网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

摘要：对IP设备、中继、路由协议及应用数据流进行监测、分析、分类、整形、控制和拥塞避免，尽早实施流量策略，防范攻击，抑制异常报文，规范使用P2P提高传输效能，使网络轻载运行，确保安全。

    关键词流量策略深度检测DPI不间断转发NSF实时传输协议RTP对等联网P2P

1、引言

IP技术飞速发展，基于IP的新业务如3G、NGN、全球眼、新视通、IPTV、P2P等层出不穷，低时延、小抖动、高QoS的实时业务越来越多，用户对质量要求进一步提高；而黑客攻击、病毒入侵、端口扫描、P2P应用等泛滥成灾，宽带应用要求安全管理带宽资源，实时监控网络掌握流量动态、建立分析系统及时采取有效措施势在必行。

本文采用三维结构格式，纵向参照互联网层次，从低到高逐层描述物理层、链路层、IP层、传输层、应用层的流量特征；竖向以流量分类、检测和控制等策略对其施加影响；横向以时间为轴分析以往和当前，预测未来；综合考虑、系统实现IP网络可运维、可管理、具有QoS保证的多业务承载平台。

2、物理层：关注设备负载和中继流量；3G、NGN启用新平面

分析设备CPU和内存使用率，设置预警门限防止负荷高引起性能劣化服务质量降低；主控、引擎板冗余热备份，路由处理板增强备份或状态转换加快切换速度，增配交换板实现线速转发，SR做为MPLSPE、专线和多播网关，BAS实现PPPoE拨号，接入网取消路由功能，网络扁平化减少交换机级连层次；MPLSVPN配置路由反射器减轻汇聚负担；设备互联启用身份认证，使用动态口令限制非法访问避免安全隐患。

LAN、ADSL接入限速，光进铜退、DSLAM下移、引入ADSL2+减少线路质量差导致报文重传增加开销。核心、汇聚及接入层中继双归属、多归属或同层迂回保护，确保至少两条不同的传输通路；分析同向中继及每条链路带宽，均衡分担流量负荷，超过预警门限采取网络扩容、路由调度、流量切换等措施；双归属中继利用率达50%时增加带宽，保证任一中继故障时另一电路完全能承载全部流量。

深度分析网络结构、性能指标及业务能力掌握拥塞程度，根据以往、当前流量评估、预测未来变化趋势；建立分析系统动态学习历史数据，剔除异常并不断调整和逼近使修正数据与事实吻合，获取总体流量水平、波动、跳变等参数，确定可信区间作为监测基础为发现异常提供依据，利用偏差检测、实时对比审计突发蠕虫、变种病毒或黑客行为，阻挡攻击蔓延，防止网络瘫痪。

现有IP网络承载3G和NGN，服务会受到普通业务的影响，QoS和策略路由的部署一定程度解决质量问题，但过多使用将影响设备性能；3G、NGN极高的通信品质要求建设第二核心IP平面，在没有传统业务的网络上有效保证质量；NGN和3G对带宽要求并不高，第二平面不需频繁扩容，可长期满足业务发展。

3、链路层：抑制广播报文

VLAN将单广播域局域网逻辑分为多广播域，VLAN划分可基于端口，VLAN内的机器无需位于同一物理位置，VLAN内的流量如广播、多播或单播不会被发送到另一VLAN中，实现不同VLAN间的流量隔离，VLAN有效提升通信性能、实现虚拟工作组、基于VLAN的访问控制，提高网络安全，采用QinQ技术使VLAN嵌套以扩展VLAN；用户端交换机多是共享式，为限制广播流量提高感知，局域网核心交换机采用具有VLAN功能的设备。链路层启用生成树协议SPT避免产生环路。

[1]