安全方案：大型网络接入流量管理解决方案

1.需求概述

大型企业网络一般指网络信息点数量500个以上；网络建设具有较大规模，拥有多台大型网络设备，如：核心交换机、路由器等；通过多条ISP线路连接Internet；有分支机构和移动用户接入企业网的需求；具有独立的信息发布系统，如Web、Mail服务器。结合大型企业的实际情况，大型企业网络主要面临以下问题：

·少数企业员工使用诸如P2P、IM、下载和在线观看视频的流量横行，大肆吞噬了网络带宽，严重影响了企业内部其他用户的网络应用，诸如MAIL、ERP等网络关键应用带宽无法保证。有很多企业在技术上无法对耗费巨大带宽的网络应用进行控制，只好采用下达严格的管理制度来实现网络管理，但是收效甚微。

·对于企业内部网络要提供互联网公开服务的场合，如何保障这些服务的访问质量与访问性能，也是带宽管理所要解决的问题。

·在上班时间观看在线视频（网络电视、在线影视）；利用各种下载工具下载喜欢的影音文件；在工作时间玩网络游戏（传奇、魔兽、联众、反恐精英等）；用MSN、QQ等即时通讯工具进行与工作无关的聊天；上班时间访问一些色情、反动的网站；利用互联网发布一些不文明的内容，甚至泄露机密（传送公司的机密文件等）；这些问题的泛滥是因为企业无法对员工的上网行为进行有效管理。

·来自于互联网的对企业内部网络服务器的流量性攻击日益严重。以消耗网络资源为目的的流量类攻击发展迅猛，却没有有效的防范、控制手段；网络攻击大量的恶意非法连接消耗带宽，淹没接受主机，造成拒绝服务（DoS）攻击；蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多，造成网络拥塞，占用大量带宽，从而使得网络瘫痪。而管理员无法知道异常流量的类型、来源、具体流向、流量大小、占用的网络端口、持续的时间等，也无法有效规划网络资源的使用。

·跨广域网应用程序性能问题。不断增长的流量，语音、视频和数据不同的性能需求，以及本地和广域网之间带宽容量的不匹配都直接导致了业务关键应用程序的性能下降。如何在不升级带宽的前提下，在现有的广域网上提供比以前丰富得多的应用服务，如何获得更快的应用程序响应时间，是IT经理热切寻求的解决方案。

2.方案概述

2.1. 网络方案拓扑图

针对网络现状需求，提出流量管理与优化解决方案，拓扑图如下：

在设计网络拓扑中，用户总部和分支接入互联网链路均通过LotFlow统一网络流量管理设备，所有用户对互联网的访问均经过统一网络流量管理设备控制；设备透明接入，即插即用。

此部署方式的用户采用多链路接入方式，例如常见的网通和电信链路接入方式：

2.2. 方案特点

·全透明接入方式，即插即用。

·LotFlow提供了整个网络的详细应用视图，全面透视网络应用流量分布，对于企业管理人员对自己网络中各类应用的网络资源占用情况一目了然。

·有效区分“正常流量”与“异常流量”。在识别发现各种网络应用的基础上，使网络流量得以区分并被量化之后，识别哪些是异常的流量或是垃圾流量、哪些是正常的流量、哪些是企业关键应用流量以及这些应用是否按照业务的需要在网络上正常运营。

·流量的净化。LotFlow以“傻瓜”的方式净化网络中的异常流量，它能够帮助检测网络扫描、蠕虫和DDoS 攻击，并且限制它们的影响，给用户专业级安全设备的效果。

·实现动态带宽管理。限制“坏”的应用，如大量占用网络带宽的P2P、网络视频等；保护“好”的应用，使企业的关键应用，如ERP、CRM、VoIP等带宽得以最有效的保障。

·实现对应用行为的有效管理，杜绝对不良网站和危险资源的访问，防止P2P软件等对企业网络带来的安全风险，防止对Internet资源的滥用，从而为防止企业敏感信息、保密信息的泄漏提供了有效保证。

·采用TCP优化、高速透明压缩等技术实现对网络流量的加速，大幅度提高企业网络的广域网性能。

·LotFlow是一款真正的以“流量”为核心网络管理与优化设备，它能够为企业互联网接入提供全面的广域网数据管理与优化服务。

3.给客户带来的价值

·合理利用网络资源。避免因为网络带宽使用不当带来网络应用效率的低下以及带宽资源的浪费，保护用户投资。

·保护关键应用，发挥网络最大价值。实现应用流量的带宽管理，保障对应用访问的必须带宽。当各种网络应用同时进行时，就要保障关键性应用（如ERP、Web、Email等）的使用效能，限制其它无关应用的带宽使用率。

·安全的增值。检测并控制网络扫描、蠕虫和DDoS 攻击；加强对员工的上网行为管理；保护企业关键资产，避免企业重要信息的非法泄露。

·加速网络应用，全面提高IT运营效率。保证用户在有限的带宽下运作，支持更多的网络应用，提高网络应用的响应时间。

·高可靠性保障。设备内置Bypass，在设备出现软硬件故障时快速自动切换到直通状态。

·网络规划管理。通过全面监视网络应用，用户可以获得一个全面的网络应用性能视图，便于用户网络的整体规划与优化。

4.适用范围

对于大流量如千兆级别、数百兆级别的大型企业用户，LotFlow解决方案即可以作为一个全面的网络流量管理解决方案，实现对互联网接入流量的监视、控制、加速与管理；LotFlow 也可以作为一个专业的带宽管理设备，实现对网络应用流量的有效合理控制；LotFlow还可以作为一个专业的网络流量分析设备，因为所有的跨广域网的流量都经过LotFlow，同时LotFlow也可以采用SPAN的方式监听网络流量，因此LotFlow会为用户提供完整的网络应用流量视图；LotFlow还可以作为一个专业的流量净化设备，因为LotFlow提供了一个不断升级的上千种攻击特征库，检测几乎所有的消耗网络带宽的扫描、拒绝服务攻击以及蠕虫，并将这些流量清洗掉。

当然，对于几兆、几十兆网络流量的中小型企业客户，华夏创新也提供相应的LotFlow 产品解决方案，可以说，LotFlow是这类客户最佳的网络流量管理解决方案，是真正的网络流量监视、控制、加速与管理解决方案。