第一篇：企業(yè)控制管理網(wǎng)絡(luò)帶寬流量的方法（精選）

企業(yè)控制管理網(wǎng)絡(luò)帶寬流量的方法

隨著互聯(lián)網(wǎng)的發(fā)展，一些流行的、娛樂性質(zhì)的應(yīng)用層出不窮，如P2P下載、在線看視頻、玩在線游戲等，對(duì)局域網(wǎng)網(wǎng)速消耗極大，極容易導(dǎo)致整個(gè)局域網(wǎng)網(wǎng)速變慢、辦公室上網(wǎng)速度很慢的情況。

企業(yè)網(wǎng)絡(luò)管理員日常工作中一項(xiàng)最重要的工作就是限制局域網(wǎng)網(wǎng)速、控制電腦流量，防止個(gè)別電腦過量占用帶寬而影響整個(gè)局域網(wǎng)上網(wǎng)速度的情況。利用小草網(wǎng)管軟件（小草軟路由）這樣的網(wǎng)管軟件就可以很好的管理企業(yè)網(wǎng)絡(luò)，但是，還有別的方法嗎？答案是有的，下面我們就介紹幾個(gè)方法。

通過路由器、防火墻或交換機(jī)等進(jìn)行局域網(wǎng)網(wǎng)速控制。目前，一些中高端的企業(yè)級(jí)路由器、上網(wǎng)行為管理路由器、防火墻或交換機(jī)都帶有上網(wǎng)行為管理的功能，同時(shí)這些網(wǎng)絡(luò)設(shè)備由于是部署在局域網(wǎng)公網(wǎng)出口，因此從技術(shù)上來(lái)說(shuō)，限制局域網(wǎng)網(wǎng)速、控制電腦上網(wǎng)流量是較為有效的辦法。

路由器是專業(yè)提供網(wǎng)路路由的功能，是為了為局域網(wǎng)用戶提供上網(wǎng)，如果過多地進(jìn)行上網(wǎng)行為管理或網(wǎng)速限制方面的設(shè)置，則會(huì)加大路由器的負(fù)荷，嚴(yán)重情況下還可能導(dǎo)致路由器出現(xiàn)假死的情況，從而不利于單位網(wǎng)絡(luò)的穩(wěn)定、安全和暢通。因此，企業(yè)限制局域網(wǎng)網(wǎng)速，如果一定要用路由器的方式進(jìn)行，則最好選擇較好的中高端路由器，否則效果可能適得其反。但是，這些中高端路由器由于價(jià)格昂貴，則可能成為企業(yè)一筆不小的開支。

其實(shí)使用一些局域網(wǎng)限速軟件、網(wǎng)速控制軟件來(lái)進(jìn)行局域網(wǎng)限速和帶寬分配，防止個(gè)別電腦過量占用網(wǎng)絡(luò)帶寬的情況發(fā)生才是最有效的解決方法。當(dāng)前互聯(lián)網(wǎng)上免費(fèi)的帶寬限制軟件、網(wǎng)速控制軟件很多，小草網(wǎng)管軟件（小草軟路由）是目前面向企業(yè)局域網(wǎng)網(wǎng)絡(luò)管理和網(wǎng)速控制領(lǐng)域較為專業(yè)的網(wǎng)管軟件品牌，而且小草網(wǎng)管軟件只需要安裝在局域網(wǎng)一臺(tái)電腦上就可以完全控制整個(gè)公司局域網(wǎng)的網(wǎng)絡(luò)帶寬，實(shí)時(shí)限制電腦網(wǎng)速。

企業(yè)局域網(wǎng)限制網(wǎng)速，除了直接通過計(jì)算電腦數(shù)據(jù)包、統(tǒng)計(jì)報(bào)文來(lái)限制電腦網(wǎng)速之外，還必須要結(jié)合控制P2P下載、禁止局域網(wǎng)看視頻、屏蔽視頻網(wǎng)站、禁止在線游戲等與企業(yè)工作毫不相干的網(wǎng)絡(luò)應(yīng)用，只有完全禁止了這些消耗網(wǎng)絡(luò)帶寬的大戶，才能從根源上治理帶寬網(wǎng)速入不敷出的情況發(fā)生。小草網(wǎng)管軟件可以限制P2P軟件、禁止網(wǎng)絡(luò)游戲、限制P2P網(wǎng)絡(luò)電視方面，無(wú)論限制的數(shù)量、有效性和增加新的P2P封堵規(guī)則方面都遙遙領(lǐng)先國(guó)內(nèi)同類網(wǎng)管軟件。

總之企業(yè)解決網(wǎng)絡(luò)問題是需要下一段的成本，這就要看哪款軟件的性價(jià)比高，當(dāng)前性價(jià)比高的軟件，當(dāng)屬小草網(wǎng)管軟件，有需要的網(wǎng)管們，可以去查查試用下，看看效果。

第二篇：企業(yè)局域網(wǎng)管理 上網(wǎng)行為管理 流量控制管理

企業(yè)局域網(wǎng)管理上網(wǎng)行為管理流量控制管理

在網(wǎng)絡(luò)中，我們可以搜索資訊、獲取新聞、收發(fā)郵件、聊天、游戲、在線電影、購(gòu)物炒股、網(wǎng)上課堂等，網(wǎng)絡(luò)已經(jīng)成為企業(yè)發(fā)展必不可少的一部分。

據(jù)調(diào)查顯示在辦公上網(wǎng)時(shí)間過長(zhǎng)、遭受仿冒詐騙、辦公時(shí)間玩網(wǎng)絡(luò)游戲和因網(wǎng)絡(luò)安全缺口而帶來(lái)的工作風(fēng)險(xiǎn)等方面，國(guó)內(nèi)企業(yè)的威脅很嚴(yán)峻。要想讓公司局域網(wǎng)絡(luò)能夠發(fā)揮其最大的功效，局域網(wǎng)員工上網(wǎng)行為已經(jīng)到了非管不可的地步了。

小草上網(wǎng)行為管理軟路由正是企業(yè)所急需的專業(yè)局域網(wǎng)管理軟件，能對(duì)企業(yè)局域網(wǎng)流量控制管理、員工的上網(wǎng)行為管理等，都非常有效。

小草的上網(wǎng)行為管理功能在控制員工上網(wǎng)方面做的十分精細(xì)，管理者可以有選擇的設(shè)置網(wǎng)絡(luò)黑白名單，從而把工作和娛樂分的一清二楚，讓員工上班時(shí)間只能瀏覽與工作相關(guān)的網(wǎng)站，其他的娛樂、新聞和旅游購(gòu)物網(wǎng)站統(tǒng)統(tǒng)禁止掉，同時(shí)如果員工上班開小差的話，而對(duì)P2P的管理成為當(dāng)前局域網(wǎng)網(wǎng)絡(luò)管理的最緊迫的課題，小草上網(wǎng)行為管理對(duì)P2P軟件下載管理非常有效，可以限制禁止迅雷、QQ旋風(fēng)、快車、電驢等下載軟件的使用，避免局域網(wǎng)因?yàn)閭€(gè)別員工肆無(wú)忌憚地下載而變得非常忙，同時(shí)也能夠限制其下載速度，滿足基本的工作下載需求。

控制聊天，限制網(wǎng)絡(luò)炒股，屏蔽網(wǎng)絡(luò)游戲方面，小草上網(wǎng)行為管理軟路由更是做到了簡(jiǎn)單智能管理，企業(yè)管理者只要勾選要控制的選項(xiàng)就可以輕輕松松一鍵解決這些問題，網(wǎng)管可以自定義添加所要禁止的網(wǎng)頁(yè)、程序應(yīng)用等。

上網(wǎng)行為管理軟件處理好了這些員工工作時(shí)間上網(wǎng)的問題，局域網(wǎng)才能夠發(fā)揮其最大的作用更好的服務(wù)于企業(yè)。保障企業(yè)局域網(wǎng)的穩(wěn)定順暢，把企業(yè)網(wǎng)絡(luò)的價(jià)值，充分發(fā)揮出來(lái)，提高員工的工作效率。

第三篇：企業(yè)網(wǎng)絡(luò)帶寬管理的八個(gè)技巧

企業(yè)網(wǎng)絡(luò)帶寬管理的八個(gè)技巧

實(shí)時(shí)流媒體、VoIP以及云應(yīng)用等等事物讓企業(yè)帶寬不堪負(fù)重，讓每個(gè)人的速度都變得緩慢異常。雖然有些企業(yè)可以購(gòu)買更多的帶寬，但應(yīng)首先考慮如何優(yōu)化一下你們的網(wǎng)絡(luò)設(shè)置，節(jié)約成本。通過以下企業(yè)網(wǎng)絡(luò)帶寬管理的8個(gè)技巧，希望能夠幫助你減緩帶寬管理的痛苦。

1.了解你的企業(yè)，找到網(wǎng)絡(luò)癥結(jié)的所在 想要解決寬帶問題，首先要去做的就是了解你們的網(wǎng)絡(luò)，并要思考哪些業(yè)務(wù)需要網(wǎng)絡(luò)以及目前的應(yīng)用狀況是如何的。為了能夠讓客戶更快更便捷地將文件傳送到相應(yīng)的部門，你們是否需要更快的傳輸速度？你們的在線交易是否還是保持著超高的延遲？你們的員工和用戶是否依賴基于云的電子郵件、文檔和CRM?若你想要改善網(wǎng)絡(luò)環(huán)境，那么現(xiàn)在就開始著手分析你的網(wǎng)絡(luò)吧！

2.了解你使用的工具

其實(shí)并不需要那些花哨的設(shè)備來(lái)監(jiān)控你的網(wǎng)絡(luò)狀況。若想要收集一些協(xié)議、IP地址或是獲得的URL以及媒體的相關(guān)信息，普通的防火墻就可以幫你完成。此外，許多路由器可以設(shè)置帶寬優(yōu)先級(jí)或是限制ACLs,以及具備相關(guān)的過濾功能。你應(yīng)該花些時(shí)間來(lái)給你的網(wǎng)絡(luò)做做檢測(cè)，看看你的帶寬都用在了哪些地方。此外，針對(duì)企業(yè)關(guān)鍵業(yè)務(wù)的帶寬測(cè)試需要特別注意，防患于未然。確保你的網(wǎng)絡(luò)足夠暢通，你的業(yè)務(wù)需求就是保證用戶們能夠有一個(gè)愉快的網(wǎng)絡(luò)體驗(yàn)。

3.實(shí)時(shí)流媒體

2011年5月，Sandvine報(bào)告稱Netfix占互聯(lián)網(wǎng)下載流量的30%.當(dāng)然，在你的網(wǎng)絡(luò)中，并沒有這么高的百分比的。但要是算上其他的流媒體，比如在線廣播或是YouTube什么的，被占用的帶寬就相對(duì)較多了。你要想想全高清的媒體播放形式是不是真的很有必要，若是為了節(jié)省流量，在網(wǎng)頁(yè)上顯示低質(zhì)量的媒體播放形式能否符合你的要求。但像VoIP這樣關(guān)鍵業(yè)務(wù)的流量，千萬(wàn)不要去減少它們的帶寬！

4.BYOD

個(gè)人設(shè)備的應(yīng)用（BYOD），不僅僅是加大了網(wǎng)絡(luò)安全管理的難度，更是占用了不少帶寬。消費(fèi)級(jí)產(chǎn)品專用于小型網(wǎng)絡(luò)，他們的發(fā)現(xiàn)協(xié)議可以發(fā)送組播，有可能引發(fā)洪水攻擊并殃及整個(gè)子網(wǎng)。然而禁止BYOD并是不良策，你可以在外部DMZ中創(chuàng)建一個(gè)BYOD或是客人專用的Wi-Fi網(wǎng)絡(luò)，這樣客人就可以查看自己的郵件了，且不會(huì)影響到其它網(wǎng)絡(luò)。

5.云服務(wù)

“云”就是外部托管的商業(yè)工具，而你，只要通過用戶專用網(wǎng)絡(luò)的訪問渠道就可以做好本職工作，企業(yè)們對(duì)于這種服務(wù)的需求日益增長(zhǎng)。提高企業(yè)使用SaaS網(wǎng)站的優(yōu)先權(quán)，或者將公司的服務(wù)器托管在外，由專門的人員進(jìn)行管理。此外，“云存儲(chǔ)”和“云備份”需要你額外注意，因?yàn)檫@些地方有可能是信息泄露的源頭，你需要多花些心思在這些方面。

6.VoIP 若是你的企業(yè)采用了VoIP的方案，那么你需要增加一些網(wǎng)絡(luò)帶寬。若是你的公司使用VoIP與客戶進(jìn)行溝通，或是添加了VoIP的應(yīng)用程序，你要確保網(wǎng)絡(luò)足夠暢通。VoIP對(duì)于網(wǎng)絡(luò)的抖動(dòng)與丟包非常敏感，其它應(yīng)用的使用可能會(huì)對(duì)VoIP造成影響，所以對(duì)于VoIP的網(wǎng)絡(luò)與流量，你最好能夠進(jìn)行單獨(dú)的設(shè)置。

7.P2P與下載

幾年前，Comcast曾對(duì)客戶的P2P進(jìn)行了干涉與過濾。幸運(yùn)的是，你的企業(yè)并不可能用家用網(wǎng)絡(luò)來(lái)處理業(yè)務(wù)。但若是用Linux系統(tǒng)安裝使用P2P軟件，卻難以監(jiān)管它的內(nèi)容與流量。由于大多數(shù)P2P流量使用的是隨機(jī)端口，你可以將其設(shè)置成最低優(yōu)先級(jí)，或是禁用非標(biāo)準(zhǔn)的端口流量。但還有一點(diǎn)你要清楚，像VoIP的相關(guān)協(xié)議就可以用到非標(biāo)準(zhǔn)端口，所以你最好能夠確保你的設(shè)備可以自行追蹤地址，在這個(gè)基礎(chǔ)上你可以試著監(jiān)測(cè)SIP或者控制其它的流量。

8.掌握平衡

若是企業(yè)的網(wǎng)絡(luò)現(xiàn)狀并不能允許你削減對(duì)帶寬的需求，那么通過使用代理服務(wù)器或是廣域網(wǎng)加速這些方法仍然能夠進(jìn)行帶寬的優(yōu)化。有時(shí)候一個(gè)簡(jiǎn)單的方案也可以減緩帶寬壓力：奧運(yùn)期間，Macleod公司在休息室安裝了一個(gè)大屏幕的電視，當(dāng)然，其目的不是為了監(jiān)控小偷，而是找到了一個(gè)節(jié)省網(wǎng)絡(luò)成本的簡(jiǎn)便方法。

第四篇：流量控制技術(shù)

2009年8月23-24日，下一代網(wǎng)絡(luò)融合與發(fā)展中國(guó)峰會(huì)(CNCS)在北京京都信苑賓館召開，會(huì)議由國(guó)家廣播電視電影總局指導(dǎo)，中國(guó)廣播電視協(xié)會(huì)，BIRTV組委會(huì)主辦，中廣互聯(lián)，電信傳播研究中心承辦。新浪科技作為獨(dú)家門戶網(wǎng)絡(luò)支持進(jìn)行全程現(xiàn)場(chǎng)直播。

圖為：下一代網(wǎng)絡(luò)融合與發(fā)展中國(guó)峰會(huì)現(xiàn)場(chǎng)，AceNet公司中國(guó)區(qū)技術(shù)總監(jiān)官宇演講。

以下為實(shí)錄：

官宇(AceNet公司中國(guó)區(qū)技術(shù)總監(jiān))：尊敬的嘉賓各位領(lǐng)導(dǎo)、專家上午好！

昨天論壇上蔣總說(shuō)IP網(wǎng)絡(luò)有兩個(gè)突破，一個(gè)是QoS，另外一個(gè)是安全問題。AceNet公司主要的方向就是解決QoS和安全上的問題。

我的演講主要分三個(gè)部分：

第一，給大家介紹一下目前流控技術(shù)在廣電寬帶運(yùn)營(yíng)商的應(yīng)用情況和解決的問題。

第二，AceNet“流控墻”和“流量安全”概念。

第三，應(yīng)用層流控技術(shù)在三網(wǎng)融合中應(yīng)用的思考。

2005年以后互聯(lián)網(wǎng)上出現(xiàn)了一個(gè)重要的應(yīng)用，就是P2P的應(yīng)用，給網(wǎng)絡(luò)帶來(lái)了非常大的影響。影響到底在哪兒？很多人都有不同的看法。我們作為一個(gè)專家的流控的廠商，針對(duì)P2P做了很多研究。P2P對(duì)網(wǎng)絡(luò)構(gòu)成最大的威脅在哪兒？因?yàn)橛脩艟W(wǎng)絡(luò)的行為模型發(fā)生了變化，才會(huì)導(dǎo)致現(xiàn)在的網(wǎng)絡(luò)擁塞。我們?cè)谥翱吹剿械木W(wǎng)絡(luò)都是以客戶端和服務(wù)器之間的交互，用這種訪問模型去構(gòu)建現(xiàn)在所有的網(wǎng)絡(luò)。而且我們的網(wǎng)絡(luò)產(chǎn)品也是基于這種模型去設(shè)計(jì)和建造的。P2P出現(xiàn)之后，所有網(wǎng)絡(luò)的模型，用戶和用戶之間產(chǎn)生了非常大交互的數(shù)據(jù)量，這樣就形成一個(gè)扁平網(wǎng)狀的模型。這種模型現(xiàn)在我們構(gòu)建出來(lái)的基于星形連接的模式是不適合P2P新的網(wǎng)絡(luò)訪問模型，這樣就給整個(gè)網(wǎng)絡(luò)帶來(lái)非常大的災(zāi)難性的影響。

P2P時(shí)代到來(lái)了，帶來(lái)什么問題和變化呢？每一個(gè)用戶開啟的應(yīng)用程序越來(lái)越多了，單個(gè)用戶的并發(fā)會(huì)話數(shù)越來(lái)越多，如果你開一個(gè)新浪的新聞，同時(shí)產(chǎn)生的并發(fā)會(huì)話會(huì)有100多個(gè)，但是這個(gè)會(huì)話很快在一兩秒就結(jié)束了。但是如果P2P的用戶，會(huì)在瞬間產(chǎn)生非常大的并發(fā)會(huì)話，而且這個(gè)并發(fā)會(huì)話持續(xù)非常長(zhǎng)時(shí)間。我們做了很多統(tǒng)計(jì)，如果一個(gè)正常的用戶開啟P2P的流量，它的并發(fā)會(huì)話數(shù)長(zhǎng)時(shí)間維持在4、5千。如果這個(gè)用戶中了木馬病毒，在向外發(fā)攻擊的時(shí)候，我們?cè)谝粋€(gè)高校里截到最高的數(shù)據(jù)，一個(gè)單個(gè)的PC機(jī)產(chǎn)生的并發(fā)會(huì)話數(shù)有19000個(gè)，非常驚人。

另外，UDP報(bào)文比例迅速增加。過去UDP只是用來(lái)DNS解析用的，現(xiàn)在大量UDP報(bào)文被當(dāng)作語(yǔ)音和視頻，因?yàn)樗皇敲嫦蜻B接，它傳輸?shù)难舆t非常小。所以大量的UDP報(bào)文做語(yǔ)音和視頻實(shí)時(shí)交互的流量。很多地方統(tǒng)計(jì)UDP報(bào)文已經(jīng)超過60%。五前年UDP在網(wǎng)絡(luò)中的報(bào)文不超過20%，現(xiàn)在已經(jīng)超過60%。

另外，小包比例特別高。幾年前我們有一個(gè)統(tǒng)計(jì)數(shù)據(jù)，小包的比例只有大概不到20%。這是我們?cè)诒本┑暮５韺拵ё龅慕y(tǒng)計(jì)。小于128字節(jié)的報(bào)文已經(jīng)超過了40%。大于1K的報(bào)文超過了35%。實(shí)際上根據(jù)報(bào)文的比例做一個(gè)分布，它是一個(gè)啞鈴形的分布，大量的報(bào)文是小包，小包是用來(lái)傳語(yǔ)音視頻，還有TCP的握手信號(hào)、協(xié)商報(bào)文。

小包增加了以后給現(xiàn)在很多網(wǎng)絡(luò)設(shè)備帶來(lái)很大的影響和負(fù)擔(dān)，這就是網(wǎng)絡(luò)設(shè)備一個(gè)重要的性能指標(biāo)，只看吞吐是不行的，要看包交換率。

現(xiàn)在很多廣電運(yùn)營(yíng)商都在嘗試用各種各樣的流控技術(shù)來(lái)解決網(wǎng)絡(luò)擁塞問題。實(shí)際上我們作為一個(gè)專業(yè)的流控廠商，凡是我們面對(duì)的用戶全都有網(wǎng)絡(luò)擁塞的問題，也不光是我們面對(duì)，還有很多我們沒有面對(duì)，幾乎所有的網(wǎng)絡(luò)現(xiàn)在都有擁塞的問題。

擁塞的控制和流控的識(shí)別是什么，最早所謂第一代P2P的控制，通過防火墻、P2P常用的端口的封閉，來(lái)解決P2P網(wǎng)絡(luò)的影響。但是很快發(fā)現(xiàn)不行，因?yàn)镻2P會(huì)慢慢自己去改，很快用80的端口、25110的端口，根本沒法封，不可能封。如果封了，郵件和外部訪問就用不了。后面就會(huì)用專業(yè)的流控設(shè)備，基于應(yīng)用層的特征字的方式去識(shí)別P2P的應(yīng)用。但是很快就發(fā)現(xiàn)又不行，發(fā)現(xiàn)我們有加密的BT，迅雷原來(lái)不加密，后來(lái)也加密了。還有一些其它的像Skype整個(gè)就是加密，加密的流量怎么識(shí)別？你在關(guān)鍵字里再也破譯不到特征字，在報(bào)文里過濾不到特征字，這時(shí)就需要升級(jí)專業(yè)的流控設(shè)備，就要通過行為特征的分析，去發(fā)現(xiàn)加密的BT應(yīng)用、加密的P2P的應(yīng)用。

控制手段現(xiàn)在應(yīng)用最多的是用在線的方式，對(duì)識(shí)別的流量做帶寬的控制或者帶寬的保障。在電信里邊有很多應(yīng)用是旁路的方式，旁路的方式只能解決TCP，給TCP的報(bào)文，發(fā)現(xiàn)TCP的鏈接是需要阻斷的話，它就向兩邊發(fā)包，通過旁路干擾的方式阻斷這個(gè)鏈接。另外還有一種方式，通過修改TCP報(bào)文頭中的滑窗參考的方式控制客戶端和服務(wù)器之間的傳輸速率。這兩種方式都是只能控制TCP的報(bào)文，現(xiàn)在網(wǎng)絡(luò)中大量UDP的報(bào)文，用這兩種方式是無(wú)能為力的。

另外，對(duì)單個(gè)用戶使用的帶寬做精確的控制，網(wǎng)絡(luò)資源包括我們常說(shuō)的帶寬，還包括我剛才提到的并發(fā)會(huì)話數(shù)。對(duì)這兩個(gè)要素做一個(gè)精確的控制，對(duì)緩解網(wǎng)絡(luò)擁塞是有非常大的作用。

歸根到底，P2P時(shí)代對(duì)網(wǎng)絡(luò)的影響最大的問題是5%的用戶占用了90%的網(wǎng)絡(luò)資源。我們?nèi)绻前堰@個(gè)問題解決好了，就會(huì)大量地緩解網(wǎng)絡(luò)擁塞問題，我們是有很多實(shí)踐的。我們之前在海淀寬帶有一臺(tái)設(shè)備，我們通過對(duì)用戶的帶寬和并發(fā)會(huì)話數(shù)的控制，達(dá)到了對(duì)網(wǎng)絡(luò)出口帶寬利用率的大幅度提升。在相同的帶寬的情況下，對(duì)每一個(gè)IP占用的帶寬和每一個(gè)IP使用最多的并發(fā)會(huì)話數(shù)做控制之后，同樣的帶寬、同樣的資源，我們承載的并發(fā)用戶數(shù)增加了幾乎一倍。這從一個(gè)側(cè)面去幫助運(yùn)營(yíng)商提升網(wǎng)絡(luò)的利用率，幫助運(yùn)營(yíng)商掙到錢。

我們提出兩個(gè)概念，一個(gè)是流控墻，另外一個(gè)是“流量安全”。這兩個(gè)概念都是AceNet首先提出來(lái)的。為什么提出來(lái)流控墻呢？我們看一下傳統(tǒng)的流控設(shè)備和防火墻之間到底存在什么問題。這里有一個(gè)最標(biāo)準(zhǔn)的部署模式，透明的流控設(shè)備和防火墻之間。流控設(shè)備部署在

防火墻里，這樣防火墻本身和流控是不能交互的，沒有任何交互。有一點(diǎn)，防火墻掛的DMZ區(qū)的流量，這個(gè)流量怎么管理和分析就存在很大問題。從內(nèi)網(wǎng)訪問DMZ區(qū)，我們可以通過流控做分析和控制。從外網(wǎng)訪問DMZ區(qū)就不行。有把這根線從流控設(shè)備這邊繞一圈，又存在一個(gè)問題，從內(nèi)網(wǎng)訪問DMZ區(qū)過了兩遍，被統(tǒng)計(jì)了兩遍。另外防火墻和流控設(shè)備不能互動(dòng)，外面的狀況發(fā)生改變，一條網(wǎng)絡(luò)被擁塞堵得滿滿，你這邊做帶寬保證一點(diǎn)效果都沒有。這邊開視頻會(huì)議，那邊傳一個(gè)大文件，把入口堵住，再做帶寬保證沒有用，會(huì)議還是沒法開，甚至斷了都不知道。

我們?cè)趯?shí)踐過程中經(jīng)常遇到內(nèi)網(wǎng)產(chǎn)生攻擊流量，大流量上來(lái)的時(shí)候，傳統(tǒng)的流控設(shè)備都是X86、NP，兩種情況，一種被打死，另外一種是直接把攻擊流量通過。在最需要流控設(shè)備分析攻擊流量來(lái)源的時(shí)候，你不負(fù)責(zé)任讓它通過，這時(shí)就不知道來(lái)源了。對(duì)于網(wǎng)管來(lái)說(shuō)，發(fā)現(xiàn)有異常流量來(lái)的時(shí)候，要找到異常流量來(lái)源的時(shí)候，在沒有流控設(shè)備的時(shí)候是非常痛苦的事情，沒有半天時(shí)間是查不到的。

另外一種部署模式，這是把流控設(shè)備部署在防火墻外邊，這種部署模式同樣DMZ區(qū)的流量訪問控制解決不了，從內(nèi)網(wǎng)來(lái)的訪問DMZ區(qū)又不經(jīng)過流控設(shè)備。

防火墻做了地址轉(zhuǎn)換，你在流控里看不到原始IP，只能看到轉(zhuǎn)換以后的IP，這時(shí)出現(xiàn)安全問題你沒法定位。

傳統(tǒng)的流控又不能支持負(fù)載均衡，如果要有多鏈路，跨接在上面解決不了問題，一條鏈路10%的負(fù)載，另外一條鏈路99%負(fù)載的時(shí)候，這個(gè)問題就解決不了。

另外，流控設(shè)備不是安全產(chǎn)品，它需要保護(hù)。我們經(jīng)常看到這種部署模式的時(shí)候，在外邊再加一個(gè)防火墻，我們叫做漢堡包方式，把流控設(shè)備還要再保護(hù)一下。

這都是我們說(shuō)的防火墻和傳統(tǒng)的流控設(shè)備不能互動(dòng)造成的問題。AceNet提出了一個(gè)流控墻的概念，我們把防火墻、流量控制和多鏈路出口的負(fù)載均衡集成在一個(gè)芯片里邊去解決這個(gè)問題，這種部署模式就把剛才我前面兩張圖里列舉的防火墻和流控設(shè)備不能互動(dòng)造成的問題全面地做了。AceNet最強(qiáng)的是我們把二層到七層的流量分析和控制用芯片來(lái)完成了，這個(gè)芯片非常大，大概有3000多萬(wàn)門芯片，全世界采用芯片的模式去解決流控問題，只有我們和思科公司，剩下都是采用X86的方式或者NP的方式。而且我們比思科強(qiáng)的地方是，我們把防火墻和負(fù)載均衡能力功能全部集成在這個(gè)芯片里邊，思科只解決流控問題。

我們能夠解決：P2P的問題、帶寬保障的問題、安全問題、做地址轉(zhuǎn)換、用戶認(rèn)證、審計(jì)。我們做的是一個(gè)多層次的流控，流控包括帶寬，包括QoS，包括并發(fā)會(huì)話數(shù)，對(duì)這三個(gè)要素做一個(gè)綜合的控制。

(圖)這是我們能夠識(shí)別和控制的一部分流量，一部分P2P的協(xié)議和AM的協(xié)議。其實(shí)迅雷大家現(xiàn)在用了很多，目前在網(wǎng)絡(luò)中看到最大的流量就是迅雷，我們?cè)诤芏喔咝＠锟吹窖咐椎牧髁繋缀醭^60%，迅雷對(duì)現(xiàn)在的網(wǎng)絡(luò)影響非常大，嚴(yán)格意義上講迅雷是流氓軟件，雖然給大家?guī)?lái)了很多下載方面速率上的體驗(yàn)，非常好，但是它嚴(yán)格意義上講是流氓軟件。為什么？首先，它帶來(lái)很大的安全隱患。你用迅雷在你自己的FTTP服務(wù)器上上傳和下載的時(shí)候

會(huì)很快，比你直接去用FTTP工具訪問快很多。但是只要用迅雷訪問過一次，它就會(huì)把你的用戶名和密碼都記下來(lái)，記在迅雷的服務(wù)器上。以后再有人去訪問這個(gè)文件的時(shí)候，再也不用去敲用戶名和密碼，都用你的用戶名和密碼去訪問，你的這些私有信息在他那兒全都記下來(lái)了，會(huì)造成非常大的安全隱患。不知道你們注意過沒有，去年年初有一個(gè)新聞地香港警察的臥底名單泄露了，誰(shuí)干的呢？就是FOXY。FOXY在香港和臺(tái)灣比較流行的一種P2P軟件，跟迅雷差不多。P2P的軟件都會(huì)帶來(lái)很多安全隱患。

迅雷還流氓在什么地方呢？它在不跟你打招呼的情況下不斷向外傳東西，除非把迅雷關(guān)掉，否則你同時(shí)下載的東西都別別人分享，這是一般人不能忍受的，至少會(huì)影響計(jì)算機(jī)的性能，CPU負(fù)載會(huì)很高。

AceNet首先提出來(lái)一個(gè)流量安全的概念。傳統(tǒng)的流控是流量的可視和流量的可控，我們又提出來(lái)流量的可追溯。為什么提出這個(gè)概念？我們實(shí)際上在實(shí)踐的過程中，通過我們的流控設(shè)備發(fā)現(xiàn)了很多網(wǎng)絡(luò)安全事件，我們第一時(shí)間發(fā)現(xiàn)了網(wǎng)絡(luò)安全事件，并且定位了網(wǎng)絡(luò)安全事件，而且還能追溯網(wǎng)絡(luò)安全事件。南京師范大學(xué)有一次內(nèi)網(wǎng)服務(wù)器中病毒，當(dāng)時(shí)給全網(wǎng)都造成非常大的影響，跑得非常慢，通過我們的設(shè)備直接看到了這個(gè)異常的用戶，這個(gè)服務(wù)器的并發(fā)會(huì)話數(shù)超過19000，影響非常大。老師直接通過我們的設(shè)備定位到這個(gè)服務(wù)器，一看IP就知道這個(gè)服務(wù)器。把這個(gè)服務(wù)器網(wǎng)線一拔掉，這個(gè)網(wǎng)絡(luò)就安全了。這種事情太多，都是通過我們的設(shè)備解決網(wǎng)絡(luò)安全問題。我們提出流量安全的概念。

(圖)最重要的是我們的日志和審計(jì)的功能，這是我們非常強(qiáng)的地方。我們用芯片的方式把我們需要的日志打成UDP包送給日志服務(wù)器，這邊流量再大都不會(huì)影響我生成日志的性能。所以，我們能夠在非常大的大帶寬底下解決日志審計(jì)的問題，這也就是我們?nèi)ソ鉀Q公安部82號(hào)令要求的地址轉(zhuǎn)換日志，需要做地址轉(zhuǎn)換日志的需求。像很多我們的運(yùn)營(yíng)商、高校都存在這個(gè)問題。雖然有82號(hào)令規(guī)定你要做地址轉(zhuǎn)換日志，但是我沒有這么高性能的設(shè)備能夠解決這個(gè)問題。我們通過流控設(shè)備能夠幫他去解決這個(gè)問題。我們把每一個(gè)并發(fā)會(huì)話數(shù)都做了日志，然后對(duì)它的URL外部訪問都做了記錄，F(xiàn)TTP、Email，甚至MSN的聊天內(nèi)容都可以做記錄。

(圖)這是我們的基礎(chǔ)數(shù)據(jù)，我們做地址轉(zhuǎn)換以后的IP和端口都會(huì)把它記錄下來(lái)，并且我們能夠基于基層協(xié)議應(yīng)用的事業(yè)，我們記住這是DP，這是迅雷，多長(zhǎng)發(fā)起時(shí)間、結(jié)束時(shí)間、持續(xù)時(shí)間，都記錄下來(lái)，這是我們的基礎(chǔ)數(shù)據(jù)。通過這些數(shù)據(jù)我們可以做分析，可以看到流量的前十名，我們可以看到IP流量的構(gòu)成，可以看到這個(gè)IP是迅雷，絕大多數(shù)流量都是迅雷。

(圖)我們點(diǎn)擊這個(gè)按紐可以看到訪問的IP地址的分布，比如現(xiàn)在是杭州，我們知道杭州市的IP，我們還知道杭州以外浙江省的IP，我們還是國(guó)內(nèi)的IP，還是國(guó)外的IP。另外，點(diǎn)擊了這個(gè)圖標(biāo)之后，很重要我們能夠看到三個(gè)圖，一個(gè)是基于時(shí)間的單個(gè)IP帶寬的占用情況、變化情況，我們可以看到這個(gè)IP在峰值的時(shí)候流量超過100M。我們可以看到這個(gè)圖的并發(fā)會(huì)話數(shù)是根據(jù)時(shí)間發(fā)生變化，這個(gè)圖是每秒新建連接數(shù)的變化情況。我們可以看到其實(shí)一個(gè)正常的用戶，不是中病毒的情況，每秒新建連接數(shù)不到30次，非常少。但是一旦有

異常流量的時(shí)候，我們截到最高的圖4000多個(gè)，不斷向外發(fā)攻擊。通過這三張圖其實(shí)就可以定義一個(gè)用戶的網(wǎng)絡(luò)行為是不是異常。

我們點(diǎn)擊前面一個(gè)圖的小圖標(biāo)之后，我們還可以看到這一個(gè)用戶迅雷這一種流量根據(jù)時(shí)間變化的情況。我們的統(tǒng)計(jì)是非常細(xì)致的，細(xì)致到什么程度？按照用戶的話說(shuō)，已經(jīng)可以當(dāng)分析儀用了。

黑名單的功能，可以自動(dòng)把異常流量的用戶放到黑名單里，黑名單可以自動(dòng)懲罰。一個(gè)是要么讓他斷網(wǎng)。另外，要么把他的帶寬和并發(fā)會(huì)話數(shù)壓得很低，讓它對(duì)網(wǎng)絡(luò)影響非常小。這是針對(duì)異常流量用戶的控制手段。如果用我們的web認(rèn)證，會(huì)彈出一個(gè)小窗口，告訴這個(gè)用戶已經(jīng)進(jìn)入黑名單，請(qǐng)你跟網(wǎng)管聯(lián)系。

最后，我們?cè)谒伎紤?yīng)用層的流控技術(shù)在現(xiàn)在討論的三網(wǎng)融合中應(yīng)該怎么去用的問題。

我們現(xiàn)在在講三網(wǎng)融合實(shí)際上是建高速公路的情況，我們把一個(gè)高速公路建起來(lái)了，流控做的事情是給高速公路劃線，給它設(shè)置各種交通的標(biāo)志，給它設(shè)紅綠燈。有些車能夠上什么樣的道路，必須是什么速度，哪些道路是不能上的，流控就是干這些事情，解決QoS的問題。

三網(wǎng)融合以后我們看到3T、3Tnet，在非常大帶寬，在用戶到了30M、50M的情況下、是不是還有流控問題呢？是一樣的，現(xiàn)在絕對(duì)不能非常樂觀地說(shuō)我在做試驗(yàn)網(wǎng)的時(shí)候帶寬非常大，根本就沒有遇到過流控的問題，沒有遇到過擁塞的問題，擁塞以后就不會(huì)在實(shí)際應(yīng)用中出現(xiàn)，這個(gè)概念是不會(huì)的。就像我們?cè)?6K的情況下想象不到1M、2M帶寬會(huì)擁塞，但是我們真正用到1M、2M帶寬，大家遇到的擁塞時(shí)時(shí)刻刻都在體會(huì)、感受。當(dāng)用戶升級(jí)到30M同樣存在著擁塞的問題。我們一定要考慮網(wǎng)絡(luò)融合的時(shí)候，在設(shè)計(jì)標(biāo)準(zhǔn)、設(shè)計(jì)方案的時(shí)候就要考慮到流控的問題。

應(yīng)用層的流控，這個(gè)技術(shù)能夠給網(wǎng)絡(luò)融合帶來(lái)什么好處呢？實(shí)際上我們可以去識(shí)別出來(lái)你的各種各樣增值的應(yīng)用，對(duì)這些增值的應(yīng)用有特殊的控制手段，然后給你帶來(lái)非常多靈活的收費(fèi)方式、定價(jià)方式，有各種各樣的帶寬保障，給它不同的貸款，甚至他實(shí)時(shí)要求特制的帶寬，我們都可以用。另外，我們還可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，在大帶寬的情況下，異常行為的用戶對(duì)網(wǎng)絡(luò)的影響就更大了。另外，我們需要在三網(wǎng)融合考慮應(yīng)用層流控的時(shí)候需要注意的一些問題，一個(gè)就是它部署的位置。另外，選用的平臺(tái)。因?yàn)閹挿浅４?，X86和NP的方式肯定不行。另外，考慮全網(wǎng)絡(luò)QoS，另外一旦你應(yīng)用到了可增值的流量，一定要非常容易識(shí)別的才行。流控要和日志認(rèn)證結(jié)合，流控和網(wǎng)絡(luò)安全系統(tǒng)結(jié)合。

(圖)流控到底能干什么？我們的流控部署在這里，這邊是寬帶的接入用戶，我們可以把這些流控的數(shù)據(jù)都統(tǒng)計(jì)記錄在數(shù)據(jù)庫(kù)里邊。同時(shí)給這些用戶分配一些帳號(hào)，我們可以通過前臺(tái)的服務(wù)器，讓用戶訪問，能夠看到自己的流控。就像我們現(xiàn)在通過網(wǎng)站可以查詢我們的手機(jī)話單、通話記錄一樣，可以隨時(shí)查詢我們自己流量的玖單。技術(shù)可以非常詳細(xì)。

另外，我們可以讓用戶定制自己的報(bào)表，每周發(fā)一個(gè)報(bào)表還是每一個(gè)月發(fā)一個(gè)報(bào)表，讓用戶自己心里非常清楚自己的流量到底是什么樣子。有機(jī)是三網(wǎng)融合以后，各種業(yè)務(wù)都多了，可以分業(yè)務(wù)地給各種各樣的報(bào)表。

一旦有異常流量涌上來(lái)，我們可以第一時(shí)間通知用戶，告訴現(xiàn)在有異常，是不是檢查一下、殺一下毒，給用戶非常好的體驗(yàn)。

以后可能流控用得越來(lái)越多，還有更多的應(yīng)用方式，也是大家集思廣益。

第五篇：企業(yè)局域網(wǎng)上網(wǎng)行為管理 流量控制管理等安全管理

企業(yè)局域網(wǎng)上網(wǎng)行為管理流量控制管理等安全管理

企業(yè)局域網(wǎng)中，網(wǎng)管軟件可以幫助網(wǎng)管實(shí)現(xiàn)快速、高效的網(wǎng)絡(luò)管理，如小草上網(wǎng)行為管理軟路由有保護(hù)網(wǎng)絡(luò)安全的防火墻、員工上網(wǎng)行為管理、流量監(jiān)控等功能，能夠幫助網(wǎng)管輕松實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的順暢。

在網(wǎng)管能有效抵御外界入侵的前提下，除非是網(wǎng)絡(luò)服務(wù)供應(yīng)商受到重大攻擊，否則企業(yè)網(wǎng)絡(luò)完全斷開癱瘓的可能性不大。

當(dāng)我們看到一些低價(jià)出售或高價(jià)收購(gòu)商品的網(wǎng)站時(shí)，首先要判斷網(wǎng)站標(biāo)識(shí)的價(jià)格與市場(chǎng)價(jià)格是否相差甚遠(yuǎn);局域網(wǎng)管理軟件如果價(jià)格太低或太高，其中就一定有問題，撿了芝麻丟了西瓜;其次，要注意網(wǎng)站上是否故意使用一些夸張或絕對(duì)的廣告詞，例如醫(yī)藥網(wǎng)站是否號(hào)稱自己的產(chǎn)品藥到病除;證券公司的網(wǎng)站是否宣稱一定會(huì)有超過正常范圍的收益等等，這些都是可疑網(wǎng)站的象征;最后要查看網(wǎng)站上公司地址、電話、網(wǎng)站ICP備案號(hào)是否齊全、詳細(xì)。如果網(wǎng)站上的公司地址寫的很含糊，或者沒有地址和電話，只有幾個(gè)客服QQ號(hào)，這也要引起我們的注意。

安全管理：主要是對(duì)網(wǎng)路資源訪問權(quán)限的管理。包括用戶認(rèn)證、權(quán)限審批和網(wǎng)路訪問控制(防火墻)等功能。其目標(biāo)是按照本地的安全策略來(lái)控制對(duì)網(wǎng)路資源的訪問，以保證網(wǎng)路不被侵害(有意識(shí)的或無(wú)意識(shí)的)，局域網(wǎng)管理軟件執(zhí)戟而來(lái)并保證重要的信息不被未授權(quán)的用戶訪問。在這些網(wǎng)路管理功能中，故障管理是整個(gè)網(wǎng)路管理的核心;配置管理則是各管理功能的基礎(chǔ)，其他各管理功能都需要使用配置管理的信息?？偟膩?lái)說(shuō)，網(wǎng)路管理系統(tǒng)對(duì)一個(gè)網(wǎng)路系統(tǒng)的高效運(yùn)行非常重要，因此在網(wǎng)路管理系統(tǒng)的研究與應(yīng)用非常迫切。為此，在應(yīng)用方面要采取引進(jìn)與自主開發(fā)相結(jié)合的方式。

信息化越來(lái)越普及，幾乎所有的公司都離不開IT，離不開網(wǎng)絡(luò)。對(duì)于很多組織來(lái)講，網(wǎng)絡(luò)就意味著效率、甚至生產(chǎn)力。網(wǎng)絡(luò)應(yīng)用日益復(fù)雜、多變、動(dòng)態(tài)特征發(fā)展。

隨著企業(yè)信息化的深入開展、OA辦公自動(dòng)化系統(tǒng)等各種信息化系統(tǒng)的充分使用，使得企事業(yè)單位對(duì)寬帶、互聯(lián)網(wǎng)的依賴性不斷增強(qiáng)，企事業(yè)單位局域網(wǎng)管理的重要性日漸突出。如何有效加強(qiáng)員工上網(wǎng)管理、約束不合理的上網(wǎng)行為、使得網(wǎng)絡(luò)資源能為企事業(yè)單位的創(chuàng)造更大的收益已經(jīng)成為當(dāng)前局域網(wǎng)管理人員的共識(shí)。

那么怎么加強(qiáng)企業(yè)的局域網(wǎng)管理呢？一種方式是通過依靠本單位內(nèi)部的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)硬件設(shè)施來(lái)實(shí)現(xiàn)。這種方式是通過在這些網(wǎng)絡(luò)設(shè)備上設(shè)置特定的上網(wǎng)控制規(guī)則，對(duì)局域網(wǎng)電腦分配不同的上網(wǎng)權(quán)限，從而實(shí)現(xiàn)對(duì)局域網(wǎng)電腦上網(wǎng)進(jìn)行局域網(wǎng)管理?？梢酝ㄟ^路由器限制網(wǎng)頁(yè)瀏覽、限制上班炒股、禁止上班看訪問視頻網(wǎng)站、禁止網(wǎng)絡(luò)游戲、過濾不良信息、分配上網(wǎng)帶寬和上網(wǎng)流量;通過防火墻防御病毒侵害、限制互聯(lián)網(wǎng)特定訪問、進(jìn)行IP和MAC地址捆綁等方式已經(jīng)成為局域網(wǎng)管理人員通用的做法。

但網(wǎng)絡(luò)設(shè)備一般是通過DOS命令的方式進(jìn)行設(shè)置和管理，需要專門的計(jì)算機(jī)知識(shí)，并且經(jīng)過了專業(yè)的培訓(xùn)和實(shí)踐的積累，才可以很好地掌握;但是通過網(wǎng)絡(luò)設(shè)備對(duì)局域網(wǎng)上網(wǎng)行為監(jiān)控的功能較為有限，對(duì)于一些加密的網(wǎng)絡(luò)應(yīng)用或者一些較為底層的傳輸，則較為困難，一般無(wú)法提供有效的方案。因此，這種管理局域網(wǎng)上網(wǎng)行為的方式僅限于一些有專門網(wǎng)管人員的單位，并且網(wǎng)管人員有較高的業(yè)務(wù)素養(yǎng)。

因此，企業(yè)就需要小草上網(wǎng)行為管理軟路由這樣的專業(yè)局域網(wǎng)管理軟件，來(lái)實(shí)現(xiàn)上網(wǎng)行為管理、流量控制管理等，實(shí)現(xiàn)企業(yè)局域網(wǎng)的科學(xué)管理。