应用流量管理系统产品说明

网络卫士应用流量管理系统

TopFlow产品说明

天融信

TOPSEC®

北京市海淀区上地东路1号华控大厦100085

电话：+8610-82776666

传真：+8610-82776677

服务热线：+8610-8008105119

版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2011 天融信公司

商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司

信息反馈

目录

1前言 (1)

1.1网络中难以检测的P2P流量 (1)

1.2技术解决方案 (2)

1.3T OP F LOW产品可视化功能 (1)

2主要功能特色 (2)

2.1强大的协议识别引擎 (2)

2.2灵活的带宽管理 (2)

2.3简单易用的单IP限速 (3)

2.4丰富的报表统计 (3)

2.5系统高可用性 (3)

2.6全中文化安全的W EB管理 (3)

2.7灵活方便的部署方案 (3)

3TOPFLOW部署方案 (4)

3.1透明网桥模式 (4)

3.2旁路监听模式 (5)

4产品特色优势 (6)

4.1协议识别精准 (6)

4.2支持策略嵌套 (6)

4.3HTTP控制 (6)

4.4DNS控制 (6)

4.5应用流量深度放大功能 (7)

4.6用户身份追查功能 (7)

4.7应用分流及流量代理功能 (7)

4.8跨路由代理流量检查 (9)

4.9支持流量DSCP标记以和路由器联动； (9)

4.10基于TCP、UDP连接数控制 (9)

4.11支持优先级调度 (10)

4.12性能领先 (10)

4.13高可用性 (10)

5应用案例 (11)

5.1运营商应用 (11)

5.2企业、政府事业网 (11)

5.3教育 (12)

5.4酒店 (12)

6功能列表 (13)

1前言

天融信应用流量管理系统TopFlow历经多年的研发和经验积累，是业界专业的应用流量分析及控制系统，产品稳定成熟。

TopFlow主要功能是应用流量监控分析，通过透明部署后，能够实时显示整网的网络应用情况，并能够根据网络应用做多层次应用的带宽管理，其中包括带宽限制、带宽预留、带宽保证三种机制，是新一代应用层流量管理系统。

TopFlow在实际应用中，如对运营商、高校等大流量环境，着力表现为P2P流量的精细化管理；而对于政府网络，更偏重于流量的优先级分配及对视频、P2P的限制，同时兼顾对各种事件进行关联管理；对于有少量P2P控制需求的企业应用来说，对P2P的控制精度要求不是很高，更强调带宽保证及业务的优先级保证。TopFlow不但能准确识别各种应用及流量，而且对流量可进行精细化的管理，为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能，是一套真正改善用户网络性能的整体解决方案。

1.1网络中难以检测的P2P流量

P2P应用正在吞噬网络中的宝贵资源、哪些用户占据了过多的网络资源造成网络拥塞？这些用户正在使用什么软件？一系列问题都是围绕着P2P流量的检测。之所以提及P2P流量的检测，是因为P2P技术已经广泛应用到整个互联网，如P2P技术的下载、视频播放、网络游戏、软件更新、IM交互等等，可以说P2P流量已经无处不在。而从浩瀚而复杂的流量中把P2P应用识别出来，这成为整个检测技术的难点。换句话说只要能检测和分离这些P2P流量，就可以对P2P应用进行限制或者阻止、或者为其他的应用或用户分配和保证所需的带宽，或者把P2P应用的流量避开峰值时段，合理调配带宽使用，从而利用现有的带宽资源，最大限度地提高带宽的效率。

深层数据包检测(DPI)技术是识别P2P应用的唯一可靠办法：

对P2P应用进行判定，需要借助复杂的应用层识别技术，并使用各种方法来检测这些难以捉摸的应用。如P2P采用的端口跳动技术或盗用一些常用服务协议端口进行通信传输的伪装技术，仅仅通过对端口进行识别显然是远远不够，这里不能做任何的假设，不

管它们是否使用了某个端口号，这也是传统流控设备对P2P无能为力的重要原因之一。

因此，对所有数据包在应用层面上进行检查，如TCP协议的载荷部分进行检查，以判断它们是否符合代表某种应用代码的样本特征，在很多情况下，对于某一种应用的识别需要检测它是否包含多个代码样本的特征。

基于会话的应用分类：

标准的协议头部字段如TCP/UDP的端口号字段在每一个数据包中都存在，而应用层的协议代码样本通常只能在一次协议会话的前几个数据包中存在，并进行会话标记本次会话中后续所有的数据包。当网络中产生了一个新的会话，如P2P应用会话，那么一个唯一的协议签名就必须被找到，并能够与已知的协议代码样本相匹配，因此，基于应用找到一个会话的特征，就能快速放行后续的数据包，这对于提高设备性能至关重要。

当然有些情况下，一个P2P应用不止使用一个会话，这就需要流量管理系统能够从两个或多个会话中提取信息，并通过行为关联找到能够匹配的代码样本。

基于每秒连接数的应用分类：

不寻常的连接数量可能是在暗示着网络中P2P应用的使用，也可暗示着异常流量的存在，如病毒、蠕虫、有害程序等等。而P2P是具有侵略性的应用，它可以在短时间内建立超负荷的连接，异常的连接数量在流量管理设备中可以设定告警机制，帮助网络管理员及时解决问题。

1.2技术解决方案

针对P2P应用的流量管理特点，检测、性能和系统稳定性这三个因素是至关重要。

不能正确检测区别P2P流量，就不能进行管理控制。性能不能满足要求，没有足够的处理能力，造成网络延迟的增大，同样也是无效。

下面简要介绍一下TopFlow检测与控制P2P系统所使用的独特的应用层识别技术，在此之前，我们先介绍一下目前在其它产品中常用的技术：

(1) 基于数据包的无状态识别技术。这种技术一般是采取模式匹配的方式，对每个数

据包进行模式匹配，并且不考虑数据包之间的逻辑关系，采取这种方式的系统的好处是实现简单，但是它的缺点也是很明显的，就是性能低下，易成为网络的瓶颈。

(2) 基于连接的有状态识别技术。这种技术是一般的传统防火墙所采取的技术。在防

火墙现有的状态表的基础之上，将连接所产生的所有数据包看作一个整体，如果其中某个