第一篇:網絡升級技術方案
網絡升級技術方案
12.1.1、項目背景
***大學校園網經過多年的建設和升級,已基本覆蓋全校范圍。目前網絡為三層結構,核心層采用兩臺H3C的萬兆交換機S10508,匯聚層采用了12臺H3C的S5800和7503E以萬兆上聯至核心,接入層設備主要為H3C接入交換機和銳捷接入交換機。目前采用的是基于802.1x的認證計費方式。學生區由于采用的是銳捷網絡的接入設備,所以使用的是銳捷網絡的認證計費系統SAM,教工宿舍采用的是H3C的接入設備,使用的是H3C的認證計費系統IMC。校園網現有網絡出口總帶寬1.6G,分別為教育網(300M)、中國電信(400M)、中國聯通(400M)、中國移動(500M)。網絡出口設備為一臺山石網科的S6000安全網關,由于已購置數年,隨著近年學校出口帶寬的不斷增加,其處理性能已不能滿足需求。在核心交換機和出口設備之間部署了一臺神碼的千兆流控設備。核心交換機和網絡出口之間采用雙千兆鏈路捆綁連接。
傳統三層或者多層架構校園網只是滿足了基本的網絡互聯互通的需求,但缺乏相應的控制和管理手段,用戶之間互相影響,類似ARP攻擊、DHCP仿冒、IP仿冒等對網絡的攻擊現象經常發生,校園網絡對于用戶的審計和控制功能較弱也導致了網絡的無序使用,業務承載方面缺乏針對性的控制,網絡帶寬被大量占用,重要應用得不到帶寬保障,也難以實現靈活的基于身份、時間、位置等的用戶控制。
當前不同規模和不同區域的學校在建設高校校園網時普遍遇到的問題是: 1)如何適應和滿足國家政策和法律法規對于校園網用戶的行為要求; 2)如何滿足各類業務、各類應用和不同需求的用戶的各種承載的拓展; 3)如何降低校園網的管理難度和維護工作量。
要解決這些問題必須要從網絡架構和業務部署模式上面進行變革,而扁平化的架構正好切中了解決這些問題的關鍵。從下圖可以看出扁平化網絡架構將原有各層的功能在邏輯上面進行了重新界定和劃分,使得各層設備各盡其能,也可以看出構建和發展扁平化網絡架構是一個必然趨勢。
其網絡拓撲結構如下圖:
12.1.2、改造目標
本次網絡改造,學校需實現以下目標:
? 升級網絡出口設備,需滿足未來出口帶寬擴到5G以上的需求,并且實現網絡出口的鏈路負載均衡和各種網絡安全措施,入侵防御(IPS)、網站防護(WAF)、上網行為管理、流控、SSL VPN遠程接入訪問校內資源等。
? 統一全校范圍內的認證計費。采用支持多種認證方式(PPPoe、IPoe、portal)的BRAS設備,配合統一的認證計費管理軟件,實現與學校一卡通系統的整合。
? 實現校園網扁平化,構建扁平化的網絡架構就是將原來各個層次模糊的功能區分清晰化,不同層次之間各司其職,有利于管理和維護,這種簡單化的架構使得網絡有更高的效率。? 校園網目前由教學網、學生宿舍網、教育網、一卡通專網、財務專網和科研專網等多個網絡的混合體,校園網的高性能還要體現在多個網絡多個業務并發的同時保證性能不下降,實現在同一個物理平臺上構建出多個邏輯上完全獨立的網絡平臺,這些網絡平臺和主網絡平臺還要具有相同的功能。所以,從學校建設一卡通系統需提供一套邏輯隔離的專用校園網網絡。? 為學校即將建設的“一卡通數字校園”數據中心服務器群提供萬兆接入校園網。? 更換和升級原有的老舊接入交換機(100臺24口、5臺48口全千兆接入交換機)。
12.1.3、需求分析 A、網絡出口改造需求分析
目前***大學校園網絡規模較大,包括核心、匯聚(各科院、學生公寓、校辦、圖書館等等)、接入的三層網絡架構;其中服務器區域部署了對外的門戶網站系統、選課系統、正在進行新增的校園一卡通系統等以及對內的OA辦公系統、多媒體教學系統等多套系統平臺;同時有多條運營商Internet出口鏈路在運行使用中。安全防護措施只在出口部署了基本的三層安全防護(防火墻)以及簡單的流控策略。
網絡拓撲圖如下:
通過與客戶溝通交流,以及對學校網絡的分析討論,確定湖南***大學網絡目前存在以下問題:
1、***大學網絡目前沒有全網的入侵防護機制,尤其缺失針對應用的攻擊檢測和防御。
2、出口鏈路資源利用不均衡,利用率低,未針對學院應用進行優化:多條運營商出口鏈路,但未進行負載均衡以及針對不同運營商DNS智能解析和智能路由。
3、不具備完善的流量管控功能,無法根據客戶不同應用進行精細化的流量識別、管控;同時沒有針對公安部82號令,對可能的上網行為風險進行把控,存在危害性較大的政治風險(如校內非法的上網行為,涉黃、暴力、誹謗等等信息造成的社會影響)。
4、目前***大學網站無任何的應用級安全防護措施(只有傳統的防火墻簡單防護),完全暴露在攻擊環境中,存在著非常嚴重的安全風險(包括DDOS攻擊,木馬盜鏈,SQL注入,網頁篡改等等)。
5、***大學面向學生的選課系統存在一個域名,2個IP(即多臺服務器)情況,目前采取的是輪詢機制,但是該機制嚴重浪費服務器性能,并在高峰期可能造成系統癱瘓,延誤學校正常的教學課程。同樣的問題在***大學其他系統中依然存在。
6、***大學服務器集群區(數據中心)目前沒有單獨的安全防護措施(僅出口傳統防火墻簡單防護),同時沒有將對外系統和對內系統隔離,存在嚴重的安全隱患。
7、***大學目前提供對外的學校網站DNS服務,具體解決辦法是分別部署3臺DNS系統,通過雙網卡一端連接內網,一端分別連接電信、移動、聯通外網出口,電信用戶訪問學校網站則返回給對應網站域名的電信IP,移動、聯通同樣的處理模式。這種部署方式實質上將***大學整個數據中心直接暴露在外網環境中,時刻存在全數據中心被攻擊的風險,同時3DNS系統的部署方式也浪費了服務器資源,降低了資源利用率。
通過對客戶系統現狀的了解分析,以及與客戶的溝通交流,確定本次安全建設需求如下:
1、整網入侵防御系統:針對現在流行的以蠕蟲、木馬、間諜軟件、DDoS攻擊、帶寬濫用為代表的應用層攻擊,需要在核心鏈路部署入侵防御系統對整網的應用層入侵提供安全保障。
2、WEB應用安全防護:此次web系統作為對外企業門戶網站系統平臺,需要考慮在Internet上的安全因素,如跨站腳本攻擊、網頁篡改、DDOS攻擊、SQL注入攻擊、溢出攻擊等等。而WEB應用的安全防護,需要通過主動與被動結合,事前防御和事后彌補的多層次手段來達到防護目的。
3、鏈路及系統優化:
a鏈路負載:
1、inbond:根據訪問源所屬運營商,通過DNS智能解析將訪問反饋數據發送到對應運營商鏈路,提高用戶體驗。
2、outbond:由于客戶現網擁有多條出口鏈路,為了使客戶帶寬資源利用率提高,以及優化Internet訪問,需要根據訪問目的IP、域名DNS解析地址等等對出口鏈路進行負載均衡。
b服務器負載:由于***大學內外系統平臺的訪問頻繁及高流量、高峰值的特性,所以需要對系統服務器群進行訪問優化,根據每臺服務器實時性能狀態、資源耗用率,鏈路質量等等因素對業務系統進行負載均衡
4、流量控制及上網審計需求:根據公安部第82號令,以及學校自身辦公效率提升訴求,需要針對網絡出口不同流量進行智能分析處理,保障關鍵應用流量,限制無關應用,同時規范師生上網行為,防止非法上網行為給學校造成不良的社會影響。
5、DNS智能解析需求:根據不同運營商訪問源及目的,智能選擇流量路徑。
6、可對全網安全防護設備進行統一平臺管理,解決網絡異構管理難題。
B、統一認證系統需求分析
***大學目前使用的是基于802.1x協議的H3C公司和銳捷公司的兩套不同認證計費系統。隨著網絡規模的擴大,網絡應用的增多,采用該協議的認證計費逐漸遇到很多問題,主要表現在:
該協議設計之初,本是為了解決無線接入認證計費問題,為了將其引入以太網進行認證計費,不同接入交換機生產廠家對其進行了相應改造,從而導致不同廠商對該協議有不同的私有化,進而存在兼容問題,客戶如果要想新購設備,就必須購買與認證系統同一品牌交換機,否則無法接入網絡;第二,要在以太網上有效的使用該協議,就必須安裝與設備廠商配套的802.1x客戶端軟件,而且該軟件與操作系統的TCP/IP協議棧是強耦合關系,所以對應不同的操作系統(如Windows、MAC OS、Linux等)的不同版本,就有不同的客戶端版本,導致軟件兼容性問題,這給網絡運維人員帶來無盡的維護工作量;第三,目前的802.1x系統,無法按照校內/校外以及免費/收費流量進行統計,所以無法實現按照不同流量的分離計費。此外,采用802.1X的認證計費方式無法實現統一端口下,多臺終端同時上網問題(即家屬區用戶無法通過家用soho路由設備實現多臺終端上網)。然而,這種應用需求越來越強烈。最后,家用網絡電視、網絡冰箱或者物聯網終端,上網如何認證計費問題,也困擾著網絡管理者。因此,需要對認證計費系統進行改造,建設統一的網絡認證平臺,實現準入和準出的控制及按流量的認證計費。準出控制系統,采用網關型的準出控制系統,對校園用戶進行準出控制。可以有效識別用戶的收費/免費流量,同時通過與統一認證計費平臺的協同工作,可以有效控制用戶是否具有外網訪問權限,進而控制用戶訪問外網的帶寬。準入控制實現基于pppoe、ipoe及portal的準入控制。網絡中不同區域靈活選擇認證策略。
統一認證計費平臺的建設需要滿足一下場景的需求:
1、為保障未來五年內業務量的快速增長,核心網絡需要具備T級別的交換容量;
2、支持有線無線一體化接入。Portal與PPPOE方式均需支持;
3、可實現對于學生訪問學校內網不認證、不計費,只有在訪問外網時才認證、計費;
4、學生上網行為可監管,上網記錄可溯源;
5、教師在辦公區辦公時上網進行認證不計費,在家屬區上網時進行計費。另外要求,教師在辦公區上線時,也要能夠支持同一賬戶在家屬區同時上線,并且進行計費的功能。
6、對于學生和用戶的賬戶有一個暫停計費的功能,比如學生采取包月的形式,如果1號交錢,學生5號放暑假,如果學生在自助網頁上選擇5號暫停服務,則系統計費的時間段應能夠往下一個月自動后移;
7、計費系統應有針對用戶進行時間補償的功能,應用場景:如果某一地塊網絡故障,則需要對該地塊的上線用戶贈送5天免費上網的補償。
8、對于導師帶領學生做項目和教師帶領學生勤工儉學的場景,需要支持主賬號和附屬賬號的功能,比如一個導師的主免費賬號下,下掛20個附屬賬號也屬于免費賬號,并且上線時做單獨的賬戶和密碼認證。
9、主賬號和附屬賬戶的模式也須支持學校科研項目申請的方式,并支持收費。比如:學校一名教師申請了一個科研課題,拿出一定經費申請一個項目科研主賬號和多個子賬號開展工作,此時對該團隊的項目的上網計費僅需計費主賬號,主賬號一旦計費時間截止,則所有子賬號也均不能再上網。
10、支持對于各個學院的專線接入開會功能,如實驗室采用專線接入,則應支持對專線用戶開戶,開戶后對專線用戶的整體接入帶寬和不對下面的接入用戶再進行認證和計費限制;
11、對于打印機等啞終端的接入做MAC地址認證和IP綁定;
12、全網IPv4/V6雙棧部署,并充分考慮向全IPv6網絡的過渡;
13、考慮運營商用戶接入,校方和運營商之間在用戶認證計費管理運維上能實現協同; C、網絡扁平化需求分析
使校園網的功能劃分更清晰,核心層設備由于性能很強可以對新功能新業務能夠提供良好的支持,匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加,管理上面顯得更加簡單;校園網扁平化網絡并不是意味著網絡物理層次的減少,而是網絡邏輯層次的扁平。構建扁平化的網絡架構就是將原來各個層次模糊的功能區分清晰化,不同層次之間各司其職,有利于管理和維護,這種簡單化的架構使得網絡有更高的效率。由三層結構變為二層結構,在這種網絡架構下面可以使用高性能多業務路由器作為整個網絡的核心設備替代原有架構的高端三層交換機,使更多的組播、線速轉發、用戶論證和審計等核心工作由功能和性能均強大的設備來完成,從而實現整個校園網的高性能。
對原有校園網架構升級改造為扁平化的網絡架構后對于系統管理員和普通用戶而言,其應用效果表現在:
1)一個簡單的的網絡架構:也就是將原有的多達三層或更多層的校園網結構簡化為了二層結構,即業務控制層(核心網絡層)和寬帶接入層(接入層),在邏輯意義上面實現了網絡結構的平滑過渡。
2)一個多業務的系統:指網絡平臺支持用戶接入、認證、審計、計費、帶寬管理、行為控制,同時也支持MPLS VPN、IPv6、組播業務的應用和快速部署。
3)一個統一身份認證的平臺:實現了有線、無線用戶的任意漫游,也實現了不同系統之間用戶的統一認證,避免重復地多次認證,提高用戶了體驗。
4)一個透明的網絡:校園網對用戶仍然是透明的,用戶無需關心網絡流量如何轉發,用戶無論在哪里登錄,都可以獲得相同的訪問權限和帶寬保障。
D、一卡通專網需求分析
隨著微電子技術、計算機技術、網絡技術、通訊技術的飛速發展,“數字化校園”已經不單單是一個概念,各大高校已經陸陸續續地開始對校園網進行數字化建設。其中,校園“一卡通”系統以其便捷、高效、安全、環保等特點成為了數字化校園建設的重要組成部分。
校園“一卡通”以智能卡為信息載體,融合了各領域諸多高新科技,使其具有電子身份識別和電子錢包的功能。能夠替代校園內日常生活所需各種證件以及完成校園內的各種支付業務,如:飯卡、醫療卡、上網卡等。最終達到教、學、考、評、住、用的全面數字化和網絡化,真正實現了“一卡在手,走遍校園”。
***大學的校園主干網部分是整個校園一卡通系統的核心,消費結算中心各種數據服務器和各種自助圈存設備通過校園主干網與各終端設備和銀行網絡的前置機進行通信。為了保證網絡系統的安全性和便于管理,一般采用專網形式,獨立于校園網。一卡通網絡可以采用基于校園網的內部虛擬專用網(virtual?private?network),即在校園網絡基礎設施上建成的專用數據通信網絡。數據通過安全的加密隧道在校園網中傳輸,從而保證通信的保密性。vpn與一般網絡互聯的關鍵區別在于用戶的數據通過校園網中建立邏輯隧道進行傳輸,數據包經過加密后,按隧道協議進行封裝、傳送,并通過相應的認證技術來實現網絡數據的專有性。
校園網一卡通主干網(高速以太網)部分,要求所有的以太網設備在vlan部分和現有的校園網設備隔離,保證現有的校園網和一卡通部分是兩個網絡,設備不允許互相訪問。同時為了共享已有的校園網資源,所以,一卡通與校園網采用防火墻進行單通道連接,保證一卡通網絡能訪問校園網數據,如:信息化校園建設必不可少的對統一身份認證服務器和門戶網站的訪問。但校園網不能隨意訪問一卡通專網,這樣將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,使得一卡通網絡上的設備能夠安全、穩定的運行。
一卡通網絡結構可以分為三層。一卡通網絡的中心層,是以數據庫服務器為中心的局域網的分布式結構。中心層設置中心交換機,與身份認證系統,卡務管理機,結算管理機,結算中心服務器一起構成一卡通網絡與結算中心,它是一卡通系統的管理平臺、身份認證平臺和數據庫中心。通過光纜與各結點相連與一卡通網絡的中心組成第一層網絡結構,設置二級交換機。第三層為以第一層局域網的網絡工作站作為控制主機的控制各個ic卡收費終端的網絡。連接到專網的串口設備子網,以及專網計算機校園網和銀行金融網的接口,要同期設計建設。一卡通專網采用tcp/ip網絡協議。整個一卡通專網所用交換機,建議采用端口mac地址綁定,使每個端口只能設置唯一的ip地址,連接特定的設備,從而保證了整個網絡的安全性。
通過網絡分段實現
首先是網絡分段。在實際應用過程中,通常采取物理分段(即在物理層和數據鏈路層)上分為若干網段與邏輯分段(即把網絡分成若干ip子網)相結合的方法來實現對網絡系統的安全性控制。
其次,關于vlan的實現。虛擬網技術主要基于近年高速發展的局域網交換技術(atm和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。以太網從本質上基于廣播機制,但應用了交換機和vlan技術后,實際上轉變為點到點通訊。如上圖,不同系統在網上劃分為不同的虛擬網,如“一卡通”卡務中心和消費系統劃分在不同的vlan段,通過以下相應的vlan劃分方法來提高網絡安全。
1、基于端口的vlan,就是將交換機中的若干個端口定義為一個vlan,同一個vlan中的計算機具有相同的網絡地址,不同vlan之間進行通訊需要通過三層路由協議,并配合mac地址的端口過濾,就可以防止非法入侵和ip地址的盜用問題。
2、基于mac地址的vlan,這種vlan一旦劃分完成,無論節點在網絡上怎樣移?動,由于mac地址保持不變,因此不需要重新配置。但是如果新增加節點的話,需要對交換機進行復雜的配置,以確定該節點屬于哪一個vlan。
3、基于ip地址的vlan,新增加節點時,無須進行太多配置,交換機根據ip地址會自動將其劃分到不同的vlan。這中vlan智能化最高,實現最復雜。一旦離開該vlan,原ip地址將不可用,從而防止了非法用戶通過修改ip地址來越權使用資源。
E、數據中心網絡需求分析
數據中心交換機負責整個校園網數據中心平臺上應用業務數據的高速交換。兩臺數據中心交換機分別與計算池、存儲池、WEB應用服務器以及管理區連接,數據中心交換機與計算池、存儲池、WEB應用服務器間均采用萬兆接口捆綁互聯。
兩臺數據中心部署IRF2虛擬化技術,簡化路由協議運行狀態與運維管理,同時大大縮短設備及鏈路出現故障快速切換,避免網絡震蕩。IRF2互聯鏈路采用2*10GE捆綁,保證高可靠及橫向互訪高帶寬。
12.1.4、方案設計 A、網絡出口方案設計
通過與客戶進行技術交流,需求收集及分析,此次湖南***大學網絡的整體安全改造解決方案包含系統出口入侵防御系統、WEB應用安全防護、鏈路和系統服務優化及DNS智能解析(負載均衡)、流量控制及上網行為審計等六大方面。通過多層次、多緯度的防護技術和客戶系統的應用交付優化措施,為客戶網絡完成全方位無縫隙的安全防護,以及更優的用戶體驗。
客戶系統通過本方案的建設部署后,整體拓撲如下: 湖南師范大學拓撲圖備注:千兆線路萬兆線路電信移動聯通教育網負載均衡入侵防御系統上網行為管理Web應用防火墻DPX8000匯聚交換機服務器區域核心2核心1匯聚層食堂體育館圖書館網絡中心實驗樓學生處教學樓綜合樓學生區匯聚層接入層接入層
通過我司的解決方案部署(如上圖),將我司DPX8000深度業務交換網關產品替換掉原有的3層基礎防火墻,通過在DPX8000擴展槽插卡多類業務板卡(如IPS、負載均衡、漏洞掃描、WAF等等),解決***大學網絡L4-7層安全措施缺乏的問題,同時將***大學內外系統(數據中心)隔離,外網作為單獨的DMZ區與DPX8000相連,web服務器部署我司網頁防篡改產品(Webshield)配合我司WAF業務板卡對***大學web業務進行主動、被動結合的安全防護,而在內部系統(數據中心)出口部署我司負載均衡,單獨防護并對內網系統進行應用優化,并通過我司UMC統一管理平臺進行管理,解決網絡異構管理的難題,最終完成對***大學網絡整體、多層次、基于不同應用安全需求的安全防護。
建設思路
針對目前的網絡概況,將在本次網絡中部署迪普科技深度業務交換網關DPX8000實現***大學網絡多維度安全防護,通過多塊業務板卡在DPX8000上的部署,實現出口入侵防御系統、WEB應用安全防護、鏈路和系統服務優化及DNS智能解析(負載均衡)、流量控制及上網審計等全方位的安全和應用優化功能。
隨著VoIP、高清視頻、Web2.0、云計算等新技術的廣泛應用,網絡數據傳輸容量出現了幾何級增長,據吉爾德定律預示,未來25年,帶寬每六個月將增加一倍。如此飛速增長的數據業務不僅將使網絡架構變得非常復雜,也將面臨網絡安全、應用體驗性、業務持續可用等巨大挑戰。傳統的解決方法是使用大容量交換設備之外部署防火墻、IPS、流量控制、應用交付等深度業務處理設備,這種網絡層與業務層相分離的架構初期比較靈活,但卻只能適用于小型網絡,主要原因有:
? 設備的不斷疊加使得網絡變得越來越復雜,并帶來大量單點故障 ? 數據報文的多次重復解析和處理,造成網絡性能的衰減和延遲的增加
? 多廠商、多設備間相互兼容困難,特別是隨著網絡規模和組網模式的不斷革新,難以實現性能、功能、接口的按需擴展
? 網絡與安全技術兼容困難,如MPLS VPN、IPv6、虛擬化等 ? 各設備間物理和邏輯都是分割的,無法統一管理
很顯然,這種“葫蘆串”的簡單疊加模式看似合理,但已遠遠落后于用戶業務需求的增長速度,不僅會耗費大量人力物力,造成資源的浪費,同時也會使得網絡變得異常復雜,帶來可靠性、性能、擴展能力、網絡兼容性、管理等大量新問題。
如何有效解決上述問題,在大容量線速無阻塞轉發條件下,保證網絡及業務的安全、快速、可用?隨著網絡標準化、虛擬化、智能化程度的不斷提高,只有通過將交換、應用和業務進行深度整合,并借助虛擬化技術實現網絡層和業務層的無縫融合,才能達到簡化網絡架構、提高網絡效率、在融合過程中保護用戶既有資源的目的。DPtech 正是在此背景下推出了DPX8000系列深度業務交換網關,包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款產品。
DPX8000系列產品基于DPtech自主知識產權的ConPlat軟件平臺,集業務交換、網絡安全、應用交付三大功能于一體。在提供IPv4/IPv6、MPLS VPN、不間斷轉發、環網保護等豐富網絡特性基礎上,還可以提供應用防火墻、IPS、UAG、異常流量清洗/檢測、應用交付等深度業務的線速處理,是目前業界業務擴展能力最強、處理能力最高、接口密度最高的深度業務交換網關,旨在滿足運營商、數據中心、大型企業的高性能網絡深度業務處理需要。
入侵防御系統
通過我司入侵防御系統IPS2000業務板塊的部署,完成對***大學出口整網的入侵檢測和防御(深度內容檢測技術),迪普獨有的“并行流過濾引擎”技術,在保證網絡高安全的同時完成數據的線速處理,保障客戶體驗。
隨著網絡的飛速發展,以蠕蟲、木馬、間諜軟件、DDoS攻擊、帶寬濫用為代表的應用層攻擊層出不窮。傳統的基于網絡層的防護只能針對報文頭進行檢查和規則匹配,但目前大量應用層攻擊都隱藏在正常報文中,甚至是跨越幾個報文,因此僅僅分析單個報文頭意義不大。IPS正是通過對報文進行深度檢測,對應用層威脅進行實時防御的安全產品。但目前大多數IPS都是從原有的IDS平臺改制而來,性能低、誤報和漏報率高、可靠性差,尤其是在新應用不斷增多、特征庫不斷增長的情況下,性能壓力持續增加,只能通過減少或關閉特征庫來規避。這樣的IPS不僅起不到安全防御的作用,甚至會成為網絡中的故障點。
如何保證IPS在深度檢測條件下仍能保證線速處理、微秒級時延?很顯然,傳統的基于串行設計思想的硬件和軟件架構,無論是X86、ASIC或是NP,都無法承受成千上萬條且在不斷更新中的漏洞庫,更不用說再增加病毒庫、應用協議庫??。迪普科技在IPS2000 N系列IPS中,創新性的采用了并發硬件處理架構,并采用獨有的“并行流過濾引擎”技術,性能不受特征庫大小、策略數大小的影響,全部安全策略可以一次匹配完成,即使在特征庫不斷增加的情況下,也不會造成性能的下降和網絡時延的增加。同時,迪普科技IPS還采用了管理平面和數據平面相分離技術,這種的分離式雙通道設計,不僅消除了管理通道與數據通道間相互耦合的影響,極大提升了系統的健壯性,并且數據通道獨特的大規模并發處理機制,極大的降低了報文處理的時延,大大提升了用戶體驗。以IPS2000-TS-N為例,IPS2000-TS-N是全球第一款可提供萬兆端口的IPS產品,即使在同時開啟其內置的漏洞庫、病毒庫、協議庫后,性能依然可達萬兆線速,目前已成功部署于多個大型數據中心、園區出口。
漏洞庫的全面性、專業性、及時性是決定IPS能否有效防御的另一關鍵。迪普科技擁有專業的漏洞研究團隊,不斷跟蹤其它知名安全組織和廠商發布的安全公告,并持續分析、挖掘、驗證各種新型威脅和漏洞。迪普科技IPS漏洞庫以定期(每周)和緊急(當重大安全漏洞被發現)兩種方式發布,并且能夠自動分發到用戶駐地的IPS中,從而使得用戶駐地的IPS在最快時間內具備防御零時差攻擊(Zero-day Attack)的能力,最大程度的保護用戶安全。目前,迪普科技已成為中國國家漏洞庫的主要提供者之一。借助迪普科技專業漏洞研究團隊的持續投入和漏洞庫的持續升級,不僅顯著提升了IPS的可用性,并極大減少了IPS誤報、漏報給用戶帶來的困擾。
IPS2000 N系列是目前全球唯一可提供萬兆線速處理能力的IPS產品,并在漏洞庫的基礎上,集成了卡巴斯基病毒庫和應用協議庫,是針對系統漏洞、協議弱點、病毒蠕蟲、DDoS攻擊、網頁篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應用層深度防御平臺。IPS2000 N系列部署簡單、即插即用,配合應用Bypass等高可靠性設計,可滿足各種復雜網絡環境對應用層安全防護的高性能、高可靠和易管理的需求,是應用層安全保障的最佳選擇。IPS2000-Blade業務板技術特點
? 業界最高端IPS,萬兆線速處理能力,特征庫增加不會造成性能下降 ? 管理平面與數據平面雙通道設計,極大提升了系統健壯性 ? 專業漏洞研究團隊,是中國國家漏洞庫的主要提供者之一 ? 內置專業防病毒引擎,病毒樣本十萬條以上,可防御各類病毒 ? 高效豐富的DDoS攻擊防護能力
? 實時的響應方式:阻斷、限流、隔離、重定向、Email ? 掉電保護、應用Bypass等高可靠性機制,確保IPS不會成為網絡故障點 ? 靈活的部署模式:在線模式、監聽模式、混合模式 ? 支持分布式管理 功能介紹
? 一體化安全防護
DPtechIPS2000-Blade入侵防御系統模塊直接嵌入在DPtech DPX A3/DPX A5/DPX A12系列深度業務交換網關,即可實現入侵防御功能,不改變原網絡的結構,與網絡設備配合完成安全業務網關的工作,為用戶提供一體化的安全保護,降低了用戶首次和后續擴容的投入成本。
? 入侵防御與檢測
支持緩沖溢出攻擊、蠕蟲、木馬、病毒、SQL注入、網頁篡改、惡意代碼、網絡釣魚、間諜軟件、DoS/DDoS、零日攻擊、流量異常等各種攻擊的防御。
? 病毒防范
內置卡巴斯基病毒庫,支持10萬條以上病毒庫;支持防御文件型、網絡型和混合型等各類病毒;支持新一代虛擬脫殼和行為判斷技術,準確查殺各種變種病毒、未知病毒。
? 流量控制
對迅雷、BT、eDonkey、eMule、網際快車、PPLive、QQLive、MSN、QQ等主流應用流量進行深度識別并進行管控。
? DDos防護
支持SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等DDoS攻擊防護
? 全面、及時的攻擊特征庫
攻擊特征庫是檢測引擎進行攻擊檢測的依據,沒有完善的攻擊特征庫,再強大的檢測引擎也無法發揮作用,就像動力強勁的發動機沒有合適的、足夠的燃油一樣。DPtech公司多年的網絡技術與安全技術積累,造就了資深的攻擊特征庫團隊和安全服務團隊,建有攻防實驗室,緊跟網絡技術與安全技術的發展前沿和網絡攻防的最新動態,定期更新并發布攻擊特征庫升級包,源源不斷地為強大的檢測引擎注入高質量的燃油。
DPtech公司的攻擊特征庫具有如下特點:
1、覆蓋全面,包含了主流操作系統、主流網絡設備、主流數據庫系統、主流應用軟件系統的全部漏洞特征,同時也包含了黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、網絡釣魚、P2P、IM、網游等網絡攻擊或網絡濫用特征;
2、更新及時,常規情況下每周進行攻擊特征庫更新,緊急情況下24小時內提供更新的攻擊特征庫;
3、攻擊特征庫與國際權威的漏洞庫CVE兼容;攻擊特征庫雖然兼容國際,但仍根植中國,更多關注國內特有的網絡安全狀況,及時對國內特有的攻擊提供防御;攻擊特征庫包含了與該攻擊相關的詳細描述,包括攻擊的目標系統信息、攻擊的危害程度、攻擊的解決方法等;
4、攻擊特征分類合理、細致,易于查詢、易于歸類操作。? 實用、強大的業務增值功能
DPtechIPS2000-Blade入侵防御系統模塊除了能有效、實時地抵御網絡攻擊外,還提供了豐富實用的IPS之外的其他業務增值功能,如基于應用的帶寬管理、URL過濾等,可為客戶帶去更多的業務體驗、更高的性價比,從而使客戶獲得更高的投資收益率。? 基于應用的帶寬管理
DPtechIPS2000-Blade入侵防御系統模塊的協議識別功能支持1000多種應用協議的識別,在這個協議識別的基礎上,IPS模塊可以對各種應用進行靈活的帶寬控制,限制非關鍵應用,并保證了客戶網絡上關鍵應用的帶寬。? 客戶定制的URL過濾
DPtechIPS2000-Blade入侵防御系統模塊提供了URL過濾功能,客戶可自定義URL過濾規則實現對敏感網頁和網頁內容進行過濾,URL過濾規則支持正則表達式。? 安全技術與網絡的深度融合
DPtechIPS2000-Blade入侵防御系統模塊融合了豐富的網絡特性,支持MPLS、802.1Q、QinQ、GRE、PPPoE等網絡協議,可在各種復雜的網絡環境中實現透明接入組網。? 豐富的響應方式
IPS在分析報文檢測到異常情況后,需要采取一個特定的響應動作。DPtechIPS2000-Blade入侵防御系統模塊提供了豐富的響應方式,包括阻斷、限流、TCP Reset、抓取原始報文、隔離、Email告警、Syslog上報、記本地日志等。各響應方式可以相互組合,并且設備出廠內置了一些常用的動作組合,以方便客戶使用。其中DPtech公司獨特設計的重定向和隔離響應方式,不但能有效防止安全威脅在網絡上擴散,而且還能及時通知有安全威脅的客戶端相關的安全事件。? 強大、靈活的管理功能
DPtechIPS2000-Blade入侵防御系統模塊提供了強大、靈活的管理功能,DPtech公司在設計IPS管理功能的時候既考慮了客戶單臺或小規模部署時的輕便管理系統設計,又考慮了客戶大規模部署時的集成管理系統設計。
1、完備、實用的單機管理
在單臺或小規模部署時,為了讓客戶節約設備成本和管理成本,DPtechIPS2000-Blade入侵防御系統模塊提供了單機的基于Web的圖形化管理系統,讓客戶不用單獨購買、部署額外的管理服務器硬件和管理軟件就能實現對IPS的圖形化管理。DPtechIPS2000-Blade入侵防御系統模塊的單機管理系統的功能雖然沒有它的集中管理系統強大,但是所有管理功能也是完備的,包括安全策略管理(如安全策略配置、下發等)、攻擊事件管理(如攻擊事件查詢、統計分析、報表等)、各種對象管理等。同時,DPtechIPS2000-Blade入侵防御系統模塊的單機管理系統界面友好,方便易用,客戶無需安裝專門的客戶端軟件,直接采用標準瀏覽器即可實現一目了然的圖形化管理。
2、強大的集中管理
在大規模部署時,為了讓客戶對全網網絡安全動態進行統一的監控,DPtechIPS2000-Blade入侵防御系統模塊提供了強大的集中管理系統,客戶通過集中管理系統可以在全網范圍內制定統一的安全策略,方便地分發到各地的IPS設備上,同時各地的IPS設備上產生的攻擊事件可以集中上報到集中管理中心,管理中心對全網范圍內的安全事件進行集中的統計分析,并提供各種直觀、詳細的報表,在全景式的分析報表中,客戶可以輕松地看到整網過去的安全狀況和未來的安全趨勢 Web應用安全防護
通過我司WEB應用防火墻WAF3000業務板塊的部署,在web服務器前端的部署,完成對***大學WEB網站主動、被動相結合的安全防護。
隨著市場需求以及產業的發展,互聯網已邁進Web應用時代。如今,Web業務平臺已經在企業信息化中得到廣泛應用,很多企業都將應用架設在Web平臺上,在通過瀏覽器方式實現展現與交互的同時,用戶的業務系統所受到的威脅也隨之而來,并且隨著業務系統的復雜化及互聯網環境的變化,所受威脅也在飛速增長。Web業務的迅速發展同時引起了黑客們的強烈關注,他們將注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對 Web 業務的攻擊上。
近幾年,國內因為Web安全漏洞引發的安全事件常有發生,從政府網站、到互動社區,都受到來自黑客的攻擊,攻擊事件造成的經濟損失及影響極大。企業在向客戶提供通過瀏覽器訪問企業信息功能的同時,企業所面臨的風險在不斷增加。隨著Web應用程序的增多和網絡技術的發展,Web應用所帶來的安全漏洞越來越多,同時,被用來進行攻擊的黑客攻擊也越來越多,伴隨而來的是在經濟利益的驅動下,黑客活動主要表現在兩個層面:一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。
傳統防火墻、入侵檢測等安全類產品主要是針對鏈路層、網絡層信息進行威脅識別,然而,從近幾年網站篡改的大量案例來看,攻擊過程所包含的信息內容在鏈路層、網絡層都是合法的,問題其實主要出現在應用層面,因此傳統的安全防護體系對此類攻擊的防范效果不甚理想。需要應用層安全防護硬件產品解決方案來實現整體網站防護。
Web安全問題本質上是軟件代碼質量問題。但web應用較傳統的軟件,具有其特性。Web應用大多需要頻繁的變更以滿足新業務的需求,而開發人員往往只注重業務的可行性,而忽略安全性的考慮。理想的情況是軟件開發人員能夠按照安全的編碼原則進行Web開發,但對于這些已經上線,正提供對外業務的Web應用,因整改代碼代價過大而較難實行。針對這種問題,Web應用防火墻應運而生。它不同于傳統的安全設備如IPS,防火墻,只針對L4層進行檢測,而針對Web的攻擊大多是在L7應用層發生的。Web應用防火墻通過對HTTP流量的雙向分析,為WEB應用提供實時的防護。
通過應用層安全設備(迪普科技的WAF)可以實現基于網關的防護,將網絡中各種威脅流量清除。同時,為避免各種直接連接到、繞過網關防御而到達網站服務器的攻擊,則需要通過基于服務器的軟件產品進行防護,這個軟件系統就是杭州迪普科技有限公司推出的DPtech WebShield網站防護系統(以下簡稱:系統)。
WAF300-Blade業務板技術特點
? 先進的多核硬件架構,實現高性能的安全防護 ? 漏洞防護:SQL注入、跨站腳本攻擊、會話劫持 ? 流量優化:負載均衡、WEB加速、SSL卸載 ? HTTP協議加固、網頁防惡意篡改 ? 應用層DDoS攻擊防御 ? 冗余電源、無縫接入等高可靠性
迪普科技推出了基于全新多核處理器硬件架構的DPtech WAF3000系列Web應用防火墻產品。WAF3000系列產品是迪普科技面向企業、政府、運營商等各行業用戶開發的新一代網絡安全防護設備,能夠有效抵御包括SQL注入、跨站腳本攻擊、會話劫持、應用層DDoS、網頁篡改在內的各種高危害性Web攻擊。同時,WAF3000產品還具有強大的Web流量優化和負載均衡等功能,可對大型服務器進行流量整形、Web加速、SSL卸載等功能,是集Web攻擊防御、協議加固、流量優化于一體的全面Web網絡安全防護設備。
Web攻擊手段層出不窮,因此Web應用防火墻需要具備及時防御和升級的能力,DPtech WAF3000產品可通過持續不斷地更新,使用戶在最快的時間內獲得最新的特征庫,確保為用戶提供最安全及時的Web應用防護。功能介紹
全方位Web防護功能 ? 參數攻擊防護
OWASP最新的“Web應用十大安全風險”中,前兩位分別是注入攻擊和XSS(跨站式腳本攻擊),這兩種攻擊方式均是與HTTP請求參數密切相關的。參數攻擊防護的重要性可見一斑。
? Sql注入攻擊防護
Sql注入往往是應用程序缺少對輸入進行安全檢查所引起的,攻擊者把一些包含sql指令的數據發送給解釋器,解釋器會把收到的數據轉換成指令執行。這種攻擊所造成的后果往往很大,一般整個數據庫的的信息都能被讀取或篡改,通過SQL注入,攻擊者甚至能夠獲得更多的包括管理員的權限。DPtech WAF3000支持對GET POST COOKIE注入檢測。對風險語句進行告警和阻斷,防止惡意請求對數據進行篡改。
? Xss攻擊防護
XSS指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意用戶的特殊目的。DPtech-WAF3000設備能夠對用戶提交的數據進行檢測,阻斷含有惡意腳本的請求。
? 命令注入防護
隨著web服務器平臺的迅速發展,它們已經能夠使用內置的API與服務器的操作系統進行幾乎任何必須得交互。如果正確使用,這些API可以幫助開發者訪問文件系統、連接其他進程、進行安全的網絡通信。但是有時候開發者往往直接向服務器發送操作系統命令。但是,如果向操作系統命令傳入用戶提交的輸入,就很有可能受到命令注入攻擊,使得統計者能夠提交專門設計的輸入,修改開發者想要執行的命令。WAF可以通過屏蔽各種操作系統命令,設定系統參數長度,阻斷元字符等方式阻止黑客進行各種命令注入攻擊。
? 目錄遍歷攻擊
現在許多web功能強迫應用程序根據用戶在請求中提交的參數向文件系統讀取或寫入數據。如果不以安全的方式執行這些操作,攻擊者就可以提交專門設計的輸入,使得應用程序訪問開發者并不希望它訪問的文件,這稱之為目錄遍歷漏洞。攻擊者可以利用這種缺陷讀取秘密和程序日志等敏感信息,修改配置文件和軟件代碼。WAF能夠通過智能分析請求目錄異常行為,對惡意訪問行為進行阻斷。
? Web常規攻擊
DPtech-WAF3000能夠對諸如遠程包含,遠程數據寫入,等上千種常規ips攻擊進行識別,阻斷。
? HTTP協議攻擊防護
? HTTP請求正規化檢查
通過對HTTP協議請求方法,版本,等協議格式進行正規化校驗,避免出現諸如拆分攻擊等通過協議盲點進行惡意攻擊。
? Cookie正規化檢查
通過對請求中Cookie 中的SESSION進行校驗,防止通過畸形SESSION竊取服務器中用戶私有信息。
? 緩沖區溢出攻擊防護
緩沖區溢出是指當計算機向緩沖區內填充數據位數時超過了緩沖區本身的容量溢出的數據覆蓋在合法數據上,理想的情況是程序檢查數據長度并不允許輸入超過緩沖區長度的字符,但是絕大多數程序都會假設數據長度總是與所分配的儲存空間相匹配,這就為緩沖區溢出埋下隱患。DPtech WAF3000系列產品能夠對HTTP請求行和請求頭雙向流進行檢測,通過特征檢測和閾值阻斷來保護Web服務器正常運作。? 應用層DOS攻擊防護
DDOS,分布式拒絕服務攻擊.很多DoS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊.,而應用層DDOS又有其特有的屬性,通過對HTTP請求進行限制保護能夠有效阻止DOS攻擊。DPtech WAF3000系列產品支持SYN flood,HTTP flood,XML DOS等常見DOS攻擊。
? 多種策略防護方式
DPtech WAF3000系列產品支持多種策略防護方式:
? url黑白名單策略防護
通過url黑白名單可以對特定用戶限定其訪問路徑范圍。對部分網頁進行保護。
? usr-agent黑白名單策略防護
能夠通過跟蹤用戶信息字段,阻斷非法用戶請求。
? 用戶請求細粒化配置防護
能夠限定包括用戶請求方法,參數范圍、長度,請求報頭長度,提交數據長度,還可以通過配置正則表達式對請求url參數進行正規化限制。通過以上細粒化配置可以有效跟蹤,防護各種攻擊方式。? 會話劫持防護
會話劫持是指通過仿冒客戶session獲取用戶權限并進行一系列危害用戶的行為。WAF支持加密,摘要和重放保護機制防止攻擊者通過會話劫持竊取和篡改服務器中的用戶信息等行為。
? 敏感關鍵詞過濾及服務器信息防護
? 非法關鍵字過濾
通過配置能夠隱藏或阻斷用戶提交信息或網頁中包含的敏感關鍵詞,防止非法內容發布。
? 爬蟲行為智能過濾
能夠對訪問服務器的爬蟲進行分類阻斷,防止爬蟲消耗大量服務器資源。
? 服務器敏感信息防護
能夠過濾服務器側的基本信息,諸如服務器版本號,應用類型等易被黑客利用的信息。
? 服務器錯誤信息替換
對服務器的錯誤信息返回進行過濾,防止攻擊者搜集服務器錯誤信息。做到對攻擊的“事前”防護。
? 關鍵文件防護
能夠對關鍵文件下載進行阻斷。防止黑客通過搜集服務器殘留的測試腳本,目錄文件,殘舊數據庫分析服務器漏洞或竊取用戶信息。
? 惡意文件上傳防護
通過對上傳文件檢查,防止黑客通過繞過認證等限制上傳木馬,病毒等惡意行為。負載均衡功能
? 豐富的負載均衡調度算法
調度算法指對需要負載均衡的流量,按照一定的策略分發到指定的服務器群中的服務器或指定鏈路組的某條鏈路上,使得各臺服務器盡可能地保持負載均衡。調度算法以連接為粒度,同一條連接的所有報文都會分發到同一個服務器上。這種細粒度的調度在一定程度上可以避免單個用戶訪問的突發性引起服務器間的負載不平衡。
負載均衡技術持豐富的負載均衡調度算法。不同調度算法所實現的負載均衡效果不同,可以需要根據具體的應用場景,采用不同的算法。? 靜態調度算法
靜態算法,即按照預先設定策略,進行分發,不考慮當前各實服務的實際負載情況。算法特點:實現簡單,調度快捷。
? 輪轉(Round Robin Scheduling)
依次將請求分發到不同的服務器上,使得各個真實服務器平均分擔用戶的連接請求。如:實服務群中包含三個實服務A、B、C,假設各實服務均未達到連接上限,最后分發給A、B、C的連接數之比為1:1:1。
適用場景:服務器集群中各服務器性能相當,無優劣之分。? 加權輪轉(Weighted Round Robin Scheduling)
按照權值大小,依次將請求分發到不同的服務器上,權值大的分配較多請求,權值小的分配較少請求。該算法可以解決服務器間性能間帶寬不一的問題,權值標識服務器間性能差異。
如:實服務組中包含三個實服務A、B、C,其配置權值分別為:4、3、2。假設各實服務均未達到連接上限,最后分發給A、B、C的連接數之比為4:3:2。
適用場景:服務器集群中各服務器性能存在差異。
? 隨機(Random Scheduling)
將請求隨機分發到不同的服務器上。從統計學角度看,調度結果為各個服務器平均分擔用戶的連接請求。
適用場景:服務器集群中各服務器性能相當,無優劣之分。
? 加權隨機(Weighted Random Scheduling)
將請求隨機分發到不同的服務器上。從統計學角度看,調度結果為各個服務器按照權值比重分擔用戶的連接請求,最后的比值和加權輪轉一致。
適用場景:服務器集群中各服務器性能存在差異。
? 基于源IP的Hash(Source IP Hashing Scheduling)
通過一個散列(Hash)函數將來自同一個源IP的請求映射到一臺服務器上。適用場景:需要保證來自同一個用戶的請求分發到同一個服務器。
? 基于源IP端口的Hash(Source IP and Source Port Hashing Scheduling)
通過一個散列函數將來自同一個源IP和源端口號的請求映射到一臺服務器上。適用場景:需要保證來自同一個用戶同一個業務的請求分發到同一臺服務器。
? 基于目的IP的Hash(Destination IP Hashing Scheduling)
通過一個散列函數將去往同一個目的IP的請求映射到一臺服務器上。
適用場景:需要保證到達同一個目的地的請求分發到同一臺服務器。適用于網關負載均衡和鏈路負載均衡。? 動態調度算法
相對于靜態算法,動態算法根據各實服務實際運行中的負載情況進行連接分發,分發效果更均衡。
? 最小連接(Least Connection Scheduling)
負載均衡設備根據當前各服務器的連接數來估計服務器的負載情況,把新的連接分配給連接數最小的服務器。該算法能把負載差異較大(連接保持時長差異較大)的請求平滑分發到各個服務器上。
適用場景:服務器集群中各服務器性能相當,無優劣之分,不同用戶發起的連接保存時長差異較大。
? 加權最小連接(Weighted Connection Scheduling)
調度新連接時盡可能使服務器的已建立活動連接數和服務器權值成比例,權值表明了服務器處理性能。
適用場景:服務器集群中各服務器性能存在差異,不同用戶發起的連接保存時長差異較大。
? 豐富的健康性檢測方法
所謂健康檢測,就是負載均衡設備定期對真實服務器狀態進行探測,收集相應信息,及時隔離工作異常的服務器。健康檢測的結果除標識服務器能否工作外,還可以統計出服務器的響應時間,作為選擇服務器的依據。
負載均衡技術支持豐富的健康性檢測方法,可以有效地探測和檢查服務器的運行狀態。
? ICMP 向服務器集群中的服務器發送ICMP Echo報文,若收到ICMP Reply,則服務器正常。
? TCP 向服務器集群中服務器的某端口發起TCP連接建立請求,若成功建立TCP連接,則服務器正常。
? HTTP 與服務器集群中服務器的HTTP端口(默認情況為80)建立TCP連接,然后發出HTTP請求,若收到的HTTP應答內容正確,則服務器正常。? 持續性功能
一次業務交互可能包括多個TCP連接,如FTP應用(包含一個控制通道和多個數據通道)和HTTP應用。這些TCP連接間有些存在顯式關聯關系,如FTP應用,數據通道的TCP連接是通過控制通道協商得來的。有些存在隱含的關聯關系,如HTTP網絡購物,多條連接組成一次業務應用,且多個連接并不像FTP應用一樣有“父子”之分,能通過父通道獲取子通道信息,但所有該業務的請求應發給同一服務器,否則可能造成無法完成所請求的功能,因為其數據報文中攜帶隱含關聯信息,如cookie。
將屬于同一個應用層會話的多個連接定向到同一服務器的功能,就是持續性功能。根據持續性原則,建立會話表項,保證后續業務報文都送往同一個服務器處理。比如使用源地址建立持續性表項,保證持續性。? 具有顯式關聯關系持續性功能
如前所述,FTP應用的多條TCP連接之間具有顯式關聯關系:子通道五元組是通過父通道協商得來的。因此負載均衡設備對于FTP應用會逐包分析父通道報文,一旦發現子通道協商信息,就會利用該信息建立父通道會話關聯表項,當子通道首報文到來時,根據關聯表項和父會話表項建立完整的會話表項,從而保證父子通道登錄同一臺服務器。顯式關聯關系由負載均衡設備自動識別,無需配置策略。
? 具有隱式關聯關系持續性功能:
1、基于源IP地址的持續性功能
基于源IP地址的持續性功能常用于服務器負載均衡應用中,用以確保同一個客戶端的業務能分配到同一個服務器中。
負載均衡設備接收到某一客戶端的某一業務的首次請求時,建立持續性表項,記錄為該客戶分配的服務器情況,在會話表項生存周期內,后續相同源IP地址的業務報文都將發往該服務器處理。
2、基于目的IP地址的持續性功能
基于目的IP地址的持續性功能常用于鏈路負載均衡應用中,用以確保去往同一個目的地址的業務能分配到同一條鏈路上。
負載均衡設備接收到某一客戶端的某一業務的首次請求時,建立持續性表項,記錄為該客戶分配的鏈路情況,在會話表項生存周期內,后續相同目的IP地址的業務報文都將分發到該鏈路轉發。
? 基于Cookie和header的持續性功能常用于web服務器需要用戶攜帶私有信息或某些特定信息的服務器負載均衡應用中,用來確保同一個用戶能夠去往同一個目的地址。Cookie支持4種持續性方式,包括插入模式,重寫模式,被動模式,HASH模式。
? 4~7層的負載均衡
基于第四層(L4)的負載均衡在截取數據流以后,對數據包檢查與分析的部分僅限于IP報頭及TCP/UDP報頭,而不關心TCP或UDP包的內部信息。而基于L7的負載均衡則要求負載均衡設備除了支持L4負載均衡以外,還要解析數據包中4層以上的信息,即應用層的信息。例如,可以解析HTTP協議,從數據包中提取出HTTP URL或Cookie信息。
L7負載均衡控制應用層服務的內容,提供了一種對訪問流量的高層控制方式。與L4負載均衡相比,L7負載均衡具有如下優點: ? 通過對HTTP報頭的檢查,可以檢測出HTTP400、500和600系列的錯誤信息,因而能透明地將連接請求重新定向到另一臺服務器,避免應用層故障。
? 可根據數據包內容(如判斷數據包是圖像文件、壓縮文件或多媒體文件格式等),把數據流量引向相應內容的服務器來處理,增加系統性能。
? 可根據連接請求的數據類型(比如根據URL來區分是請求普通文本、圖象等靜態文檔,還是請求ASP、CGI等動態文檔),把相應的請求引向相應的服務器來處理,提高系統的性能及安全性。
由于L7負載均衡對應用層協議進行深度識別,因此,對于每種應用層協議都需要有獨立的識別機制,這大大限制了L7負載均衡的應用擴展性,一般只是針對HTTP進行負載均衡。同時,深度識別應用層協議,對系統性能也會有很大影響。
流量優化功能
? HTTP緩存技術
支持HTTP緩存
DPtech WAF3000采用多級cache智能緩存加速技術,支持多種緩存置換算法:
? ? ? ? LRU(最近最少使用次數)
LRU_DA(動態衰減最近最少使用次數)LFU(最近最少使用頻率)
LFU_DA(動態衰減最近最少使用頻率)
? 傳統緩存加速技術
對諸如html,js,jpg等靜態資源進行緩存同時也可以對jsp等動態資源進行緩存處理,提高客戶端響應速度,降低服務器負載,有效節省服務器系統資源消耗。
? 智能緩存加速技術
采用新型的緩存加速技術,通過修改響應報文內容,對web資源屬性進行重組,減少客戶端請求次數,提高客戶端請求效率。
連接復用功能
將客戶端的多個連接合并為與服務器的一個連接來進行通信,減少TCP連接的三次握手次數,提高實際有效數據的交換比率。同時連接復用功能還將Web流量的多個短連接合并為一個長連接,提高服務器的響應速度,改善服務器的性能。在不需要改變任何網絡構造也不需要改變任何服務器構造前提下總體上實現減輕服務器的負荷,提高服務器的響應能力的目標。
根據用戶對服務器負荷和響應能力的協調,配置不同的復用比例,以達最佳的服務器總體性能。例如:復用比例配置成10:1時,對于實服務器的TCP三次握手次數變成原來的1/10,理論上服務器的負荷也減輕到原來的1/10,客戶端的連接平均響應時間因為TCP三次握手次數的減少而減少;復用比例配置成20:1時,客戶端的連接平均響應時間的減少量則會因為復用比例的增加而有所上升,但對于實服務器的TCP三次握手次數變成原來的1/20,理論上服務器的負荷也減輕到原來的1/20。
HTTP壓縮功能
采用通用的gzip格式,代替WEB服務器對靜態資源進行壓縮。gzip使用deflate壓縮算法,即先用lz77算法進行壓縮,對得到的結果再用huffman編碼的方法進行壓縮。gzip格式壓縮比例高,能夠有效提高服務器的響應速度,減輕服務器的負荷,節省用戶帶寬,縮短用戶下載內容的時間,從而提高網站訪問的響應質量。
SSL代理
提供硬件ssl代理加密功能,web服務器需要開放http協議端口,并將證書導入到WAF中,用戶即可通過訪問設備的443端口達到對HTTP數據流的加密。鏈路和系統服務優化及DNS智能解析(負載均衡)
通過我司負載均衡設備ADX3000業務板及盒式設備在內部系統出口的部署,完成以下功能:
一、鏈路負載:
1、inbond:根據訪問源所屬運營商,通過DNS智能解析將訪問反饋數據發送到對應運營商鏈路,提高用戶體驗。
2、outbond:由于***大學現網擁有多條出口鏈路,為了使客戶帶寬資源利用率提高,以及優化Internet訪問,需要根據訪問目的IP、域名DNS解析地址等等對出口鏈路進行負載均衡。
二、服務器負載:由于***大學內外系統平臺的訪問頻繁及高流量、高峰值的特性,所以需要對系統服務器群進行訪問優化,根據每臺服務器實時性能狀態、資源耗用率,鏈路質量等等因素對業務系統進行負載均衡。
三、提供DNS解析服務:根據不同運營商訪問源解析相對應運營商域名對應的IP地址并反饋,同時為訪問學校對外系統的內網用戶(師生)解析域名內部地址,優化內網用戶訪問對外系統時的訪問路徑(直接通過內網訪問)。
隨著數據中心及互聯網應用的不斷發展,人們發現即使網絡基礎設施再好,例如萬兆交換、千兆路由、光纖布線,都會或多或少地出現關鍵應用訪問速度慢、穩定性差等問題,過去的解決方法一般是通過4層負載均衡設備對網絡出口鏈路和數據中心進行流量管理和服務分擔。然而隨著網絡應用的日益復雜,Web2.0、VoIP、流媒體、SSL等新應用的不斷增多,由于傳統的4層負載均衡設備主要關注于網絡層面的網絡穩定保障,并未關注整個應用層面的交付過程,因此無法為用戶提供全面快速、可用、安全的應用交付能力支撐。
DPtech ADX3000系列應用交付平臺是傳統的4層負載均衡的升級、擴展,是集成了負載平衡、應用優化、安全防護等技術于一體的綜合應用交付平臺。它通過數十種健康檢查和負載均衡調度算法,將客戶端的訪問請求合理地分發到數據中心的各臺服務器上,以保證數據中心的響應速度和業務連續性,并大大提升服務器的使用效率和彈性伸縮能力;通過靜態表項匹配及動態鏈路檢測等技術,對多條鏈路狀態進行實時的探測和監控,確保流量以最合理及快速的方式分發到不同鏈路上,實現業務的高效傳輸;通過TCP優化、TCP復用、SSL卸載/加速、壓縮、緩存等技術,來提高用戶的訪問速度和應用體驗;通過DDoS防護等安全技術,確保數據中心業務的持續可用;支持路由、高密千兆及萬兆端口,并支持NAT、DR、鏈路、三明治等組網模式,組網及管理靈活、簡單。
ADX3000系列消除了網絡和應用之間的割裂,滿足了用戶規模不斷擴大和對應用服務提出的更高要求,使用戶的訪問速度、訪問安全以及7×24不間斷的穩定性得到大大提高,并大大降低運營成本。ADX3000系列是業界第一款100G應用交付平臺,具有處理能力強、應用交付能力全面、接口密度豐富等優點,可應用于各行業和運營商的數據中心和網絡出口,提供服務的可靠性、提高服務的響應速度、方便業務靈活擴展等最佳的業務價值。
ADX3000-Blade業務板技術特點
? 業界第一款100G應用交付平臺。高性能APP-X硬件平臺,確保盒式設備最大可提供萬兆級應用交付能力;機架式設備最大可提供100G應用交付能力,可以在原有業務不中斷的情況下,通過增加ADX業務模塊的方式實現快速、平滑的擴容 ? 全面應用交付能力。不僅支持鏈路、服務器及全局負載均衡功能,并支持TCP優化、SSL加速、緩存、壓縮、智能路由等應用加速和DDoS等安全防護功能,確保應用的快速、安全、可用
? 高效的健康檢測算法。可從網絡層、應用層全方位的探測、檢查服務器和鏈路的運行狀態,以便快速的選擇最合適的服務器或出口鏈路,從而實現高效的負載分擔 ? 豐富的負載均衡調度算法。支持全面的4~7層負載均衡和鏈路負載均衡功能。能夠提供多達十余種的負載均衡調度算法,包括:輪詢、比重法、最小鏈接、最小響應時間、隨機、源地址/目的地址/源端口HASH、就近性選擇、基于帶寬的調度以及基于HTTP內容的調度等算法
? 部署方式靈活。支持NAT、DR、鏈路、三明治等多種接入方式,并支持高密千兆及萬兆接口,能滿足各種復雜應用環境的需要
? 電信級高可靠。雙電源、數據平面與控制平面相分離、VRRP等技術,可有效降低單點故障,確保99.999%的電信級可靠性 功能介紹
多種負載均衡調度算法
調度算法指對需要負載均衡的流量,按照一定的策略分發到指定的服務器群中的服務器或指定鏈路組的某條鏈路上,使得各臺服務器或鏈路盡可能地保持負載均衡。調度算法以連接為粒度,同一條連接的所有報文都會分發到同一個服務器或鏈路上。這種細粒度的調度在一定程度上可以避免單個用戶訪問的突發性引起服務器或鏈路間的負載不平衡。
負載均衡技術持豐富的負載均衡調度算法。不同調度算法所實現的負載均衡效果不同,可以需要根據具體的應用場景,采用不同的算法。? 靜態調度算法
靜態算法,即按照預先設定策略,進行分發,不考慮當前各實服務或鏈路的實際負載情況。算法特點:實現簡單,調度快捷。
? 輪轉(Round Robin Scheduling)
依次將請求分發到不同的服務器或鏈路上,使得各個真實服務器或鏈路平均分擔用戶的連接請求。如:實服務群中包含三個實服務A、B、C,假設各實服務均未達到連接上限,最后分發給A、B、C的連接數之比為1:1:1。
適用場景:服務器集群中各服務器性能或鏈路群中各鏈路帶寬相當,無優劣之分。
? 加權輪轉(Weighted Round Robin Scheduling)
按照權值大小,依次將請求分發到不同的服務器或鏈路上,權值大的分配較多請求,權值小的分配較少請求。該算法可以解決服務器間性能或鏈路間帶寬不一的問題,權值標識服務器間性能或鏈路間帶寬差異。
如:實服務組中包含三個實服務A、B、C,其配置權值分別為:4、3、2。假設各實服務均未達到連接上限,最后分發給A、B、C的連接數之比為4:3:2。適用場景:服務器集群中各服務器性能或鏈路集群中各鏈路帶寬存在差異。
? 隨機(Random Scheduling)
將請求隨機分發到不同的服務器或鏈路上。從統計學角度看,調度結果為各個服務器或鏈路平均分擔用戶的連接請求。
適用場景:服務器集群中各服務器性能或鏈路群中各鏈路帶寬相當,無優劣之分。? 加權隨機(Weighted Random Scheduling)
將請求隨機分發到不同的服務器或鏈路上。從統計學角度看,調度結果為各個服務器或鏈路按照權值比重分擔用戶的連接請求,最后的比值和加權輪轉一致。
適用場景:服務器集群中各服務器性能或鏈路群中各鏈路帶寬存在差異。
? 基于源IP的Hash(Source IP Hashing Scheduling)
通過一個散列(Hash)函數將來自同一個源IP的請求映射到一臺服務器或鏈路上。
適用場景:需要保證來自同一個用戶的請求分發到同一個服務器或鏈路。
? 基于源IP端口的Hash(Source IP and Source Port Hashing Scheduling)
通過一個散列函數將來自同一個源IP和源端口號的請求映射到一臺服務器或鏈路上。
適用場景:需要保證來自同一個用戶同一個業務的請求分發到同一臺服務器或鏈路。
? 基于目的IP的Hash(Destination IP Hashing Scheduling)
通過一個散列函數將去往同一個目的IP的請求映射到一臺服務器或鏈路上。
適用場景:需要保證到達同一個目的地的請求分發到同一臺服務器或鏈路。適用于網關負載均衡和鏈路負載均衡。
? 動態調度算法
相對于靜態算法,動態算法根據各實服務或物理鏈路實際運行中的負載情況進行連接分發,分發效果更均衡。
? 最小連接(Least Connection Scheduling)
負載均衡設備根據當前各服務器或鏈路的連接數來估計服務器或鏈路的負載情況,把新的連接分配給連接數最小的服務器或鏈路。該算法能把負載差異較大(連接保持時長差異較大)的請求平滑分發到各個服務器或鏈路上。適用場景:服務器集群中各服務器性能或鏈路群中各鏈路帶寬相當,無優劣之分,不同用戶發起的連接保存時長差異較大。
? 加權最小連接(Weighted Connection Scheduling)
調度新連接時盡可能使服務器或鏈路的已建立活動連接數和服務器或鏈路權值成比例,權值表明了服務器處理性能或鏈路實際帶寬。
適用場景:服務器集群中各服務器性能或鏈路群中各鏈路帶寬存在差異,不同用戶發起的連接保存時長差異較大。
? 帶寬(Bandwidth Scheduling)負載均衡設備根據不同鏈路的實際剩余帶寬及權值,將新連接分發到剩余帶寬最大的鏈路上。
適用場景:鏈路群中各鏈路狀況(包括帶寬、擁塞程度等)存在差異。
? 靈活的就近性算法
就近性算法是指在鏈路負載均衡中,負載均衡設備利用健康性檢測功能實時探測鏈路的狀態,根據探測結果計算出最優鏈路,并通過最優鏈路轉發業務流量。就近性算法支持的健康性檢測類型包括:
? DNS:通過DNS報文,檢測遠端DNS服務的可用性并獲得就近性計算參數。只有Inbound鏈路負載均衡支持該檢測類型。
? ICMP:通過ICMP報文,檢測遠端地址的可達性并獲得就近性計算參數。TCP Half Open:通過建立TCP半開連接,檢測遠端地址的可達性并獲得就近性計算參數。?
就近性算法根據以下幾個參數進行加權計算,得出鏈路加權數,并根據鏈路加權數的大小判斷鏈路的優劣:
? 鏈路物理帶寬:即鏈路的可用帶寬值。
鏈路成本:取決于每條鏈路的成本值,比如租用聯通10M鏈路每月1萬元,租用電信10M鏈路每月1.5萬元,則兩條鏈路的成本比例為2:3,兩條鏈路成本的取值應該滿足該比例。?
? 鏈路延遲時間(即RTT):通過探測獲得。路由跳數(即TTL):通過探測獲得。?
多種健康性檢測方法
所謂健康檢測,就是負載均衡設備定期對真實服務器或鏈路服務狀態進行探測,收集相應信息,及時隔離工作異常的服務器或鏈路。健康檢測的結果除標識服務器或鏈路能否工作外,還可以統計出服務器或鏈路的響應時間,作為選擇服務器或鏈路的依據。
負載均衡技術支持豐富的健康性檢測方法,可以有效地探測和檢查服務器或鏈路的運行狀態。
? ICMP 向服務器集群中的服務器或鏈路上的節點發送ICMP Echo報文,若收到ICMP Reply,則服務器或鏈路正常。
? TCP 向服務器集群中服務器的某端口發起TCP連接建立請求,若成功建立TCP連接,則服務器正常。
? HTTP 與服務器集群中服務器的HTTP端口(默認情況為80)建立TCP連接,然后發出HTTP請求,若收到的HTTP應答內容正確,則服務器正常。
? FTP 與服務器集群中服務器的21號端口建立TCP連接,然后獲取服務器上的文件,若收到的文件內容正確,則服務器正常。
? TCP Half Open 向鏈路上節點的某端口發起TCP連接建立請求,若成功建立TCP半開連接,則鏈路正常。
? DNS 向鏈路上的DNS服務器發送DNS請求,若收到正確的DNS應答,則鏈路正常。
多種會話持續性功能
一次業務交互可能包括多個TCP連接,如FTP應用(包含一個控制通道和多個數據通道)和HTTP應用。這些TCP連接間有些存在顯式關聯關系,如FTP應用,數據通道的TCP連接是通過控制通道協商得來的。有些存在隱含的關聯關系,如HTTP網絡購物,多條連接組成一次業務應用,且多個連接并不像FTP應用一樣有“父子”之分,能通過父通道獲取子通道信息,但所有該業務的請求應發給同一服務器,否則可能造成無法完成所請求的功能,因為其數據報文中攜帶隱含關聯信息,如cookie。
將屬于同一個應用層會話的多個連接定向到同一服務器的功能,就是持續性功能。根據持續性原則,建立會話表項,保證后續業務報文都送往同一個服務器處理。比如使用源地址建立持續性表項,保證持續性。
具有顯式關聯關系持續性功能
如前所述,FTP應用的多條TCP連接之間具有顯式關聯關系:子通道五元組是通過父通道協商得來的。因此負載均衡設備對于FTP應用會逐包分析父通道報文,一旦發現子通道協商信息,就會利用該信息建立父通道會話關聯表項,當子通道首報文到來時,根據關聯表項和父會話表項建立完整的會話表項,從而保證父子通道登錄同一臺服務器。顯式關聯關系由負載均衡設備自動識別,無需配置策略。
具有隱式關聯關系持續性功能
? 基于源IP地址的持續性功能 基于源IP地址的持續性功能常用于服務器負載均衡應用中,用以確保同一個客戶端的業務能分配到同一個服務器中。
負載均衡設備接收到某一客戶端的某一業務的首次請求時,建立持續性表項,記錄為該客戶分配的服務器情況,在會話表項生存周期內,后續相同源IP地址的業務報文都將發往該服務器處理。
? 基于目的IP地址的持續性功能
基于目的IP地址的持續性功能常用于鏈路負載均衡應用中,用以確保去往同一個目的地址的業務能分配到同一條鏈路上。
負載均衡設備接收到某一客戶端的某一業務的首次請求時,建立持續性表項,記錄為該客戶分配的鏈路情況,在會話表項生存周期內,后續相同目的IP地址的業務報文都將分發到該鏈路轉發。
? 基于Cookie和header的持續性功能常用于web服務器需要用戶攜帶私有信息或某些特定信息的服務器負載均衡應用中,用來確保同一個用戶能夠去往同一個目的地址。Cookie支持4種持續性方式,包括插入模式,重寫模式,被動模式,HASH模式。
4~7層的負載均衡
基于第四層(L4)的負載均衡在截取數據流以后,對數據包檢查與分析的部分僅限于IP報頭及TCP/UDP報頭,而不關心TCP或UDP包的內部信息。而基于L7的負載均衡則要求負載均衡設備除了支持L4負載均衡以外,還要解析數據包中4層以上的信息,即應用層的信息。例如,可以解析HTTP協議,從數據包中提取出HTTP URL或Cookie信息。
L7負載均衡控制應用層服務的內容,提供了一種對訪問流量的高層控制方式。與L4負載均衡相比,L7負載均衡具有如下優點:
? 通過對HTTP報頭的檢查,可以檢測出HTTP400、500和600系列的錯誤信息,因而能透明地將連接請求重新定向到另一臺服務器,避免應用層故障。
? 可根據數據包內容(如判斷數據包是圖像文件、壓縮文件或多媒體文件格式等),把數據流量引向相應內容的服務器來處理,增加系統性能。? 可根據連接請求的數據類型(比如根據URL來區分是請求普通文本、圖象等靜態文檔,還是請求ASP、CGI等動態文檔),把相應的請求引向相應的服務器來處理,提高系統的性能及安全性。
由于L7負載均衡對應用層協議進行深度識別,因此,對于每種應用層協議都需要有獨立的識別機制,這大大限制了L7負載均衡的應用擴展性,一般只是針對HTTP進行負載均衡。同時,深度識別應用層協議,對系統性能也會有很大影響。
多種HTTP安全防護策略
隨著基于web業務的迅速發展,web的安全性越來越受到關注。黑客們能夠利用操作系統的漏洞或通過web程序的漏洞進行sql注入等攻擊,以獲取 web服務器的控制權限,或篡改網頁內容,竊取內部數據或網站用戶的重要信息,因此越來越多的用戶也開始關注網站的安全性問題。HTTP安全防護其基本功能如下
? 網絡爬蟲防護。對有攻擊性的爬蟲行為進行限制,能夠減小web服務器的負載。
? 網頁盜鏈防護。一些網站通過一些手段繞過其它有利益的最終用戶界面(如廣告),直接在自己的網站上向最終用戶提供其它服務提供商的服務,這樣嚴重侵害了真正的服務提供商的利益,防盜鏈功能能夠防止盜鏈的發生,保護服務提供商的利益。
? HTTP正規化。通過HTTP METHOD規則的設置能夠防止黑客利用一些非常用的METHOD獲取網站信息,減小web服務器的安全隱患。通過請求行和cookie各個參數的長度限制能夠多種緩沖區溢出攻擊。
? 漏洞攻擊防護。能夠對sql注入攻擊和xss攻擊進行阻斷和告警。參數修改防護。防止黑客惡意修改HTTP提交信息的參數來對一些服務的正常功能產生不利影響。?
? 黑白名單。通過設置黑白名單能夠對經常發起攻擊的ip或網段進行限制。HTTP安全日志。記錄每次遭受攻擊的ip,端口,攻擊信息等。?
連接復用功能
將客戶端的多個連接合并為與服務器的一個連接來進行通信,減少TCP連接的三次握手次數,提高實際有效數據的交換比率。同時連接復用功能還將Web流量的多個短連接合并為一個長連接,提高服務器的響應速度,改善服務器的性能。
HTTP壓縮功能 代替WEB服務器對靜態資源進行壓縮,能夠有效提高服務器的響應速度,減輕服務器的負荷。
流量控制及上網行為審計
通過我司上網行為管理及流控UAG3000業務板的部署,一方面通過對***大學上網行為的審計管控,完成公安部第82號令要求,以及學校自身辦公效率提升訴求,規范師生上網行為,防止非法上網行為給學校造成不良的社會影響;另一方面針對網絡出口不同流量進行智能分析處理,保障關鍵應用流量,同時根據不同的流量特性智能選擇不同出口鏈路,提高用戶體驗。
P2P、在線點播、網絡游戲等的無節制使用,使企業網絡流量呈現爆炸式增長,寶貴的網絡資源被濫用,嚴重影響了Mail、視頻/電話會議等關鍵業務的正常使用;互聯網的無序、隨意訪問,也會給企業帶來各種潛在安全風險;病毒等威脅的肆意泛濫,不僅會造成網絡流量異常,甚至將導致業務癱瘓。傳統的通過擴容網絡帶寬的方法不僅成本大而且收效甚微,將應用流量控制和行為管理相結合是解決上述問題的最佳選擇。
迪普科技在網絡及安全領域具有長期積累,具有自主研發的100G應用層硬件處理平臺,是全球極少數可提供萬兆流量控制和行為管理產品的廠商。迪普科技UAG系列產品基于“并行流過濾引擎”、“DPI”等核心技術,提供包括網絡流量分析及控制、上網行為管理、訪問控制、病毒防范等功能的綜合解決方案。其深入到7層的識別、分類和控制技術,能快速實現網絡流量及應用的可視化,并配合靈活的管控策略,實現對網絡資源輕松管理;“零帶寬損耗”技術徹底解決流量控制帶來帶寬高損耗問題;超過1000萬條自動分類的URL地址庫,讓上網行為管理工作更加智能和簡單;集成的卡巴斯基病毒過濾引擎,可實時阻斷病毒、木馬和蠕蟲等威脅,并可消除病毒暴發帶來的異常流量。
UAG可應用于各種網絡環境,是目前業界性能最高、網絡行為識別最精確、功能最豐富的流量控制及行為管理產品。UAG的部署,可幫助企業實現IT管理、應用資源、安全防護的全面提升和優化。
UAG3000-Blade業務板技術特點 ? 深度流量分析
可識別上千種協議,清晰的圖形化界面可直觀查看實時/歷史流量走勢、應用排名、用戶狀態、連接數等信息,便于分析網絡健康狀況以及定位故障。多維度、豐富的分析和數據報表,可滿足各種統計報告要求。? 精細化流量控制
對于網絡中的各種應用流量,可基于用戶、時間、VLAN和協議等進行細粒度流量管理。為保證流量控制的準確性和全面性,UAG采用了智能的專利P2P識別技術,來實現對加密和未知版本P2P的有效識別。另外,UAG提供應用級QoS,可為核心業務預留資源,在出現網絡資源不足時,優先保障核心業務的通暢運行。? 零帶寬損耗
通過智能阻斷和動態協商技術,在進行流量管理時,將帶寬消耗降低到5%以內,避免“流量控制帶來帶寬高損耗”。該技術在確保用戶體驗流暢的網絡應用的同時,也節省大量網絡帶寬,讓網絡應用得到提升,從而增強經濟效益。? 上網行為管理
可對Web訪問、網絡游戲、炒股、在線影視等上網行為進行詳細記錄審核和權限管理,規范用戶上網行為,確保上網行為符合相關規定要求;可提供超過1000萬條URL數據庫并分為數十種類別,用戶可簡單、靈活的實施URL控制策略。? 病毒防護
內置的專業卡巴斯基防病毒引擎,采用新一代虛擬脫殼和行為判斷技術,能準確查殺各種變種病毒、未知病毒,遏制因這些威脅引起的異常流量,在抵御威脅同時凈化網絡流量。功能介紹 ? 用戶管理
對上網行為的監控需要對用戶身份進行有效的管理,沒有嚴格的認證就無法有效區分用戶,也就無法部署差異化授權策略,自然無法有效防御身份冒充、權限擴散與濫用等。
UAG產品支持持豐富的身份認證方式:Web 認證、用戶名/密碼認證、IP認證、MAC認證、IP-MAC綁定認證,同時支持與第三方認證服務器AD、LDAP、Radius 等聯動進行用戶身份認證,確保合法用戶才可以正常接入網絡;
下圖是用戶名/密碼認證的流程圖,其他認證方式與該流程圖類似
用戶上網通過IP判斷用戶是否通過認證沒有通過認證向用戶推送認證界面(該認證界面可以自定義)已經通過認證用戶在認證界面中輸入合法的用戶名和密碼,提交UAG進行認證非法用戶UAG提取用戶輸入的用戶名和密碼進行認證合法用戶用戶正常上網
? 流量分析和控制
UAG采用特征分析和行為模型相結合的獨有引擎設計,在不影響報文網絡延遲的情況,精確識別各種網絡應用;
UAG一共可以識別幾百種網絡應用,如下圖所示,可以全面有效的對網絡流量進行監控和管理,并且通過定期的協議庫規則的升級,可以支持最新的網絡應用流量;
UAG可以識別的主流應用如下:
1、迅雷、電騾、BT等多種P2P流量
2、PPTV、PPStream、優酷網、土豆網等各種網絡視頻流量
3、QQ、MSN、新浪UC等各種聊天軟件流量
4、魔獸世界、傳奇等各種網絡游戲流量
5、同花順、大智慧等各種股票軟件流量
對于普通的網絡應用,UAG使用精確引擎檢測技術,通過對網絡報文的方向、網絡報文的五元組、網絡報文的長度、網絡報文的負載部分進行深度掃描,精確識別該網絡報文所屬的網絡應用;
對于P2P的的網絡應用,UAG除了使用精確引擎檢測技術進行檢測以外,UAG還使用了行為模式引擎技術,通過對P2P軟件的流量模型、行為模型和統計模型的分析,構建P2P軟件的通用檢測技術,可以解決現有的P2P和以后新出現的P2P軟件的識別和統計,一勞永逸地解決P2P的監控和管理;
一旦精確識別了網絡應用,就可以對該網絡應用進行允許、禁止和限制等各種管理策略,保證用戶正常網絡應用的帶寬,限制P2P的大量流量占用帶寬;
下圖是流量分析和控制的流程圖:
UAG收到用戶報文精確引擎識別(通過報文的長度、報文的負載內容、報文的方向進行識別)無法識別為具體的網絡應用將用戶報文送入行為模式引擎進行識別識別為某種網絡應用識別為網絡行為將該網絡應用或者網路行為以及相關流量信息進行統計通過圖表等方式展示當前網絡流量發布情況按照用戶配置的流量控制策略進行控制,允許或者禁止用戶進行該網絡應用的訪問
? 行為審計
各種網絡應用日新月異,如何有效的監管上網行為,避免員工頻繁地進行網絡聊天、觀看在線視頻等非工作網絡業務,防止員工外發信息泄露公司機密信息,防止員工發表與法律法規不相符的相關言論,是每一個單位、企業、公司等面臨的問題;
UAG產品通過內容審計引擎對各種網絡應用進行掃描,提取各種虛擬帳號(如QQ號碼、MSN帳號、郵件地址等、論壇帳號),對外發的各種文件上傳、論壇發帖、新聞回復等內容進行深度檢測;具體的實現流程圖如下:
UAG收到用戶報文精確識別應用協議聊天應用網頁瀏覽郵件發送論壇發帖FTP應用識別帳號信息,聊天對象、聊天內容識別網頁URL地址,網頁標題識別郵件地址,收件人地址,郵件主題,郵件內容,郵件附件識別帳號信息,發帖內容識別FTP登錄。退出,上傳下載文件名、文件內容過濾 ? 防病毒功能
UAG內置的專業防病毒引擎,采用新一代虛擬脫殼和行為判斷技術,能準確查殺各種變種病毒、未知病毒,為企業構建綠色的IT環境。
防病毒檢測流程圖如下:
UAG收到用戶報文精確識別應用協議將協議的負載部分進行提取采用防病毒引擎對負載進行掃描發現病毒給出告警信息和對應的策略 DPX8000產品介紹
DPtech DPX8000系列深度業務交換網關是DPtech公司專門為大型企業、運營商和數據中心網絡提供業界最高性能安全防護的高端核心設備。DPX8000系列基于強大的多核處理器技術和FPGA 硬件加速處理技術,采用背板、全交換、分布式模塊化架構,并且控制平面和數據平面相分離:控制平面采用強大的多核處理器進行各種業務的調度和應用識別;數據平面采用專用的FPGA 進行數據流的快速轉發處理,并且可以通過增加多種業務插卡來提供豐富安全服務,用戶可以在不改變網絡拓撲的情況下,隨時升級網絡安全防護等級和業務處理能力。
產品技術特點
? 業界第一款深度業務交換網關。集業務交換、網絡安全、應用交付三大功能于一體,適應融合業務網絡發展趨勢,使復雜的網絡變得更簡單
? 100G高性能平臺。支持未來40GE和100GE以太網標準;提供高性能業務單板,最大可提供400G整機深度業務處理能力
? 豐富的業務擴展能力。支持應用防火墻、IPS、流量控制、安全審計、應用交付、異常流量清洗/檢測等深度業務功能的按需擴展
? 領先的虛擬化能力。DPX8000以資源化方式,將一個個相互獨立的功能單一的物理設備形成一個或多個邏輯對象,所有策略配置和管理均基于邏輯對象進行實施,不僅大大提高了業務組網能力,并使得可靠性、無縫升級能力大大增強。
? 強大的網絡適用性。支持IPv4/IPv6、三層/二層MPLS VPN等豐富的網絡特性,并提供48GE光、48GE電、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各種高密端口
? 電信級高可靠。主控冗余、N+1電源、不間斷重啟、熱補丁、數據/控制/監測平面分離等技術,確保99.999%的電信級可靠性
迪普整網安全解決方案優勢
? 多層次、立體的安全防護及應用優化
迪普安全解決方案集成了多個應用級安全模塊,實現客戶網絡安全及應用優化的一站式部署。通過防火墻、WAF、IPS業務板塊的集成為客戶網絡提供了應用及的安全防護;SSLVPN、統一審計網關、負載均衡業務板塊解決了用戶的應用安全及應用質量提升的需求。
? 智能流量調度,減少數據處理流程,提高業務處理效率
迪普科技專有的智能流量調度技術可實現對客戶網絡訪問流量智能識別及分流,根據不同流量安全及優化需求將數據智能調度到相應安全業務板塊,從而減少數據的重復及非需求的識別處理。? 一體化
安全業務板塊一體化方案一方面規避了網絡中因多安全設備串聯而帶來的單點故障,同時減少數據報文的多次重復解析和處理以及網絡性能的衰減和延遲。另一方面解決了多廠商、多設備間相互兼容困難,特別是隨著網絡規模和組網模式的不斷革新,難以實現性能、功能、接口的按需擴展的問題。? 虛擬化
領先的虛擬化能力。迪普產品DPX8000以資源化方式,將一個個相互獨立的功能單一的物理設備形成一個或多個邏輯對象,所有策略配置和管理均基于邏輯對象進行實施,不僅大大提高了業務組網能力,并使得可靠性、無縫升級能力大大增強。? 高性能
迪普出口安全防護解決方案提供100G高性能平臺。支持未來40GE和100GE以太網標準;提供高性能業務單板,最大可提供400G整機深度業務處理能力。? 豐富的業務擴展能力
支持應用防火墻、IPS、流量控制、安全審計、應用交付、異常流量清洗/檢測等深度業務功能的按需擴展;支持IPv4/IPv6、三層/二層MPLS VPN等豐富的網絡特性,并提供48GE光、48GE電、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各種高密端口,可支持任何復雜組網需求。? 高可靠性
電信級高可靠。主控冗余、N+1電源、不間斷重啟、熱補丁、數據/控制/監測平面分離等技術,確保99.999%的電信級可靠性。
B、統一認證系統方案設計
針對以上***大學認證計費系統的需求分析,同時結合***大學關于多業務場景接入、靈活管理運營的相關要求,此次認證計費系統改造的解決方案如下:
網絡拓撲設計
在目前校園網核心出口位置部署一臺H3C公司電信級高性能大容量BRAS 設備SR8804-X,為全校有線和無線用戶提供統一用戶接入與核心路由轉發。SR8804-X上行與出口防火墻互聯,下行與核心交換機互聯。后期擴容時,可以考慮再部署一臺,實現雙機熱備。雙機熱備部署,能夠實現單臺設備宕機,用戶無感知,無需重新撥號的要求,保證用戶良好體驗。認證計費系統推薦采用深瀾公司Srun3000多接入認證計費平臺,與SR8804-X對接,作為Radius server、Portal Server和Policy server、深瀾用戶自助管理平臺。校園網引入BRAS的好處
BRAS(寬帶遠程接入服務器)是一種面向寬帶網絡應用的應用網關,可用來完成寬帶網絡用戶的接入、認證、計費、控制、管理,滿足不同用戶對傳輸容量和帶寬利用率的要求,是寬帶網絡可運營、可管理的基石,被廣泛應用于運營商網絡中。在校園網中引入BRAS設備,旨在保留原有的園區網優勢,引入運營商網絡的優勢,打造成易管理、高效安全的校園網。BRAS的優勢主要體現在以下幾方面。
1.多種接入認證方式:PPPoE、IPoE、DHCP+Web、綁定認證等,可根據需要靈活選用,且同一網絡中可多種接入認證方式并存。
2.靈活的計費策略:按時長計費、按流量計費、上網卡計費、不計費,且提供計費保護功能,可根據用戶提供不同“套餐”,滿足收費差異化需求。
3.強大的用戶管理能力:通過域管理能很好地區分不同用戶,提供不同帶寬、不同訪問權限等差異化的服務,實現用戶的精細化管理。
4.集中式運營管理:采用BRAS集中認證方式,設備與認證計費系統無關,擺脫802.1x網絡設備與認證計費系統綁定,降低建網投資;接入層設備與業務無關,便于新業務開展;集中式維護也大大降低了對接入交換機的維護工作量。
5.完善的安全防護功能:BRAS可通過對終端鑒別和授權、仿冒終端的識別、隔離與控制,充分保證終端的安全性,一方面可以隔離非法終端,另一方面可以抑止合法終端的非法活動,如網絡攻擊、病毒等。
具體實現方案
1)學生宿舍區和家屬區接入
學生宿舍區和家屬區建議采用PPPOE+QinQ模式,每用戶每VLAN。接入交換機配置用戶VLAN,匯聚交換機添加外層VLAN,核心交換機透傳到BRAS設備,由BRAS終結QINQ報文。
SR8804-X作為用戶網關,IPOE用戶上線到SR8804-X轉DHCP服務器給用戶分配IP地址,在通過認證之前用戶只能訪問認證前域的服務器,用戶的第一個HTTP報文進行重定向到Portal服務器,實現WEB認證,認證通過后允許用戶訪問認證后域。
SR8804-X作為用戶網關,PPPOE用戶直接到深瀾AAA服務器進行用戶名和密碼認證。
對比原802.1X認證計費模式,改造后有如下優點。
? 所有接入終端,都和網關建立點對點Session連接。認證通過后才能獲得IP地址。PPPOE不存在ARP機制,減少了網絡中的ARP問題。
? 交換機完全作為二層透傳和端口收斂來用。無特殊需求,無需綁定任何廠家,只要支持VLAN交換機基本功能即可。
? 在匯聚層交換機上打外層VLAN,確保每用戶每VLAN,完全解決了廣播風暴和環網問題。
? 接入/匯聚層無橫向流量,采用QinQ機制,每個用戶終端之間都二層隔離,用戶終端之間互訪全部上到BAS進行交換,所有流量經過SR8804-X,管理點集中化。
? 可以控制每用戶流量帶寬及用戶業務優先級。計費策略多樣化(包月、按流量、按時長等多種策略組合)
? 認證客戶端為操作系統自帶或綠色軟件客戶端。無程序兼容問題。? 天然具備IPV6業務演進能力。
2)辦公和教學科研區接入
辦公區建議采用IPOE和PPPoE混合認證模式,每部門每VLAN或每院系每VLAN。如有無線接入,則采用IPoE(MAC+Portal)認證模式。
改造后有如下優點:
? 控制粒度可以精細到用戶級,可以統計用戶流量,控制用戶帶寬,控制用所戶訪問資源等。
? 采用先MAC后Portal的認證方式,只需一次認證通過,下線后在后臺記錄其MAC地址,下次認證無需再在portal頁面輸入用戶名密碼,可實現無感知認證。
? 每部門劃分一個VLAN,廣播域控制在部門內。三層網關起在SR8804-X上,所有跨三層訪問經過SR8804-X。跨三層業務既做到準入,又做到準出。? 計費策略多樣化(包月、按流量、按時長等多種策略組合)
3)運營商用戶接入
校園網存在許多在運營商開戶的學生和家屬,校園網統一建設以后,需要滿足這些用戶的接入需求,同時也能對這些用戶進行管理和計費。
學校認證計費系統實現RADIUS代理功能,用戶統一使用PPPoE撥號,在BRAS上終結PPPoE,并將用戶信息發到校園AAA系統上認證,AAA系統根據用戶名攜帶的域信息辨識屬于校園網或是運營商,對于校園網用戶則直接提供認證并在通過之后分配IP地址,對于運營商用戶則執行RADIUS代理功能,將用戶認證信息發送到相應運營商的AAA上去進行認證,由對應AAA分配IP地址。在BRAS上執行策略路由,在用戶認證通過之后訪問互聯網時,根據用戶源IP或所屬用戶組指定出口,同時在運營商的出口路由器上設置ACL,只允許所屬用戶IP地址的流量通過。
此種方案簡單易部署,運營商之間協同實現用戶接入,雙方可共同計費,方便對帳以及費用拆分,并實現對全校用戶的統一管理。
4)辦公區IT設備共享方案
對于辦公區的IT設備,例如打印機、傳真機等設備,需要對本區域的終端互聯并實現共享,同時對于外區域設備不可見。可采取兩種方案接入: 1.認證方案
對于這些IT設備進行MAC接入認證,在后臺輸入MAC地址和VLAN,設備上電以后申請IP地址,如MAC匹配則認證通過并且下發策略,通過ACL限制只允許該區域所在的終端IP地址訪問,或者只允許特定的用戶訪問。該方案的優點在于安全可控,而缺點在于配置工作量較大。
2.局域網方案
在一個區域通過接入交換機或者匯聚交換機將終端放到一個VLAN下,由該區域用戶自行規劃IP地址并實現共享,該IP網段在BRAS上不被識別因此也不會發布到學校網絡中去。用戶如果需要上線則可以進行PPPoE撥號或者將網卡改成DHCP方式獲取地址通過IPoE上線。該方案優點在于配置工作量小,符合辦公區老師的平時辦公習慣,缺點在于局域網缺乏隔離,存在原有的環網或ARP攻擊,而且只能在小范圍內共享,不能靈活進行配置。
5)實驗室和學院的專線接入
針對實驗室和學院的專線接入采用以太網二層專線接入方式。專線(Leased Line)接入業務是指將SR8804-X的某個以太網接口或者接口下的某些VLAN整體提供給一組用戶使用的業務。一條專線下可以接入多臺計算機,但是在SR8804-X上只表現為一個用戶,SR8804-X對專線進行統一的認證計費、帶寬控制、訪問權限控制以及QoS控制。
6)DAA根據目的地址計費
DAA(destination address accounting)是“根據目的地址計費”的英文縮寫。
該方案實現了對用戶接入業務訪問目的地址的差別進行管理,根據不同目的地址定義不同的費率級別進行收費和不同的網速控制。在校園網內,用戶上線后一般訪問教育網內不收費或者收很低的費用,而且是不限速的,而如果訪問教育網外的Internet,需要收取較高的費用,同時限制一定的帶寬,通過此功能可以實現訪問校內資源不計費,訪問外網或是教育網采用不同的計費策略。
7)教師在不同地點上線采用不同的計費策略
教師在辦公區辦公時上網進行認證不計費,在家屬區上網時進行計費。教師在辦公區上線時,也要能夠支持同一賬戶在家屬區同時上線,并且進行計費。SR8804-X根據用戶上線攜帶的不同VLAN或是Option信息通過Radius報文上報到深瀾認證計費系統,,在認證計費系統上可以根據這些信息做漫游計費,在特定的源地址和VLANID可以不做明細計費,同時允許多個用戶同時撥號,統一計費。2)針對用戶身份權限和計費運營的管理 認證方式分析
在寬帶接入中,按用戶與網絡設備之間的通信方式,可將認證分為以下三種:(1)PPPoE認證(2)Portal認證(3)802.1X認證 1.PPPoE認證
PPPoE協議允許通過一個連接客戶的簡單以太網啟動一個PPP對話。
PPPoE的建立需要兩個階段,分別是搜尋階段和點對點對話階段。當一臺主機希望啟動一個PPPoE對話,它首先必須完成搜尋階段以確定對端的以太網MAC地址,并建立一個PPPoE的對話號(SESSION_ID)。
在PPP協議定義了一個端對端的關系時,搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中,主機(客戶端)搜尋并發現一個網絡設備(服務器端)。在網絡拓撲中,主機能與之通信的可能有不只一個網絡設備。在搜尋階段,主機可以發現所有的網絡設備但只能選擇一個。當搜索階段順利完成,主機和網絡設備將擁有能夠建立PPPoE的所有信息。
搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立,主機和網絡設備都必須為點對點對話階段虛擬接口提供資源。
PPPoE的缺點:需要安裝終端軟件。
PPPoE的優點:成熟穩定,是應用最廣泛的認證接入方式;客戶端穩定可靠,兼容性好;安全性高。
2.Portal認證
基于Portal的認證方式,適用于各類用戶接入方式。其特點是:用戶在計算機上不必安裝任何撥號軟件,只需要上網時打開瀏覽器,訪問Portal(WEB)認證頁面并輸入用戶名和口令,即可完成認證過程。
H3C公司BRAS系列的(Portal)WEB認證的處理流程如下:
假設用戶是以DHCP方式獲得IP地址,其認證流程如下:
(1)用戶主機配置成通過DHCP動態獲取IP地址后,用戶主機初始化并發送DHCP申請包,此包經用戶側設備轉發到BRAS。BRAS做DHCP Relay將該包轉發至DHCP服務器。DHCP服務器對DHCP申請包以響應,給用戶分配用于認證的IP地址。
(2)BRAS接收到DHCP響應包,轉發到相應的用戶主機并形成IP地址、MAC地址和VLAN端口的對應關系,在用戶未通過Portal認證以前,通過ACL來限制該用戶主機的訪問權限,如可以限制用戶只能訪問一些包括門戶網站在內的一些免費網點(允許訪問的目的地在網絡設備上可以配置);
(3)用戶啟動IE瀏覽器后輸入任何網址,BRAS將用戶發起HTTP請求強制到Portal服務器,請求打開Portal認證頁面。Portal認證服務器接收到HTTP請求,通過Http給用戶返回Portal頁面。用戶在Portal頁面上中輸入用戶名和密碼并提交,該用戶名和密碼經Portal(WEB)服務器轉交給BRAS設備;
(4)BRAS收到用戶的用戶名和密碼后,通過Radius協議將用戶名和密碼送到Radius服務器進行認證;
(5)如果認證通過,BRAS會根據Radius服務器下發的認證通過報文來修改用戶的ACL,允許該合法用戶正常上網。同時也會通知WEB服務器用戶認證通過,由WEB服務器通過HTTP方式在網頁上通知用戶已經認證通過;
如果認證不通過,BRAS會通知WEB服務器用戶認證不通過,由WEB服務器通過HTTP方式在網頁上通知用戶認證失敗;
此外,H3C BRAS系列還支持基于端口的Portal認證方式。即用戶在Portal頁面上不需要輸入任何用戶名和密碼,此時BRAS設備根據用戶的VLANID或PVC ID進行認證。
3.802.1X認證
802.1X 協議起源于無線局域網(WLAN)的發展和應用,WLAN具有移動性、開放性的特點,因此需要對用戶的端口接入進行認證控制,以保護無線頻譜資源的利用和網絡安全。802.1X協議推出的主要目的是為了解決無線局域網用戶的接入認證問題,通過端口認證來防止其他公司的計算機接入本公司的無線局域網。
802.1X協議目前開始應用于有線局域網中,通過對用戶交換機接入端口的認證控制,達到對用戶管理的目的,目前802.1X協議已經正式發布,整個協議為二層協議,將用戶報文分為業務報文和認證報文兩種,為了區分這兩種報文,專門為認證報文增加了特定的標志(EtherType=888E),業務報文繼續采用原來的標準以太網報文。當用戶上網時,用戶的邏輯端口(端口+MAC)狀態為鎖閉狀態,由用戶或用戶交換機發起認證申請,認證通過后,由支持認證的SR8804-X對用戶交的邏輯重新配置,將端口狀態配置為開啟。
H3C公司為滿足客戶多種選擇的要求,對標準的802.1X協議做了一定的擴充,與DHCP+WEB認證方式結合,以滿足網絡運營的要求:
a.擴展了802.1X的握手機制,解決了有線網應用中的仿冒和時長計費準確性問題; b.支持本地認證,不需要外接 Radius 服務器,降低了小型網絡的建設成本和管理成本; c.802.1X系統支持EAP終結和EAP續傳兩種模式,可以支持現有的 Radius Server,保護網絡運營商的投資。
d.提供多平臺的802.1X客戶端軟件(WINDOWS 98/ME/2000/XP),客戶端軟件可以滿足網絡運營的要求.e.802.1X受控端口機制靈活, 支持基于端口,基于VLAN,基于MAC地址的受控端口, 可以靈活地應用在各種網絡環境, 如校園、網吧、小區.f.通過與Portal方式配合,提供業務支撐能力。
4.三種認證方式的比較
H3C公司BAS系列支持PPPoE和Portal認證方式,此外H3C SR8800-X系列還支持802.1x認證方式。
802.1X是一種二層認證協議,不負責三層的IP地址分配的工作,同時作為新協議,還需要在實際網絡中對運營適用性進行考察,因此主要的認證方式建議采用PPPoE和DHCP+WEB認證。
PPPoE和DHCP+WEB認證方式都適用于卡號用戶和固定用戶,都可以不輸入用戶名和密碼。
安全性:PPPoE和DHCP+WEB認證方式的安全性相當,都可對用戶名和密碼加密。IP地址防盜用、地址綁定、用戶隔離等安全措施是由二層物理隔離和網絡設備特殊處理實現,與認證方式無關。WEB認證不存在IP報文分片、組播復制困難和客戶端軟件的維護問題。同時WEB認證和Portal頁面結合緊密,對用戶來說界面直觀友好,便于進行自助服務,容易開展各種寬帶增值業務。
PPPoE協議屬于點到點協議,對于組播等寬帶網絡的應用協議不支持。PPPoE包經過BRAS設備時由于多層包封裝導致可能使以太網包超過1518字節,BRAS設備對PPPoE包重新打包,對效率有所影響。PPPoE認證對于用戶主機需要增加額外的終端軟件,從而帶來一些的維護工作。但PPPoE使用廣泛成熟,并且更加符合用戶使用習慣,是應用最廣泛的認證方式。PPPoE也可以同Portal頁面緊密結合。
建議***大學校園網以PPPoE方式為主,Portal方式為輔。計費方式分析
贏利是運營商開展業務的一個主要目的。在寬帶網絡業務運營中,存在費用支付2/8規則,即20%的用戶繳納80%的費用,80%的用戶交納20%的費用。用戶收入的不均衡與用戶對信息需求的不均衡,決定了資費需求的多樣性。由于用戶需求具有多層次性,因此運營商必須能夠為不同需求的用戶提供差異服務(業務)和靈活、經濟的計費方式,豐富業務,實現按業務收費。
H3C公司BRAS系列提供多種靈活的計費方式,充分滿足運營商的業務需求。BRAS的計費功能是和Radius服務器共同完成的,BRAS本身并不存放用戶的計費信息。通過Radius協議,向Radius服務器上報用戶本次上網的計費信息(時長、流量),由Radius服務器(計費系統)根據這些信息來生成用戶話單,提供用戶費用管理、查詢、密碼修改等功能。
1.計費策略制定依據
寬帶網絡制定計費策略的依據應該主要從用戶所能享用的服務質量等級(SLA)的角度進行考慮,不同等級的用戶享用不同質量的SLA要素。
當前可作為衡量SLA質量的主流計費因子的要素為:上網時長、上網流量、上網允許接入帶寬。
上網時長:表示用戶對于網絡部分資源(線路、IP地址)的占用時間,類比窄代電路方式下的上網模式。
上網流量:因為IP技術采用的是帶寬共享技術,故流量更能反映用戶對于網絡資源的使用情況。問題為流量計費不精確、大部分用戶網絡流量不能形成穩定消費。
上網允許接入帶寬:為用戶網絡SLA(服務等級協定)方式的較好體現,反映用戶最大能享用的網絡服務質量情況。
實際運營中需要綜合考慮各種計費因子,采用SLA(服務等級協議)中用戶所能享受的計費因子中各個因子所占的比重不同,作為實際制定計費策略的依據。典型的如包月限時長、包月限帶寬、包月限流量、純粹的時長卡等等,制定計費策略的根源都在于用戶享用的SLA等級不同。
2.計費技術:一次計費和實時計費 一次計費
對于采用標準Radius協議的計費方式,計費是通過在用戶認證通過后由設備送出一個計費開始信息,用戶下網后發一個計費結束信息來獲取用戶上網時長和流量的。采用此種方式可能因為異常情況造成用戶上網時長和流量信息的丟失。
H3C公司BRAS系列通過設備重傳、Radius Server備份和本地暫存儲數據方式對用戶計費信息進行了很好的保護。
實時計費
H3C公司BRAS系列可以根據具體的需要,進行用戶費率的實時計費,也就是說,每隔一段時間(如5分鐘),就會對用戶進行一次計費,把用戶當前上網的計費信息(時長、流量)通過Radius報文上報給Radius計費服務器,從而盡最大可能避免因為設備故障而給運營商帶來的用戶上網費用損失。
利用實時計費方式可較容易實現預付費功能。3.簡單計費方式:包月、時長、流量、帶寬
1、包月:H3C公司BRAS系列可以通過單獨配置計費方法為不計費,使一些不需要計費或不關心計費清單的特殊業務(如包月用戶)避免產生大容量的計費清單,減輕ISP的壓力。
2、時長計費:H3C公司BRAS系列負責對每個用戶每次上網的時間進行精確統計,并通過Radius報文上報Radius計費服務器,計費服務器的計費軟件負責根據設定的時長計費費率計算出該用戶的上網費用,并生成和保存用戶話單。
3、流量計費:H3C公司BRAS系列負責對每個用戶每次上網的流量進行精確統計,并通過Radius報文上報給Radius計費服務器,計費服務器的計費軟件負責根據設定的流量計費費率計算出該用戶的上網費用,并生成和保存用戶話單。
4、帶寬計費:通過在H3C公司BRAS系列上固定設置和后臺Radius服務器帶寬屬性下發的方式,實現對用戶最大允許接入網絡帶寬的限制(CAR),實際運營中可利用此屬性實現基于用戶帶寬的收費策略。
4、預付費功能
預付費卡號方式也是一種靈活適用的常見計費策略,用戶可以不用開固定帳號,通過定額上網卡上的帳號密碼上網,可以按時長或流量計費,直到卡上金額用光為止。同樣,預付費功能也必須由BRAS與服務器共同完成,根據具體的計費策略,預付費功能又可進一步分為按時長預付費和按流量預付費。
1、按時長預付費:在用戶上網時,Radius計費服務器根據用戶卡上的余額和設定的時長計費費率計算出該用戶能夠上網的可用時長,通過Radius報文下發給BRAS,BRAS將實時檢測該用戶的上網時間,在用戶下線后,BRAS將用戶本次上網的時長上報給Radius計費服務器。在用戶上網過程中,如果用戶的本次上網時長達到Radius服務器下發的用戶上網可用時長時,BRAS將主動切斷用戶連接,同時上報Radius計費服務器用戶下線。計費服務器的計費軟件根據BRAS上報的計費信息和設定的計費策略計算出該用戶的上網費用,
第二篇:輪胎安全升級技術
輪胎安全升級技術,汽車輪胎安全的締造者
據統計,截止到2013年年底,我國汽車保有量1.37億輛,并以平均每天4500輛的速度急劇增長,龐大的數據背后是輪胎安全需求的巨大市場。汽車輪胎安全升級技術是繼安全帶、安全氣囊、ABS(汽車制動防抱死系統)之后的第四大汽車安全保障系統!
我國高速公路通車里程達到9.6萬公里,僅次于美國的10萬公里,排在世界第二位。公安部和交通部聯合統計顯示:國內高速公路70%交通事故是由輪胎隱患引起的,時速120公里以上任何一個前胎爆破,翻車死亡率100%。輪胎是汽車安全行駛的第一道生命防線,爆胎已與疲勞駕駛、超速行駛并列為汽車安全三大殺手!
輪胎安全升級技術是通過智能噴膠機將新型高分子納米材料均勻地噴涂在輪胎的內壁上,在輪胎內部形成一個安全防護層。當輪胎遭到釘體刺入時安全防護層中的新型高分子納米材料能迅速將釘體緊緊包裹并及時把穿孔徹底密封,有效防止輪胎漏氣,當釘體拔出時,新型高分子納米材料瞬間填充創口,依靠粘性使創口處的納米材料粘合。而且新型高分子納米材料不但能起到防刺扎、防漏效果,而且還具備防彈和緩沖爆胎的功效。
輪胎升級后是普通輪胎不能相比的,因為升級后的輪胎除了具有防漏、防爆、防彈、不怕扎的效果外,還可以延長輪胎正常的使用壽命,同時也可提高車身平衡穩定性,增強車輛整體的安全性,從而達到安全省油,節能環保的效果。
上海勢威安全輪胎升級技術,不僅具有國家發明專利和權威機構的檢測認證,同時也得到了廣大車主和國內外代理商的一致認可。你們的支持就是我們動力的源泉,上海勢威公司一定會讓這項技術更好的為廣大車主服務的!攜手勢威,把安全和愛帶回家!
第三篇:黨支部升級方案
為進一步加強基層黨組織建設,充分發揮基層黨組織的主觀能動性,提高基層黨組織的凝聚力和戰斗力,不斷擴大黨組織的覆蓋面和影響力,推進創先爭優活動深入開展,結合我局實際,特制訂如下升級方案。
一、指導思想
堅持以鄧小平理論和“三個代表”重要思想為指導,深入貫徹落實科學發展觀,本著學習先進,取長補短,真正達到“先進上水平、中間增活力、后進得轉化”目標,努力實現基層黨組織領導班子好、黨員隊伍好、工作機制好、工作業績好、群眾反映好的“五好”目標,整體提升基層黨組織的戰斗力、凝聚力和創造力,為實現 “雙一”目標,深化“三項行動”奠定堅強的組織基礎。
二、總體目標
通過開展“分類定級、對標進位”活動,努力在明確黨組織書記管黨職責、加強黨員隊伍教育管理、健全黨建工作制度、加強黨組織活動陣地建設、激發黨員創先爭優活力等方面取得新突破,圍繞組織建設爭先進位,推動黨建工作新提升,力求高標準定位、超前性謀劃、精細化實施,組織開展特色鮮明、形式多樣的實踐活動,使組織創先有平臺、黨員爭優有路徑,不斷提升黨建工作水平。
三、主要措施
1、規范各基層黨組織活動平臺建設。扎實開展創先爭優活動,以“五亮五比五創”活動為載體,實行 “一站式”服務,積極倡導“五個三”細節服務,健全完善首問責任制、限時辦結制以及重點工作跟蹤落實等制度。廣泛開展崗位練兵、“崗位建功做模范、我為黨旗添光彩”等活動,激勵廣大黨員立足崗位,提高業務能力,增強執政為民的能力和水平,不斷提高機關干部工作能力、服務水平、辦事效率。
2、規范黨員教育管理工作機制。結合實際,在每月支部活動中,開展重溫入黨誓詞、觀看革命影片、共過政治生日、愛黨演講比賽、專題教育講座等形式多樣的主題教育,激發黨員干部加強黨性鍛煉的積極性和主動性。進一步完善黨員公開承諾、黨員目標明白卡等制度,健全完善黨員黨性分析制度,每名黨員結合工作實際,從理論學習、工作任務、廉潔自律等方面做出承諾,在“七一”和年底根據黨員的工作情況和履職承諾情況進行民主測評和民主評議。堅持“兩推一公示”制度,做好入黨積極分子培養考察和黨員發展工作,保證發展質量,黨的基層組織和黨員隊伍充滿生機與活力。認真抓好黨費收繳和黨內統計工作,做好黨內生活記錄。
3、規范黨群共建工作機制。重視對工青婦工作的領導,著力在組織體系、隊伍建設、活動載體、工作制度、場所陣地等方面,深入推進黨建帶工建、帶團建、帶婦建工作。指導工青婦組織按照各自章程,獨立負責地開展工作,積極開展各具特點的活動,營造干部職工積極參與、努力向上、團結緊張、嚴肅活潑的氛圍。
4、規范黨建檔案資料管理。加強檔案工作管理,理順檔案管理體系。根據實際,整合資源,做好文件資料的收集、整理和歸檔工作。
四、工作要求
晉位升級工作是“分類定級、對標進位”活動的重點內容,也是確保基層組織建設年活動取得成效的關鍵。各支部要高度重視,擺在突出位置來抓;各級黨組織書記作為第一責任人,要親自研究部署、率先作出示范、加強督促落實,制定具體的整改措施,確保整改措施一個個落實,突出問題一個個解決,推動黨建工作再上新臺階。
第四篇:村支部升級方案
* *村級黨支部
“升級晉檔、科學發展”實施方案
為進一步深化推進農村黨支部“升級晉檔、科學發展”活動,我村認真學習號文件,“關于進一步開展農村黨支部升級晉檔科學發展活動實施方案”現結合我村實際制定“* *村黨支部升級晉檔科學發展”實施方案,請鎮黨委審示。
* *村黨支部
二0一二年十月二十四日
一、基本情況
* *村*個村民小組,*戶,*人,有黨員*名。2011年我村農民人均純收入4300元,在黃官鎮升級晉檔,科學發展活動中屬類村黨支部
二、總體思路
以鄧小平理論和“三個代表”重要思想和科學發展觀為指導,深入學習貫徹黨的十七屆五中全會和縣委十二屆十次全委會議精神,按照新農村建設“二十字”方 針總要求,進一步加強我村黨組織建設,理清工作思路,完善工作制度,以促進農民增收為重點,真正把農村基層黨組織建設成為推動科學發展、帶領農民致富、密切 聯系群眾、維護農村穩定的堅強領導核心,為農村改革發展提供堅強的組織保障。
三、目標任務
根據“生產發展、生活寬裕、村容整潔、鄉風文明、管理民主”的工作要求,嚴格按照黃官鎮村級黨組織,升級晉檔,科學發展活動考核評價指標完成活動任務。
四、工作重點
(一)生產發展
1、主導產業:主要發展烤煙生產到2016年達到畝,人均烤煙生產收入元,大力發展核桃種植,到年人均 畝。堅持積極引導村民發展生豬養殖,到2016年每戶戶均達 頭以上,全村年出欄生豬 頭以上。
(二)生活寬裕
以促進農民增收為目標,堅持因村制宜,逐戶都有新的經濟增長點,加速推進農業產業化,大力發展勞務經濟,不斷改善農業基礎條件,加快建設具有村的社會主義新農村,力爭到2016年全村農民人均純收入達元奮斗,年平均增幅左右。
(三)村容整潔
1、村內道路硬化率:充分利用一事一議,組織動員群眾修建和改造農村公路,抓好 連戶道路擴寬改造、通村道路養護及綠花化。
2、村內環境:以清潔工程為契機,加大力度清除農戶房前屋后和公共場所的垃圾和淤泥,實施建路、建沼、改廚、改廁和改圈,設立垃圾相,垃圾池。教育村民把柴草垛放到隱必位置,村內環境達到“五無”標準(無土堆、柴堆、糞堆、圈 舍、廁所))改變農村“臟、亂、差”現象。
(四)鄉風文明
1、加強計生政策宣傳:深入開展婚育新風進萬家活動,促進文明生育,全面落實計劃生育政策法規,強化流動人口管理,夯實基礎工作,穩定低生育水平,確保實現各項控制指標,使全縣符合政策生育率始終保持在。
2、平安村建設:以創建平安村活動為載體,大力宣傳兩率一度,確保兩率一度知曉率在我村達到,。健全村級治
保調解組織,確保全年無群體性上訪和群體性事件,無刑事案件和較大治安案件發生。
3、文明家庭創建率:以創建文明村、文明院落和文明家庭為載體,深入開展文明新風進萬家活動,積極倡導健康文明的生活方式,引導群眾崇尚科學,抵制迷 信,移風易俗,破除陋習,樹立先進的思想觀念和良好 的道德風尚,形成文明向上的社會風貌,全鄉文明家庭創建達到。
(五)管理民主
1、班子建設;建立和完善村“三 委”聯席會議制度,加強黨支部在現行社會經濟發展中的作用。
2、黨員隊伍建設:嚴格落實每年至少發展 1名 歲以下年輕黨員的要求,嚴格執行《不合格黨 員處置辦法》,嚴把“入口”,暢通“出口”,純潔隊伍,黨員活動開展正常,黨員作用發揮好。認真抓好村級后備干部隊伍建設,按照現任干部 1:1 的比例,建立完善村級后備干部人才庫,加大培養、選拔力度,促進盡快成長。
3、村級組織活動場所建設:堅持“四化”標準,力提升村級組織活動場所品位和綜合服務功能;進一步規范活動場所管理,充分發揮村級活動場所的綜合效益。力爭我村級活動場所都在平方米以上,服務功能齊全,作用發揮好,社會效益明顯。
4、黨務村務公開:全面推行村干部值班制度、農村工
作“四議制”,嚴格落實黨務、村務公開制度,規范公開內容、嚴格公開程序、靈活公開形式,明確公開時間,確保公開效果,群眾滿意率達到以上。
5、民主測評:工作業績、工作作風、辦事能力得到群眾充分認可,群眾滿意度高,測評分值達 分以上。
村黨支部
二0一二年十月二十二日
第五篇:網絡升級改造經驗交流
網絡升級改造經驗交流
根據總公司2010年網絡升級改造工作的總體安排,今年年初昔陽分公司分別進行了工作任務部署和全體職工動員會議,并結合昔陽的實際情況,為完成網改工作,昔陽分公司做了以下幾方面的工作。
一、網改人員的選聘
公司提前進行了網絡改造人員的社會招聘工作,通過電視媒體利用正月期間連續播出招聘廣告。3月初對招聘報名的70多人進行技能操作測試,應聘人員逐一進行考核,評判打分,擇優錄用,從中選擇了20人作為網絡改造的補充力量,并對招聘人員依據總公司“網絡建設標準”,“網絡設計施工規范”進行了網絡基礎理論、實際操作技能、施工安全、施工隊伍管理等方面進行了培訓,隨后對氣象局宿舍區進行了試點改造,的技能,并在實踐中得到提高。
二、網改隊伍的組成在組建網絡改造施工隊伍方面,全制度管理”和“有線電視施工安全操作規程”等管理制度,一責任人,全面樹立安全第一的工作意識,進度。施工隊組建以分公司技術力量為主,調人員,包括從辦公,后勤,機房等方面抽出勘探技術組,每隊以4老帶隊長均為分公司技術元老,具有高度的責任意識和管理經驗。
三、施工隊伍的具體分工隊長:全面負責施工隊的管理,做好技術,安全,協調等工作,主抓施工人員的定崗、任務分配和組織管理,全面負責施工安全。副隊長:主要抓網絡改造各環節中的施工工藝和技術標準,好光機和放大器工作參數的調試和終端用戶電平的測試并記錄,現問題隨時糾正。
資料員:具體負責施工工具和材料的管理,集,并在每一工作項目(光節點)完成前做好資料的整理,表冊和圖紙的完善。并及時交設計組,以便實施工程初驗。司機:負責車輛的保管,保證運輸工具的正常運行。并協助做好材料和工具的管理,廢舊材料的儲運。
四、設計組的職責
設計組分別由勘探設計人員和圖紙繪制人員組成,探設計,后期的數據整理、圖紙繪制、工程項目申請和報驗,物質材料的跟蹤和管理,施工的竣工項目的初驗,并及時提交總公司驗收。
五、相關部門的密切配合 市場和后勤保障部門負責在網用戶的核實、用戶信息的修正,網改后用戶區域管理的劃分(光節點)。物質部門協同設計組保障材料的申報,負責督促已批項目的材料的到位,做好各項目工程材料的領用手續和竣工材料的核實,6新的人員結構模式,通過實際操作檢驗了施工隊員確定施工隊長為安全工作的第在質量的基礎上求分別從分公司各個部門抽4人,分別組織3個工程施工隊伍,4名分公司人員,各有分工,各盡其職。嚴格按照設計進行規范施工,檢查各工序的施工質量,工程量的記錄和纜線數據的收具體負責工程前期的技術規劃、負責好廢舊纜線的回收和上交工作,“安個設計做出負責好
為了保證網改的順利進行和高質量的完成,我們制定了做到在安全的基礎上求發展,招收的施工人員為輔,1
用戶資料的收集,現場的勘
工具發放和管理。
點擊咨詢 