電子政務(wù)網(wǎng)絡(luò)出口流量管理設(shè)備升級項目需求及解決方案

PagePAGE6ofNUMPAGES29電子政務(wù)網(wǎng)絡(luò)出口流量管理設(shè)備升級項目需求及解決方案2015年7月目錄TOC\o"1-3"一、 項目背景 3二、 項目現(xiàn)狀 4三、 項目需求 4(一) 新的互聯(lián)網(wǎng)出口管理方案需要滿足的要求 4(二) 當(dāng)前拓?fù)?6四、 互聯(lián)網(wǎng)出口管理解決方案 6(一) 具體方案 7(二) 方案拓?fù)?14(三) 未來擴(kuò)展 15(四) 互聯(lián)網(wǎng)出口流量管理設(shè)備的對比 16五、 總結(jié) 20項目背景隨著互聯(lián)網(wǎng)的暴發(fā)式增長，近年來無論從新應(yīng)用出現(xiàn)的速度角度，還是流量增長的速度角度來看都已經(jīng)對用戶的互聯(lián)網(wǎng)出口鏈路帶來的非常大的壓力，特別是最近兩年的智能移動終端的普及更加劇了對互聯(lián)網(wǎng)出口鏈路的壓力。因此像微博、微信、團(tuán)購、在線購物越來越多的應(yīng)用都使用Web方式來進(jìn)行通訊，更多的視頻資源也都是使用web方式來進(jìn)行通訊，像各門戶網(wǎng)站的新聞已大量使用視頻方式交付，專業(yè)視頻類的網(wǎng)站（如：土豆、優(yōu)酷、酷6、愛奇藝等）也同樣將視頻流量使用web方式來提供；都是大大方便了訪問互聯(lián)網(wǎng)的人員更加方便地使用這些應(yīng)用，無需要安裝特別的客戶端程序。當(dāng)然目前還是有很多使用客戶端的應(yīng)用（PPStream、PPTV、QQLive等）也在提供視頻服務(wù)。當(dāng)然除了這些娛樂性流量網(wǎng)站訪問流量存在外，還有正常的上網(wǎng)流量，甚至越來越多的企事業(yè)單位還需要通過互聯(lián)網(wǎng)來使用一些云服務(wù)應(yīng)用（SaaS）進(jìn)行日常工作，當(dāng)這么多類型的流量經(jīng)過企業(yè)的互聯(lián)網(wǎng)出口鏈路時，互相爭搶帶寬則不可避免，大量的突發(fā)數(shù)據(jù)則會造成鏈路的不穩(wěn)定（偶爾的延時、掉包）。項目現(xiàn)狀XX區(qū)信息服務(wù)中心為XX區(qū)科學(xué)技術(shù)委員會下屬單位，承擔(dān)著區(qū)內(nèi)各委、辦、局、鎮(zhèn)、街道、工業(yè)區(qū)等各單位的互聯(lián)網(wǎng)出口接入，隨著上網(wǎng)人數(shù)的不斷增加，所以也同樣持續(xù)每年都面臨帶寬升級和管理上的壓力。目前區(qū)政府信息中心的互聯(lián)網(wǎng)出口帶寬為800Mbps，分別為四家運營商（電信、聯(lián)通、移動、XX東方有線），目前上網(wǎng)的管理有微軟的TMG、流控設(shè)備、天融信防火墻以及鏈路負(fù)載均衡設(shè)備，這些設(shè)備都已使用多年，且除了防火墻外的產(chǎn)品，要么廠家宣布停止產(chǎn)品研發(fā)和支持（微軟TMG），要么廠家不再銷售產(chǎn)品和支持（流控和負(fù)載均衡），因此XX科委將對區(qū)政府信息中心互聯(lián)網(wǎng)出口進(jìn)行改造和升級換代，以滿足新的應(yīng)用使用模式和新的流量模型。項目需求本項目僅涉及到出口流量管理設(shè)備和TMG的更新。新的互聯(lián)網(wǎng)出口管理方案需要滿足的要求1、適應(yīng)當(dāng)今互聯(lián)網(wǎng)應(yīng)用發(fā)展趨勢，對越來越多的Web應(yīng)用進(jìn)行識別和管理；同時能夠解碼任意HTTPS通訊，以判斷是正常訪問還是非正常的訪問，并bypass所有金融類網(wǎng)站不進(jìn)行解碼；2、可以對所有內(nèi)網(wǎng)上網(wǎng)用戶的上網(wǎng)流量進(jìn)行基于應(yīng)用上的帶寬控制，并可以控制總流量、單個會話流量、并發(fā)連接數(shù)、每分鐘新起連接數(shù)；并可以使用這一臺設(shè)備控制互聯(lián)網(wǎng)上遠(yuǎn)端服務(wù)器向本單位發(fā)送的流量速度。3、所選方案必須考慮未來的IPV6與IPV4在相當(dāng)長時間內(nèi)的共同存在，所有設(shè)備都必須支持IPV4和IPV6雙棧，識別IPV6流量和應(yīng)用，可以進(jìn)行流量控制，并且可以提供IPV4地址到IPV6網(wǎng)站的訪問和IPV6地址到IPV4網(wǎng)站的訪問的轉(zhuǎn)換，同時進(jìn)行嚴(yán)格的訪問控制；4、解決方案具有相當(dāng)?shù)拈_放性和擴(kuò)展性，為以后加固互聯(lián)網(wǎng)出口的安全級別部署新的安全設(shè)備做好架構(gòu)性設(shè)計，且能夠與這些安全設(shè)備進(jìn)行聯(lián)動，比如：DLP設(shè)備，沙盒設(shè)備，大數(shù)據(jù)安全分析設(shè)備；6、所有方案都必須保障良好的用戶體驗，因此方案中要能提供上網(wǎng)內(nèi)容緩存功能和流理管理功能來確保用戶的體驗在互聯(lián)網(wǎng)出口加固安全級別時不受影響。當(dāng)前拓?fù)鋱D2-1如圖2-1所示，區(qū)政府信息中心有四條互聯(lián)網(wǎng)鏈路（電信、聯(lián)通、移動、XX東方有線），從外而內(nèi)，負(fù)載均衡設(shè)備、防火墻、TMG、核心交換都采用雙機(jī)配置以保障高可用性?；ヂ?lián)網(wǎng)出口管理解決方案經(jīng)過前期不同品牌的設(shè)備設(shè)備測試，我們初步意向為采購BlueCoat互聯(lián)網(wǎng)出口管理設(shè)備。具體方案BlueCoat根據(jù)區(qū)科委對互聯(lián)網(wǎng)出口改造的指導(dǎo)方針，提出相對應(yīng)的方案如下：1、使用BlueCoatProxySGS500設(shè)備替換現(xiàn)有的TMG：A）將目前TMG上的策略導(dǎo)入到BlueCoatPorxySGS500設(shè)備上；B）基于用戶進(jìn)行認(rèn)證、授權(quán)；客戶端無需安裝客戶端程序，無需設(shè)置瀏覽器代理；C）基于用戶、組、源IP、源網(wǎng)段、目標(biāo)IP、目標(biāo)URL、目標(biāo)域名、通訊協(xié)議、HTTP頭信息等進(jìn)行訪問控制，并且可以根據(jù)時間來制定策略；D）提供網(wǎng)站本地分類庫和實時云端分類相結(jié)合的方式；并且管理員可以基于BlueCoat85種網(wǎng)站分類進(jìn)行策略管理；E）提供高性能的HTTPS解碼功能，讓緩存、網(wǎng)站過濾、防病毒設(shè)備、DLP等其他安全設(shè)備可以對HTTPS流量進(jìn)行處理，同時可將金融類網(wǎng)站或管理員指定網(wǎng)站排除在外。并且可以基于HTTPS網(wǎng)站的URL進(jìn)行策略控制；F）提供強(qiáng)大的Web內(nèi)容緩存功能，不僅可以緩存HTTP網(wǎng)頁對象，還可以對HTTPS網(wǎng)站解碼后進(jìn)行緩存，改善用戶訪問體驗；G）提供IPV4地址到IPV6網(wǎng)站的訪問和IPV6地址到IPV4網(wǎng)站的訪問的轉(zhuǎn)換，同時進(jìn)行嚴(yán)格的訪問控制。H）提供用戶訪問行為報表：TOP用戶排名，TOP用戶排名，TOP網(wǎng)站排名，TOPWeb應(yīng)用排名，TOPIP排名，自定義報表功能，指定報表定期發(fā)送郵件給管理員，詳細(xì)日志查詢審記（時間、源地址、用戶、所屬組、目標(biāo)URL、目標(biāo)URL所屬網(wǎng)站類別、策略匹配結(jié)果、HTTP返回碼、傳送數(shù)據(jù)量等）。2、使用BlueCoatPacketshaperS500設(shè)備替換現(xiàn)有的流控設(shè)備，并實現(xiàn)如下功能：A）可由設(shè)備自動以應(yīng)用協(xié)議對網(wǎng)絡(luò)流量進(jìn)行識識別，也可以基于用戶、用戶列表、組、源IP、源IP地址列表、源網(wǎng)段、源網(wǎng)段列表、目標(biāo)IP地址列表、目標(biāo)網(wǎng)段、目標(biāo)網(wǎng)段列表、目標(biāo)域名、目標(biāo)URL、應(yīng)用協(xié)議、應(yīng)用協(xié)議組對網(wǎng)絡(luò)流量進(jìn)行手工創(chuàng)建分類并進(jìn)行帶寬控制和報表；B）提供對于TCP應(yīng)用的延時分析（提供總延時、服務(wù)器延時、網(wǎng)絡(luò)延時的細(xì)分）、TCP健康狀況分析，在處理應(yīng)用上的疑難問題時提供幫助；C）聯(lián)機(jī)提供秒級別實時監(jiān)視報表；D）聯(lián)機(jī)提供兩月數(shù)據(jù)報表；E）策略控制提供細(xì)化到單個會話，單個IP的帶寬控制粒度，并可以進(jìn)行優(yōu)先級控制，阻擋控制等策略，提供單個IP的TCP及UDP并發(fā)連接控制、每分鐘新起連接控制，提供單個流量分類的并發(fā)連接控制；F）同時支持IPV4流量和IPV6流量的識別與流量控制；G）提供基于網(wǎng)絡(luò)指標(biāo)或應(yīng)用指標(biāo)的監(jiān)視，閥值觸發(fā)后設(shè)備自動進(jìn)行報警（snmptrap，email）或自動變更策略；H）提供報表系統(tǒng)存儲時間更久的報表數(shù)據(jù)；提供所設(shè)備上的報表類型外再提供：IP地址（源或目的）歷史數(shù)據(jù)記錄，IP對的歷史數(shù)據(jù)記錄，所有會話的歷史數(shù)據(jù)記錄（會話開始時間、結(jié)束時間、持續(xù)時長、源地址、源端口、目標(biāo)地址、目標(biāo)端口、產(chǎn)生的流量大小、所屬應(yīng)用協(xié)議、匹配設(shè)備流量分類等信息）。方案拓?fù)鋱D3-1如圖3-1所示，使用一臺BlueCoatProxySGS500設(shè)備替換現(xiàn)有微軟的TMG系統(tǒng)的多臺服務(wù)器，部署在相同位置，通過兩根10/100/1000Mbps的以太網(wǎng)線連接，通過交換機(jī)2960策略路由（PBR）將出向互聯(lián)網(wǎng)的目標(biāo)為TCP端口80和443的流量轉(zhuǎn)給BlueCoat的ProxySGS500設(shè)備，將從互聯(lián)網(wǎng)回來的數(shù)據(jù)包來源為TCP端口80或443的流量轉(zhuǎn)給BlueCoat的ProxySGS500設(shè)備，并在在功能上替換現(xiàn)有微軟的TMG系統(tǒng)，同時不再需要每個客戶端安裝TMG客戶端軟件，實現(xiàn)本方案前面所描述的所有功能。在核心交換上指定的服務(wù)器VLAN部署一臺windows服務(wù)器并安裝BlueCoat報表軟件——Reporter，來處理由ProxySGS500設(shè)備傳送過來的用戶上網(wǎng)訪問日志，進(jìn)行日志處理與分析，實現(xiàn)報表與審記要求。使用BlueCoatPacketShaperS500帶寬管理設(shè)備替換現(xiàn)有的流控設(shè)備，部署在與現(xiàn)有流控相同的位置上串接現(xiàn)有的網(wǎng)絡(luò)鏈路中，實現(xiàn)本方案前面提到的流量管理方面的功能。在核心交換上指定的服務(wù)器VLAN部署一臺windows服務(wù)器并安裝BlueCoat報表軟件——IntelligenceCenter，來處理由PacketShaperS500帶寬管理設(shè)備傳送過來流量控制報表數(shù)據(jù)，進(jìn)行日志處理與分析，實現(xiàn)報表數(shù)據(jù)長期留存和深度挖掘的要求。未來擴(kuò)展1、可以根據(jù)用戶和帶寬的增長，增加相同型號的BlueCoatProxySGS500設(shè)備,以多臺設(shè)備來承擔(dān)未來更多的流量或?qū)⒛壳暗腜roxySGS500設(shè)備在不更換硬件設(shè)備的前提下通過升級包升級至更高吞吐量；BlueCoatPacketShaperS500帶寬管理設(shè)備，可以通過升級軟件許可的方式升級到更高帶寬級別的許可，以及控制和處理更多的流量。2、當(dāng)部署機(jī)密信息防泄露的DLP設(shè)備時，可以通過BlueCoatProxySGS500設(shè)備與其聯(lián)動，實現(xiàn)互聯(lián)網(wǎng)出口向往發(fā)送數(shù)據(jù)的檢查（不管是HTTP還是HTTPS）,確保機(jī)密信息不能通過互聯(lián)網(wǎng)出口這個途徑向外傳送?；ヂ?lián)網(wǎng)出口流量管理設(shè)備的對比經(jīng)過長時間的測試與論證，市場上無論是專業(yè)的流量管理設(shè)備還是流控設(shè)備或是上網(wǎng)行為管理設(shè)備都具有互聯(lián)網(wǎng)流量管理的功能，下面是一些主要技術(shù)上的對比。功能描述所需技術(shù)BlueCoat深信服網(wǎng)康七層應(yīng)用識別DPI、Signature、應(yīng)用識別引擎等支持支持支持七層+應(yīng)用識別深度解析識別應(yīng)用引特征，比如識別數(shù)據(jù)庫應(yīng)用下的具體數(shù)據(jù)庫支持不支持不支持實時監(jiān)控每秒采樣與刷新流量秒級采樣技術(shù)支持做不到秒級采樣與刷新做不到秒級采樣與刷新基于應(yīng)用、IP、用戶、網(wǎng)段或時間的帶寬控制，以及并發(fā)連接數(shù)控制隊列技術(shù)、優(yōu)先級技術(shù)等支持支持支持基于網(wǎng)站類別的靜態(tài)庫進(jìn)行過濾URL分類技術(shù)支持支持支持基于動態(tài)URL的實時動態(tài)網(wǎng)站類別分類實時動態(tài)URL分類技術(shù)支持不支持不支持一臺設(shè)備雙向控制帶寬，控制遠(yuǎn)端服務(wù)器發(fā)包速率，減少鏈路上的擁堵，而不是只是帶寬管理設(shè)備漏進(jìn)來的帶寬被控制。TCP速度控制技術(shù)，通過修改TCP滑動窗口的方式，在對端沒有設(shè)備的情況下，來控制對端發(fā)包的速率支持不支持不支持應(yīng)用延時分析，而非ping的結(jié)果延時分析引擎記錄每個會話的延時進(jìn)行分析，給出總延時、網(wǎng)絡(luò)延時與服務(wù)器延時支持不支持不支持根據(jù)預(yù)設(shè)監(jiān)控指標(biāo)（網(wǎng)絡(luò)或應(yīng)用）閥值自動調(diào)整策略或報警自適應(yīng)響應(yīng)技術(shù)支持不支持不支持歷史報告（各種排名報告與查詢報告）報表引擎或報表軟件有有有從上表來對比來看，我們看流量管理設(shè)備最核心的帶寬控制技術(shù)，但是無論是DPI技術(shù)還是隊列/令牌桶技術(shù)、DFI技術(shù)、DART技術(shù)、PRQ技術(shù)、優(yōu)先級技術(shù)等都是流量到達(dá)流控設(shè)備之后再進(jìn)行控制，此時進(jìn)到企業(yè)內(nèi)部的流量確實控制住了，但是進(jìn)來的流量在到達(dá)流控設(shè)備之前，則是無控制的，如果流量峰值較大時，則還是會塞滿帶寬。企業(yè)員工上網(wǎng)的流量是典型的下行流量大，上行流量小的特點，因為上網(wǎng)發(fā)送的請求包是上行方向，請求包是非常小的，而互聯(lián)網(wǎng)上的服務(wù)器響應(yīng)數(shù)據(jù)時則是下行流量。因此如果流量管理設(shè)備如果控制不了互聯(lián)網(wǎng)上服務(wù)器向企業(yè)發(fā)送數(shù)據(jù)包的速率，則是無法解決互聯(lián)網(wǎng)鏈路最后一公里的擁塞問題的。而市場上唯一能做到一臺設(shè)備可進(jìn)行雙向流量控制且控制遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)速度的就是使用TCP速率控制技術(shù)的BlueCoat公司PacketShaper設(shè)備，其他流控設(shè)備或上網(wǎng)行為管理設(shè)備（比如：深信服或網(wǎng)康）則無此功能，并達(dá)不到一臺設(shè)備進(jìn)行雙向流量控制且控制遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)速度的技術(shù)要求。此技術(shù)為BlueCoat公司專利技術(shù)。TCP速率控制可計算流量速率對應(yīng)的TCP窗口大小，如果當(dāng)前交互雙方的TCP窗口大于根據(jù)所設(shè)帶寬策略換算出來的TCP窗口大小時，PacketShaper就會修改它至換算出來的值，這樣服務(wù)器收到帶有這樣窗口大小的ACK時，就會以這樣的速率向數(shù)據(jù)接收的客戶來發(fā)送數(shù)據(jù)包；如果當(dāng)前交互雙方的TCP窗口小于或等于根據(jù)所設(shè)帶寬策略換算出來的TCP窗口大小時，PacketShaper則不會其窗口大小值。所以PacketShaper設(shè)備是根據(jù)我們眾所周知的原理來控制流量，這個原理就是“決定服務(wù)器與客戶端之端數(shù)據(jù)包傳送速度的就是TCP/IP協(xié)議中的TCPWindowSize”,PacketShaper就是通過修改這個WindowSize的大小來實現(xiàn)控制數(shù)據(jù)包傳速度的結(jié)果。這相當(dāng)于PacketShaper通知流量的發(fā)送端減速或加速。但是如果數(shù)據(jù)包只有使用特定發(fā)送速率到達(dá)時才可接收，那么就沒有必要加快傳輸速度。并且TCP速率控制是通過檢測、計算數(shù)據(jù)包的發(fā)送及傳輸來避免擁塞，而不是在擁塞的隊列中不斷丟包。TCP速率控制克服了TCP的缺點，阻止了下行和上行的雙向擁塞。當(dāng)然互聯(lián)網(wǎng)鏈路上不只有TCP流量，還有UDP流量，由于UDP流量并不是面向連接的，沒有每次的ACK確認(rèn)，因此無法控制ACK包中所包含的窗口大小，所以它從服務(wù)器端發(fā)送出來的速度是不能使用一臺設(shè)備在一點上進(jìn)行控制。但是互聯(lián)網(wǎng)鏈路上目前來講產(chǎn)生較大流量的應(yīng)用幾乎都是TCP的通訊，比如HTTP下載、HTTP視頻、P2P（也大量使用TCP通訊）等，只有少數(shù)P2P或網(wǎng)絡(luò)攻擊流量會使用到UDP，所以PacketShaper的TCP速率控制技術(shù)可以達(dá)到一臺設(shè)備控制雙向流量，并控制遠(yuǎn)端服務(wù)器發(fā)包速度的效果，可以很好地減少下行和下行方向的雙向擁塞的機(jī)率，并提高網(wǎng)絡(luò)效率，改善用戶體驗。而未使用這種技術(shù)的帶寬控制都是展現(xiàn)了控制好帶寬的假象，如果對比流控設(shè)備之前的防火墻上的流量和內(nèi)部交換機(jī)上連口上的流量，會發(fā)現(xiàn)是防火墻的流量是要大于內(nèi)部交換機(jī)上連端口上的流量的，那是因為進(jìn)來的流量并沒有被控制住，而是經(jīng)過流控設(shè)備后漏進(jìn)來的流量是按照帶寬策略進(jìn)來的，這并不能解決流量高峰時段的帶寬擁塞問題、網(wǎng)絡(luò)效率不高問題、用戶體驗問題。另外市場上的其他流控