统一出口让网络更安全

统一出口让网络更安全

作者：帅国建 李文雄

来源：《计算机世界》2013年第43期

贵州省黔西南州烟草公司（简称“州公司”）各单位互联网访问原先为各自出口、费用自理且没有相应的安全防护措施。为完善互联网访问、应用安全防护能力，达到上网行为可控、可查、可追述的管理要求，后改为经上级单位做互联网统一出口规划后，需由州公司统一提供互联网出口服务，但这给州公司网络管理人员日常网络管理带来了极大的风险和压力，同时也给互联网线路带来了更高的服务要求。怎样使互联网访问应用安全性最好、线路带宽使用率最高、限制产生大量连接会话的P2P应用，成为了黔西南烟草信息中心网络运维和管理所关注的重中之重。

互联网运维难题多

随着互联网统一出口建设的进一步推进，各下属分公司员工均需要通过现有专线接入到州公司，然后由州公司互联网出口访问互联网资源。一方面员工上网条件得到改善；另一方面由于互联网的开放性，也给机构带来更高的网络使用危险性、复杂性和混乱性。用户访问互联网信息的同时，很有可能受到网络上木马、病毒等的攻击，从而造成信息安全事故。 在互联网运维过程中存在的问题表现有以下几个方面：IT部门不清楚网络流量和内部员工的网络活动情况，无法为IT决策提供数据支撑；没有技术保障的IT管理制度形同虚设；滥用互联网应用，使网络业务系统运行缓慢，视频会议带宽得不到保障，单纯扩展带宽没有效果；缺乏细致的流量管理办法，导致业务系统应用带宽抢占严重；机密信息泄漏频发，急需防范泄密；恶意插件、脚本泛滥，给单位网络带来安全风险。 应用层网络技术现状

目前互联网应用，通常是TCP、UDP混合协议传输，更强调带宽侵占性。州公司信息中心根据多年网络运维管理经验，参考兄弟公司管理方法，摸索出适合自身情况的网络管理方法。

在多方论证后发现，基于应用识别的智能（动态）流控技术可以实现根据应用进行合理分配带宽资源，同时，可以保证互联网出口带宽最大利用率。基于应用识别的智能（动态）流控技术在带宽有限时，通过业绩流量控制来限制P2P、流媒体等消耗带宽的应用，保障邮件、访问网站等与业务有关的重要应用的正常带宽范围；当互联网出口带宽只有30%或者更低使用率时，适当降低控制阀值。传统流控技术造成带宽浪费的情况也不再出现。 识别是管理的基础

龙源期刊网 http://www.qikan.com.cn

网络应用极其丰富，尤其随着大量社交型网络应用的出现，由此引发各种管理和安全问题。识别是管理的基础，全面的网络应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。通过全面识别各种应用，进而对单位互联网出口进行有效管理和维护。 州公司信息中心根据多年信息化建设、网络安全建设、运维与管理经验，以不断发现问题、解决问题、创新实践为原则；建设单位高效、高可用性、高安全性信息化网络为主要目标；摸索出有效的解决方案，并不断完善，实现互联网统一出口的高效运维管理。核心技术主要包括以下四个方面：

一、URL识别——通过千万级静态URL库、基于网页智能分析系统IWAS、SSL内容识别技术等，有效应对互联网上数以万计的网页；

二、应用规则识别——识别网络主流应用，包括IM、P2P/P2P流媒体、游戏、办公应用、网银、股票行情软件、股票交易软件、木马、代理软件等；

三、深度内容检测——IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别；

四、智能识别——种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，所以通过P2P智能识别，识别不常见、未来可能出现的P2P行为，进而封堵、流控和审计。 基于Web应用的控制技术

为应对互联网网页容量爆炸性增长，州公司信息中心根据多年的运维经验，参考多种技术实现方式，最终采用“静态URL库+URL智能识别+云系统”三重识别体系。更开发了一套人工智能的网页智能分析系统（Intelligent Webpage Analysis System， IWAS），能够根据已知网址、正文内容、关键字、代码特征等特点进行自动学习和智能分类，真正完善网页访问行为管理。

有限的带宽资源如何分配给不同部门、用户或不同应用，如何保障核心单位用户烟草核心业务系统带宽资源，限制网络杀手如BT迅雷等占用资源，一直以来都是州公司信息中心工作研究的重点课题。经过反复测试、总结，最终发现基于应用识别的、精细智能的流量管理可以有效防止带宽滥用，提升带宽使用效率。

通过带宽的“自由竞争”与“动态分配”，除了基于父子通道进行流量控制之外，还根据在线的用户数量将带宽动态分配给在线用户，如4M的线路，可以动态分配给5个或者20个在线用户使用，从而实现带宽资源的充分利用，达到在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，在带宽空闲时实现资源的充分利用的目的。

龙源期刊网 http://www.qikan.com.cn

以往，通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。现在凭借州公司信息中心开发的一套P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 经济压力显著下降

经过前期大量测试、验证，发现网络监控方案可大大提升员工办公效率以及节约单位互联网带宽资源，减少互联网统一出口后升级带宽带来的支出成本。

通过有效地应用层识别技术和精细化的带宽管理，可以用最少的投资达到最好的效果，解决了单位互联网统一出口后存在的应用控制、行为审计、流量控制、运维管理等问题。 基于应用识别的P2P智能识别技术，不仅能识别和管控常用P2P软件及版本，对不常见的和未来将出现的P2P亦能管控。提供的P2P流控技术，将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P，又不会滥用带宽。

州公司信息中心一直以来都在不断探索用最少的投资达到最好的管理效果，所以在解决单位互联网统一出口后存在的问题，也需要充分考虑单位网络现状，分析存在的问题，找到最有效、最经济的解决方案。

经过信息中心论证，通过有效的应用层识别技术和精细化的带宽管理，大大减少了统一出口带宽扩容带来的经济压力。

“三分制度、七分管理”，缺乏技术手段支撑的管理制度就像一道没有装锁的门，只能依赖人工值守或被管理者的自觉遵守。选择适合单位IT环境的技术手段，才不会让管理制度流于形式，有效支撑组织的IT管理，帮助规范网络，减少IT管理员的无谓工作量，优化组织IT环境。精细化的技术手段可以规范网络行为，是对行政管理的一种补充；网络管理实现了流程化，通过设置上网登记制度、带宽分配制度等，将网络管理流程化，将人员上网与制度结合，保证网络管理规范化；管理变得更透明，增强网络可控性，规避组织机构的风险。

龙源期刊网 http://www.qikan.com.cn