网络流量处理解决方案

网络流量处理解决方案
篇一：上网行为管理解决方案
XX公司
上网行为管理解决方案
一、应用背景
随着信息技术、特别是网络技术的普及，互联网已经渗透到工作和生活的各方面。

公司员工使用QQ聊天、网上购物、在线欣赏音乐和电影，通过BT等P2P 工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨??只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。

互联网一方面能够帮助企业提高生产力、促进企业发展；另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。

针对用户互联网访问行为的管控，为贵公司带来了全面而灵活的上网行为管理解决方案。

帮助企业有选择的禁止、监控BT，炒股，聊天，MSN，管理QQ，监控邮件，带宽流量等，减少病毒，对员工上网进行正确引导。

二、网络架构概述
XX公司现有网络拓扑结构
WAN：一条6M ADSL，两条4M ADSL
路由器：一台飞鱼星VE900
交换机：一台D-LINK DES1024A，一台TP-LINK
TL-SF1024D，全部不带网管功能 8K报表
计算机：现用44台
三、XX公司在上网行为及计算机管理需求
就员工的非工作上网行为而言，可为分为四大类行为：一类是获取与工作无关的资讯活动，如浏览新闻、看小说、看图片等；
二类是从网络上下载与工作内容无关的数据流，如下载音乐、电影等，以及利用可移动存储设备带走公司相关资料；三类是从事获取个人收益的活动，如网上购物、炒股、兼职、发布广告等活动；
四类是进行虚拟世界的沟通活动，如上网聊天、BBS论坛、撰写博客、收发私人邮件等。

；
另外据反映，有员工突破网络限制，进行非工作上网行为。

这些举动无疑影响了公司正常运营，降低了员工工作效率，还会造成带宽紧张，影响到整个企业的运营，也可能随之给企业带来的严重信息安全隐患。

对于现代企业而言，网络无疑是一把棘手的双刃剑，如何改变员工滥用网络的难题(来自: 小龙文档网:网络流量处理解决方案)，如何对员工上网行为进行有效的管理和控制，使员工上网行为朝着有利于企业大方向发展?
四、上网行为管理的解决方案
对于员工在公司的非工作上网行为，提供以下两个阶
段的解决方案：
第一阶段：宽松自觉管理模式
经实地调研网络架构和所有设备后总结，在不改变现有所有设备的状态下，先根据公司的要求在现有的路由器上（飞鱼星路由器：
VE900SERIES），进行网页访问过滤、网络应用控制、带宽流量管理和过滤聊天软件，限制非法下载等工具。

经查询，该路由器已经具有上述功能，但需要进行更进一步的调整，添加策略以及加强安全控制。

然后在正在使用并指定的员工机上进行进一步的网络限制及绑定，于此同时，利用安装软件或调整每台计算机的策略与权限，进一步限制员工的上网行为以及利用可移动存储设备带走公司相关资料等非工作行为。

此阶段实施后，已可以基本杜绝员工的非工作上网行为，如需再进一步监控员工的上网行为，可实施第二阶段的工作。

第二阶段：实时监控行为模式
可在现有的路由器（飞鱼星路由器：VE900SERIES）之后，交换机（D-LINK DES1024A和 TP-LINKTL-SF1024D）之前，加装上网行为管理设备。

其最主要的几个关键的系统功能：
1、实时监测上网行为
提供实时的上网行为监测，可根据用户上网情况，不
停刷新上网监控屏幕。

企业网络内的所有上网情况，都会及时显现在监控屏幕中。

管理人员也可以随时查看本网络某时段哪些组或哪些用户在上网，及每个用户历史上网记录。

由此，管理人员可以实时了解企业内员工的上网情况，公司员工主要访问的站点，以及常有的网络活动行为，如篇二：网络流量分析解决方案技术白皮书 H3C
网络流量分析解决方案技术白皮书
关键词：DIG、NetStream、NTA、网络流量、网流分析
摘要：网络流量分析是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具，通过对网络信息流（NetStream）的采集并分析可帮助网络管理者得到网络流量的准确信息，为网络的正常、稳定、可靠运行提供保障。

本文档介绍了H3C公司的网络流量分析解决方案（Network Traffic Analysis）的结构组成、功能、以及部署建议，有助于用户更好的理解H3C的网络流量分析解决方案的功能和特点。

缩略语清单：
方案背景
随着网络的应用越来越广泛，规模也随之日渐增长，网络中承载的业务也越来越丰富。

企业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。

目前企业在管理网
络当中普遍遭遇到了如下的问题：
1、网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？
2、应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？
3、用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？
从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。

为了应对企业网络管理中的这些问题，于是，H3C公司的NTA（Network Traffic Analysis）解决方案应运而生！所谓的工欲善其事，必先利其器，NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。

NetStream技术介绍
在理解Network Traffic Analysis解决方案之前，首先需要了解NetStream的一些基本概念，它们是该解决方案的基础。

? “流”概念
NetStream的流定义为：由源到目的方向的一系列单向的数据包。

NetStream流是通过7元组来标识的，即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流，设备根据七元组信息对过往的数据包进行NetStream统计。

下图中就包括四条流：
? 从? 从? 从? 从
Client A到WWW Server方向通信时产生的流； WWW Server到Client A方向通信时产生的流； Client B到FTP Server方向通信时产生的流； FTP Server到Client B方向通信时产生的流；
图1 网络中流的举例说明
从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。

形象地说，通过NetStream流可以记录下来网络中who、what、when、where、how。

? NetStream
技术
NetStream是H3C公司基于“流”的概念，定义了一种用于路由器/交换机输出网络流量的统计数据的方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给网流采集器，网流采集器把搜集的数据包及统计数据传送到网流分析器，经合并处理后存入数据库，并进行进一步的分析处理。

NetStream技术可利用网络中数据流创造价值，并可在最大限度减小对路由器/交换机性能影响的前提下提供详细的数据流统计信息。

NTA解决方案介绍
? NTA
系统组成
Network Traffic Analysis解决方案包括：网流采样设备（NetTraffic Exporter）、网流流采集设备（NetTraffic Collector）、数据分析处理设备（NetTraffic Processor），三个设备之间的关系如下图所示：
图2 Network Traffic Analyze各组成部分的关系
NTE负责流量的采集和发送，NTC设备负责收集和存储NTE发来的流量统计数据信息；NTP从数据库中获取收集到的数据，经分析加工后以直观的图表、报表等方式为网络规划、网络优化、网络监控、流量趋势分析、异常检测等提供直接的数据依据。

1）NetTraffic Exporter
提供NetStream技术接口的网络设备（H3C公司的路由
器和交换机及华为公司的路由器），负责对设备各个端口进出的网络报文进行流分类统计，然后打包输出。

2）NetTraffic Collector
NTC可以采集多个NTE设备输出的数据，对数据进行过滤和聚合，并将数据存储在数据库中供分析处理。

3）NetTraffic Processor
NTP是一个网络流量的分析工具，对采集来的流量数据进行分析处理。

为便于网络管理人员的操作，采用基于Web 形式访问，提供直观的、图形化的管理界面，所有数据输出都以友好的形式直接在Web页面中显示。

? NTE
设备功能
作为支持NetStream的网络设备，首先需要打开网络设备的侦听端口，然后配置将NetStream日志要发送到哪个IP的哪个端口（即NTC设备的监听端口）。

这样，设备就会把NetStream日志以UDP包的形式发往NTC，而NTC则可从侦听端口源源不断的接收NetStream日志。

? NTC
设备功能
NetStream日志被NTC设备采集到之后，将会做聚合处理，这样可减少最终存入数据库的的数据量，并提高了分析
的效率；同时，NTC设备也会对存入数据库的数据作进一步的统计处理，以便快速产生各类分析报表。

? NTP
设备功能
NTP对NTC生成的所有数据进行分析，对数据进行二次聚合、统计分析，分析的结果以非常直观的图表、表格等形式展示给用户，通过这些分析结果，用户可以监控网络使用状况、应用使用状况、用户网络访问行为，并可监控到流量异常状况以便用户进一步做分析。

? 报表功能
用户可根据统计分析的需求，自定义报表生成规则，由报表引擎生成报表，并将统计分析的结果以饼图、曲线图、统计信息表格等直观的形态展示出来。

当前实现的报表功能列表和简要说明如下：
篇三：流量清洗解决方案
流量清洗解决方案
拒绝服务攻击（DoS, Denial of Service）是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。

而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击（DDoS，Distributed Denial of service）得到快速壮大和日益泛滥。

成千上万主机组成的僵尸网络为
DDoS 攻击提供了所需的带宽和主机，形成了规模巨大的攻击规模和网络流量，对被攻击网络造成了极大的危害。

随着DDoS攻击技术的不断提高和发展，ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多，运营商必须在DDoS 威胁影响关键业务和应用之前，对流量进行检测到并加以清洗，确保网络正常稳定的运行以及业务的正常开展。

同时，对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。

迪普科技通过DPtech异常流量清洗系列产品提供了完善的流量清洗解决方案。

DPtech异常流量清洗系列是专业的防御分布式拒绝服务（DDoS）攻击产品，包括：异常流量检测Probe、异常流量清洗Guard、异常流量清洗业务管理平台。

DPtech异常流量清洗产品采用业界领先的“并行流过滤”、“智能流量检测”等技术，能够及时发现网络中的各种DDoS威胁并实现对攻击流量的快速过滤，从而有效保护城域网、IDC等免遭海量DDoS攻击，单设备处理能力可达12G。

典型组网
流量清洗解决方案部署有如下两种方式：
旁路部署：高可靠，检测与清洗产品可以集中部署，也可以分开部署，部署于运营商城域网的核心层或汇聚层，或部署于数据中心出口。

在线部署：部署简单，无需异常流量检测Probe设备。

特点与优势
■高效的流量检测和清洗技术
既支持深度数据包检测技术（DPI），也可以通过分析网络设备输出的
NetFlow/NetStream/SFlow流信息（DFI），从而深入识别隐藏在背景流量中的攻击报文，以实现精确的流量识别和清洗。

采用先进的分布式多核硬件结构，并且可以通过智能集群方式实现多设备集群，从而打造超万兆级异常流量清洗平台。

■高可用性
可以采用在线或旁路部署的方式进行DDoS攻击的防护。

当采用旁路部署的方式时，可以实现对流量的按需清洗，在任何情况下都不会影响正常流量。

良好的网络协议适应性，能够支持ARP、VLAN、链路聚合等网络层协议以及静态路由、RIP、OSPF、 BGP、策略路由等路由协议，满足各种组网应用。

当采用在线部署模式下，可以实时对威胁流量进行清洗。

■多层次的安全防护
通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和先进的“智能流量检测”技术，实现多层次安全防护，精确检测并阻断各种网络层和应用层的
DoS/DDoS攻击和未知恶意流量，包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、
CC攻击等各种攻击。

■自动流量牵引和灵活的流量回注
在发现DDoS攻击时，异常流量清洗设备向邻居的路由器/交换机发布BGP更新
路由通告，自动、迅速地将被攻击用户的流量牵引到DPtech异常流量产品上来，对其进行清洗。

同时，异常流量清洗产品可通过策略路由、MPLS VPN、GRE VPN、二层透传等多种方式，将清洗后的干净流量回注给用户，用户正常的业务流量不受任何影响。

■详尽的分析统计报表
针对检测和清洗的各种威胁流量，提供丰富的攻击日志和报表统计功能，包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息，便于了解网络流量状况。

方案订购信息。