H3C SecPath ACG应用控制网关产品介绍

1、H3C SecPath ACG应用控制网关产品介绍引入1网络扩容的怪圈：为什么带宽总不够用流量管理还停留在带宽上：未知的业务应用目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C SecPath ACG最佳实践方案H3C SecPath ACG典型应用案例网络带宽扩容的怪圈拥 塞扩容 又拥塞再扩容 又拥塞！P2P挤占大量网络带宽 当前P2P流量已经占整个互联 网流量的约70%，并且正在 以每年350%的速度增长4 P2P导致网络拥塞实例联通发布的企业网流量使用图！P2P挤占大量企业网带宽 根据联通公司发

2、布的一份调查显 示，以BT与eDonkey为代表的P2P 应用，消耗了60%以上的有效网 络带宽5如何应对工作效率的杀手？！企业员工上班时间网聊、炒股、游戏等严重影响了企业的效益据中国人才热线的一次网络调查显示，涉及经营管理、IT、市场营销、财务金融、服务、行政和人力资源管理等不同行业的2000名被调查者中，仅在工作中使用MSN、QQ等聊天工具的比例高达6 流量运营中的收费盲点！据不完全统计， 仅山东网通1拖2以 上的非法宽带共享 用户近30万户；温 州市通过共享接入 一拖4以上的用户数 目将超过2.9万户， 使运营商蒙受巨大 经济损失！学校中普遍存在通过代理或NAT的形式逃避计费的现象，形

3、成1代3，甚至1代8。一个开通了3000个帐号的校园网络，如 果有9000个用户逃避计费，每用户包月费用按20元计算，那 么全年的损失为： 20109000180万非法共 享接入7如何拒绝不良网站侵扰？！互联网络上色情、赌 博、邪教等有害站点迅 速增加！不良网站泛滥严重侵 扰了人们正常的工作、 学习和生活秩序！网络上不健康的内容 影响了整个社会的和谐 发展8流量管理陷入困境的症结在哪？目前的流量管理模式是基于带 宽的粗旷式管理，对网络上业 务流量的类型及使用情况等知 之甚少，无法实现流量的完全 监控和管理。业务流量 监控9传统解决方案无能为力防火墙基于TCP/IP3层和4层的访问控制，诸如BT

4、、电驴等P2P应用，MSN、QQ等即时通讯软件以及其它应用层软 件可以轻松穿透防火墙路由器路由器的包过滤功能主要基于ACL实现， 通过识别数据包的源/目的地址、源/目的 端口以及MAC地址等，对2层到4层协议的 流量进行控制，无法实现应用层流量的控 制10H3C 业务流量运营解决方案应用流量 分析应用流量 控制P2P/VoIP/共享接 入监控URL过滤/流量计 费基于协议特征和行为的应用分析，准确识别P2P/IM等动态端口应用丰富的报表，基于时间段、协议/子协议类型等进行报表分析和展示支持按IP分组/区域进行流量统计基于应用和用户的精细流量控制提供阻断、限流、干扰、告警等多种控制方式，支持按时

5、间段实施控制 策略提供应用控制黑名单功能准确识别BitTorrent、eMule、Thunder(迅雷)等协议并进行限速等控制准确识别网络中的VOIP非法运营流量，对网络中的VOIP非法流量进行干扰等控 制准确识别共享接入用户以及接入主机数目提供对不同的URL策略设置不同的响应方式通过自定义URL库，能够基于不同的URL策略以及时间表设置不同的响应方式提供web认证方式，基于AAA的认证、授权、计费H3CACG应用控制 网关11目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C SecPath ACG最

6、佳实践方案H3C SecPath ACG典型应用案例12 H3C ACG 应用控制网关产品形态13SecPath ACG2000-MSecBlade ACGACG 硬件架构可扩展性扩展接口卡ACG2000-M4GE/8GE接口卡， 最大可支持18个GE 接口，提供强大的 扩展能力SecBlade插卡可 以配合S75/S95高 端交换机进行部署SecBlade ACG插卡14目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C SecPath ACG最佳实践方案H3C SecPath ACG典型应用案例15

7、应用流量识别与流量控制16应用类型说明P2P监控BitTorrent、eMule、Kugoo、Thunder（迅雷）、 Tencent Download、PPLive Stream、PPStream VoIP监控Skype、SIP、H323、UUCALL、Konge（中桥语 音）即时通讯类MSN、QQ、Google Talk、Yahoo Messenger炒股软件Big Wisdom(大智慧)、Straight Flush（同花顺）游戏World of Warcraft（魔兽世界）、Globallink其它流媒体、WEB访问、FTP下载、网络管理控制手段限流，阻断，干扰，告警控制粒度基于用户/

8、源IP、目的IP、应用、时间段的任意组合进行多维度细粒度的控制增强功能黑白名单功能 应用流量分析业务使用用户明细各种业务的流量趋势单个业务流量曲线单个用户的某类应用业务流量趋势应用业务分布饼图17 共享接入监控与控制（一）识别范围代理服务器InternetACG共享接入识别程度：识别共享接入用户、共享接入主机 数目能够识别的代理软件：共享卫士、WinGate、CcProxy、WinProxy、winRoute、SyGate、SuperProxy、TP-LINK准确识别NAT/PROXY方式接入18 共享接入监控与控制（二）控制策略最近共享用户统计历史共享用户统计提供共享用户主机数趋 势、分布统

9、计，支持实 时和历史共享查询19共享接入控制策略：限制带宽，阻断，推送web页面告警支持按时间段和指定频度实施控制策略URL过滤InternetACG通过自定义主机名、IP地址等方式 设置URL库，能够对不同的URL策 略以及不同时间段设置不同的响 应方式，保证学生或企业员工不 被色情、暴力、邪教等网站侵扰20HTTP流量计费管理对HTTP访问设置了 重定向到web认证计 费页面的管理规则Web认证计 费页面配置HTTP访问 管理规则21ACG 的工作原理发现设备 通过SecCenter 添 加ACG设备，集成ACG WEB管理策略部署通过集成WEB界面或 者ACG单独运行参数和业务策略配置分

10、发 通过SecCenter 将 策略配置文件集中分发到不同ACG网关流量采集SecCenter 自动采集ACG上报的流量日志SecCenterACG 2000-MACG 2000-M22ACG 2000-MACG 2000-M1、SecCenter可以通过安装ACG Manager或者ACG Reporter来实现，ACG Reporter仅能进行流量分析，不能下发策略。2、策略可通过在ACG Manager下发，也可单独在ACG 上配置。目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C SecPat

11、h ACG最佳实践方案H3C SecPath ACG典型应用案例23ACG的部署方式inline部署1、ACG透明部署在需要分析的流量线路上，将流日志送给远端的管理中心。2、策略可通过在ACG Manager下发，也可单独在ACG 上配置。24ACG的部署方式旁路部署1、通过分光或者端口镜像将流量镜像给ACG，ACG将生成的流日志发给SecCenter。2、由于是旁路模式，采用的动作仅能是发送TCP reset，或对VoIP干扰，不能进行限流。25目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C Se

12、cPath ACG最佳实践方案H3C SecPath ACG典型应用案例26 广域网/二三级网流量控制最佳部署方案背景：一个总部， 多个区域网络的广域 网结构，或国家-省-地 市的分级网络结构。 广域网/二三级网的流 量均需要进行监控， 抑制非关键业务流量、 保障关键业务带宽。价值：广域网应用可视化：为广域网 带宽问题排查和带宽优化提供 直观依据广域网关键应用带宽保证：动 态识别视频会议等关键业务， 并提供带宽保证限制广域网上的滥用流量：通 过限制滥用流量，保护广域网 上有限的带宽基于应用的整网QoS联动：动 态识别应用，并改写IP优先级 标记地市/分支省级/总部ACG内网ACG内网ACG内网

13、ACG Manager在线透明部署于各级、总部/ 分支广域网出口位置，对广 域网流量进行业务识别，对 关键业务进行带宽保证，对 滥用业务进行限制在管理区部署ACGManager平台，实现 对广域网全网的可视 化流量监管27 园区网出口流量控制最佳部署方案背景：大型园区网，一般均有多个Internet出口、内网有Radius等认证 系统，庞大的网络势必充斥着异常 复杂的流量，出口流量拥挤现象屡 次发生。优势：易部署：业务接口业内最多，利于 支持多路出口统一监管，未来易扩容； 透明部署、不影响网络拓扑基于“人”的流量管理：支持与标 准Radius/LDAP等联动，避免动态IP 地址难以定位用户的问

14、题高性能、高可靠性在防火墙下行在线透明部署ACG设备，实现对网络、业务、 用户/服务器的流量控制在管理区部署ACGManager平台，实现对 应用流量的监管28 城域网入口流量控制最佳部署方案背景：以教育城域网为例，多个高 职、中小学等汇聚，采用统一互联 网、Cernet等多个出口，流量异常 高且复杂CERNET 2INTERNET中心4中心1汇聚中小学校出口大学SecPath ACGSecBlade ACGSecBlade ACGSecPath ACG区县城域网ACG Manager在线透明部署于学校、单 位等的接入位置，利于对 流量监控与审计定位大学CERNET中心3中心2在管理区部署AC

15、GManager平台，实现 对应用流量的监管优势：易部署：透明部署、不影响网络拓扑；一台设备可同时监 控多个中小单位接入高性价比：ACG插卡方案，一体化完成“汇聚+流量监 控”，减少投资；性能可提升，支持10GE易管理：支持对分布式ACG设备的集中管理，支持管理平 台的分布式部署、分权分域管理在线透明部署于学校、单 位等的接入位置，利于对 流量监控与审计定位29目录流量管理现状分析H3C SecPath ACG 产品介绍H3C SecPath ACG功能介绍H3C SecPath ACG典型应用H3C SecPath ACG最佳实践方案H3C SecPath ACG典型应用案例30用户体验：广

16、域网一体化流量管理：广域网内应用流量可视化，通过对P2P等非关键业务的严格控制、关键业务的带 宽保障、其他业务的带宽合理分配，实现整网流量的可控，减少了攻击流量，最终提升网络办公的效率分权分域流量管理：通过对不同地市及省的权限细分3级（超级、普通、只读），强化可管理性，避免出现越权管理，实现整网精细化的管理制度基于“人”的管理：与现网iMC联动，一体化地实现基于用户名的整网流量及行为审计管理部署方案：在每个地市出口各串接部署一台 ACG2000，省统一出口采用75E ACG插 卡省部署SecCenter，对整网安全设备（包括ACG）统一管理31 广域网应用案例福建邮政部署方案：在省局和每个地市

17、局的广域网出口各串接部署一台千兆ACG设备省局部署ACG Manager，对整网ACG 设备进行统一管理用户体验：广域网应用可视化：ACG 图形化的报表直观显示了广域网上各应用、各用户在特定时间段内的带宽占用情况广域网关键应用带宽保证：ACG可识别 出广域网上的关键应用，如视频会议、电 力信息业务，并给关键应用提供带宽保证限制广域网上的滥用流量：广域网上滥 用流量包括访问互联网的P2P流量，广域 网内部的上传下载流量，ACG可识别并 限制滥用流量，保护广域网宝贵带宽资源 广域网应用案例山东电力信息网分局总局数据中心ACG ManagerACGACGACGACG32 园区网应用案例湖南大学部署方案：高端ACG8800，串接在核心与出口FW/路由间的四条链路中；对网络出口流量统一监控管理区域部署ACG Manager管理服务器，统 一监控出口流量，并收集防火墙NAT日志进行集 中管理用户体验：内网流量实现可视、可控：实时分析现网超过 4万名用户的流量趋势与分布，识别率超过80%； 各正常办公、应用得到有序化使用服务器流量可查、可控