SANGFORSG21产品白皮书0611.docx

1、SANGFORSG21产品白皮书0611SANGFOR SG V2.1产品白皮书 深信服科技有限公司2010年6月12日目录第1章 背 景 11.1 互联网背景 11.2 上网优化需求背景 1第2章 深信服SG上网优化网关概述 2第3章 高效、高速的上网加速技术 33.1 背景介绍 33.2 传统技术分析 33.3 深信服SG上网加速介绍 4第4章 细致、公平的带宽管理技术 64.1 背景介绍 64.2 传统技术分析 74.3 深信服SG带宽管理介绍 7第5章 上网安全特性、保障组织网络安全 95.1 背景介绍 95.2 传统技术分析 105.3 深信服SG上网安全介绍 10第6章 稳定、安全

2、的Proxy代理简介 126.1 背景介绍 126.2 传统产品分析 136.3 深信服SG Proxy代理介绍 14第7章 深信服SG上网优化网关优势 15第8章 深信服科技简介 16第1章 背 景1.1 互联网背景随着计算机技术的飞速发展以及Internet网络的逐渐普及，组织机构传统的工作模式正在发生着巨大改变，越来越多的组织机构开始基于计算机技术、网络技术以及各种应用系统展开业务工作。并且随着Internet网络的普及，组织机构开始连接到互联网获取商业机会，与客户交流，发布商业信息，利用丰富的Internet资源来展开商务活动。但互联网从雏形诞生至今，仅仅半个世纪就已经发展成含有一万亿

3、个网页、1.8亿个独立域名的庞然大物。随着web2.0、SNS、视频语音等业务的流行，互联网资源和流量都在爆炸式发展。与此同时，用户访问互联网给组织也带来了层出不穷的问题：很多组织的互联网出口数据占用率居高不下、上网速度慢、关键应用/关键用户的带宽需求无法保障，盲目扩容带宽却并不见效！病毒、木马、黑客等威胁频发，组织网络不稳定、甚至时常中断，纵然部署杀毒软件、安全网关等方案，IT部门仍然疲于应付各类安全威胁！组织的网络正在失控，组织需要从上网提速到带宽资源分配和网络环境强化的完整解决方案。1.2 上网优化需求背景带宽小、用户多、上网速度慢：虽然不少组织的互联网带宽看似充裕，但当内网用户众多、互

4、联网资源泛滥、重复数据被反复传输等，导致上网速度慢的现象非常普遍。扩容带宽后短期内网速确有提升，但很快网速慢的抱怨又起，甚至领导也会认为IT部门浪费了带宽扩容成本。P2P应用泛滥，带宽缺乏管理：第三方统计显示，全球P2P流量占互联网总流量49%到83%。组织办公室里迅雷、在线影音等带宽杀手应用极度消耗组织有限的带宽资源，即使新扩容的带宽也会很快被这些带宽杀手们吞噬殆尽。不仅上网速度慢，而且ERP等关键系统、领导等关键用户的带宽需求也无法保障，IT部门如果不能妥善解决将直接影响绩效与收益。Proxy代理缺失，传统方案难当大任：出于安全等因素考虑，银行、保险、集团企业等大中型组织通常都部署了传统的

5、软件Proxy代理方案。但是由于其安装在服务器上，必须依赖通用操作系统提供代理功能，加上组织内网人数增加、互联网带宽增大等，导致软件Proxy代理方案无论性能、稳定性、安全性都已无法满足组织要求。病毒木马横行，网络可用性降低：组织无法接受一个病毒木马泛滥横行、时常故障甚至中断的网络，所以确保网络稳定、安全、可靠是基础。但网络威胁无处不在，包括成人、色情等威胁重灾区网站，看似正常的网络流量中却可能潜藏恶意插件、危险脚本等威胁，甚至用户已经感染间谍软件、被黑客控制但却一无所知。组织网络的可用性、可靠性岌岌可危。第2章 深信服SG上网优化网关概述专业上网优化网关是涵盖上网加速、带宽管理、上网安全的三

6、位一体解决方案。其中融合缓存和代理的上网加速是核心，实现带宽资源合理分配的带宽管理是支撑，保障组织网络稳定可靠的上网安全是基础。上网加速和Proxy代理，提升上网速度：上网优化网关SG的饼状图、柱状图等图形化报表工具，帮助管理者清晰掌控组织网络和带宽的使用情况，为IT决策提供数据支撑。 内网用户相似的访问行为导致大量相同数据反复传输而浪费带宽资源。SG的上网加速特性既可减少相同数据重复传输、解决带宽浪费问题，同时重复数据从SG网关提取并返回给用户，极大提升上网速度，而且降低组织互联网带宽的占用。SG上网优化网关提供Proxy代理功能，基于专用硬件平台和优化的操作系统，提供远比ISA、Squid

7、等传统软件代理方案性能更强、更稳定可靠、更安全的代理方案。 带宽管理，实现互联网资源合理分配：第三方统计显示，全球P2P流量占互联网总流量49%到83%。办公室里迅雷、在线影音等带宽杀手极度消耗组织有限的带宽资源。不仅上网慢，且ERP等业务系统访问效果差。 深信服SG上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源，既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量占用，同时又保障领导等关键用户、ERP等关键应用的带宽需求，进而提升上网速度。同时SG还可以实现互联网网页、网络应用等各种互联网资源的合理分配，从而促使网络资源更好的为组织效益服

8、务。上网安全，确保组织网络安全、稳定和可靠：网络稳定、安全、可靠是上网加速的基础，否则纵然优化和快速也无济于事。 色情/成人等非法网站是病毒/木马的重灾区，即使正规门户网站也可能被黑客挂载木马/病毒，同时含恶意脚本/危险插件的网页也层出不穷。另外存在漏洞或不满足IT规定的终端，其上网时极易感染网络威胁，进而在内网泛滥传播，组织网络安全性堪忧。SG网关能主动清理网络流量中的恶意插件/危险脚本/病毒/木马等威胁，能封堵成人/色情等不当网站，能防御DOS攻击/ARP欺骗等危险流量。即使终端不幸感染间谍软件/被黑客控制/成为僵尸网络等，SG亦可识别、封堵、并向管理员报警。此外SG将用户终端安全状况与其

9、上网权限关联，终端不安全则不能上网。第3章 高效、高速的上网加速技术3.1 背景介绍仅仅不到十年的时间，用户的互联网带宽已经从昂贵的56Kb MODEM链路，升级成目前带宽更充足的2M ADSL、甚至光纤链路等。但于此同时互联网资源形态也在变化，从以纯文本为主的静态网页，变成目前绚烂的web2.0、丰富的视频语音数据等。这就导致虽然带宽在不断扩大，但用户感受到的上网速度却没有得到明显改善。 很多组织部署了几十兆、甚至上百兆的互联网链路，但IT部门仍然不断遭受内网用户关于网速慢的抱怨。怎么办？3.2 传统技术分析扩容带宽：一旦遇到网速变慢的问题，很多组织都想到了扩容互联网出口带宽。但投入扩容成本

10、的同时，能否保证网速一定会显著提升？随着组织规模不断扩大、人员不断增长，是否带宽也要一直扩容下去？显然扩容带宽仅是短期提速和权宜之计，并非上网提速的理想方案。限制带宽：有的组织通过限制其他用户、其他应用所占带宽的方式，保障关键用户如领导的上网速度、保障关键应用如ERP的访问速度。这的确是提升部分用户上网速度的有效手段之一，但其他用户上网速度更慢、抱怨更多，怎么办？限制带宽以提升上网速度同样不是理想解决方案。3.3 深信服SG上网加速介绍 我们知道，组织内用户具有相似的网络访问行为模式，比如访问相同的门户网站与新闻网页、观看同样的视频、下载一样的文件等，这就导致相同数据反复传输而浪费大量的带宽资

11、源，如果能够避免这种浪费则既能提升上网速度、又能节省带宽占用。因此，业界逐渐出现了一些具有Cache缓存功能的上网加速解决方案。组织内网用户访问互联网资源时，缓存网关首先分析该用户的资源访问请求，并且在其Cache缓存空间中检索和定位是否已经缓存过相同的互联网资源对象。对于在缓存空间中定位成功的资源，将直接从缓存空间中提取并返回给用户，由此可见，几乎是以局域网级的响应时间实现了用户访问互联网资源的满足，上网速度显然能够得到大幅提升；而对于缓存空间中没有的互联网资源、或者本身不可缓存的互联网资源，此时缓存网关将从互联网上提取并返回给用户。通过Cache缓存方案以上的处理流程可见，相同的互联网资源

12、将只需从互联网上传输一次，后续访问将从缓存网关中获得，因此既能提升上网速度，同时又能显著降低互联网出口带宽的占用。目前业界也有一些Cache缓存产品，比如微软ISA、开源Squid等，而深信服的SG上网优化网关，其Cache缓存特性具有如下优势：多种技术手段，保障高缓存命中率：内存缓存：由于内存读写速度快，所以内存非常适合频繁的读写操作；但同时由于内存容量较为有限，所以并不适合海量存储和大文件存储。综合多方面因素，深信服SG上网优化网关允许用户配置大量内存空间用作缓存和上网加速之用，以最快的速度和最高的效率将小文件缓存与内存之中，并在用户重复访问时及时提取并传输给用户。硬盘缓存：硬盘容量大，适

13、合海量存储和大文件存储；但硬盘速度慢，加上目前硬盘以机械结构为主，所以当硬盘容量太大，缓存文件过多时，将导致检索缓存文件消耗时间过长等问题，因而并非硬盘容量越大越好。深信服SG上网优化网关单独配置了万转硬盘，专门用作上网缓存之用。一方面可以存储足量的缓存文件，二来可以更快的检索和提取，是上网速度提升的有效保障。多值加权淘汰算法：缓存空间是有限的，但用户访问的互联网资源却是无限的，所以如何更新和替换这些缓存文件呢？深信服SG上网优化网关采用“多值加权淘汰算法”，综合考虑多方面因素，通过智能判断与匹配，淘汰最适当的缓存文件，确保上网加速效果最大化。专用硬件和软件平台确保性能强劲：微软ISA、开源S

14、quid等传统上网加速产品由于是软件方案，依赖于普通服务器和windows等通用操作系统，导致其性能较低。深信服SG上网优化网关采用专用硬件平台及专用操作系统，实现了业界性能特别强劲的上网加速方案：对于一个上下行实际Internet流量分别达到1Gbps的组织网络来说，深信服SG上网优化网关同样可以部署和处理；而对于超大型企业、运营商、高校等Internet流量更大的组织机构，深信服SG上网优化网关还可以通过多机模式（即多台SG同时处理Internet流量）实现对性能的满足。第4章 细致、公平的带宽管理技术4.1 背景介绍无论家庭用户还是企业、政府等组织机构，他们的互联网带宽近年都得到了极大的

15、增长，但同时以迅雷、BT为代表的P2P应用也在大兴其道，组织的互联网带宽被他们大肆吞噬。中国电信集团总工程师韦乐平曾直言不讳地说：“目前中国电信长途网上有50%的流量是P2P，在城域网上，白天60%70%的流量也是P2P，而到了晚上，这一数字甚至变成90%”。德国互联网调研机构ipoque称，P2P已经彻底统治了当今的互联网，其中50-90的总流量都来自P2P程序。 另外，优酷、土豆等在线视频网站的兴起，使得在线看电视、看电影产生的巨大流量也给组织的带宽造成很大压力。4.2 传统技术分析扩容带宽：一旦遇到带宽不足的问题，很多组织首先想到的即扩容组织的互联网出口带宽，但他们低估了P2P等带宽杀手

16、应用的带宽吞噬能力。众多组织机构的实践证明，扩容带宽后，短期内上网速度的确有所提升，但很快带宽再次被占用殆尽，上网速度又再次变慢。因为一个10M的互联网出口，即使5个用户使用，只要其中3名用户使用迅雷全速下载，其他2名用户的上网速度也将非常缓慢。由此可见，单纯扩容带宽不仅造成成本上升，同时新增带宽很快又被P2P吞噬，上网速度依然未能得到提升。封堵P2P：因为P2P抢占了带宽，所以通过封堵/封杀P2P应用应该可以降低带宽占用；考虑到在线视频、影音数据传输等也会侵蚀大量带宽，对其也一并封杀。这的确是提升上网速度的方法之一，但却造成了组织用户的不满。而且P2P技术作为近年来蓬勃发展的新兴技术，越来越

17、多的网络应用和软件使用了P2P技术，如QQ传文件、360杀毒更新等都采用了P2P技术。我们不应因噎废食、不能因为无法驯服P2P就对其粗暴的封杀。4.3 深信服SG带宽管理介绍不仅是P2P流量泛滥的问题，越来越多的组织机构希望针对网络中的应用、行为、流量进行细致的带宽划分与分配，实现带宽效率的最大化，但传统设备与方案是否可行？ 很多组织都部署了防火墙，他们希望借助现有防火墙达到带宽管理的效果。但由于传统防火墙只能基于IP、端口，通过QoS等简单技术实现非常有限的流量管理策略，无法满足组织机构所期望的针对应用、行为的细致带宽管理效果。 因为防火墙的不足，所以业界也出现了一些流控设备。但用户使用的互

18、联网应用繁多，很多流控设备都无法识别，尤其国外流控设备更很少能识别国内应用，这就导致流控效果大打折扣。第二，不少流控设备使用粗暴的“丢弃”方法实现流控，即超过预设速率的应用数据包将被设备直接丢弃，这种处理方式甚至导致用户会话/连接中断的后果。第三，当多用户共享同一带宽通道时，有的流控设备只能让多用户间互相争抢带宽而无法平均分配，非常不公平。 综上所述，为了能够显著提升上网速度，并且为Cache缓存等上网加速手段的发挥提供空闲带宽支撑，深信服SG上网优化网关提供了业界领先的带宽管理技术。业界最细致的带宽管理方案：识别业界最多的应用：深信服SG上网优化网关能够识别500多种互联网应用，业界最大最全

19、，涵盖聊天、炒股、网游、视频语音等几十个大类。以广泛的应用识别为基础，才能够实现对这些网络应用的流量进行精细化管理，因为不能识别显然就不能对其流控。基于应用、网站、文件等管理带宽：传统流量管理设备通常只能够根据IP、端口、以及部分应用进行带宽的划分与分配。但深信服SG上网优化网关能够最大化的提升上网速度、以及提升带宽使用效率。SG不仅能够根据应用类型管理带宽，还能够根据用户访问的互联网网站类别、上传下载的文件类型进行带宽资源的划分与分配，实现了业界最细致的带宽管理效果。此外，深信服SG上网优化网关还能够根据源IP地址、目的IP地址、源IP端口、目的IP端口、用户账户、时间等实现带宽分配策略，满

20、足用户对带宽管理精细化的要求。业界最公平的带宽管理方案：与传统的同一带宽通道内多用户互相争强带宽资源不同，深信服SG上网优化网关能够确保同一带宽通道内的多个用户平均分配带宽资源，避免争抢造成的不公。而且，深信服SG上网优化网关还能够确保每个用户获得的带宽资源能够在其多个并发会话间得到平均分配，实现带宽管理的最大公平性。第5章 上网安全特性、保障组织网络安全5.1 背景介绍一旦连通互联网，首先人们想到的即防杀病毒。来自互联网的病毒、木马、间谍软件、黑客攻击与远程控制、僵尸网络等，各种网络安全威胁层出不穷，稍有不慎即感染威胁，轻者导致泄密、系统不稳定，重者导致系统瘫痪、网络中断。据瑞星统计，一季度

21、瑞星拦截到1亿9千多万个挂马网页，共有8亿人次网民遭木马攻击，平均每天有889万余人次网民访问挂马网站。McAfee的研究报告显示，一季度网络犯罪分子通过一系列新的恶意软件已经劫持了1200万新的电脑，相对于去年该数字增长了50%；其中美国僵尸电脑数量世界最多，比例为18%；中国紧随其后，比例为13.4%。 由此可见，互联网安全威胁与风险着实影响着组织机构的互联网访问体验。一个经常感染病毒、木马，频繁故障、甚至中断的网络，一个连基本的网络可靠性、可用性、安全性都无法保障的组织网络，往往更关心如何提升上网安全性。因为只有夯实了组织网络的安全性、可用性这个坚实的基础，上网加速特性才能更好的发挥。5

22、.2 传统技术分析部署杀毒网关/杀毒软件等：用户一旦面临互联网威胁（以病毒、木马为典型代表），往往首先会部署杀毒软件、杀毒网关等传统安全防控措施。但这是否已经足够，是否已经可以确保组织网络安全环境高枕无忧？显然答案是否定的。因为传统杀毒方案依赖于对互联网上已有病毒的分析和识别，进而对其查杀。对于“0 day攻击”、第一次出现的病毒等，传统杀毒方案往往难以识别，就更难以查杀了。此外，一些恶意软件、危险脚本本身并不是病毒，传统杀毒方案对其不做检测和处理，但他们却给用户终端和组织网络带来了安全隐患。桌面管理试图解决终端安全短板：除了在组织互联网出口部署杀毒网关、IPS、IDS等设备，有的组织也可能会

23、在用户终端安装桌面管理软件等，以改善终端安全环境，典型的比如Cisco NAC方案等。但传统的桌面管理、终端管理、网络准入方案等往往需要组织网络和内网用户做大量调整，实施工作量繁杂、投资成本高，并非每个组织的IT管理者都能下定决心实施此类方案。此外，用户终端由于共享文件、拔插优盘等感染网络威胁后，试图通过互联网向组织外部连接的风险，传统桌面管理方案也是无法解决的。5.3 深信服SG上网安全介绍考虑到互联网威胁层出不穷的现实，所以为了保障组织上网环境的安全性，必须通过多方面、多方位考虑，通过多种手段综合实施，才能提高组织上网安全环境的层次。在上网安全保障方面，深信服SG上网优化网关主要通过以下四

24、点予以保障：访问前封堵危险重灾区网站：众所周知，互联网上的色情、成人、反动等网站是最容易潜藏病毒、木马等威胁的重灾区网站，一旦用户访问则极易感染各种威胁，甚至在内网传播泛滥。所以，深信服SG上网优化网关在用户访问此类威胁重灾区网站前即封堵之。除了以上典型的、显而易见的危险网站外，由于黑客技术的进步，越来越多的普通网站（如新闻等门户网站、博客网站、搜索引擎网站等）被黑客挂载了木马。正是借用普通用户对这些网站的信赖、以及低警惕性，越来越多的挂马网站将黑客及木马带到了组织内网和用户终端，怎么办？深信服SG上网优化网关能够识别出此类挂马网站，进而封堵，保障组织上网环境的安全性。清洗正常流量中的危险流量

25、：在用户访问互联网过程中，往往有大量危险流量潜藏在正常的网络流量中，比如大型门户网站上隐藏挂载的木马、一些网站从后台静悄悄的向用户终端安装的恶意插件/危险脚本，包括病毒、木马等都是危险流量的组要构成。他们也在威胁组织内网用户的上网安全性。鉴于此，深信服SG上网优化网关通过对危险流量的清洗技术，清除木马、病毒、恶意插件、危险脚本等危险流量，进一步提升上网安全性。即使感染威胁，亦能防范：由于用户终端感染风险和威胁的途径非常多，比如内网用户间共享文件、拔插优盘等，所以无论采用多么严格的安全防护措施，都避免不了用户终端还是会感染某些风险与威胁。这些威胁包括黑客远程控制、间谍软件、木马后门、甚至成为僵尸

26、网络的组成部分等。由于当前黑客控制用户终端已经不再以破坏系统为目的，他们往往以窃取用户和组织的资料为目标（如银行账号、系统密码等），因此当今这些威胁的隐蔽性更强、更难以发现，怎么办？这些风险与威胁为了在隐蔽的前提下将窃取的信息发送到互联网上，往往对自己的外发行为进行各种伪装，但这些都逃不过深信服SG上网优化网关的“危险流量识别”模块的检测，并且检测后能够予以彻底封堵、同时向管理员告警。终端检查与准入，拒绝短板：“木桶理论”启示我们，组织机构上网安全环境的最短板往往发生在用户终端上：比如使用版本陈旧的操作系统、不安装补丁；不装杀毒软件、安装了也不更新/不运行；使用非授权的、非法的软件工具等，怎么

27、办？组织的IT管理者无法一一检查用户的终端安全环境。鉴于此，深信服SG上网优化网关提供终端检查与准入技术，自动检查用户终端的安全环境，对于检查不通过的终端，既可以警告，也可以禁止其访问互联网。最终实现组织内网用户终端安全性的提升，修补安全短板，达成组织整网上网安全性的保障。第6章 稳定、安全的Proxy代理简介6.1 背景介绍 普通的Internet访问是一个典型的客户机与服务器结构：用户利用电脑上的客户端程序，如浏览器发出请求，远端WWW服务器程序响应请求并提供相应的数据。而Proxy代理设备处于客户机与服务器之间，对于服务器来说，Proxy代理设备是客户机，Proxy代理设备提出请求，服务

28、器响应；对于客户机来说，Proxy代理设备是服务器，它接受客户机的请求，并将服务器上传来的数据转给客户机。Proxy代理设备的工作原理是：当客户在浏览器中设置好Proxy代理后，用户使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给Proxy代理设备，Proxy代理设备接受了客户的请求后，由Proxy代理设备向目的主机发出请求，并接受目的主机的数据，存于Proxy代理设备的硬盘中，然后再由Proxy代理设备将客户要求的数据发给客户。Proxy代理设备的作用包括：一、Proxy代理设备可以起到防火墙的作用。因为所有使用Proxy代理设备的用户都必须通过Proxy代理设备访问远程

29、站点，因此在Proxy代理设备上就可以设置相应的限制，以过滤或屏蔽掉某些信息。 二、通过Proxy代理设备访问一些不能直接访问的网站。互联网上有许多开放的Proxy代理服务器，用户在访问权限受到限制时，而这些Proxy代理服务器的访问权限是不受限制的，刚好Proxy代理服务器在用户的访问范围之内，那么用户通过Proxy代理服务器访问目标网站就成为可能。三、安全性得到提高。无论是上聊天室还是浏览网站，目的网站只能知道用户来自于Proxy代理设备，而用户的真实IP就无法测知，这就使得使用者的安全性得以提高。6.2 传统产品分析随着互联网的发展与普及，业界也出现了一些Proxy代理方案，其中尤以软件

30、Proxy代理方案较多，包括：Microsoft Proxy Server（早已停产）、WinGate、SyGate、WinProxy、WinRoute、CCProxy等，其中又以微软的ISA Server和开源Squid软件代理方案使用最为广泛。但作为软件解决方案，ISA、Squid等Proxy代理方案具有不容克服的缺陷：ISA/Squid性能不足： 由于ISA、Squid是软件方案，需要安装于服务器之上，借助于windows、linux等通用操作系统才能实现Proxy代理功能，因而决定了ISA、Squid产品性能的不足。因为普通服务器和通用操作系统并非为网络数据包转发、应用层数据处理而生，

31、这就造成通常一台硬件配置相对中高端的服务器也只能同时承载300-500用户的并发访问。当组织内网并发用户数超过服务器处理能力后，ISA、Squid方案的整体性能呈指数形式快速下降，使得软件Proxy代理方案并不适合于大中型组织机构使用。针对性能不足的问题，有些组织机构通过部署多台服务器以集群形式承载更大的用户访问量，这的确是一种解决性能瓶颈的方法，但这造成服务器成本、维护成本等快速增加。ISA/Squid稳定性、安全性不足： 同样，由于ISA、Squid依赖于通用服务器和通用操作系统，其稳定性、可靠性、安全性大打折扣。尤其windows等通用操作系统，时刻遭受网络入侵、黑客攻击、病毒感染等风险

32、，加上通用服务器缺少硬件层级的高可用性技术保障、容错冗余等技术的保障，最终导致ISA、Squid方案的安全、可靠、可用性并不理想。ISA/Squid上网加速效果不好： 越来越多的组织机构在部署Proxy代理方案时，希望能够提升用户上网速度。但将ISA、Squid产品作为上网加速方案部署在组织的互联网出口处，其缓存命中率往往低于20%，即每五个允许被缓存的互联网资源中仅有一个能够从ISA、Squid缓存空间中获得，其他四个资源被访问时仍然需要从互联网上传输。而优秀的上网加速解决方案其缓存命中率平均高于30%，甚至接近40%。6.3 深信服SG Proxy代理介绍深信服SG上网优化网关支持HTTP代理、Socks代理，为组织机构提供基于硬件的Proxy代理方案，同时具备以下特点：稳定安全：