局域网限制流量方法

企业内网安全管理，流量管理，带宽控制解决方案

ExtraMonitor流量管理控制设备应用于政府企业信息中心

一、应用背景：

在国内，政府信息中心（以下简称：信息中心）的网络通常由Internet和政务专网组成，通过多年的政府网络建设，全国各地政务网无论是从基础网络，还是网络的管理及安全，都已颇具规模。近年来中央强调各级政务信息公开，打造服务性政府，让电子政务变的不仅仅政府各部门间的沟通工具，也逐渐成为政府信息公开窗口，广大民众获取政务信息的重要途径，这更为政务网络的管理人员、规划人员提出更高的要求。

下面我们以某政府信息中心作为案例，探讨政府信息中心如何在目前的环境下改善网络运行效果，优化各种网络应用，规避因网络流量所造成的断网事故。

该政府信息中心作为全国性的电子政务的示范单位，目前在IT系统建设方面状况如下：1．网络接入：与上、下级政府单位通过政务专网实现广域网互联，网络中心通过300M光纤线路接入Internet。

2．

应用方面：已成功实施了电子政务、OA等全局性的应用系统，以及各部门的业务系统。开通了“区长在线”等与公众互动的交互平台，电子政务建设方面，在国内屡获殊荣，获得各级政府部门的一致肯定与好评。

3．

信息资源：有五十多台服务器，其中大部分服务放置本地监管，部分服务器托管于其它机房，

机房所在的区政府大楼至少有2000台以上的PC机、并全部实现联网。

4．

为保证IT系统的正常运行，已采取了大量的安全防范措施：如已实现内外网物理隔离、已部署防火墙、防病毒、入侵检测系统等。

5．

专业人员队伍：信息中心拥有一批高水平的技术人员，负责IT系统的建设与运作维护，同时也聘请第三方的安全顾问公司进行指导。

随着信息中心网络的扩容、发展，各个网络上业务、用户规模及流量快速增长，但网络流量的增长速度远高于用户数量的增长速度，网络带宽扩容的压力与日俱增，网络流向很不均衡；对网络内流量及各种应用协议急需进行管理与统计分析，为网络规划和优化调整提供基础依据。

网络上以BT、eDonkey、迅雷为代表的P2P类型的应用以及各种视频应用等大量使用，占用了大量的带宽资源，导致了网络的拥塞和服务质量下降。为了保证用户能够“相对平等”的使用网络资源和带宽，提高网络的整体服务质量，同时提高“每个单位的平均收益率”，需要采取必要的技术手段对BT、eDonkey等大量耗费带宽的P2P应用进行一定程度的监测和调控，以达到提高服务质量的目的。

二、面临的问题与隐患

当前的网络应用已经从物理连接的建设，数据链路层高速网络的实施，网络层全球化的路由交换和会话层的应用发展到了网络应用层也就是OSI第七层的应用。但随之而来的是如何保证网络应用的性能和安全已经成为困扰所有网络用户的问题，成为所有网络用户的迫切需要解决的问题。

另外在目前的网络中有70%以上的安全威胁来自于网络内部，那种认为购买了防火墙、防病毒产品就等于买到了网络安全的想法早已过时，网络攻击和病毒常常发源于企业网内部的

“可信任”主机，内网安全迫切需要大家投入比以往更多的关注。系统的思考一下，其实大多数的内网安全隐患都是源于内部应用无法管理所造成的，尤其是内部用户访问Internet资源的泛滥，如大流量的P2P下载及在线视频。

从普遍性的问题来看，政府信息中心的IT系统尚有以下方面问题有待重视：

1. 内网基层设施齐全，但是缺少统一管理机制和实现统一管理的设备，不能及时发现网络存在的问题，在找到问题后（如：病毒爆发），大量的异常网络流量全部汇聚到核心层交换机，但因地理位置、技术等原因管理人员无法即时控制病毒的蔓延，从而导致在出现问题时来不及补救，使整个网段甚至网络系统瘫痪。

2. 网络带宽资源无法合理分配，缺少基础控管数据。带宽使用效率较低，无法了解网络带宽真正使用情况。重要应用程序的运行没有网络带宽保障，可能在关键时候出现网络阻塞情况。应用软件难于控管，特别是P2P等点对点传输软件（如BT）、视频等，在使用时会挤占大量的网络资源。

3. IT系统是政府管理运作不可或却的工具，但同时也可能因为员工滥用IT资源而影响工作、甚至可能给企业带来各种法律风险。如：上班时间玩游戏、聊天、炒股影响工作，上不健康的网站、网上发贴可能给单位惹来法律风险，泄露机密对单位造成损失等。

对于内部流量的控制，传统的网络管理系统虽然可以提供业务流量监测手段，但基本上只是采用一些通用型的网络链路使用率监视软件，对网络的重点链路和互联点进行简单的端口级流量监视和统计，或采用在网络中部分重点业务接入点加装远程监控探测的方式，对网络中部分端口进行网络流量和上层业务流量的监视和采集，但无法完全满足互联网业务流量的管理需求。

同时，众多的网络产品，如防火墙、路由器、L3交换机等，虽然提供了流量控制功能，基本上都是基于IP及协议端口的方式来管理控制，对于BT等无规则的应用根本无法控管。

三、应用分析：

1. 网络流量流向分析：了解信息中心各种数据网不同属性流量分布，预测流量变化趋势，找出网络瓶颈，为网络规划、优化调整提供基础依据；对应用、用户应用进行深入分析，我们可以清晰地掌握网络的应用行为，为设计实施更好的用户服务及产品提供了可靠的基层数据。

2. 异常流量分析：当网络攻击发生时，从信息中心IP数据网的层面，对异常流量攻击实施有效监控和定位；能够及时响应，对异常流量和一些非法应用进行控制，保证信息中心IP 数据网的正常运行。

3. 网络应用监控：通过建立健全安全监测管理系统，对IP数据网的流量及网上的各种应用协议进行统计分析，结合日常网络维护操作，重点对异常流量进行分析和预警，实现在IP 数据网络上的网络安全预警。

4. 策略控制能力：能够基于IP地址、端口、业务、时间的带宽控制。支持的基于应用的带宽控制包括保证(最小带宽)、限制（最大带宽）、流量透传、丢弃、设置优先级（至少五个级别）等多种控制方式。

综上所述，政府信息中心对IT系统的流量管理的需求，TiderWay概述如下：

①

对出/入网络的流量进行控制

②