立体防护&智联控管——Internet出口安全综合解决方案
Internet出口安全是网管人员最头痛的安全区域之一，在与多位网管人员的交流中发现，各种攻击威胁、网速过慢、流量失控、如何合理利用多链路带宽以及网管软件复杂是网管人员提及最多的Internet出口面临的几个安全问题。
一、 Internet出口安全面临的挑战
1. 出口防火墙NAT性能瓶颈
Internet出口设备要支持NAT（地址转换）是已经形成共识的。一方面，园区网使用私有地址，访问Internet需要进行NAT；另一方面，即使园区网络通过或者的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT等于给出口设备增加了一项很重要的任务，其也成为了上网速度慢的一个重要原因。究其根本，设备的NAT转发性能是一个很大的原因。
2. Internet出口的日志审计影响防火墙的性能
公安部“82号令”规定对Internet出口的用户信息记录、用户上网记录、地址转换记录、设备状态记录等都有要求。但实际应用中（如图1所示），很多防火墙在开启日志功能以后，性能会急剧下降，从而成为出口瓶颈，直接影响Internet出口的网速。
<img STYLE="TexT-ALiGn: DispLAY: block" TITLE="" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2307_image001_08_0.png"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案" />图1
Internet出口的日志审计
3. 种类繁多的应用层威胁
Internet出口面临众多的应用层威胁，主要包括以下几类。
木马、病毒。计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体，病毒有多种传播途径，可以通过网络、移动存储介质和上载、下载、拷贝文件等方式进行传播。木马指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。木马可造成多种危害，如让受害者成为傀儡机、记录键盘操作过程等，并发送给攻击者，还可能导致用户敏感信息泄露，如帐号、密码等。Internet网络上大量肆虐的木马、病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络（如图2所示）；网络一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2308_image002_08_0.png" WIDTH="384" HEIGHT="166"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图2 木马病毒穿透防火墙对内网攻击
蠕虫病毒。蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性（如传播性,隐蔽性,破坏性等等），同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等，蠕虫病毒传播速度特别快，有的蠕虫病毒攻陷全球以分计算。蠕虫传播造成的流量会导致Internet出口拥塞，甚至导致整个网络瘫痪、失控（如表1所示）。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2309_image003_08_0.png" WIDTH="450" HEIGHT="190"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />表1 蠕虫病毒传播速度
& DDoS攻击。DDoS (Distributed Denial of
Service，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击出现在10年前，是一种技术含量不高、但是单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，直接威胁Internet的可用性（如图3所示）。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2310_image004_08_0.png" WIDTH="403" HEIGHT="133"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图3 DDoS攻击
黑客扫描和渗透。Internet中的恶意入侵者可能出于政治、商业或其他目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行（如图4所示）。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2311_image005_08_0.png" WIDTH="376" HEIGHT="121"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图4 黑客通过扫描和渗透攻击服务器
4. Internet出口带宽使用失控
现在的网络应用越来越丰富，IM即时通讯软件、网络在线游戏、在线视频往往使一些企业员工沉迷其中，不专心工作；
BT、电驴等P2P下载软件的应用会轻易的占据大量的企业网络带宽（如图5所示），使正常的业务得不到及时的响应；一些新的病毒以IM、P2P软件为传播途径，对企业网络的安全带来严重威胁。因此，有效控制Internet出口网络资源的使用，已被多家企业列入网管人员的议事日程。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2312_image006_08_0.png" WIDTH="397" HEIGHT="147"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图5 先到先得，带宽资源严重失控
5. Internet多出口链路负载均衡问题
许多企业都意识到单条Internet出口链路所存在的风险：链路一旦中断，将导致内部员工无法访问Internet、分支机构VPN中断、网站邮箱均无法对外服务等问题。因此许多企业会部署多条运营商链路来避免单出口的不可靠。但多出口同时存在缺少链路拥塞保护机制、无法根据链路带宽按比例分流、入链路无法对流量均衡、出链路策略引流不灵活、带宽利用率低等问题。
6. Internet多出口网管复杂
Internet出口一般部署多重安全设备（这些设备很可能来自不同厂商），安全设备有各自管理软件，很难实现安全设备统一管理。另外，目前的很多Internet出口路由器、交换机等网络设备和安全设备各有一套管理软件，无法实现网络、安全设备统一管理，给网络管理带来诸多不便。
二、 Internet出口安全解决方案
根据以上Internet出口安全需求分析，需要在Internet出口部署防火墙、IPS、LB、ACG等安全设备，以实现对Internet出口的立体防护，并实现对Internet出口流量的智能控管（如图6所示）。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2313_image007_08_0.png" WIDTH="386" HEIGHT="210"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图6 立体防护 智联控管
1. Internet出口的立体防护
防火墙主要工作在网络层以下，可以解决Internet出口的访问控制问题；IPS属应用层设备，可以进行深度检测，可以有效防御Internet网络上大量肆虐的具备渗透防火墙能力的木马、病毒。通过防火墙与IPS的组合，在保证性能的前提下，可实现对Internet出口网络2-7层的立体防护，有效抵御各种安全威胁。
为了避免防火墙成为Internet出口的性能瓶颈，要求部署在Internet出口的防火墙具备高性能NAT能力，防火墙可以提供与并发连接同等规格的NAT会话能力，支持多台防火墙统一管理调度和用户上网日志审计，并且在防火墙开启日志审计功能时性能不下降；IPS设备需具备防病毒功能，能够在进行应用层防御的同时有效防御Internet上肆虐的各种病毒。
2. Internet出口的智能选路
在Internet出口部署负载均衡设备可以解决出口链路的多方面问题。
& 智能选路：负载均衡设备对Internet出方向的每一个数据流的目的IP进行探测，选出最优链路进行分发。
防链路拥塞功能：在Internet出口多ISP链路情况下，要防止链路出现流量过载。负载均衡设备可以提供防链路拥塞功能来避免流量过载情况，负载均衡设备针对每条链路设置流量阈值，一般阈值略低于链路物理带宽值，当该链路的实际流量达到阈值后，后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上（如图7所示）。
解决来回路径不一致问题：在多ISP出口的应用场景中，用户对Internet提供公众服务（如WEB、邮件系统）中，由于出口路由器一般配置静态策略居多，容易出现用户请求报文与服务器响应报文来回路径不一致的情况。
出口链路健康探测：所谓健康检测，就是负载均衡设备定期对链路服务状态进行探测，收集相应信息，及时隔离工作异常的链路。健康检测的结果除标识链路能否工作外，还可以统计出链路的响应时间，作为选择链路的依据。负载均衡技术支持丰富的健康性检测方法，可以有效地探测和检查链路的运行状态。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2314_image008_08_0.png" WIDTH="338" HEIGHT="181"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图7 通过负载均衡设备防止链路拥塞
3. Internet出口的流量控制
通过部署流量控制设备可以有效解决Internet出口带宽滥用问题（如图8所示）：
& 应用流量识别：分析、识别Internet出口的各种应用
& 特征库升级：解决Internet出口各种新应用层出不穷的问题
& 应用流量分析：实时分析Internet出口各种网络应用，实现流量可视化
& 应用流量控制：将Internet出口应用有序化、合理的使用
& 对Internet出口集中管理与分析，降低CTO
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2315_image009_08_0.jpg" WIDTH="387" HEIGHT="150"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图8 流量控制设备对Internet出口带宽控制XXX
4. Internet出口安全的统一管理
网管软件需要对部署在Internet出口的防火墙、IPS、ACG、路由器、交换机等各类IT资源的安全信息进行集中收集和管理（如图9所示）；
& 网管软件需要通过的信息统计分析和过滤，将Internet出口中的安全事件进行关联分析并告警；
& 用户可在网管软件上定制丰富的事件报表和审计报告，实现Internet出口网络安全可视化 。
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2316_image010_08_0.png" WIDTH="289" HEIGHT="234"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图9 网管软件需要对多重安全设备统一管理
根据以上需求分析，在Internet出口部署防火墙、IPS、ACG、LB及网管系统,
能够保证Internet出口网速正常，有效防御各种攻击，控制网络资源滥用，提高出口链路的利用率，保证Internet出口网络的安全稳定运行（如图10所示）：
<img STYLE="TexT-ALiGn: DispLAY: block" src="/blog7style/images/common/sg_trans.gif" real_src =".cn/res//2317_image011_08_0.png" WIDTH="361" HEIGHT="272"
ALT="立体防护&智联控管&&Internet出口安全综合解决方案"
TITLE="立体防护&智联控管&&Internet出口安全综合解决方案" />图10 Internet出口安全解决方案
三、 结束语
Internet出口安全的重要性不言而喻，由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的，从来没有绝对的安全。在这种情况下，只有通过多重安全设备保障Internet出口的相对安全；同时，还需要有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，让Internet出口更安全。
已投稿到：F5双活数据中心解决方案_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
F5双活数据中心解决方案
上传于||暂无简介
阅读已结束，如果下载本文需要使用5下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩24页未读，继续阅读
你可能喜欢查看: 820|回复: 9
多WAN口不同ISP下的负载均衡问题
是否可以重现:
联系方式（唯有管理员可看到）:
您无权查看此信息
环境:& & （已经取消 “自动加入负载均衡”，已经加入“多线路由”）
WAN1=50m移动，默认线路
WAN2=10m电信
WAN3=10m联通
使用爱快各种版本，均存在一个问题，就是流量全部走默认线路，其他线路完全空闲，当wan1故障时，流量全部走到wan2，wan3还是完全空闲。
能否实现平时流量按照wan口带宽比例来均衡分配的功能，避免了其他线路的浪费。
之前使用的磊科可以很好的完全利用这3个wan口，希望大神指导。
楼主，第一你的三条线路都是不同的运营商不能用负载的，第二选择多线路由的话，是哪个运营商的就走哪条线路，既不是电信，移动，联通的都会走默认网关，
那么可以试一下，协议分流，还把wan1作为默认网关，把视频分流wan2，把下载，文件传输，测速软件等分流到wan3，这样就可以实现楼主的需求
详情请参考
分流设置相关教程
感谢技术02的关注，其实我也曾经尝试过协议分流，但是协议分流到不同wan口后，会遇到另外一个更不愿意接受的问题就是： 很多网银、视频网站，京东，等等网站都不能完全打开，或者开了视频网站，视频缺一直加载不上的问题（可能是网站会校验用户的源地址，如果从不同的ip来的请求可能会拒绝）。要手工的把该网站所涉及的多个域名手工固定到一个wan口才能解决。这个更加痛苦，所以才没有使用协议分流。能否这样：
第一个用户安排在wan1，第二个用户安排在wan1，第三个用户安排wan2，第四个用户安排wan3，第五个用户安排wan1....就是按比例来轮询各个wan口。
感谢技术02的关注，其实我也曾经尝试过协议分流，但是协议分流到不同wan口后，会遇到另外一个更不愿意接受 ...
跟我遇到的一样，不同的ISP 爱快还需要加强，协议分流导致视频速度上不去，观看一集后，有可能接下来一集就出现找不到文件，或者播放过程中直接不能播放
后面更换全部同ISP 不实用分流解决
爱快好像做不到用IP负载，都是连接数负载。
我已经困惑了半年了，先不折腾了，换回去了磊科。
楼主，第一你的三条线路都是不同的运营商不能用负载的，第二选择多线路由的话，是哪个运营商的就走哪条线路 ...
协议分流效果一直不如多线路由，我想再问下，2.5.9的手工流控，单机限速怎么限制不了？好像就是手工流控失效了一样，重启路由器也不行。我降回2.56版本，手工限速，单机限速正常。但是没有cpu温度检测，还有2.56pppoe自动断开的问题，2.59，用户pppoe拨号上网不知道稳定不？还会不会掉线了？
协议分流效果一直不如多线路由，我想再问下，2.5.9的手工流控，单机限速怎么限制不了？好像就是手工流控 ...
2.5.9限速可以的，你把你测的不准的数据发到我们企业qq上，给你看一下。
ppoe拨号拨不上都会有记录的，在日志中心的用户日志的内网拨号日志里，你可以查看一下，要是不理解，你发我们企业qq上，我们给你看一下。
感谢技术02的关注，其实我也曾经尝试过协议分流，但是协议分流到不同wan口后，会遇到另外一个更不愿意接受 ...
您说的是让某个用户走某个wan口？
那在网络设置的分流设里用端口分流
您说的是让某个用户走某个wan口？
那在网络设置的分流设里用端口分流
端口分流我了解，但是我不可能手工的去固定每个ip的出口吧，而且这样也不能动态的调整。我的希望是这样的：
比如新上线一个IP，路由器根据各个wan口当时的使用率状况，安排一个使用率最低的出口给这个ip使用，而且这个IP本次上线后续的流量都走这个wan口； 而如果另外上线了一个IP，路由器又根据wan口的使用状况来判断。
Powered by双活数据中心解决方案-通用_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
双活数据中心解决方案-通用
上传于||文档简介
&&双&#8203;活&#8203;数&#8203;据&#8203;中&#8203;心&#8203;解&#8203;决&#8203;方&#8203;案&#8203;设&#8203;计&#8203; &#8203;P&#8203;P&#8203;T&#8203;格&#8203;式
大小：3.58MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢