XX电子政务网络出口流量管理设备升级项目需求及解决方案Word文件下载.docx
- 文档编号:22332412
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:15
- 大小:2.02MB
XX电子政务网络出口流量管理设备升级项目需求及解决方案Word文件下载.docx
《XX电子政务网络出口流量管理设备升级项目需求及解决方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《XX电子政务网络出口流量管理设备升级项目需求及解决方案Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
当然除了这些娱乐性流量网站访问流量存在外,还有正常的上网流量,甚至越来越多的企事业单位还需要通过互联网来使用一些云服务应用(SaaS)进行日常工作,当这么多类型的流量经过企业的互联网出口链路时,互相争抢带宽则不可避免,大量的突发数据则会造成链路的不稳定(偶尔的延时、掉包)。
二、项目现状
XX区信息服务中心为XX区科学技术委员会下属单位,承担着区内各委、办、局、镇、街道、工业区等各单位的互联网出口接入,随着上网人数的不断增加,所以也同样持续每年都面临带宽升级和管理上的压力。
目前区政府信息中心的互联网出口带宽为800Mbps,分别为四家运营商(电信、联通、移动、XX东方有线),目前上网的管理有微软的TMG、流控设备、天融信防火墙以及链路负载均衡设备,这些设备都已使用多年,且除了防火墙外的产品,要么厂家宣布停止产品研发和支持(微软TMG),要么厂家不再销售产品和支持(流控和负载均衡),因此XX科委将对区政府信息中心互联网出口进行改造和升级换代,以满足新的应用使用模式和新的流量模型。
三、项目需求
本项目仅涉及到出口流量管理设备和TMG的更新。
(一)新的互联网出口管理方案需要满足的要求
1、适应当今互联网应用发展趋势,对越来越多的Web应用进行识别和管理;
同时能够解码任意HTTPS通讯,以判断是正常访问还是非正常的访问,并bypass所有金融类网站不进行解码;
2、可以对所有内网上网用户的上网流量进行基于应用上的带宽控制,并可以控制总流量、单个会话流量、并发连接数、每分钟新起连接数;
并可以使用这一台设备控制互联网上远端服务器向本单位发送的流量速度。
3、所选方案必须考虑未来的IPV6与IPV4在相当长时间内的共同存在,所有设备都必须支持IPV4和IPV6双栈,识别IPV6流量和应用,可以进行流量控制,并且可以提供IPV4地址到IPV6网站的访问和IPV6地址到IPV4网站的访问的转换,同时进行严格的访问控制;
4、解决方案具有相当的开放性和扩展性,为以后加固互联网出口的安全级别部署新的安全设备做好架构性设计,且能够与这些安全设备进行联动,比如:
DLP设备,沙盒设备,大数据安全分析设备;
6、所有方案都必须保障良好的用户体验,因此方案中要能提供上网内容缓存功能和流理管理功能来确保用户的体验在互联网出口加固安全级别时不受影响。
(二)当前拓扑
图2-1
如图2-1所示,区政府信息中心有四条互联网链路(电信、联通、移动、XX东方有线),从外而内,负载均衡设备、防火墙、TMG、核心交换都采用双机配置以保障高可用性。
四、互联网出口管理解决方案
经过前期不同品牌的设备设备测试,我们初步意向为采购BlueCoat互联网出口管理设备。
(一)具体方案
BlueCoat根据区科委对互联网出口改造的指导方针,提出相对应的方案如下:
1、使用BlueCoatProxySGS500设备替换现有的TMG:
A)将目前TMG上的策略导入到BlueCoatPorxySGS500设备上;
B)基于用户进行认证、授权;
客户端无需安装客户端程序,无需设置浏览器代理;
C)基于用户、组、源IP、源网段、目标IP、目标URL、目标域名、通讯协议、HTTP头信息等进行访问控制,并且可以根据时间来制定策略;
D)提供网站本地分类库和实时云端分类相结合的方式;
并且管理员可以基于BlueCoat85种网站分类进行策略管理;
E)提供高性能的HTTPS解码功能,让缓存、网站过滤、防病毒设备、DLP等其他安全设备可以对HTTPS流量进行处理,同时可将金融类网站或管理员指定网站排除在外。
并且可以基于HTTPS网站的URL进行策略控制;
F)提供强大的Web内容缓存功能,不仅可以缓存HTTP网页对象,还可以对HTTPS网站解码后进行缓存,改善用户访问体验;
G)提供IPV4地址到IPV6网站的访问和IPV6地址到IPV4网站的访问的转换,同时进行严格的访问控制。
H)提供用户访问行为报表:
TOP用户排名,TOP用户排名,TOP网站排名,TOPWeb应用排名,TOPIP排名,自定义报表功能,指定报表定期发送邮件给管理员,详细日志查询审记(时间、源地址、用户、所属组、目标URL、目标URL所属网站类别、策略匹配结果、HTTP返回码、传送数据量等)。
2、使用BlueCoatPacketshaperS500设备替换现有的流控设备,并实现如下功能:
A)可由设备自动以应用协议对网络流量进行识识别,也可以基于用户、用户列表、组、源IP、源IP地址列表、源网段、源网段列表、目标IP地址列表、目标网段、目标网段列表、目标域名、目标URL、应用协议、应用协议组对网络流量进行手工创建分类并进行带宽控制和报表;
B)提供对于TCP应用的延时分析(提供总延时、服务器延时、网络延时的细分)、TCP健康状况分析,在处理应用上的疑难问题时提供帮助;
C)联机提供秒级别实时监视报表;
D)联机提供两月数据报表;
E)策略控制提供细化到单个会话,单个IP的带宽控制粒度,并可以进行优先级控制,阻挡控制等策略,提供单个IP的TCP及UDP并发连接控制、每分钟新起连接控制,提供单个流量分类的并发连接控制;
F)同时支持IPV4流量和IPV6流量的识别与流量控制;
G)提供基于网络指标或应用指标的监视,阀值触发后设备自动进行报警(snmptrap,email)或自动变更策略;
H)提供报表系统存储时间更久的报表数据;
提供所设备上的报表类型外再提供:
IP地址(源或目的)历史数据记录,IP对的历史数据记录,所有会话的历史数据记录(会话开始时间、结束时间、持续时长、源地址、源端口、目标地址、目标端口、产生的流量大小、所属应用协议、匹配设备流量分类等信息)。
(二)方案拓扑
图3-1
如图3-1所示,使用一台BlueCoatProxySGS500设备替换现有微软的TMG系统的多台服务器,部署在相同位置,通过两根10/100/1000Mbps的以太网线连接,通过交换机2960策略路由(PBR)将出向互联网的目标为TCP端口80和443的流量转给BlueCoat的ProxySGS500设备,将从互联网回来的数据包来源为TCP端口80或443的流量转给BlueCoat的ProxySGS500设备,并在在功能上替换现有微软的TMG系统,同时不再需要每个客户端安装TMG客户端软件,实现本方案前面所描述的所有功能。
在核心交换上指定的服务器VLAN部署一台windows服务器并安装BlueCoat报表软件——Reporter,来处理由ProxySGS500设备传送过来的用户上网访问日志,进行日志处理与分析,实现报表与审记要求。
使用BlueCoatPacketShaperS500带宽管理设备替换现有的流控设备,部署在与现有流控相同的位置上串接现有的网络链路中,实现本方案前面提到的流量管理方面的功能。
在核心交换上指定的服务器VLAN部署一台windows服务器并安装BlueCoat报表软件——IntelligenceCenter,来处理由PacketShaperS500带宽管理设备传送过来流量控制报表数据,进行日志处理与分析,实现报表数据长期留存和深度挖掘的要求。
(三)未来扩展
1、可以根据用户和带宽的增长,增加相同型号的BlueCoatProxySGS500设备,以多台设备来承担未来更多的流量或将目前的ProxySGS500设备在不更换硬件设备的前提下通过升级包升级至更高吞吐量;
BlueCoatPacketShaperS500带宽管理设备,可以通过升级软件许可的方式升级到更高带宽级别的许可,以及控制和处理更多的流量。
2、当部署机密信息防泄露的DLP设备时,可以通过BlueCoatProxySGS500设备与其联动,实现互联网出口向往发送数据的检查(不管是HTTP还是HTTPS),确保机密信息不能通过互联网出口这个途径向外传送。
(四)互联网出口流量管理设备的对比
经过长时间的测试与论证,市场上无论是专业的流量管理设备还是流控设备或是上网行为管理设备都具有互联网流量管理的功能,下面是一些主要技术上的对比。
功能描述
所需技术
BlueCoat
深信服
网康
七层应用识别
DPI、Signature、应用识别引擎等
支持
七层+应用识别
深度解析识别应用引特征,比如识别数据库应用下的具体数据库
不支持
实时监控每秒采样与刷新
流量秒级采样技术
做不到秒级采样与刷新
基于应用、IP、用户、网段或时间的带宽控制,以及并发连接数控制
队列技术、优先级技术等
基于网站类别的静态库进行过滤
URL分类技术
基于动态URL的实时动态网站类别分类
实时动态URL分类技术
一台设备双向控制带宽,控制远端服务器发包速率,减少链路上的拥堵,而不是只是带宽管理设备漏进来的带宽被控制。
TCP速度控制技术,通过修改TCP滑动窗口的方式,在对端没有设备的情况下,来控制对端发包的速率
应用延时分析,而非ping的结果
延时分析引擎记录每个会话的延时进行分析,给出总延时、网络延时与服务器延时
根据预设监控指标(网络或应用)阀值自动调整策略或报警
自适应响应技术
历史报告(各种排名报告与查询报告)
报表引擎或报表软件
有
有
从上表来对比来看,我们看流量管理设备最核心的带宽控制技术,但是无论是DPI技术还是队列/令牌桶技术、DFI技术、DART技术、PRQ技术、优先级技术等都是流量到达流控设备之后再进行控制,此时进到企业内部的流量确实控制住了,但是进来的流量在到达流控设备之前,则是无控制的,如果流量峰值较大时,则还是会塞满带宽。
企业员工上网的流量是典型的下行流量大,上行流量小的特点,因为上网发送的请求包是上行方向,请求包是非常小的,而互联网上的服务器响应数据时则是下行流量。
因此如果流量管理设备如果控制不了互联网上服务器向企业发送数据包的速率,则是无法解决互联网链路最后一公里的拥塞问题的。
而市场上唯一能做到一台设备可进行双向流量控制且控制远端服务器发送数据速度的就是使用TCP速率控制技术的BlueCoat公司PacketShaper设备,其他流控设备或上网行为管理设备(比如:
深信服或网康)则无此功能,并达不到一台设备进行双向流量控制且控制远端服务器发送数据速度的技术要求。
此技术为BlueCoat公司专利技术。
TCP速率控制可计算流量速率对应的TCP窗口大小,如果当前交互双方的TCP窗口大于根据所设带宽策略换算出来的TCP窗口大小时,PacketShaper就会修改它至换算出来的值,这样服务器收到带有这样窗口大小的ACK时,就会以这样的速率向数据接收的客户来发送数据包;
如果当前交互双方的TCP窗口小于或等于根据所设带宽策略换算出来的TCP窗口大小时,PacketShaper则不会其窗口大小值。
所以PacketShaper设备是根据我们众所周知的原理来控制流量,这个原理就是“决定服务器与客户端之端数据包传送速度的就是TCP/IP协议中的TCPWindowSize”,PacketShaper就是通过修改这个WindowSize的大小来实现控制数据包传速度的结果。
这相当于PacketShaper通知流量的发送端减速或加速。
但是如果数据包只有使用特定发送速率到达时才可接收,那么就没有必要加快传输速度。
并且TCP速率控制是通过检测、计算数据包的发送及传输来避免拥塞,而不是在拥塞的队列中不断丢包。
TCP速率控制克服了TCP的缺点,阻止了下行和上行的双向拥塞。
当然互联网链路上不只有TCP流量,还有UDP流量,由于UDP流量并不是面向连接的,没有每次的ACK确认,因此无法控制ACK包中所包含的窗口大小,所以它从服务器端发送出来的速度是不能使用一台设备在一点上进行控制。
但是互联网链路上目前来讲产生较大流量的应用几乎都是TCP的通讯,比如HTTP下载、HTTP视频、P2P(也大量使用TCP通讯)等,只有少数P2P或网络攻击流量会使用到UDP,所以PacketShaper的TCP速率控制技术可以达到一台设备控制双向流量,并控制远端服务器发包速度的效果,可以很好地减少下行和下行方向的双向拥塞的机率,并提高网络效率,改善用户体验。
而未使用这种技术的带宽控制都是展现了控制好带宽的假象,如果对比流控设备之前的防火墙上的流量和内部交换机上连口上的流量,会发现是防火墙的流量是要大于内部交换机上连端口上的流量的,那是因为进来的流量并没有被控制住,而是经过流控设备后漏进来的流量是按照带宽策略进来的,这并不能解决流量高峰时段的带宽拥塞问题、网络效率不高问题、用户体验问题。
另外市场上的其他流控设备或上网行为管理设备(比如:
深信服或网康)的控制策略都缺乏动态调整能力,这种动态调整能力并不说是否支持设置最大带宽和最小带宽这种动态带宽控制,而是缺乏根据网络环境变化(比如流量大小、带宽利用率、延时大小、丢包百分比等)或应用流量变化(比如流量大小、延时大小、丢包百分比等)而自动改变策略,就如同现实社会中的各种预案,比如各种救灾预案、旅游景点大客流预案等,即根据不同的网络和应用的各种指标或业务使用情况来制定好预案策略,当条件阀值触发时,设备自动根据预设的策略进行各种策略修改或报警。
如果流量管理设备有这样的自适应响应的智能,则大大提高网络带宽管理上的智能化以及紧急情况下的应急反应速度,此时管理人员可以去处理更为重要的事情,而不用再去在紧急情况想怎么配置设备的策略等。
而BlueCoatPacketShape设备则具备这种功能设计,允许管理人员进行各种场景的定制,以充分实现管理人员的管理理念,使得网络管理更加智能化,并快速响应。
五、总结
Bluecoat互联网出口整体解决方案集成多种高性能产品和先进的Web网关技术,能够为企业互联网出口的流量进行管理,对重要的应用流量进行保障,对不重要应用流量进行限制,对不应该出现的应用流量进行阻挡,同地保障用户访问体验不受影响。
BlueCoat提供了一种有效的安全基础架构,它可以加快合法流量的传输速度,同时拦截恶意内容——无论是进入企业的,还是流出企业的,且无论用户和应用位于何处。
为现在、为将来互联网出口的管理提供相当大的可扩展性、兼容性,因此不失为一个合理、高效的方案体系架构。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 电子政务 网络 出口 流量 管理 设备 升级 项目 需求 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)