企業流控全解析—與運營商流控的需求及技術對比

企業流控和運營商ISP流控有着很大的區別，這表現在它們的網絡環境、流控前提、流控需求、流控目的都不一樣，因此，面向運營商的DPI七層流控技術並不一定適合企業。目前存在部分管理員使用免費版七層運營商流控軟件產品管理企業網絡的情況，這一方面由於部分廠家有意、無意混淆運營商流控和企業流控產品，另一方面由於市場上少有性價比高的、可免費下載體驗的企業流控軟件產品，因此，企業在實際購買流控及上網行爲管理產品時，還應當從多方面進行全面的瞭解。本文對企業流控的各個方面做了詳細的分析，希望能起到明辨是非、拋磚引玉的作用。

功能項	企業需求	運營商需求	UTMWALL混合流控	DPI七層流控
一、總體比較
近期網絡流量變化	1）隨着百度網盤、115網盤、網絡視頻網站本地化服務及本地ISP WEB緩存等新產品、新技術的出現，HTTP流量超過了P2P流量成爲佔用帶寬最大的應用，傳統基於特徵識別的七層流控不在那麼重要，更多的用於多WAN口的應用分流 2）企事業單位接入帶寬越來越大、越來越穩定，管理越來越規範，帶寬空餘的情況也越來越普遍，因此也不一定非要做流量控制；於此相反，運營商逐利的本質註定其要用有限的帶寬接入無限的用戶，因此必須做出口應用流量控制，以節省成本
1.1 上級ISP對本單位流量的收費政策	上級ISP對本單位的流量無差別的收費	上級ISP對本單位的流量有差別的收費，流向外部網絡的收費高，本地網絡內的收費低	<空>	<空>
1.2 本單位對上網用戶的收費政策	一般都是免費上網	對用戶收費，一般通過PPPoE撥號等認證方式避免用戶逃費及充分利用帶寬	<空>	<空>
1.3 WAN口數	1個，或者有多個，但用於連接多條相互隔離的專網	多個，1個ISP也可能有多條線路，上級ISP支持PPPoE多撥	1~無限制WAN口，內外網任何一塊網卡均可以作爲管理網卡	1~無限制WAN口，有的需要專門的管理網卡
1.4 部署方式	邊界網關、透明網橋(多對)	透明網橋	邊界網關、透明網橋(多對)	透明網橋方式，部分產品網橋數受限；很少產品同時具備邊界網關方式，因爲邊界網關附帶各種NAT、路由及上網日誌等要求，不容易滿足
1.5 適用單位	政府、企業、事業、學校、電商、專網、IDC等單位	ISP（互聯網寬帶運營商、小區寬帶接入商）、網吧	互聯網或專網聯網單位；使用者入門要求低，無需專業技能，看得懂漢字即可	二線城市（有PPPoE多撥）小區寬帶接入私營業主身兼Linux、BSD等系統及網絡管理員
1.6 流控目的	1）在帶寬耗盡時，優先保證與本單位業務有關的關鍵應用； 2）在帶寬空餘時，不要限制非關鍵應用的帶寬； 3）審計、定位、剔除個別用戶的惡意流量 4）保障服務器應用接入的QoS	1）在不增加帶寬接入成本的前提下，儘量多地接入收費用戶； 2）優先保證WEB瀏覽、網絡遊戲、網絡聊天等交互式應用的QoS，儘量抑制去往外網的P2P流量	<同企業需求>	<同運營商需求>
1.7 流控原則	保障關鍵應用，合理利用帶寬	抑制灰色流量，合理分配應用路由	1）以純七層流控爲恥，以混合流控爲榮，達到自主可控、長期有效的目的； 2)一步到位賣產品，在保障流控效果的前提下，絕不收取用戶的流控特徵庫升級費	1）以四層流控爲恥，以純七層流控爲榮，達到精細控制應用路由和帶寬的目的 2）以維護七層流控特徵庫持續向用戶收費爲生
1.8 流控技術	<空>	<空>	以用戶爲對象，6元組四層流控+80端口七層流控+0特徵庫的混合流控技術，白名單方式流控，不用關注各個非關鍵應用的帶寬，只需設置其總帶寬，適用於非ISP的終端聯網單位使用	以應用爲對象，基於七層特徵庫的流量識別、控制及多WAN口分流技術，黑名單方式流控，類似防病毒的特徵匹配，適用於帶寬接入商、運營商
1.9 日常維護	說明：除非關鍵應用有變化，否則不需要經常升級系統、變更策略	說明：由於互聯網應用軟件經常變化，所以需要經常升級系統、變更策略	1）不需要精通Linux、BSD的管理員就可以做日常維護； 2）不依賴於流量特徵庫，無需將時間花在升級特徵庫、調整流控策略上	1）需要精通Linux、BSD的管理員才能做日常維護； 2）依賴於廠家提供的流量特徵庫，平時需要頻繁升級特徵庫、調整流控策略，時間成本巨大說明：如果使用者是身兼管理員的個體戶或企業業主則以上也不成問題
1.10 安全性		說明：ISP只關心網絡的連通性，不關心用戶的安全性	1）專用安全操作系統，沒有安全隱患； 2）OS通過了公安部等權威部門的功能、性能及安全性檢測	1）通用操作系統，不能保證自身安全，有各種破解版、廣告插件及第三方軟件 2）沒有通過權威部門的功能、性能及安全性檢測安全漏洞詳見最下方的參考文件。
1.11 優缺點	<空>	<空>	優點： 1） 100%控制非關鍵應用的帶寬，從而100%保障關鍵應用的QoS； 2）後續維護不依賴於流量特徵庫，自主可控，長期有效，總體成本低； 3）可以在非互聯網的專網內和服務器應用接入等場合發揮作用。缺點：無法按應用類型分析、控制出口流量的帶寬。但仍有針對內網IP的應用審計和基於ISP IP數據庫的策略路由。	優點：按照應用類型精細控制出口流量的帶寬和路由。缺點： 1）特徵庫不包含用戶關鍵應用的特徵，只能通過抑制特徵庫中已有應用的帶寬，來間接保障用戶關鍵應用的QoS； 2）用戶沒有自主性，完全依賴廠家的售後支持，隨時存在流控失效的風險，而且總體費用高； 3）無法在非互聯網的專網內和服務器應用接入等場合發揮作用。
二、四層流控功能比較
2.1 四層流量帶寬實時分析			1.6 QoS狀態查看QoS對象實時應用情況，確認限流的效果	一般都有
2.2 四層流量帶寬趨勢分析			1.4 網絡狀態查看24小時之內各個網卡的帶寬、會話數等使用趨勢，並且留存至少60天的日誌記錄	一般都有，但不一定能留存60天的日誌
2.3 四層ACL訪問控制策略			5.7 總控策略包含源IP及端口、協議、目的IP及端口、動作、網卡、方向、時間、用戶認證等18個子項，既可以作爲內外網的安全策略也可以作爲流控策略	一般有簡單的、非IP對象的四層ACL策略，既無法作爲內外網的安全策略也無法作爲流控策略，有的產品甚至直接省略
2.4 四層流量帶寬控制			5.5 QoS對象與總控策略配合實現基於策略的QoS帶寬控制對於單IP限速，最好在接入交換機的端口上實現，這樣做不僅效率高而且不影響網關的性能	一般都有，但和其它策略項關聯性不強，例如沒有和用戶認證策略相關聯
2.5 四層流量會話控制			5.4 會話對象與總控策略配合，控制單個用戶各個應用的會話數及新建會話速率，可用於控制私接二級路由	一般只控制單個用戶全部應用或全部TCP/UDP的會話數及新建會話速率，導致不能保障關鍵應用的QoS
2.6 四層異常流量控制/抗內外網DoS/動態剔除個別流量異常的會話*		說明：ISP只關心出口應用帶寬分佈，不關心某一具體源IP的流量明細	5.3 流量對象定時分析每個源IP的所有流量的會話，識別並記錄持續流量和上傳流量，動態剔除這樣的會話，並暫時屏蔽目的IP，並且留存至少60天的記錄	一般都缺乏像樣的技術手段，也沒有相應的日誌留存。當上傳流量異常大時就成了DoS***流量，此時絕對不能用DPI七層應用識別的帶寬或路由策略去壓制或分流這樣的流量，只能立刻將其丟棄，否則只會適得其反、雪上加霜，系統資源將被耗盡直至崩潰！
2.7 四層流量策略路由			5.1 地址對象 5.7 總控策略與總控策略配合，實現基於各大ISP IP數據庫的出網和入網策略路由	一般只是出網策略路由，缺乏入網的策略路由
2.8 四層流量統計			1.8 流量統計對各總控策略中的源IP對象的各成員進行流量統計，即使當前無流量，仍能查看其歷史流量統計	一般都有但和策略無關
2.9 在線主機流量明細		說明：ISP只關心出口應用帶寬分佈，不關心某一具體源IP的流量明細	1.10 在線主機實時查看當前流量狀況，對源IP、應用以及流量明細這三種對象進行帶寬、會話數、總流量等指標的排序，並且標示是否是持續流量和上傳流量	一般都有，但細粒度不夠
2.10 會話狀態查詢及控制		說明：ISP只關心出口應用帶寬分佈，更不會強制中斷	1.11 會話狀態查詢網絡數據會話，包括源IP、源端口、協議、目的IP、目的端口、總控策略編號等查詢條件，並可以將所查詢到的會話強制中斷	一般都有簡單的查詢功能，但中斷功能不全
2.11 NAT包過濾日誌		說明：數據量太大，不易留存和查詢，一般用Netflow流量日誌	5.7 總控策略實時記錄網絡數據包，包括時間、源IP、源端口、協議、目的IP、目的端口、總控策略編號及部分數據內容，是聯網單位、涉密單位必配的審計手段	大多數都沒有，或需要第三方服務器支持，安全性不佳
2.12 Netflow流量日誌			4.5 Netflow探針一條會話輸出一條netflow數據流，與包過濾日誌相比，效率更高、體積更小，更方便集中存儲和查詢	部分產品有
三、七層流控功能比較
3.1 七層應用帶寬分析、應用審計/流量統計			1.9 應用狀態 1.10 在線主機沒有按應用類別疊加的帶寬趨勢圖，但有各源IP各七層應用關鍵特徵流量（不是其全部流量）的帶寬、會話數統計和日誌，需要特殊應用特徵庫的支持	一般都有，但缺乏日誌留存，或需要第三方服務器支持
3.2 七層應用帶寬控制	說明：能夠直接定義關鍵應用，就能100%保障關鍵應用的QoS，不需要通過七層識別、控制非關鍵應用的帶寬來間接保障		5.7 總控策略（QoS選項）系統自動分析80端口流量，並把不符合HTTP協議的目的IP放入FAKE80_ip對象，再在總控策略裏對其進行帶寬、會話數等的控制；另外還可以自定義IPS策略，阻攔具有某一七層特徵值的流量	一般都有，但策略設置繁瑣，且和其它策略項關聯性不強，例如沒有和用戶認證策略相關聯
3.3 七層應用策略路由	說明：只有多WAN環境纔有必要進行七層應用策略路由		5.7 總控策略（路由選項）系統自動分析80端口流量，並把不符合HTTP協議的目的IP放入FAKE80_ip對象，再在總控策略裏對其進行策略路由	大多數都有，例如：遊戲、聊天應用走聯通線路，下載應用走ADSL線路，不適用於專網或單個WAN口接入的環境
3.4 七層應用分類阻攔		說明：ISP不能阻攔用戶的網絡應用，只能控制網絡應用的帶寬	6.1 特殊應用總體設置 6.2 特殊應用功能設置 7.5 IDP特徵值規則對遠程應用、下載存儲、網絡遊戲、網絡視頻、聊天通訊、網銀支付、證券交易等網絡應用一鍵勾選阻攔；對一萬多種非法***進行七層特徵值過濾並阻攔	一般都沒有，但可以通過控制應用帶寬，間接實現阻攔應用
3.5 七層流量實時監控		說明：ISP匯聚層流量太大，一般會通過交換機端口鏡像的方式實時查看部分流量	1.12 實時監控實時查詢網絡流量，可以顯示數據包的7層內容，查詢條件包括源IP、源端口、協議、目的IP、目的端口、總控策略編號等，不需要先記錄、再下載查看	一般有類似的離線功能，但缺乏設置查詢條件及直接監控的功能，需要先記錄、再下載查看（記錄文件的大小受制於存儲器的大小），而且記錄的流量沒有對應的策略號，喪失了實時監控的意義
3.6 WEB審計日誌			6.3 網絡審計包括DNS域名查詢（https URL的域名）、URL、WEBPOST內容、WEB郵件正文、BBS論壇發帖內容等日誌，本地留存至少60天，還可以顯示URL級的實時帶寬	一般有URL日誌，有的需要第三方服務器，且缺乏日誌統計和留存管理功能，缺乏URL級的實時帶寬顯示
3.7 WEB URL阻攔		說明：ISP不能阻攔用戶的WEB請求	6.4 WEB審計過濾 6.6 DNS&URL庫對URL的各個組成部分分別進行內容匹配並阻攔	一般都沒有，或有簡單的自定義域名、URL過濾功能，缺乏大規模分類庫及白名單控制
四、用戶認證
4.1 認證目的	基於用戶角色的訪問控制，和流控策略相關，一般不對用戶收費	用於防止IP盜用，強制用戶繳費，與流控策略無關	可以滿足企業及運營商的需求	部分產品可以滿足運營商的需求，但都不能滿足企業的需求
4.2 認證方法	要求PC、手機、平板等設備上都可以認證，在有三層交換機的網絡環境下也可以認證	一般只要求PC或網關上認證，沒有考慮三層交換機的網絡環境	4.1 ARP服務二層IP&MAC地址綁定 4.2 SNMP監控通過三層交換機的IP&MAC地址綁定 5.7 總控策略 8.3 用戶組 WEB認證（本地、RADIUS、LDAP） 9.3 PPPOE總體設置 PPPoE認證 9.1 PPTP總體設置 PPTP *認證 10.3 IPSEC *網關 IPSEC ***認證	一般有二層IP&MAC地址綁定、WEB認證、PPPoE認證功能，缺乏通過三層交換機的IP&MAC地址綁定與審計功能
4.3 用戶門戶			提供https加密的用戶自服務門戶（WEB Portal），實現用戶自主登錄、登出，修改口令，展現可用URL，查看通知、流量、日誌等功能	絕大部分都沒有WEB Portal
4.4 認證效果	<空>	<空>	對內網和外網用戶都可以實行基於用戶組的訪問控制策略；不同用戶組成員，認證後獲得不同的上網權限（可訪問的目的、會話限制、帶寬限制、流量限制、是否審計等）	一般只針對內網用戶進行認證；用戶認證後，獲得相同的上網權限，無法區分特權用戶和普通用戶