城堡网 >> 安全产品 >> 方案与服务 

巧用TopIDP流量控制,给力无限带宽

    天津港是中国最大的人工港,目前拥有总资产两百多亿元,员工2万多人,下属二级企业和单位共计60多家。天津港是货类齐全的综合性国际大港。天津港已形成了以集装箱、原油及制品、矿石、煤炭为“四大支柱”、以钢材、粮食等为“一群重点”的货源结构,是环渤海地区规模的综合性港口。天津港的港口现代化、信息化程度在全国港口中位居前列,建立了国际贸易与航运服务中心及电子口岸,可为客户提供快捷、高效的口岸“一站式”服务。

    为了能更好,更快的提高效率,天津港建立起来,一套完整的电子业务系统,为客户提供快捷、高效的口岸“一站式”服务,随着业务系统的健全,他们的网络中也逐步暴露了诸多问题。

    天津港网络现状

首先, 随着业务系统的增加, 用户网络链路中流量逐渐变得日益丰富、加上下属的二级单位,以及相关的业务企业,用户网络带宽所承载的压力愈加明显.,导致这些业务系统的带宽争抢,系统运行速度越来越不尽人意。
    其次,大量的非业务流量,特别是以P2P形式传递的,例如:BT、迅雷、电驴下载在线电影、无客户端的网页游戏、网络游戏和炒股软件等非工作流量抢占了有限的带宽资源,直接导致了视频语音会议延迟,OA和ERP等业务访问速度变慢。而负责业务系统支撑IT部门人员,又不能以”一刀切”的方式进行全部限制,特别是不能为各业务部门在业务系统运行的高峰期提供独享带宽,难以定制细粒度精细化的带宽策略,仅靠增加物理带宽的方式,难以从根本上解决问题。
    最后,在用户网络上,员工对自己电脑操作系统或应用软件的漏洞并不关心,虽然存在漏洞,只要不影响访问Internet,即使电脑终端中毒,或被感染了木马,员工也一无所知,但这些中毒终端,却在不断的发送网络报文,这也是造成网络拥堵的重要原因., 完全出于被动,需要IT管理人员逐个通知,也加大了管理难度。

    客户需求

需要一款既要对企业内部各部门实行差异化的带宽限制管理,例如:提高财务结算、业务申报等的业务系统占用带宽优先级别。
    还要具体到每个员工进行分类管理,在网络中,IT管理人员并不一定要完全限制所有员工的P2P应用(BT、Emule、PPlive、eDonkey、迅雷和各种在线音频),而是需要差别化的灵活配置,只需要在特定时间,将占用了大量带宽资源的非业务系统控制,做到既要限制网络滥用,又要能防御网络内部和外部的泛攻击,保障业务部门的带宽, 对混杂的流量进行分类,还要能实现对应用流的监控和审计的设备。
    只需要在特定时间,将占用了大量的带宽资源,导致网络的拥塞和服务质量下降,网络出口满负荷现象严重,在不进行有效管理与控制条件下,将严重影响正常的网上业务系统。能够“相对平等”的使用网络资源和带宽,需要采取必要的技术手段对大量耗费带宽的P2P应用进行一定程度的监测和调控。

天津港在经过前期周密的排查和选型后,决定采用天融信公司优异的入侵防御产品-TopIDP来为整体网络保障护航。

    TopIDP在天津港的结构部署

    1 不需对网拓扑进行大幅更改,采用透明模式接入,只需将TopIDP串联在核心交换机与防火墙之间,让其控管、监测整个网络的出口流量,就优化调整提供基础依据;对应用、用户进行深入分析,可以准确掌握网络应用和用户上网行为,为设计实施更好的用户服务及产品提供了可靠的基础数据(如图1)

   
图1部署TopIDP的网络拓扑

    2 通过TopIDP设备上定义的QOS控制策略,保证在服务器区业务系统带宽,同时,对各员工,通过IP地址、端口、业务、时间、带宽保证(Min or Max Bandwidths)的带宽控制,来总体限定网络滥用的情况。
    3 当网络攻击发生时,从网络管理层面,对异常流量攻击实施有效监控和定位;能够及时响应,对异常流量和一些非法应用进行控制,保证网络中心IP数据网的正常运行。

    4 通过建立健全安全监测管理系统,对IP数据网的流量及网上的各种应用协议进行统计分析,结合日常网络维护操作,重点对异常流量进行分析和预警,实现在IP数据网络上的网络安全预警。

    实施效果

    客户通过采用天融信入侵防御-TopIDP产品,实现了主要业务带宽保证的目标,量化控制了带宽应用,还实现了对员工非工作。归纳起来,主要达到了以下目标:

    1 核心业务系统所需的网络带宽有保障,保证业务系统能高效进行;

    2 实现网络攻击的有效防御,有效控制网络内部和外部攻击行为隔离
    对非工作使用网络应用可根据需要是否设限;

    3 实时应用协议的监察、掌握网络资源使用情况,提供完整的工作日志,便于事后查询

    4 优化带宽资源配置、降低网络费用;

    5 可针对会话数高的应用(如P2P等)作限制,减少核心交换机或路由器、防火墙等网络设备的负载,减少网络掉线概率;

    此外,天津港客户对于天融信所提供的服务也十分满意,通过天融信工程师的大力协助与帮助,天津港客户现已完成一期工程入侵防御产品的部署。相信在不久的将来,天融信入侵防御产品-TopIDP必将能在全行业大放异彩,显示出自身的强劲实力!

分享到:
责任编辑:Jr.
我有话说 已有 0 条评论
最新评论 刷新
暂无评论