西默流控产品技术解决方案上海西默通信技术有限公司第1页共12页河南师范大学新联学院西默流控解决方案上上海海西西默默通通信信技技术术有有限限公公司司22001133年年1111月月西默流控产品技术解决方案上海西默通信技术有限公司第2页共12页目录1.需求背景........................................................................................................................................................32.问题分析........................................................................................................................................................43.西默技术解决方案........................................................................................................................................54.部署方案........................................................................................................................................................75.主要功能特色................................................................................................................................................8西默流控产品技术解决方案上海西默通信技术有限公司第3页共12页1.需求背景河南师范大学新联学院是经教育部批准的普通全日制本科独立学院,新联学院坚持以培养人才为中心,与时俱进,开拓创新,逐步发展成为一所涵盖经济学、法学、教育学、文学、理学、工学、管理学、艺术学等八个学科门类的综合性独立学院。随着计算机、宽带技术的迅速发展,网络化日益流行,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。顺应网络日益普及的潮流,校领导对学校的信息化建设一直十分重视,学校基本实现了数字化,信息化校园。但是,在享受着数字化和信息化带来的便捷同时,学生正常上课期间滥用网络现象越来越突出,学校普遍存在学生上课期间浏览一些与教学无关的网站,如网页浏览,网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与学习无关的行为占用了有限的带宽,严重影响了正常的学习效率。西默流控产品技术解决方案上海西默通信技术有限公司第4页共12页2.问题分析校园的信息化和数字化主要服务于师生的教学和学习,然而学生正常上课期间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等,不仅导致学生学习效率低下。此外还潜在学生可能访问非法网站或发别非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等,严重吞噬了有限的带宽资源,影响了学校内部关键应用和业务的开展。通过对学校网络目前存在的问题,我们看到新联学院在学生的互联网访问行为管控方面需要解决几个问题。2.1.1缺乏有效的统计方法,无法得知网络使用状况对于学校网络的使用情况,有限的公网出口带宽的占用情况,用户最常发生的网络访问行为,TOP10用户最常访问的网站等,IT管理者当前都无法掌握真实情况,而只能靠课堂老师反映,通常只能简单反映一些基本的课堂滥用网络使用情况。2.1.2无法做到细致的访问控制学校因为需要获取外部信息和资源而与Internet实现互联,通过Email等IT应用系统访问外部网站,而且外网用户也可以方便的通过Internet访问机构内部的网站、FTP下载服务器等。但是如果没有完善的互联网访问权限控制手段,而仅仅依靠传统的防火墙等设备,将无法有效管控内网学生的各种网络访问行为;学生在上课时间使用QQ、MSN等聊天,浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),在线炒股、网络游戏娱乐等,不仅降低了学习效率,甚至通过Email泄漏学校机密信息,给学校带来直接经济损失,还可能引起不必要的法律纠纷。2.1.3无法有效管理带宽流量,无法保障业务系统的带宽需求学校现有的公网出口带宽通常都比较有限,如果校内有部分学生全速下载BT、eMule等,其他老师和学生正常网络的访问与开展都会及其缓慢,甚至完全不可用。而IT管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。西默流控产品技术解决方案上海西默通信技术有限公司第5页共12页关键业务部门收发Email缓慢,领导的视频会议系统无法正常运作,设计部的CAD文件传输速度极慢等,都需要IT管理者优化机构有限带宽资源的使用情况,有效的限制非业务系统对带宽的占用,合理的划分和分配更多的带宽供业务系统所使用。2.1.4无法对用户网络行为进行有效监控和审计提到网络安全问题,大多数用户都只关注外网安全。但其实学校内部的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。所以虽然部分学校已经部署了防火墙等安全设备,但是无法对内网员工的网络行为进行有效的监控和审计。内网学生可能通过MSN聊天即将机构的机密信息无意间泄露出去,而更典型的是通过Email邮件,将学校的信息资产通过邮件及附件发送到公网;还可能通过向公网BBS、论坛发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露学校的信息资产,还难免招致法律问题;这就需要有别于传统防火墙的解决方案,对学生的网络访问行为进行有效的监控和审计,做到有据可查。3.西默流控技术解决方案西默流量控制产品解决方案采用透明接入的方式,部署到出口路由器或者防火墙和核心交换机之间。对所有经过的数据进行审计和监控,对所有用户的上网行为进行管理,其达到的主要效果如下:1、解决网络对外接口带宽的不足:利用西默流量控制产品的各种带宽规则设定,网络管理员可依据网络的使用特性,预先规划重要用户,应用或服务器等,对一般非实时性的应用,如电子邮件,网页访问,在线电影等给予适当的带宽限制或者封堵,规范学生课堂期间的行为。2、保障视频会议,音频(VOIP),ERP,数据库等关键应用的实施传输利用OQS设备所提供的各种带宽管理规则设定,网络管理员可依据网络的使用特性,预先规划重要应用的带宽保证值,数据包的优先级。西默流控产品技术解决方案上海西默通信技术有限公司第6页共12页3、控制P2P应用对于P2P应用,我们可以采取时间限制的做法,比如在工作时间段可以给定一个小带宽,非工作时间段可以取消此限制。这样就不会对正常的网络应用秩序产生不利的影响。4、过滤不良信息网络西默流量控制产品提供群组功能一级可以针对群组可设定规则加以管理,网络管理员可以设定黑名单,并对此黑名单组设定过滤规则。由此,可确保网络内部用户无法解除到这些不良信息网站。5、动态合理分配出口带宽资源西默流量控制产品的带宽管理功能提供针对不同时间、不同部门、不同用户对象给予不同带宽分配、数据包优先级等功能,使有限的带宽资源利用效率达到最大化。6、高性能NAT西默流量控制产品采用多核+ASIC架构,解决了目前一些产品只能工作在透明模式下的弊端,既可以工作在透明模式下不改变网络的整体结构,也可以部署在路由模式,能够完成原有路由器和防火墙的功能。采用多核架构的流控产品在做NAT的同时,不影响带宽管理的使用,性能下降很小。7、详尽的监控图表西默流量控制产品提供详尽的网络监控报表以及长期监控图形报告,方便管理员进行网络管理,网络流量拥塞定位。西默流控产品技术解决方案上海西默通信技术有限公司第7页共12页4.部署方案在本项目中,西默流控采取串行透明部署的方式部署到出口网管和核心交换机之间解决学校面临的学生上网行为管理的问题。通过部署西默流控,可以达到如下的效果:在有限出口网络带宽下,保证学校关键业务如领导浏览网页、收发邮件等动作规范学生正常上课期间的行为,如限制网页访问,聊天,在线电影观看,大流量下载等是学校宝贵的带宽资源得到合理和有效利用提高学生学习效率西默流控产品技术解决方案上海西默通信技术有限公司第8页共12页5.主要功能特色与其他公司的方案相比,西默流控在校园环境大流量流控审计方案具有以下几方面的明显优势:5.1上网行为分析基于DPI(DeepPacketInspection)深度包检测和DFI(Deep/DynamicFlowInspection)深度/动态流检测是7层流控识别的基础,但是对于加密协议还需要独特的识别方法,精确识别加密类应用(如加密BT、加密迅雷、Skype、edonkey等),对于非加密的区分迅雷、网际快车等下载工具的HTTP下载和IE浏览器下载也仅流控大师ISP可以区分;协议识别率超过95%,特征库支持常用协议超过600余种,大型游戏200种;支持协议的多级分类,逐层细分应用以便于统计和控制。5.1.1当前流量分析西默流控产品技术解决方案上海西默通信技术有限公司第9页共12页5.1.2用户流量监控5.1.324小时趋势分析西默流控产品技术解决方案上海西默通信技术有限公司第10页共12页5.1.4TOP应用5.2上网流量管控西默流控通过丰富的策略,对不同的应用流量实行人性化的管理,通过分配带宽和单ip限速等功能达到对学生行为的管控。对于不同的应用合理分配不同的带宽。通过划分不同的ip群组,定义不同的协议组,合理的时间调度,达到不同的应用群体实行有别的策略。西默流控产品技术解决方案上海西默通信技术有限公司第11页共12页5.2.1ip群组定义5.2.2协议组定义西默流控产品技术解决方案上海西默通信技术有限公司第12页共12页5.2.3策略调度安全稳定