互联网安全的需求和相关流量控制设备介绍<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

随着互联网应用的逐步扩大,用户对带宽的要求也越来越多,再加上绝大多少用户对安全使用电脑没有很好的知识、技术。致使电脑经常成为病毒的***者和病毒的散发者,同时也造成网络流量的异常加大。对ISP来说,就是不必要的流量的加大,无用的数据包对带宽的蚕食引起网络使用效率的下降。

同时,宽带业务的蓬勃发展,给运营商带来机遇的同时也带来了挑战。一方面,P2P、网络游戏、Web TV、VoIP等应用的普及,为运营商吸纳了大批客户,同时也带来带宽管理、内容计费、信息安全等一系列新问题,根据后来的SCE报表可以看出,目前P2P的流量已经占到网络流量的60%以上,而且随着新的P2P技术此不断出现,这个比例呈上升趋势。下图示:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

但是,运营商目前在宽带网络的规划和建设模式,显然无法适应P2P应用的流量模型,加上网络设备缺乏有效的技术监管手段,不能感知到P2P应用,导致网络运营商对网络的运行情况无法有效管理,网络出现不同程度的拥塞现象,运营陷入困境。无法实现内容计费是影响运营商进一步发展的另一道坎。而内容安全是令运营商头疼的又一个问题。

为了提高运营商提高服务控制能力,使用户安全的使用互联网,从而赢得更高客户满意度。Cisco公司出品的 SCE设备组件(思科服务控制解决方案),利用深层包检验来为一个典型的宽带服务商的网络上所能找到的一切应用识别传输协议,其中包括IP语音、视频、游戏、即时信息、P2P文件共享、以及其他应用等等。思科SCE 可以在应用层上进行判断,所以能够阻断欺骗端口的流量。有了这种能力,我们就可以保护我们的网络,使其性能不会下降。我们就能够创建一个使每个人都能公平分享资源的环境。

深度包检测(DPI)技术 的概念

所谓深度包检测是相对普通报文分析而言的一种新技术,普通报文检测仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI则在此基础上,增加了对应用层的分析,可识别出各种应用及其内容。

DPI将网络上的数据报文根据五元组分为一个个的应用流,并通过识别技术对应用流中的特定数据报文进行探测,从而确定应用流对应的应用或者用户的动作。

DPI系统6个关键功能:

    1、使用分析:包括容量管理、使用者地理分布、用户宽带体验监测

    2、流量优化:包括P2P流量优化、提升尽力传送业务

    3、安全业务:例如外向***阻止、网络滥用、网络欺骗检测

    4、业务分级和访问控制:例如SOHO业务、主动推送portal页面

    5、基于内容收费:定额业务、基于站点的收费

    6、高级业务支持:多媒体流量标记和OTT语音和视频流量管理

深度包检测技术的应用

    DPI的主要应用包括:

    1、流量管理:控制P2P流量,防止这种“垃圾流量”占用了太多的带宽,而影响其它应用。

    2、安全:识别出并能抑制DOS***和其它的恶意危害网络安全的行为。

    3、网络资源使用的控制。

    4、业务优化:例如个性业务和内容过滤。

    5、全局业务控制策略应用。

目前使用DPI来进行流量控制的设备介绍:

国外厂商,以Cicsco SCE、Allot、Packteer、Sendvine、 ACENET、Maxnet。

产品特性能好,解决方案和产品成熟,均有用户管理系统(可能为动态IP环境中使用,将用户帐号和流量策略结合来控制流量),除ACENET外,其主流产品功能相对单一,但非常专业。

    国内厂商中,比较优秀的有畅讯信通的QQSG、南京信风、宽广、华为SIG、金御等,国内产品适合国情,国内应用的识别率相对国外产品高,存在问题是产品性能宣传强,但实际使用,尤其是在策略较多情况下性能差,个别产品有POS接口(适合部分国内运营商),价格较国外厂商有较大优势,功能较多,但在流量管理领域,属于发展期,不够成熟。

使用SCE可以预见的能产生以下的收获:性能始终如一的宽带体验。在控制P2P文件共享对带宽的消耗的过程中,能创建了一个用户可公平分享资源的网络。可以预测的、安全的宽带接入。有了“网络屏障基础”服务,***和蠕虫就可以被阻止在应用层上,而网址过滤功能又可以阻止对不良网站的访问。优化的支持服务。

SCE设备组件在网络中的安放位置随着网络结构的不同稍微有些变化,如果是分散型的服务提供,可以安置在不同NAT的后面,这样可以提早对流量进行区别控制,能减轻NAT等后续设备的负担。这样可能需要使用不止一台这样的设备组件。
 
第二章 CISCO 服务控制引擎的组成

SCE系统通俗的来说,是由三个部分组成。

首先由SCE1000或者SCE2020这两种型号的硬件设备对流经的数据包进行分析,采集数据后发送给CM组件。CM就是个存贮数据的database。最后经过Bbconsole的识别和服务控制对数据包执行最后的定性判断,是让其通过还是丢掉?从而完成一个数据包的处理。

1、SCE (pcube) (Service Control Engine) 服务控制引擎

    作用:流量采集、统计和控制策略的实施

        组成:硬件、OS、应用软件

  2、CM (Collection Manager)数据采集服务器

    作用:流量数据存储、统计和分析

        组成:unix(linux)系统、CM软件、DB数据库

  3、BBConsole (BoardBand Console)宽带控制台

    作用:控制SCE的流量策略,实现报表,图形输出

        组成:navigater、configuration Editer、Reporter等

其性能指标

2M流

100K用户

3.6G的吞吐量

PPCs负载分担

SCE对流经的流量不是抽样的,而是每个数据包都进行处理,而且对双向的数据包都进行处理,可编程的包识别和策略指定。

三者的关系如下图

同时上面的图示也显示了服务控制引擎的工作流程。