网络新时代下的流量安全 AceNet流控墙产品及应用 www.acenettech.com 2008.01.10

日程 1. 流控墙产品设计背景 2. AceNet流控墙 3. 高教行业应用分析 4. 成功案例 5. FAQ

日程 1. 流控墙产品设计背景 2. AceNet流控墙 3. 高教行业应用分析 4. 成功案例 5. FAQ

网络应用的变迁带来的挑战 P2P、IM各种应用带来的挑战 各种用户连入网络 各种业务在网络开展，对网络提出更高要求 多条链路，多出口需要更加策略化的使用

P2P时代的流量模型

用户网络行为模型的变化 每个用户的开启的应用程序在增加 单个用户的并发连接数也在迅速增加 UDP报文在迅速增加 现在 过去

网络带宽占用比例

P2P占用网络带宽比例

流量安全变得越来越重要 流量可视 流量安全 流量可追溯 流量可控

挑战对设备要求的改变 新设备来进行 流量管理 传统网络设备不能在L7应用层分析数据流量 传统设备不能有效的进行带宽保障和管理 传统设备不能有效的进行流量记录

现有设备的叠加方案－1 Internet Internet 流控设备无法感知外部链路的流量状况 防火墙没有带宽保障和流量优化功能 流量控制 Internet 防火墙没有带宽保障和流量优化功能 DMZ 内网 内部攻击流量控制设备

现有设备的叠加方案－2 Internet Internet 多条链路需要多台流控设备 外部攻击对流量控制设备的影响 防火墙 流量控制 Internet DMZ 外部攻击对流量控制设备的影响 内网 无法对内网IP进行流量分析和优化控制

AceNet的流控墙解决方案 ISP2 AceNet流控墙 ISP1 DMZ 内网

日程 1. 流控墙产品设计背景 2. AceNet流控墙 3. 高教行业应用分析 4. 成功案例

AceNet 公司介绍 Found in 2003 Headquarters in Santa Clara, California, USA Greater China Sale Offices: Beijing , Shanghai , Guangzhou, HK,Taipei R&D: Santa Clara in USA , localization team in Shenzhen China Extensive Network and Distributed infrastructure experience Leader of Network Application Layer IC/Device design AceNet delivers Wire-Speed, High-performance, comprehensive, policy-based, Application Services and Security Control appliance. Base on awarded patent SSPPTM Sales Awareness Product release 2nd half of 2006. Implement up to 100+ customers globally Focus on Service Provider, FSI, Education ,Manufacture ,Transportation, Utility, Healthcare ,Governments …

AceNet 流控墙 流量分析管理 高性能防火墙 多出口策略 Service control Security control 流量的应用层识别、分析控制和安全组合的领先产品 SSPP专用集成芯片为核心 全线速产品 Service control Security control AceNet 流控墙

SSPPTM 业务流策略处理器 Click to add Title Service Session Policy Processor业务流策略处理器 AceNet设计的流量安全的专用集成电路 3千万逻辑门以上级专用芯片 革命性的集成L2－L7处理芯片 高达10Gbps的处理量

SSPPTM 系统先进性 SSPP™ ASIC L7 Service Control Adaptive Capability QoS ,Bandwidth Guarantee Adaptive Capability Transparent ,Routing ,NAT ASIC SSPP™ Application Visibility Video,VoIP,P2P/IM,hhttp,email etc. System Scalability Wire-Speed Policy Enforcement IP ,Subnet ,User ,Group ,Schedule etc. Business Intelligence Real time ,Alerts , Reports

AceNet 流控墙－应用点 = + AceNet P2P Traffic Control Service Control P2P Application Analysis P2P Behavior Monitoring P2P Bandwidth Control Optimize Bandwidth Policy-based traffic control Multi-homing Load Balance Traffic Statistic Dynamic Bandwidth control Service Control Business Traffic AceNet = + NAT/PAT User Authentication & Authorization User Blacklist User/Group IP traffic comtrol Security Control Security Audit Trail IM / P2P / FTP log URL / email log

AceNet 流控墙－多层次流控 R R R R R R Concurrent Session Bandwidth Qos IP Policy Subnet Policy User Policy Group Policy Schedule Policy

强大的策略引擎 Bandwidth Application QoS Concurrent Session WAN Load balance User Group Subnet Schedule IP Bandwidth Application QoS Concurrent Session WAN Load balance

AceNet 流控墙－SSPP中的流控模块 AceNet SSPPTM Analysis Module L7 DPI BT, Emule…. Action Module QoS, Rate-limit Pass-through,log Http Http(QoS) IM(MSN…) IM(MSN…) PP Stream PP Stream Rate-limit Traffic Monitor

AceNet’s Traffic Delay: 0.022ms (max.) Performance Report AceNet’s Traffic Delay: 0.022ms (max.) This is the test result from a China Telecom. The ones with model name are most middle-end USA product. Test result of AceNet is from NCTU, Taiwan The Curves, from low to high in 64 byte packet are the following vendors from top to buttom, left column and then right column The y-axis is the access rate instead of the throughput. Most of the tested products are subgigabit product (multiple FE ports). e.g. NS-208’s is 550Mbps. AceNet is targeting 100% access rate of throughput 2000 Mbps Servegate EdgeForce Fortinet Nortel ASF185FE CISCO PIX525 Netscreen AceNet AG3000

Session Connection Rate

File Sharing & Streaming Signature and Behavioral Recognition Instant Message File Sharing & Streaming Instant Message Azureus VoIP and rapid update..... 25

P2P行为分析

P2P行为分析

业务流控制图 Analysis chart of network usage BT and PPlive occupied 80% of the bandwidth From 21:30 ~ 21:50, BT was controlled under 200Mbps, and around 21:40, PP live is rate limited too.

IM 控制 Support rich of IM applications and deny by chat ,voice and file transfer .Besides , chat message would be recording by AceReporter. Control by behavior IM Log- MSN

P2P 控制 Deny the specific P2P application or assign the bandwidth and limit the session. return

BlackList Setting Administrator define the traffic quota by day/week/month/quarter/year on every user .If the user exceed the traffic limit then will be classify as “Blacklist” and system automatically enable SOQ feature of service , the default rule is suspend service for 1 day. Besides, it’s manageable of suspend user from Blacklist table. Blacklist Users Cycling of quota

Real Time Traffic Monitoring

Top 10 Traffic and Session Ranking

用户流量统计 User statistics function is able to monitor the traffic per user and online time information.

Service and Session Statistic Report

Host Pair and Protocol Statistic Report return

产品 Road Map $$ Performance 10G 1G 10M SMB Enterprise Carrier Grade IPv6 AG-8000 AME AG-5000 CME 1G AG-3000 AG-1000 AG-500 AG-300 AG-100 10M $$ SMB Enterprise Carrier Grade

AG产品系列和特性 Value Features: Model GE FE Performance HA Concurrent Session Number of Traffic Control Policies Target Market AG300 1 9 Up to 0.3 Gbps No 256K 4K SOHO, SME AG500 8 1.0 Gbps Opt. Enterprise AG1000 1.6 Gbps 512K 32K AG1000E 2 2 Gbps Yes 1M 64K AG3000 5.6 Gbps Enterprise, Campus AG3000E 4 2M 128K Campus, Telecom AG5000 9.6 Gbps Value Features: Application Traffic Management – including P2P. Security – Firewall, NAT, anti-DoS/DDoS, VPN, AAA, etc. Multi-ISP (up to 8) policy routing. All ports can be programmable to WAN, LAN or customer defined.

AceNet 部署 1 – LAN & Gateway Server Internet ISP1 Internet AceNet ISP2 AceNet deploy in LAN & Gateway AG部署模式 透明模式 交换模式 路由和地址转换模式 Desktops

AceNet 部署2 － Hub & Spoke Net Internet Router Desktops AceNet Central office Internet Desktops Server AceNet AceNet deploy in branch and Central management

AceNet 部署 3 – 服务器网段前 Central office Router AceNet Server Desktops

AceNet复合部署模式

日程 1. 流控墙产品设计背景 2. AceNet流控墙 3. 高教行业应用分析 4. 成功案例

高校网络状况和需求分析 活跃和大量的用户群体 不受管理和控制的用户机器设备 各种应用的普遍使用，难以管理和控制 多个出口并存，教育网和电信或网通 承载教学业务流量和学生上网流量 巨大的数据流量

AG流控墙在高校中的应用 高校网络出口 新旧校区或校园网重点区域中的连接 服务器网段前

AG设备出口应用 多出口的P2P控制 高校网络出口 高性能防火墙地址转换 用户会话数控制 详细的日志记录

AG设备在服务器网段前 关键业务的带宽保障 高校服务器群前 服务器网段流量监测和控制 服务器会话数管理 详细的日志记录

流控墙使用能给高校用户带来什么好处？ B A C AceNet 流控墙 D E Add Your Text 管理网络流量，降低企业运行成本 优化网络流量,保障业务正常开展 流量安全控制，提高网络可用性 高投资回报率 IM和流量内容记录，降低安全风险

日程 1. 流控墙产品设计背景 2. AceNet流控墙 3. 高教行业应用分析 4. 成功案例 5. FAQ

中国大陆地区2007年部分成功案例 四川省政府信息中心 南京师范大学 上海松江区信息委 复旦大学 西安碑林区政府 扬州大学 四川移动公司 贵州省建行 宁波商业银行 吉林网通 北京海淀宽带(二级运营商) 北京人民网 上海海洋局 …….. 南京师范大学 复旦大学 扬州大学 南京信息大学 山东理工大学 山东建筑大学 天津科技大学 北京语言大学 上海静安区教委 ……..

高教行业应用方案介绍

教育行业－－山东某高校 校园网原先的网络状况 需求分析 AceNet的方案 用户应用AceNet方案之后的网络状况分析 案例特点总结

山东某大学原有网络出口拓扑图 核心路由器 接入宿舍等 接入教学楼等 Internet 教育网 网通出口 1000M 155M 天融信防火墙 PAT 天融信防火墙 核心路由器 接入宿舍等 接入教学楼等

更换性能更强的防火墙设备 解决问题的办法: 网络问题分析(1) 在天融信防火墙上只做了地址转换，不能再添加任何安全策略，否则导致网络丢包 原因: 1. 启用PAT(地址转换)功能后，防火墙CPU的利用率比较高; 2. 在学校出口的大流量高带宽下，在增加安全策略后，受防火墙的性能限制，导致网络丢包会比较严重 解决问题的办法: 更换性能更强的防火墙设备

解决问题的办法: 可以针对这些P2P应用进行带宽的限制 网络问题分析(2) 普遍存在学生上网行为不能有效控制，特别是P2P软件的应用占用大量网络带宽（如BT，迅雷等） 原因: 学生对网络资源需求广泛，会对各种新的软件，影音资料等进行大量下载 解决问题的办法: 可以针对这些P2P应用进行带宽的限制 后果: 严重影响了正常的web，Email，FTP应用和学校远程教育等其它正常业务应用的带宽

利用AG设备提供的带宽保障功能来保障web访问、Email、FTP、远程教育等重要应用 网络问题分析(3) 学校正常的应用不能得到有效保障，时常出现网络阻塞情况 解决问题的办法: 利用AG设备提供的带宽保障功能来保障web访问、Email、FTP、远程教育等重要应用 原因: 被其它非重要应用(P2P等)占用 后果: 导致学校的一些重要业务应用在流量高峰期不能正常运行

需要添加流量监控设备提供的实时的流量分析和流量审计等功能来进行分析查看，找出问题所在 网络问题分析(4) 带宽有效使用率偏低，运用各种手段无法了解网络带宽真正使用情况 解决问题的办法: 需要添加流量监控设备提供的实时的流量分析和流量审计等功能来进行分析查看，找出问题所在 后果: 对平时的网络运行状况无法全面了解,无法准确发现网络中的瓶颈,出现流量异常,也无法很快定位问题

网络问题分析(5) 网络带宽资源不能合理有效的分配 原因: 解决方法: 一些终端用户过度使用网络资源,例如使用P2P下载软件等，同时不能准确的了解网络中用户的使用状况，没有有效的措施和手段来控制发现的问题，导致网络带宽资源不能合理的有效分配 解决方法: 对流量做适当的优化,对用户占用网络资源(带宽,并发会话数)做适当控制,提高出口的防火墙的PAT性能, 同时利用日志，审计等功能来分析网络的使用情况，根据分析的结果利用策略来进行网络资源的合理分配

网络问题分析(6) 在网络出口中有1G的网通链路，和155M的CerNet出口链路 解决方法: 在拓扑方案设计,设备选用的时候,一定要能满足各种复杂网络应用,从成本的考虑,又要求单台设备可以提供更多的功能,更高的性能（要保证1Gbps带宽下实现PAT）.要求支持多出口（目前2个出口，以后还会增加）,各个出口配置不同的PAT或者透明模式的多种方案,要支持基于源地址,目的地址或协议的策略路由 原因: 学校想增加多个出口，为学生，老师等提供更好的网络服务

用AceNet方案改造后出口拓扑图 AG3000E 核心路由器 接入学生宿舍等 接入教学楼等 Internet 教育网 155M 网通出口 PAT AG3000E 核心路由器 接入学生宿舍等 接入教学楼等

AceNet方案网络路由拓扑说明 在网通出口开启PAT功能,配置IP地址池 Cernet出口以路由方式接入 配置VLAN,将网通链路和教育链路做了隔离 配置基于安全区的策略路由,所有从网通出入口进来的,只走网通通路 开启基于安全区的策略路由 开启了对PAT转换的日志----记录所有session的详细信息 开启了允许cernet访问内部web服务器策略

AceNet方案开启的功能说明 开启了IM的监控功能 开启了对所有用户的子网统计功能,可以实时查看流量最高用户的速率和总流量以及并发会话数的排名 开启对单个IP地址的上下行带宽的限制功能 开启对单个IP地址进出的并发会话数的限制功能 开启了P2P流量的分析功能，并开启定时控制功能 使用了AceReporter软件，统计和分析各种AG发出的流量日志

用户应用AceNet方案之后的网络状况分析(1) 在线用户的状况 在统计中,一共出现过1971个IP地址!!,目前在线的IP有1147个.

用户应用AceNet方案之后的网络状况分析(2) 并发会话数的情况 通过这两幅图我们可以分析不同时间的网络并发会话数的情况

用户应用AceNet方案之后的网络状况分析(3) 用户的5分钟的平均速率状况(case 1) 未做带宽限制时，单个IP最高占用12M的带宽！ 对10.x.x.x网段的IP上行速率做限制之后,可以看到用户的上行速率明显被限制在2M之内 公网IP没有对下载速率做限制,可以看到最高的下载速率可以达到3.5Mbps

用户应用AceNet方案之后的网络状况分析(4) 用户并发会话数排名情况 未对IP做任何并发会话限制的时候，看到最高单个IP的并发会话达到了9084！ 在对10网段的会话数控制之后,最高并发会话被控制在310以下

用户应用AceNet方案之后的网络状况分析(5) 每秒新建会话数的情况 早上平均每秒新建会话数2K,学生早上时间利用网络不是很高 中午平均每秒新建会话数4K,学生中午时间正在吃饭时间，所以不是很高

山东XX大学选择AceNet的方案理由 采用ASIC硬件的高性能的AG设备,轻松处理学校大流量大带宽的流量 强大的基于IP和应用的并发会话数控制和上下行带宽的控制,使校园用户提高了带宽的利用率 灵活的组网方式,可以满足学校出口的复杂的网络拓扑需求,一台设备完成了2台设备的用途, 具有强大的防火墙功能,而且还有流量分析和控制功能,不仅解决了PAT的性能问题,而且实现了对网络流量的优化 在高带宽下,可以通过对流量日志和用户审计功能的分析,归纳总结出整网的流量特点,用户的上网行为规律,同时可以更快,更准确的定位网络问题,制定有针对性的流量控制策略，提高对校园用户的服务质量

用户的其他选择 Allot 只有流控功能,无法解决网络出口性能瓶颈,只能工作在透明方式下,无法满足用户复杂网络拓扑的部署需要,无法满足经济性要求. Packeteer 性能不够,无法处理超过300Mbps以上的流量

校园网出口应用特点总结 大学对做PAT的设备的性能有很高的要求,只有我们的设备能够满足,其他厂家的包括之前最强的NETSCREEN/FORTINET的高端产品的PAT性能,都无法满足需求 大学除了Cernet出口外,一般还会租用多个网通、电信等ISP的互联网出口,导致网络拓扑环境复杂,就需要象我们设备这样有灵活的组网方式，提供多出口的流量管理设备 校园网的上网用户的网络行为比较复杂，有强烈的网络流量优化的需求,做好流量优化,可以保证校园网络的正常业务不会受到因学生下载等造成意外中断 校园网由于要做PAT,对高带宽下完成PAT日志审计是有需求的,但是之前并没有很好的解决方案 校园网对P2P的控制功能非常感兴趣,采用针对这些应用的限制带宽和并发会话数的方式做到了有效调控 返回

数据中心方案介绍

数据中心应用方案 数据中心网络管理中存在的问题 问题分析 AceNet的方案介绍 用户应用AceNet产品之后的网络状况分析

数据中心网络结构介绍 用户内部局域网 普通用户 托管服务器 VIP用户托管服务器

数据中心的网络中存在的问题 出口拥塞,VIP用户的带宽在高峰期无法有效保障 无法提供复杂差异化的带宽控制策略 无法了解托管的主机的各种应用的详细流量状况 出现端口流量异常,无法迅速定位 目前对托管主机的并发会话数(登录用户数)的控制方式影响主机运行效率 在出口拥塞的时候,用户无法远程登录托管的主机 由于防火墙性能的瓶颈,出口带宽一直跑不满

数据中心的网络问题分析(1) 出口拥塞,VIP用户的带宽在高峰期无法有效保障 原因: 没有专用的流量控制设备,有VIP用户的托管服务器需要保障固定的带宽,都是采用直接拉线到核心交换机,其他普通服务器通过汇聚交换机汇聚后,才接入到核心交换机上,非VIP主机流量特别大的时候,同样会占用VIP用户的带宽 解决方法: 需要添加专用的流量控制设备,对VIP用户做带宽保障,对非VIP用户托管占用网络带宽和并发会话数资源要做适当的控制,避免非VIP主机过度占用网络资源

数据中心的网络问题分析(2) 无法提供复杂差异化的带宽控制策略 原因: 用户希望能更细致的划分用户的等级,为不同等级的用户提供不同的服务,真正实现差异化化服务,根据服务等级收取不同的费用,但是用户这个愿望一直没有找到好的解决方案来实现 解决方法: 用专用的流控设备,对托管主机的占用的最大带宽做限制,占用的并发会话数做控制,还可以对托管主机占用网络资源的情况做统计和分析,制定相应基于时间的流量控制策略,优化网络流量,同时可以制定更灵活的收费策略,吸引更多的用户

数据中心的网络问题分析(3) 无法了解托管的主机的各种应用的详细流量状况 原因: 解决方法: 数据中心的服务器中,有很多服务器的所有权不属于数据中心,数据中心的网管人员无法了解用户托管的主机运行什么应用,各种应用流量有多大,当用户托管的主机被非法入侵,发生流量异常的时候,或者被用于非签约用途的时候,无法及时发现并采取相应措施 解决方法: 用专用的流量分析设备,对每一个托管的主机的流量做详细的分析和统计,定期以报表的形式通知用户,及时发现异常流量,并向用户报警;同时也可以及时发现托管的服务器被用作其他非签约的用途(游戏服务器)

数据中心的网络问题分析(4) 目前对托管服务器的并发会话数(登录用户数)的控制方式影响主机运行效率 原因: 目前有专用软件安装在托管的服务器上,可以对登录到主机上的用户数做限制,对服务器的并发会话数做限制,但是这些程序的运行本身就已经消耗了CPU的资源,影响了主机的运行效率 解决方法: 可以用专用的流控设备,在网关上,针对IP地址做并发会话数的控制,可以有效的解决这个问题,不会对托管主机的运行效率产生任何影响; 另外增加了对并发会话数的限制后,在有DDOS攻击的时候,也起到了对主机的保护作用

数据中心的网络问题分析(5) 在出口拥塞的时候,用户无法远程登录托管的主机 解决方法: 原因: 利用专用的流控设备,对远程网管服务做带宽保障,无论出口多么拥塞,都要保证托管服务器的网管人员可以远程登录成功,并且感到速度很快! 原因: IDC经常发生出口拥塞,此时托管的用户无法从远程登录托管的主机,求助IDC的网管人员也无济于事,造成很多投诉,甚至因此流失了一些客户

数据中心的网络问题分析(6) 由于防火墙性能的瓶颈,出口带宽一直跑不满 原因: 由于该用户的特殊身份,在出口出串了很多不同厂家的安全设备,造成网络瓶颈 解决方法: 建议更换高性能的防火墙和IPS设备

改造后的拓扑图 AG3000E 用户内部局域网 普通用户 托管服务器 VIP用户托管服务器

AceNet方案介绍 透明方式接入 启用了对关键业务的带宽保障策略 启用了对非VIP主机的最大带宽和最大并发会话数的限制策略 启用了对远程管理应用报文的带宽保障策略 开启了详细的基于session的流量监控和统计功能,对网络中出现的各种流量做识别,分析和统计 开启了URL/FTP/Email日志 对托管主机中非签约应用作了带宽限制

对指定应用类型的流量的限制

基于IP的流量统计

URL统计

基于源IP的详细流量统计

FTP日志

数据中心选择AceNet的理由 AceNet产品高性能和高可靠性,保证了部署之后,没有成为网络的瓶颈 对数据中心内部托管的服务器的流量情况做详细的统计和分析,可以及时发现流量异常,迅速定位问题 实现了对VIP用户的带宽保障,对非VIP用户的带宽和并发会话数的限制 实现了对远程管理应用的流量的带宽保障,提高了托管主机的管理效率,解决了对此的投诉问题 灵活的带宽控制功能,为将来制定更灵活的管理策略提供了技术保障 提供中文配置界面 return

流控墙，强流控，防火墙更强 革命性的SSPPTM芯片技术 强大的L7应用层分析和识别能力 灵活的部署模式（透明，交换，路由） 基于策略的配置 总结 流控墙，强流控，防火墙更强 革命性的SSPPTM芯片技术 强大的L7应用层分析和识别能力 灵活的部署模式（透明，交换，路由） 基于策略的配置 详细的流量日志记录 本地化RD团队和技术支持中心 home