xxxxx出口安全解决方案汇报优质PPT.ppt

1、部分互联网宽带用户上网慢问题一：部分互联网宽带用户上网慢电信电信联通联通省干网关地市节点被静态策略至某联通链路出口网关无法根据用户访问出口网关无法根据用户访问的目的的目的IPIP选路，导致部分用选路，导致部分用户上网速度慢、体验差。户上网速度慢、体验差。问题二：维护工作量繁琐问题二：维护工作量繁琐电信电信联通联通省干网关地市节点需在出口网关路由器上经常需在出口网关路由器上经常性的为新增宽带用户添加静性的为新增宽带用户添加静态策略，维护工作量大。态策略，维护工作量大。天天加策略天天加策略问题三：链路故障探测及处理问题三：链路故障探测及处理电信电信联通联通省干网关地市节点链路故障后，手工调整策略链

2、路故障后，手工调整策略期间，宽带用户无法上网，期间，宽带用户无法上网，会投诉或传播负面信息。会投诉或传播负面信息。xxxx解决方案解决方案n部分宽带运营商网络现状及问题部分宽带运营商网络现状及问题nxxxx链路链路综合方案综合方案n应用案例应用案例广电出口链路改造建议广电出口链路改造建议电信电信联通联通GEGEGEGEIRFFWLB在出口部署一体式的网关。在出口部署一体式的网关。nFWFW实现大容量实现大容量NATNAT功能功能nLBLB实现链路负载均衡功能实现链路负载均衡功能根据用户目的地址进行自动选根据用户目的地址进行自动选路，无须配置静态策略路，无须配置静态策略用户上网速度感知优于静态策

3、用户上网速度感知优于静态策略方式略方式链路故障，自动将用户流量切链路故障，自动将用户流量切换至可用链路。换至可用链路。n流控与审计流控与审计ACGACG业务模块业务模块在高峰时段对在高峰时段对P2PP2P流量进行限速；流量进行限速；记录用户上网记录，满足公安记录用户上网记录，满足公安等法规要求。等法规要求。流控与审计流控与审计电信电信联通联通电信电信联通联通出链路负载均衡出链路负载均衡路由器静态策略模式路由器静态策略模式ISP匹配流匹配流未知流未知流u轮询u加权轮询u源地址Hashu最小连接u就近性探测ISP匹配流匹配流 未知流未知流默认路由提升提升1丰富的出口流量分发算法丰富的出口流量分发算

4、法提升提升1分发算法比较分发算法比较静态分发静态分发轮询轮询/随机、加权轮询随机、加权轮询/随机随机源源IP/Port HashIP/Port Hash动态分发动态分发（加权）最小连接、最大剩余带宽（加权）最小连接、最大剩余带宽就近性探测（生成就近性表项）就近性探测（生成就近性表项）链路可用带宽、链路延迟时间（链路可用带宽、链路延迟时间（RTTRTT）链路成本、路由跳数（链路成本、路由跳数（TTLTTL）ISPISP表项匹配表项匹配内置电信、联通等内置电信、联通等ISPISP地址表项地址表项静态策略路由静态策略路由动态路由动态路由路由器负载均衡来源于APNIC（亚太互联网络信息中心）目标目标2

5、-设置链路带宽阈值，保护链路拥塞设置链路带宽阈值，保护链路拥塞链路阈值保护功能：链路阈值保护功能：对出口链路设置流量阈值并将超出阈对出口链路设置流量阈值并将超出阈值流量进行二次调度值流量进行二次调度 ，避免出现链路，避免出现链路拥塞，影响用户上网。拥塞，影响用户上网。阈值为950M。电信电信联通联通GEGEGEGEFWLBSR66SR66SR66SR66电信电信-1G联通联通-500M目的IP为电信的流量950M150M1.1G保护阈值保护阈值950M电信电信-1G联通联通-500M目的IP为电信的流量1G100M1.1GX X负载均衡链路阈值保护负载均衡链路阈值保护路由器静态策略模式路由器静

6、态策略模式每条ISP设置阈值，链路数据流达到阈值后，LB不再向该链路发送数据流。提升提升2出口链路流量阈值保护出口链路流量阈值保护目标目标3-链路故障探测及自动流量切换链路故障探测及自动流量切换链路故障探测及自动流量切换链路故障后流量智能调度，无须人工链路故障后流量智能调度，无须人工干预，自动将用户流量切换至可用链干预，自动将用户流量切换至可用链路，宽带用户对故障无感知，避免用路，宽带用户对故障无感知，避免用户投诉或负面信息传播。户投诉或负面信息传播。电信电信联通联通GEGEGEGEFWLBSR66SR66SR66SR66不仅对下一跳探测，还可以对指定IP进行探测提升提升3出口故障或拥塞后流量

7、牵引出口故障或拥塞后流量牵引电信电信-1G联通联通-500M目的IP为电信的流量X X电信电信-1G联通联通-500M目的IP为电信的流量950M150M1.1G保护阈值保护阈值950M出口故障后流量牵引出口拥塞后流量牵引目标目标4-简化配置维护简化配置维护简化配置维护工作量简化配置维护工作量出口双机（冗余主控、电源）部署，通过出口双机（冗余主控、电源）部署，通过IRFIRF技术虚拟成一台主机进行管理。技术虚拟成一台主机进行管理。根据用户目的地址进行自动选路，无须配根据用户目的地址进行自动选路，无须配置静态策略，减少配置维护工作量置静态策略，减少配置维护工作量电信电信联通联通GEGEGEGEF

8、WLBSR66SR66SR66SR66H3CH3C行行为监管管（BSC）（BSC）解决方案模型解决方案模型人人n智能应用感知智能应用感知n 用户行为感知用户行为感知n 上网内容感知上网内容感知n即时升级的特征库即时升级的特征库n 细粒度应用流量控制细粒度应用流量控制n 根据五元组精确控制根据五元组精确控制n URLURL过滤、内容过滤过滤、内容过滤n 黑白名单黑白名单n 记录访问日志记录访问日志n用户行为的纵深分析用户行为的纵深分析n应用流量的纵深分析应用流量的纵深分析n记录记录NATNAT前后地址信息前后地址信息行为识别行为识别行为控制行为控制 行为审计行为审计行行为监管解决方案流程管解决方

9、案流程行行为识别行行为控制控制1、ACG识别用户的访问情况和流量信息，防火墙进行NAT地址转换SecCenterSecCenter交换机交换机SecPath ACGSecPath ACG安全管理平台安全管理平台校园网校园网SecPathSecPath防火墙防火墙行行为审计2、ACG根据流控策略和内容过滤策略，对用户行为进行细粒度的控制3、ACG发送用户上网行为信息，防火墙发送NAT日志，安全管理平台进行记录，供事后审计ACG ManagerACG Manager行行为识别非法访问非法访问公安部82号令反动网站色情网站赌博 网站BBS非法言论Email非法言论FTP.P2PP2PBitToren

10、tThunder（讯雷）eMule（电骡）eDonkey（电驴）Kugoo（酷狗）Pocovagaa百度下吧KazaANapsteriMesh.n H3CH3C自主研发的自主研发的UAAEUAAE智能应用感知引擎，智能应用感知引擎，具备强大的应用识别能力具备强大的应用识别能力n 深度应用流量识别：采用业界先进技术根深度应用流量识别：采用业界先进技术根据特征识别网络中各种据特征识别网络中各种P2PP2P应用协议和流量应用协议和流量n 深度行为识别：可对深度行为识别：可对HTTPHTTP、EmailEmail、FTPFTP、IMIM、游戏、炒股等行为及内容进行感知、游戏、炒股等行为及内容进行感知I

11、MIM软件软件QQICQMSN MessengerYahoo Messenger新浪UC网易POPO淘宝旺旺.游戏游戏BDoomHalf-LifeQuake魔兽世界QQ游戏联众.炒股炒股大智慧同花顺指南针证券之星.协议插协议插件检测件检测特征状特征状态检测态检测端口端口检测检测协商协商检测检测隧道隧道检测检测智能决策系统智能决策系统.行为控制行为控制-非法行为管理非法行为管理用户不能访问带有“sex”的URL地址用户工作时间不允许使用QQInternetLANn支持对即时通讯、炒股软件、流媒体、网络游戏等多种行为进行识别和精细化控制，提高工作效率n针对非法网站访问，通过URL过滤、内容过滤，避

12、免因访问反动、色情网站造成政治和安全的隐患用户在每天13点-14点可以使用炒股软件，其他时间禁止行为审计行为审计流量分析报告流量分析报告对各种应用流量进行深入分析，形成分析报告，可用户流量控制策略的制定和对各种应用流量进行深入分析，形成分析报告，可用户流量控制策略的制定和事后的审计事后的审计n 基于流量的分布趋势TOPN分析：全业务流量、单协议/协议组流量、上下行/双向流量、流量明细等n 基于用户的TOPN分析：用户全业务流量、上下行/双向流量、会话数、流量分布、流量趋势等针对用户行为进行深入的识别，将携带关键信息的日志发送给安全管理平台携针对用户行为进行深入的识别，将携带关键信息的日志发送给

13、安全管理平台携带关键信息的日志，形成用户审计报告。带关键信息的日志，形成用户审计报告。n HTTP行为：可以记录网页IP、域名、访问用户、访问时间等信息n Email行为：可以记录收发件人、邮件标题、附件标题等信息n FTP行为：可以记录通过FTP上传下载的文件HTTPHTTP访问审计访问审计EmailEmail行为审计行为审计FTPFTP行为审计行为审计行为审计行为审计用户访问审计用户访问审计M9000-概览n产品定位产品定位:新一代安全旗舰，多业务安全网关大型数据中心,云计算数据中心、云服务提供商多租户场景、运营商CGN;n产品形态：产品形态：nM9006、M9010、M9014n特点：特

14、点：n源自不凡：优异的软硬件平台n多业务：FW、LB多业务按需扩展、一切皆有可能n高性能：400G防火墙、200G负载均衡、3亿并发、500万新建高端大气上档次n虚拟化：真正的N:M虚拟化，随心所欲定制每虚拟墙吞吐、并发、新建性能，整机虚防数量高达2500个n统一管理：板卡多种多样，管理始终如一n高可靠性：IRF、进程级GR、ISSUn整机性能：提供6/10/14槽位超超400Gbps FW400Gbps FW吞吐吞吐超超160Gbps LB160Gbps LB吞吐吞吐n每单板性能：40Gbps防火墙16Gbps的负载均衡24240000万并发连接万并发连接60万新建/单板n虚拟化指标：每单板

15、支持超250个VFW整机支持超整机支持超25002500个个VFWVFWn安全策略：每单板支持10万安全策略整机超整机超100100万安全策略万安全策略n丰富的单板类型支持支持4 40GE0GE以太线卡以太线卡支持支持1 10GE0GE以太线卡以太线卡支持GE千兆光口n支持FW/IPS/LB混插模式M9006/M9010/M90142013年H3C入围A类防火墙：M9000性能高、接口丰富xxxx解决方案解决方案n部分宽带运营商网络现状及问题部分宽带运营商网络现状及问题nxxxx链路综合方链路综合方案案n应用案例应用案例案例：NAT+负载均衡2*S7510E+4*FW+8*LB部署部署2台台LSNS7500E吞吐量30G并发会话1000万新建连接：15万/Sxxxx方案方案2*10GE联通联通电信电信S7610+2*FW+4*LBnxxxxxxxx介绍介绍：租用了电信和联通共4条GE链路，采用两台S7610做IRF，准备部署2*FW+4*LB2*FW+4*LB来做出口来做出口NATNAT和负载和负载均衡。均衡。xxxx出口链路负载均衡出口链路负载均衡电信电信联通联通IRFLB4*10G4*10G4*10G4*10G10G10G10G10G2*10G2*10GCMNetCMNetCMNetCMNet迂回链路迂