器。所有VSS的可管理的设备都支持现场固件升级，确保额外的功能和性能。sby VSS Monitoring Inc.Page 20vBroker 200 240G 模块化 10G/1G 产品族vBroker200系列是全模块化的全万兆数据包中转设备，端口数量可灵活选配，整机最大性能240Gb

52、ps，并提供丰富的数据包梳理及优化功能，可为大中型企业构建数据包中转，并可做为的流量调度设备。vBroker 200系列分为两款产品：vBroker 210和vBroker 220。整个vBroker 210为标准1U产品，为vBroker 200系列的标准版产品。单台设备提供内置的8个SFP+端口及4个机箱模块（每模块提供4个万兆光口或SFP+端口）；2个10/100/1000M管理端口；双冗拔交流或直流电源模块；插vBroker 220为标准2U产品，为vBroker 200系列的版产品。单台设备提供内置的8个SFP+端口及4个机箱模块（每模块提供4个万兆光口或SFP+端口）；2个10/1

53、00/1000M管理端口；双冗拔交流或直流电源模块。插标准版产品具备流量捕获、流量、流量汇聚功能、VLAN添加及突发流量缓存等基本功能，可扩展支持基于硬件的L2L7层过滤（包括自定义偏移量过滤）、面向会话的流量负载均衡及设备间智能互联等流量梳理功能。版产品除具备基本版产品所具有的功能外，还支持数据包分割（vSlice）功能、端口戳和时间戳功能、VLAN和MPLS剥除等数据包优化功能， 同时还支持功能特性。丰富的版另外， vBroker 200 系列产品的均支持ersafe功能，即具有Protector的流量导向功能，提供串接式安全工具的接入。产品默认4个端口已激活，其余端口可以用激活码激活。该

54、设备支持本地串口管理，或者通vMC、HTTP/HTTPS、SSH/net和SNMPv1/v2/v3进行管理。过滤选项可以帮助用户在数据包层级，选择发送何种数据包到指定的监测端口。基于硬件的、用户独立的过滤允许数据流量通过源或目的MAC/IP过滤，也可以通过特定的协议过滤，如HTTP、VoIP或其他。用户自定义的过滤提供了更精细的说明，特别是在数据包载荷之内。过滤可以出、入或叠加。基于会话的、数据流感知的负载均衡增加了用户对数据流量分发到监测工具的控制，在维持sby VSS Monitoring Inc.Page 21会话完整性的同时增加输出的能力。比如，可以捕获多个GE或多个10GE的网络并根

55、据用户自定义的会话条件，将流量汇聚后自动均衡到多个1GE或10GE监测工具。基于会话的、数据流感知的负载均衡可以与基于硬件的过滤联动或单独运作。该系列产品都支持VSS私有的智能堆叠技术vStack+，可以让流量捕获设备部署在一个冗余、低时延的全网架构，且动态容错可视。vBroker系列产品还可以通过vStack+与分布式、Finder和流量安全导向器（Protector）系列产品全部互操作。同时, 可结合各类数据包优化功能，比如加时间戳标记、端口戳标记、切包，对收到的数据包进行处理后再输出至各类监测工具，确保各种监测工具的监测效率和利用率。该系列产品还能使用五种用户自定义的事件触发器，提供自动

56、的均衡监测输出定向和响应（日志信息、SNMPtrap、LED指示灯和使端口失效等）。冗余电源适配器可以保障设备无缝电源切换和正常运行时间。vBroker 200标准版和版都符合NEBS规范，支持热备的电源、风扇和空气过滤器。该系列产品都支持现场固件FPGA升级，确保额外的功能和性能。sby VSS Monitoring Inc.Page 22vBroker 300 560G 模块化 40G/10G/1G 产品族vBroker 300是VSS高性价比、高密度的数据包中转设备，可以弥合10G和40G网络间的差距，整机性能560Gbps，可为大中型企业构建数据包中转，提供高密度的10G/GE接入和输

57、出，并可做为整个的流量调度设备。vBroker 300系列分为两款产品：vBroker 310和vBroker 320。vBroker 310为标准1U产品，为vBroker 300系列的标准版口及4个40GE QSFP端口。2个10/100/1000M管理端口；双冗vBroker 320为标准1U产品，为vBroker 300系列的标准版产品。单台设备提供内置24个SFP+端插拔交流或直流电源模块；产品。单台设备提供内置24个SFP+端口及32个GE/10GE 固定多模端口。2个10/100/1000M管理端口；双冗插拔交流或直流电源模块。产品默认24个端口已激活，其余端口可以用激活码激活。

58、每个端口都可以被指定为输入端口或输出端口*。光电混合（LC）端口可以出厂设置为串接或镜像接入。光纤镜像版本是全输入/输出配置的，光纤串接版本是输入，且完全光纤配置也可选。的，端口只是。单/多模混合该设备支持本地串口管理，或者通 vMC 、 HTTP/HTTPS 、SSH/net和SNMPv1/v2/v3进行管理。过滤选项可以帮助用户在数据包层级，选择发送何种数据包到指定的监测端口。基于硬件的、用户独立的过滤允许数据流量通过源或目的MAC/IP过滤，也可以通过特定的协议过滤，如HTTP、VoIP或其他。用户自定义的过滤提供了更精细的说明，特别是在数据包载荷之内。过滤可以出、入或叠加。基于会话的、

59、数据流感知的负载均衡增加了用户对数据流量分发到监测工具的控制，在维持会话完整性的同时增加输出的能力。比如，可以捕获多个GE或多个10GE的网络并根据用户自定义的会话条件，将流量汇聚后自动均衡到多个1GE或10GE监测工具。基于会话的、数据流感知的负载均衡可以与基于硬件的过滤联动或单独运作。该系列产品都支持VSS私有的智能堆叠技术vStack+，可以让流量捕获设备部署在一个冗余、低时延的全网架构，且动态容错可视。vBroker系列产品还可以通过vStack+与分布式、Finder和流量安全导向sby VSS Monitoring Inc.Page 23器（Protector）系列产品全部互操作。

60、该系列产品还能使用五种用户自定义的事件触发器，提供自动的均衡监测输出定向和响应（日志信息、SNMPtrap、LED指示灯和使端口失效等）。冗余电源适配器可以保障设备无缝电源切换和正常运行时间。vBroker 200标准版和版都符合NEBS规范，支持热备的电源、风扇和空气过滤器。该系列产品都支持现场固件FPGA升级，确保额外的功能和性能。sby VSS Monitoring Inc.Page 24vBroker 400 640G 模块化 40G/10G/1G 产品族vBroker 400是VSS高密度的模块化数据包中转设备，整机性能最大640Gbps，可为大中型企业构建数据包中转，并可做为整个的