随着信息化建设的开展,各单位机构业务系统、科研、管理以及办公自动化等应用系统的建设已初具规模。国内有一定规模的骨干网纷纷升级为万兆网络,提前进入了万兆时代。万兆骨干网有效地解决了园区网内部带宽不足的问题,满足了大规模用户的网络需求,但园区网的出口区域仍然面临多方面的挑战。
园区网出口面临的挑战:
来自外部网络的攻击、病毒、扫描令人防不胜防。
上网速度慢,打开一个网页要好久,高峰时间更慢,来自内部网络的电驴和BT下载大量蚕食出口带宽、ARP病毒搞的大家都上不了网,管理员坐立不安。
语音、视频会议,门户网站等关键业务质量无法保证。
出口链路多,然而在资金不太充裕的条件下,如何拥有多出口负载均衡的强大功能又同时兼备强悍的NAT地址转换性能。
出口日志无从记录,无法满足公安机关的反查要求。
园区网出口需求分析:
通过对园区网出口面临的一些问题的深入分析,我们将园区网出口建设的需求归纳如下:
出口设备需要具备高处理性能、高吞吐量。
高安全性能,能够有效阻止来自外部网络的各种攻击、病毒、扫描。
能够精确识别各种应用层流量,限制非法流量,同时保证关键业务的服务质量。
如何针对不同的内部网络和外部网络实施不同的带宽策略
出口多链路能够负载均衡。
提供详细的出口访问日志记录。
出口设备尽量少,避免出口过于臃肿
园区网出口建议方案:
基于上述对园区网出口的现状与需求的深刻理解,神州数码网络推出了为园区网出口区域量身定制的出口安全解决方案。出口建议拓扑如下:
流量整形网关
如上图所示,出口采用DCFS8500应用层流量整形网关,基于多核嵌入式处理器架构,支持4桥8个千兆端口,双向5Gbps吞吐量,800万并发连接数,控制各种应用的带宽,保证关键应用,抑制不希望有的应用,可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。该产品主要功能特点如下:
1.统计、监控和分析网络上各种应用所占的带宽比例,为网络的用途和下一步的规划提供科学依据。通过对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么。
2.带宽管理:限制每个用户的上网带宽,自动采取平均分配带宽的优化算法,确保带宽资源分配的公平性和合理性;不同用户组分配不同带宽,即可轻松实现区分服务。
3.有效控制各种应用所占带宽,保证关键应用,抑制不希望的应用,如下图所示,为DCFS8500流量控制策略加载前后,迅雷流量所占用的带宽对比。
4.监控内网每个节点的实时出流量、实时入流量的大小,可用来判断内网节点是否存在攻击行为、中病毒等问题。如下图所示,通过双击认为“有问题”的某台主机的地址,可看该主机详细会话情况。
5.强大的带宽二级管理:这是DCFS的独有的管道复用技术,不仅可以针对每个用户实现带宽的管理,而且同时也可对不同种网络应用协议进行带宽管理。(例如:在限制每用户的带宽不超过256K的同时,还可以同时限制针对总体上限制BT的总带宽不超过10M)
6.网络应用的识别率高、针对中国本地特色应用能进行精确识别。国内本地化应用识别强,可识别600余种应用,对于新出现的应用,我们提供对新的网络应用识别的按需定制升级服务。
7.DCFS为业界首个将身份认证与流量整形完美结合产品,支持用户身份认证、带宽授权、灵活计费和用户审计功能,与神州数码TrustCenter产品配合,可以实现灵活计费。该功能避免了过多的网络设备在出口串接,形成故障点和带宽瓶颈的问题。
.多核防火墙
在网络的出口安全防护方面,布置神州数码的终结者多核超万兆防火墙,神州数码DCFW-1800E-10G防火墙专为万兆位流量的网络服务运营商,大型园区网,数据中心等骨干网络而设计,设备采用64位多核处理器和高速交换总线技术,实现了芯片级的VPN、QoS流量管理等功能的硬件加速性能,避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。
神州数码终结者系列防火墙采用多核处理器架构,在实际工作中,每个核心可以在相对节能的方式下运行,牺牲单个核心的运算速度,但多颗核心协同处理任务,以达到性能倍增的目的。在这样的架构下,终结者可以达到的指标如下:
设备基于多核架构,提供强劲的防火墙处理性能,高达20G的数据吞吐量
VPN数据(3DS+SHA-1)吞吐量高达10G
每秒处理新建TCP连接超过25万,UDP新建连接50万
支持最高1000万并发连接数(缺省500万,可升级至1000万)
超强的抗DoS攻击能力,以每秒创建5000TCP会话作为背景流量,可以检测并防御80万个包/秒以上的SYN-FLOOD攻击
IPSec VPN隧道数最大可支持3万条(出厂缺省支持,无需单独购买)
SSL VPN最大支持1万在线用户
高端多核防火墙DCFW-1800E-10G具备强大的NAT功能,可专用于园区网出口大量的NAT地址转换,同时,神州数码终结者系列多核防火墙可以全面支持IPv6,实现IPv6报文的基于状态检测的包过滤。
.上网行为日志管理
DCBI-NetLog上网行为日志系统可实现记录园区网内上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了园区网用户上网行为的安全审记数据源,并实现各种统计功能。与神州数码DCSM联动,上网行为记录可直接映射到上网者的用户帐号,而不只是简单的记录到上网者源IP,从而可以根据用户上网帐号更加准确地定位到上网行为的责任人,而不再是根据用户的源IP来确定上网行为的责任人。主要特性包括:
1.高性能,为解决本身的性能问题,并且为了在使用时不影响网络的性能,采用下面的方式:采用旁路的组网方式不与认证计费的网关采用同一设备,而是采用单独的设备
2.上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,满足国家安全部门对上网行为进行记录的要求。很容易查询哪些用户是否访问过黄色、法轮功等非法网站。
3.与DCSM联合组网,上网行为记录可直接映射到上网者的用户帐号,而不只是简单的记录到上网者源IP。
4.各种上网行为的统计功能,以图例的方式显示哪些网站是最近访问次数的Top-10、哪些用户最近发包次数的Top-10等。根据这些访问情况的统计结果,很容易发现网络上哪些节点或用户有异常行为。
5.即使用用户通过代理上网(即:用户访问的目的IP是代理的IP),也能解析出用户访问的最终网站的URL。
6.可解析出e-mail流量的源mail地址、目的mail地址
7.可解析出Ftp的用户名、口令、所使用的ftp命令等
8.可解析出telnet的各种操作信息
9.采用海量存储部件,在数据存储超过阀值时有报警功能,并且可将历史数据导出由用户自行存储。
10.组网方便:自带两个千兆电口,一个口用于接业务网络,另一个口用于接管理网络。
11.支持容量收敛功能:可根据指定的属性,将在一定时间内连续的上网日中属性值相同的记录合并成一条记录,从而大大降低对存储容量的需求。
12.支持iSCSI网络存储协议,并且可与iSCSI等存储设备对接,使存储容量达到无限扩展。