DCFS技術(shù)白皮書

1、流量整形網(wǎng)關(guān)系統(tǒng)DCFS技術(shù)白皮書、問(wèn)題分析互聯(lián)網(wǎng)正飛速改變著全球企業(yè)的經(jīng)營(yíng)模式，企業(yè)能以嶄新且有效的方式與客戶、雇員、供應(yīng)商 及業(yè)務(wù)伙伴進(jìn)行溝通。隨著互聯(lián)網(wǎng)的普及，用戶對(duì)網(wǎng)絡(luò)的依賴越來(lái)越深，同時(shí)網(wǎng)絡(luò)給用戶帶來(lái)的煩 惱也日益嚴(yán)重，總結(jié)起來(lái)，困擾用戶的主要問(wèn)題有以下幾個(gè)：用戶總是覺(jué)得自己的帶寬不夠用主干互聯(lián)網(wǎng)雖然年年升級(jí)，但仍然不能滿足用戶日益增長(zhǎng)的需求。很多企業(yè)用戶和運(yùn)營(yíng)商長(zhǎng)期 面臨帶寬的煩惱：申請(qǐng)充足的帶寬投入太多，帶寬少了又不夠用。造成用戶帶寬擁塞的原因很多， 出口帶寬永遠(yuǎn)低于桌面帶寬是最根本的原因，其次，網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展是導(dǎo)致帶寬不夠用的主要 原因，尤其是最近幾年出現(xiàn)的P2P軟件和網(wǎng)絡(luò)

2、病毒，極大的消耗了有限的網(wǎng)絡(luò)資源。對(duì)于那些P2P 軟件的使用者來(lái)說(shuō)，下載一個(gè)文件花5個(gè)小時(shí)或者10個(gè)小時(shí)差別并不大，但是對(duì)于其他瀏覽網(wǎng)頁(yè) 的用戶，訪問(wèn)一個(gè)網(wǎng)頁(yè)需要5秒鐘還是10秒鐘還是有很大區(qū)別的。同樣，如果某個(gè)用戶急需下載 一個(gè)幾兆大小的文件或者電子郵件，他也會(huì)很在乎當(dāng)前的網(wǎng)絡(luò)速度，而此時(shí)的網(wǎng)絡(luò)帶寬也許正在被 某些P2P軟件或者其他一些網(wǎng)絡(luò)資源消耗較多的用戶占用。因此，解決帶寬擁塞的關(guān)鍵問(wèn)題是如何能夠?qū)捄侠淼姆峙涞矫總€(gè)桌面用戶，當(dāng)網(wǎng)絡(luò)資源緊 張的時(shí)候限制那些使用量大的用戶，保障那些使用量小的用戶，反之，當(dāng)網(wǎng)絡(luò)資源有較大空閑時(shí)則 取消這些限制，讓每個(gè)用戶都能進(jìn)行高速下載，有效利用租用的線路

3、。如果關(guān)鍵應(yīng)用無(wú)法得到保障，申請(qǐng)?jiān)俣鄮捯矡o(wú)濟(jì)于事用戶對(duì)于不同應(yīng)用的耐心也不同，比如對(duì)待大文件的下載一般都不會(huì)太在乎時(shí)間，而對(duì)瀏覽網(wǎng) 頁(yè)和郵件收發(fā)則比較在意，至于語(yǔ)音和視頻等實(shí)時(shí)通訊稍有時(shí)延則無(wú)法容忍。顯然，目前網(wǎng)絡(luò)的現(xiàn) 狀是：文件下載、瀏覽網(wǎng)頁(yè)、郵件收發(fā)和視頻通訊都采用相同的帶寬處理策略，很多網(wǎng)絡(luò)資源實(shí)際 上沒(méi)有得到有效的利用。所以，如何保障用戶所關(guān)心的應(yīng)用的正常運(yùn)行也是網(wǎng)絡(luò)管理者最關(guān)心的問(wèn) 題之一。用戶飽受網(wǎng)絡(luò)安全問(wèn)題困擾目前，多數(shù)用戶的桌面操作系統(tǒng)都是Windows家族產(chǎn)品，單一化的桌面環(huán)境導(dǎo)致了基于 Windows系統(tǒng)的網(wǎng)絡(luò)病毒大規(guī)模流行。多數(shù)病毒都是通過(guò)網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，這些病毒為

4、了傳播 經(jīng)常針對(duì)相鄰網(wǎng)段進(jìn)行大規(guī)模的掃描，而病毒的垃圾請(qǐng)求往往會(huì)消耗大量的網(wǎng)絡(luò)帶寬，同時(shí)可能耗 盡出口路由器的NAT會(huì)話資源，致使網(wǎng)絡(luò)的管理者誤以為是帶寬資源不夠?qū)е戮W(wǎng)絡(luò)的擁塞。傳統(tǒng)的 防火墻設(shè)備、IDS和IPS設(shè)備只能進(jìn)行簡(jiǎn)單的攔截和過(guò)濾，針對(duì)那些已知的病毒和攻擊有一定的效 果，但病毒和攻擊日新月異，面對(duì)新的網(wǎng)絡(luò)攻擊，它們則變得束手無(wú)策。網(wǎng)絡(luò)攻擊導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷網(wǎng)絡(luò)服務(wù)是多數(shù)ICP生存的基礎(chǔ)，DoS/DDoS攻擊制造了大量的無(wú)效訪問(wèn)或者垃圾訪問(wèn)，嚴(yán)重 影響了正常的網(wǎng)絡(luò)服務(wù)，導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷，甚至導(dǎo)致整個(gè)運(yùn)營(yíng)網(wǎng)絡(luò)癱瘓。由于DoS/DDoS工具可 以輕易從網(wǎng)上獲取，這類攻擊也日益泛濫。很多內(nèi)容服

5、務(wù)提供商都沒(méi)有防護(hù)工具，遇到這類攻擊他 們只能采取一些簡(jiǎn)單的防護(hù)措施，面對(duì)大量的網(wǎng)絡(luò)攻擊數(shù)據(jù)流，這些防護(hù)措施顯得十分脆弱。2、技術(shù)解決方案神州數(shù)碼網(wǎng)絡(luò)是國(guó)內(nèi)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理領(lǐng)域的開(kāi)拓者，我們致力于解決網(wǎng)絡(luò)的管理問(wèn)題和安 全問(wèn)題。針對(duì)目前困擾用戶的網(wǎng)絡(luò)問(wèn)題，推出了神州數(shù)碼DCFS-2000/8000系列產(chǎn)品，率先采用深 層內(nèi)容分析(Deep Inspection)、深層速率控制(Deeper Rate Control)和智能會(huì)話管理等一系 列業(yè)內(nèi)領(lǐng)先技術(shù)，為這些問(wèn)題的解決帶來(lái)曙光。與傳統(tǒng)技術(shù)相比，神州數(shù)碼DCFS-2000/8000系列 產(chǎn)品所使用的幾項(xiàng)專有技術(shù)有幾個(gè)顯著的特點(diǎn)：深層內(nèi)容分析技

6、術(shù)一網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)基于內(nèi)容進(jìn)行會(huì)話識(shí)別：可以通過(guò)高速的深層協(xié)議分析，識(shí)別每一個(gè)網(wǎng)絡(luò)會(huì)話所屬的應(yīng) 用，針對(duì)某種協(xié)議進(jìn)行控制或者制定相應(yīng)的帶寬分配策略，攔截那些具有攻擊意圖的會(huì)話 和連接，而傳統(tǒng)的路由器和防火墻等網(wǎng)絡(luò)設(shè)備只能根據(jù)端口進(jìn)行最初級(jí)的識(shí)別；支持傳統(tǒng)的識(shí)別技術(shù)：可以識(shí)別二到四層的網(wǎng)絡(luò)數(shù)據(jù)特征，這些特征也可以同時(shí)配合內(nèi)容 分析技術(shù)一并使用。深層速率控制技術(shù)一網(wǎng)絡(luò)管理的未來(lái)之路智能的帶寬調(diào)節(jié)功能：可以根據(jù)網(wǎng)絡(luò)負(fù)載智能調(diào)節(jié)網(wǎng)內(nèi)的終端帶寬分配方式，例如：如果 目前網(wǎng)絡(luò)負(fù)載較重則自動(dòng)限制那些流量較大的終端，保證多數(shù)用戶的網(wǎng)絡(luò)應(yīng)用能夠正常、 快速的得到響應(yīng)；當(dāng)網(wǎng)絡(luò)負(fù)載較輕時(shí)，則采用寬松的帶寬處理策

7、略，以便網(wǎng)絡(luò)的帶寬能得 到充分的利用；基于終端的資源控制：僅需設(shè)定一條規(guī)則，即可限定每臺(tái)終端的帶寬使用上限，同時(shí)系統(tǒng) 可以根據(jù)當(dāng)前網(wǎng)絡(luò)資源的使用狀況動(dòng)態(tài)的調(diào)整分配給每個(gè)用戶的帶寬資源，保證帶寬分配 的公平性與合理性，另外系統(tǒng)還可以設(shè)定每臺(tái)終端的會(huì)話數(shù)量，防止由于病毒等原因造成 的網(wǎng)絡(luò)資源耗盡；彈性靈活的資源管理機(jī)制：由于神州數(shù)碼DCFS-2000/8000能看懂網(wǎng)絡(luò)從第二到第七的協(xié) 議層乃至?xí)掗g的關(guān)聯(lián)，它能自動(dòng)地分辨各種不同的協(xié)議、服務(wù)和應(yīng)用。深層速率控制技 術(shù)(Deeper Rate Control)根據(jù)IP地址、子網(wǎng)、服務(wù)器地點(diǎn)、協(xié)議、應(yīng)用端口、應(yīng)用類 型等基本特點(diǎn)及應(yīng)用的關(guān)聯(lián)性分析將這

8、個(gè)信息流和其它信息流區(qū)分開(kāi)來(lái)，再根據(jù)不同的需 要給予適當(dāng)或應(yīng)有的帶寬級(jí)別(Privilege)和帶寬政策(Policy)。帶寬級(jí)別和帶寬政 策可以按區(qū)間劃分，實(shí)施方式是硬性或彈性的，根據(jù)不同的靈活實(shí)施，可以確保廣域網(wǎng)有 限資源的按需動(dòng)態(tài)分配。DOS/DDoS攻擊防范一網(wǎng)絡(luò)安全的基本保障采用SYN Cookie防范的機(jī)制：在TCP確認(rèn)數(shù)據(jù)包中插入一個(gè)ID號(hào)來(lái)鑒別SYN請(qǐng)求。保 證合法的請(qǐng)求發(fā)送到服務(wù)器，同時(shí)終止全部SYN flood攻擊，防止SYN flood攻擊蔓延 到服務(wù)器或 神州數(shù)碼DCFS-2000/8000自身；智能的流量識(shí)別技術(shù)：采用取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測(cè)來(lái)識(shí)別異常流量，一旦達(dá)到

9、了某 個(gè)潛在攻擊的激活閾值，保護(hù)措施將自動(dòng)啟用，攔截那些具有攻擊性質(zhì)的訪問(wèn)，保障服務(wù) 系統(tǒng)的正常運(yùn)行。多層實(shí)時(shí)監(jiān)控體系一保證網(wǎng)絡(luò)的可管理性細(xì)致周到的監(jiān)控功能：宏觀上，神州數(shù)碼DCFS-2000/8000系統(tǒng)提供接口、通道、應(yīng)用、 主機(jī)、會(huì)話等多個(gè)層次的實(shí)時(shí)監(jiān)控功能，隨時(shí)掌握網(wǎng)絡(luò)各個(gè)方面的運(yùn)行狀態(tài)；微觀層面 上，系統(tǒng)可以觀察到流量、報(bào)文數(shù)量、會(huì)話數(shù)量等一系列特性參數(shù)；全面完善的日志機(jī)制：通過(guò)專用的日志服務(wù)器，神州數(shù)碼DCFS-2000/8000的數(shù)據(jù)可以匯 總到日志服務(wù)器內(nèi)，以供管理員查詢和統(tǒng)計(jì)，同時(shí)可以生成報(bào)表幫助管理員分析網(wǎng)絡(luò)運(yùn)行 狀況，管理者還可以通過(guò)日志服務(wù)系統(tǒng)監(jiān)測(cè)多臺(tái)神州數(shù)碼DCFS-

10、2000/8000的運(yùn)行狀況。3、技術(shù)分析深層速率控制技術(shù)的實(shí)現(xiàn)原理和傳統(tǒng)帶寬控制技術(shù)相比，深層速率控制技術(shù)（Deeper Rate Control ）通過(guò)五大步驟保障網(wǎng) 絡(luò)利用的高效性，保障關(guān)鍵應(yīng)用，滿足一般應(yīng)用，避免在廣域網(wǎng)接入瓶頸出現(xiàn)阻塞。分類系統(tǒng)自動(dòng)根據(jù)應(yīng)用程序的協(xié)議、應(yīng)用類別、來(lái)源域、目標(biāo)域和其他應(yīng)用特征，將網(wǎng)絡(luò)數(shù)據(jù)流分 成為不同類別。系統(tǒng)所作的遠(yuǎn)遠(yuǎn)超過(guò)靜態(tài)地對(duì)端口、IP地址等作分辨，而是深入OSI網(wǎng)絡(luò)模型的 第七層對(duì)信息進(jìn)行應(yīng)用層和關(guān)聯(lián)性的分類，對(duì)如Netmeeting和Oracle等各種應(yīng)用程序進(jìn)行精確 定位?？刂仆ㄟ^(guò)當(dāng)前系統(tǒng)的處理策略進(jìn)行帶寬分配，針對(duì)用戶一級(jí)，系統(tǒng)能夠保障多數(shù)

11、用戶的使用、安置 超量占用資源的個(gè)別用戶，針對(duì)應(yīng)用一級(jí)，系統(tǒng)能夠保護(hù)關(guān)鍵的應(yīng)用、快速處理用戶的一般應(yīng)用、 限制非關(guān)鍵信流，使有限的廣域網(wǎng)接入性能實(shí)現(xiàn)最優(yōu)。此外，您還可以為單個(gè)會(huì)話（session）. 單個(gè)應(yīng)用程序或者某類會(huì)話和某類應(yīng)用指定具體的帶寬區(qū)間。系統(tǒng)的深層速率控制技術(shù)能夠主動(dòng)地 同時(shí)控制流出和流入的信息傳輸以避免阻塞、防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均一的 流量，實(shí)現(xiàn)吞吐優(yōu)化。分析根據(jù)當(dāng)前的狀況對(duì)應(yīng)用程序的網(wǎng)絡(luò)效率進(jìn)行分析，然后生成帶寬利用率、響應(yīng)時(shí)間、應(yīng)用關(guān)聯(lián) 性以及其他信息的數(shù)據(jù)，通過(guò)分析這些數(shù)據(jù)生成相應(yīng)的調(diào)整參數(shù)。調(diào)整根據(jù)應(yīng)用程序的分析結(jié)果對(duì)當(dāng)前的網(wǎng)絡(luò)使用情況進(jìn)行預(yù)估，如

12、果發(fā)現(xiàn)當(dāng)前的處理策略沒(méi)有達(dá)到 最優(yōu)的網(wǎng)絡(luò)效率，則智能的調(diào)整當(dāng)前的處理策略，實(shí)現(xiàn)網(wǎng)絡(luò)性能的最大化。報(bào)告系統(tǒng)可以根據(jù)用戶的定制產(chǎn)生圖表、數(shù)據(jù)等管理信息的實(shí)時(shí)監(jiān)控。您可以定制監(jiān)控的對(duì)象，掌 握當(dāng)前真實(shí)性能的狀態(tài)。靈活帶寬通道的管理神州數(shù)碼DCFS-2000/8000支持非常靈活的帶寬通道管理（帶寬通道：Bandwidth Pipe，是用 戶自定義的為某個(gè)用戶、某個(gè)網(wǎng)絡(luò)應(yīng)用或者是某個(gè)網(wǎng)絡(luò)接口、線路定義的帶寬管道）：可以支持帶寬通道的上限帶寬和下限帶寬下限帶寬指通道的保障帶寬，如果空閑可以出租給其他通道，上限帶寬是帶寬通道的最大帶 寬，如果通道帶寬已經(jīng)用滿，而其他通道空閑，可以租用其他通道的帶寬?？梢灾?/p>

13、持帶寬通道的優(yōu)先級(jí)神州數(shù)碼DCFS-2000/8000支持帶寬通道的優(yōu)先級(jí)定義，優(yōu)先級(jí)決定了哪條帶寬通道可以優(yōu)先 被系統(tǒng)處理，優(yōu)先級(jí)越高的帶寬通道可以優(yōu)先占用共享/空閑的帶寬通道資源。帶寬的分配精確到IP地址傳統(tǒng)的Qos技術(shù)每個(gè)策略定義一個(gè)先進(jìn)先出的隊(duì)列，帶寬的上限只能應(yīng)用于整個(gè)策略，而神州 數(shù)碼DCFS-2000/8000的通道管理技術(shù)實(shí)現(xiàn)的是基于用戶地址的動(dòng)態(tài)處理隊(duì)列，能夠精確的控制每 個(gè)用戶端IP地址/地址段的帶寬流量。動(dòng)態(tài)的帶寬分配技術(shù)用戶訪問(wèn)網(wǎng)絡(luò)的速度很大程度取決于用戶終端與網(wǎng)絡(luò)資源之間建立連接的數(shù)量，例如著名的下 載軟件NetAnts、Flashget以及一些P2P軟件就是通過(guò)增加

14、網(wǎng)絡(luò)會(huì)話的數(shù)量來(lái)加速的。如果用戶的網(wǎng)絡(luò)中沒(méi)有帶寬管理，有些用戶使用網(wǎng)絡(luò)工具打開(kāi)了較多的網(wǎng)絡(luò)會(huì)話，獲得了 較大的網(wǎng)絡(luò)帶寬資源，而多數(shù)用戶使用了較少的會(huì)話連接，因而訪問(wèn)速度較慢，如下圖所示：傳統(tǒng)的Qos技術(shù)可以通過(guò)定義用戶帶寬的上限來(lái)限制用戶的訪問(wèn)速度，但是這種方法在網(wǎng) 絡(luò)資源緊張的時(shí)候不能起到緩解的作用，而當(dāng)網(wǎng)絡(luò)資源空閑的時(shí)候容易造成網(wǎng)絡(luò)資源的浪費(fèi)。神州數(shù)碼DCFS-2000/8000支持動(dòng)態(tài)的帶寬分配技術(shù)，可以在用戶分配的帶寬通道內(nèi)動(dòng)態(tài)的 調(diào)節(jié)、均衡用戶帶寬的使用，此技術(shù)具有如下的優(yōu)點(diǎn)：在網(wǎng)絡(luò)資源緊張時(shí)均衡的分配帶寬資源；在網(wǎng)絡(luò)資源空閑時(shí)可以充分利用帶寬資源；可以配合用戶帶寬限制使用；可以針對(duì)

15、某種應(yīng)用，確保關(guān)鍵應(yīng)用的帶寬分配；帶寬分配與用戶建立的會(huì)話數(shù)無(wú)關(guān)。動(dòng)態(tài)的帶寬分配技術(shù)可以從根本上解決用戶帶寬分配不均的問(wèn)題，防止個(gè)別用戶過(guò)多的占用有 限的帶寬資源。如下圖所示：1M帶寬分配與會(huì)話數(shù)無(wú)關(guān)雙重帶寬控制技術(shù)很多網(wǎng)絡(luò)管理員在規(guī)劃網(wǎng)絡(luò)帶寬分配方式的時(shí)候，都有這樣一類需求：每個(gè)用戶的帶寬要控制 在一個(gè)范圍內(nèi)，同時(shí)對(duì)某些應(yīng)用限制一個(gè)總的帶寬，如下圖:BT限制1QM每個(gè)用戶1M以前，這種規(guī)劃需要兩臺(tái)設(shè)備才能實(shí)現(xiàn)：一臺(tái)設(shè)備控制每個(gè)用戶的接入帶寬，另一臺(tái)設(shè)備控制 應(yīng)用的帶寬分配。這樣雖然可以解決問(wèn)題，但是卻增加了設(shè)備投入的成本。使用神州數(shù)碼DCFS- 2000/8000的雙重帶寬控制技術(shù)，即可輕松

16、的解決這一難題，雙重帶寬控制技術(shù)可以在限制每個(gè)用 戶帶寬使用的基礎(chǔ)上，對(duì)某些應(yīng)用占用的總帶寬進(jìn)行限制。這項(xiàng)技術(shù)不僅可以有效的提高管理員對(duì) 網(wǎng)絡(luò)的控制能力，同時(shí)還降低了網(wǎng)絡(luò)建設(shè)的投入成本。TCP速率控制技術(shù)TCP/IP是目前網(wǎng)絡(luò)傳輸時(shí)使用的主要協(xié)議族。該協(xié)議族中，TCP和IP是核心，還包括一些其 它協(xié)議。TCP和IP協(xié)議分別控制著數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸和路由選擇。從本質(zhì)上說(shuō)，IP是指導(dǎo)網(wǎng) 絡(luò)上的數(shù)據(jù)包從發(fā)方計(jì)算機(jī)送達(dá)收方計(jì)算機(jī)。TCP則負(fù)責(zé)確保數(shù)據(jù)在設(shè)備之間進(jìn)行端到端的可靠交 付。TCP使用基于滑動(dòng)窗口的流量和擁塞控制方式，通過(guò)確認(rèn)分組流實(shí)施控制（接收方窗口通 知）。TCP使用基于往返定時(shí)器（RT

17、T： round-trip timer）的自適應(yīng)時(shí)鐘來(lái)調(diào)諧重發(fā)超時(shí)。TCP 為完成對(duì)數(shù)據(jù)的確認(rèn)使用了滑動(dòng)窗口機(jī)制，為避免擁塞采用了稱為“慢啟動(dòng)”的策略。發(fā)方對(duì)丟失 或損壞數(shù)據(jù)的重發(fā)，要求保留數(shù)據(jù)副本直至收到數(shù)據(jù)確認(rèn)（ACK）。為避免大量可能丟失的數(shù)據(jù)副 本占用大量存儲(chǔ)器并浪費(fèi)帶寬，TCP采用了一個(gè)滑動(dòng)窗口裝置來(lái)限制傳送中的數(shù)據(jù)數(shù)量。隨著確認(rèn) 的返回，TCP在前移窗口的同時(shí)，發(fā)送不斷增加的數(shù)據(jù)。一旦窗口被占滿，發(fā)方必須停止傳輸數(shù)據(jù) 直至更多的確認(rèn)到達(dá)。雖然TCP能發(fā)現(xiàn)數(shù)據(jù)沒(méi)有送達(dá)，但重新發(fā)送會(huì)進(jìn)一步加劇信道的擁塞，從而 進(jìn)一步導(dǎo)致數(shù)據(jù)丟失。為避免網(wǎng)絡(luò)因擁塞而癱瘓，TCP只能降低傳輸速率以對(duì)數(shù)據(jù)丟

18、失做出反應(yīng)。TCP的窗口大小是網(wǎng)絡(luò)傳輸中最重要的參數(shù)之一，動(dòng)態(tài)的調(diào)整TCP窗口尺寸的大小，可以很好 的控制TCP會(huì)話傳輸?shù)乃俾?。神州?shù)碼DCFS-2000/8000支持動(dòng)態(tài)的TCP窗口控制技術(shù)，可以有效 的控制TCP的會(huì)話速率；在沒(méi)有神州數(shù)碼DCFS-2000/8000的TCP窗口控制的情況下，發(fā)送端和接受端的TCP WinSize 由會(huì)話的兩端決定，這種情況可能會(huì)導(dǎo)致兩端的通訊帶寬無(wú)法控制，對(duì)于整個(gè)網(wǎng)絡(luò)帶寬的利用率不高，而且可能會(huì)因?yàn)樯贁?shù)用戶導(dǎo)致網(wǎng)絡(luò)的擁塞。發(fā)送方接收方神州數(shù)碼DCFS-2000/8000支持動(dòng)態(tài)的TCP WinSize調(diào)整，神州數(shù)碼DCFS-2000/8000可以 網(wǎng)絡(luò)線路

19、的負(fù)載狀況動(dòng)態(tài)的調(diào)整WinSize的大小，在這種情況下，發(fā)送端和接受端的TCP WinSize 由神州數(shù)碼DCFS-2000/8000動(dòng)態(tài)決定，而不是由傳輸?shù)膬啥藳Q定，如下圖所示：發(fā)送方流量管理hlO24接收方神州數(shù)碼DCFS-2000/8000的TCP速率控制技術(shù)有如下優(yōu)點(diǎn):通過(guò)改變window size控制TCP會(huì)話速率；可以實(shí)現(xiàn)雙向控制；可以減小設(shè)備的緩沖壓力；可以針對(duì)單個(gè)用戶動(dòng)態(tài)實(shí)施；DOS/DDoS攻擊防范技術(shù)TCP/IP是目前網(wǎng)絡(luò)傳輸時(shí)使用的主要協(xié)議族。該協(xié)議族中，TCP和IP是核心，還包括一些其 它協(xié)議。TCP和IP協(xié)議分別控制著數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸和路由選擇。從本質(zhì)上說(shuō)，IP是

20、引導(dǎo)網(wǎng) 絡(luò)上的數(shù)據(jù)包從發(fā)方計(jì)算機(jī)送達(dá)收方計(jì)算機(jī)。TCP則負(fù)責(zé)確保數(shù)據(jù)在不同的設(shè)備之間進(jìn)行端到端的 可靠傳輸。神州數(shù)碼DCFS-2000/8000采用多層DoS/DDoS攻擊防范體系，確保網(wǎng)絡(luò)服務(wù)的正常：神州數(shù)碼DCFS-2000/8000針對(duì)各種類型的SYN flood攻擊提供了強(qiáng)大的防護(hù)能力（無(wú)論該攻 擊是使用何種工具發(fā)動(dòng)的）。這種被稱為SYN Cookie防范的機(jī)制可以在TCP會(huì)話建立前在TCP確 認(rèn)數(shù)據(jù)包中插入一個(gè)ID號(hào)來(lái)鑒別SYN請(qǐng)求。完成這種三向握手后，神州數(shù)碼DCFS-2000/8000僅處 理含有在此前插入的ID號(hào)的請(qǐng)求。這種機(jī)制可以保證會(huì)被只有合法的請(qǐng)求才發(fā)送到服務(wù)器，而任 何

21、SYN flood攻擊都將在神州數(shù)碼DCFS-2000/8000處被終止，因而不會(huì)蔓延到服務(wù)器以及神州數(shù) 碼 DCFS-2000/8000 自身。此外，神州數(shù)碼DCFS-2000/8000借助額外的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測(cè)來(lái)識(shí)別異常流量， 提供了實(shí)時(shí)的DoS防范。該機(jī)制會(huì)對(duì)照策略設(shè)定的閾值來(lái)比較流量樣本。一旦達(dá)到了某個(gè)潛在攻 擊的激活閾值，該潛在攻擊的狀態(tài)就被激活，這樣就會(huì)使用該潛在攻擊的特征文件來(lái)比較各個(gè)數(shù)據(jù) 包。如果發(fā)現(xiàn)匹配的特征，相應(yīng)的數(shù)據(jù)包就會(huì)被丟棄。如果沒(méi)有匹配的特征，則會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)給 網(wǎng)絡(luò)。應(yīng)用級(jí)別的入侵防范黑客在發(fā)起攻擊之前，通常都會(huì)設(shè)法確定打開(kāi)的TCP和UDP端口。一個(gè)打開(kāi)

22、的端口可能意味 著一種服務(wù)、應(yīng)用或者一個(gè)后門。如果端口不是用戶特意打開(kāi)的，則可能導(dǎo)致嚴(yán)重的安全問(wèn)題。神 州數(shù)碼DCFS-2000/8000的應(yīng)用安全模塊通過(guò)應(yīng)用層分析技術(shù)提供了旨在阻止黑客獲取該信息的全 面機(jī)制，方法是攔截并修改發(fā)送給黑客的服務(wù)器應(yīng)答。對(duì)網(wǎng)絡(luò)化應(yīng)用的依賴性不斷增強(qiáng)也使得公司網(wǎng)絡(luò)要面臨病毒、入侵、特洛伊木馬和其它攻擊的 威脅。據(jù)2003年8月刊的Network World報(bào)道，77%的應(yīng)用級(jí)別攻擊都是通過(guò)80端口發(fā)動(dòng)的。 這些攻擊會(huì)使用80端口和其它打開(kāi)的應(yīng)用端口（如139、445等）穿越防火墻而進(jìn)入公司網(wǎng)絡(luò)中。神州數(shù)碼DCFS-2000/8000入侵防范功能采用高速檢測(cè)引擎和攔

23、截多種病毒、蠕蟲和特洛伊木 馬，從而快速而全面地清除所有惡意入侵。4、功能介紹神州數(shù)碼DCFS-2000/8000系列產(chǎn)品可以實(shí)現(xiàn)： 網(wǎng)絡(luò)資源監(jiān)控：監(jiān)控各類網(wǎng)絡(luò)流量，生成監(jiān)控圖表;KFOT-5L I Tr-EI-=-ETnmFTraffic Graph!U： ULI ULI10： 0012： 0014： 0016： 00200 M00： 0002：0004：0006：0008： 00M M M o o O5 0 52q5puouOJ5s.TrafficUDPOTHERSother TCP MULE MMS RTSP GNUTELLh HTTP E：TTCPTotalMMX25.92Mbps 1

24、.25MbpS 53.42MbpS 11.24Mbps 5.77Mbp5 58.04MbpS 383.S2kbpS 30.73Mbp5 62.48MbpS 176.35Mbps 1S8.23MbpsHuerage12.32MbpS 224.53kbpS 29.19MbpS4.30MbpS 1.89MbpS 29.06Mbps 25.76kbpS 14. 17MbpS 43.OOMbpS 121.61Mbps 134.18MbpsMin3.79MbpS 11.16kbps 12. 41 Mbps 809.09kbps0.00 bps 2.58Mbps 0.00 bps 2.21 Mbps 18.

25、94MbpS 63.37MbpS 72.24MbpsLast14. 37MbpS 19.47kbps 44.58MbpS7.04MbpS 1.42MbpS 39.62MbpS2.54kbpS 11.73MbpS 39.59MbpS 143.97MbpS 158.38MbpsTue Dec 2- - 7： 42： 52 CST 2004流量監(jiān)控圖表支持多種網(wǎng)絡(luò)接口和協(xié)議：支持10/100M以太接口以及1000M以太和光纖接口，支持DHCP、 PPP、PPPoE和802.1Q等網(wǎng)絡(luò)協(xié)議；提供深度應(yīng)用分析功能：基于會(huì)話層的應(yīng)用分析，實(shí)現(xiàn)針對(duì)應(yīng)用層的處理和流量管理功能，高 速高效的分析算法，可以在千兆環(huán)境下線速工作；新增應(yīng)用帶竟分配規(guī)則應(yīng)用帶寬分配規(guī)則列表接口名稱帶寬移動(dòng)狀態(tài)犒輯r內(nèi)網(wǎng)外網(wǎng)日T帶限制上限1珈，每用戶W55Kr內(nèi)網(wǎng)外網(wǎng)Edonkey 策略上限1珈，每用戶W55Kr內(nèi)網(wǎng)外網(wǎng)流媒體上限3珈，每用戶W55Kt啟用規(guī)則禁用規(guī)則冊(cè)1除