企业流控产品的发展、选型及应文用分析.docxVIP

企业流控产品的发展、选型及应用分析现在每天都有数不清的新应用出现，不断吞噬着网络带宽。扩容等手段并不能很好地解决问题，反而在一定程度上加剧了应用流量失控的局面。流控作为一种独立产品形态逐渐走向前台，被越来越多的用户所关注。不论是流控软件还是硬件都越来越成熟。流控不像防火墙、IPS那样成熟，许多功能仍处于尝试、完善的阶段，围绕着产品本身也出现了一些争议。现在小草网管软件、百为、网康、深信服等流控软件、硬件都很成熟。到底该如何选择呢？简单的说，能对网络流量进行应用识别，并基于流量的应用归属提供可视化、管理与优化的设备，就可以叫做流控。满足条件的产品在市场上有很多，它们基本上可以归为两类，即根正苗红的流控和安全网关剪裁得到的流控。前者一般由传统流控厂商推出，他们长期专注于流控领域，在技术积累方面有自己的优势，对市场需求的跟进速度较快。例如基于应用的路由功能，就是传统流控厂商率先在设备中提供支持。另一类产品则由安全厂商所力推，随着安全业务逐步向应用层迁移，应用识别已成为新一代安全产品中的基础功能（例如目前市面中运用最多的小草网管软件）。无论是UTM、防毒墙还是上网行为管理，都需要优秀的应用识别引擎做为安全业务有效性及性能的保障。在这种情况下，流控成为新一代安全产品剪裁得到的副产品，安全厂商藉此杀入这片蓝海。流控产品背后同时出现网络厂商和安全厂商的影子，是技术发展的必然结果。基于DPI实现的应用识别功能已经成为基础性的技术，被广泛应用于不同领域。从网络厂商的角度看，路由器、应用交付设备都可以借助应用识别掀起新一轮革命，目前的流控产品已可以看做它们的雏形。而站在安全厂商的角度，应用识别技术的运用则更为普及。它既能工作在底层，为所有应用层安全业务提供支撑，又可以独当一面，以应用可视化的功能形态出现。尤其是在NGFW（下一代防火墙）的概念兴起后，应用可视化及管理特性俨然成为了安全产品的事实标准。实际上，我们认为未来应用层安全产品的软件结构都会趋于统一，高性能包转发系统和基于DPI的应用识别引擎将成为所有应用层安全业务的基石。而流控，完全可以看做是前两者加QoS模块构成的产品形态。虽然技术路线上殊途同归，不同领域厂商推出的流控产品还是存在一定的差异。安全厂商在流控产品规格、接口扩展性、性能方面占有一定优势，一些机架式产品已经具有上百G的整机性能，且能弹性部署升级。但在应用识别率方面，此类产品或多或少地为保障性能做出牺牲。我们曾经测试过一款支持应用协议识别的安全网关，该产品只对连接的前16个数据包进行分析。如果16个数据包仍未能判断出协议类型，则直接归为未知应用。传统流控厂商推出的产品通常则以更高的应用识别率为目标，会对数据包进行更细致的跟踪分析，得到的统计数据也更全面，缺点是不具有安全业务的扩展性，多数产品在性能指标上与主流安全网关只开启流控功能时存在差距。未来的网络必定具有应用感知特性，而这一特性究竟应该由网络设备还是安全设备实现，是一个非常敏感的问题。毕竟在许多大型用户的IT部门组织结构中，负责网络和安全的是两个截然不同的团队。更有甚至，有用户处出现了IT部门业务保障团队与安全维护团队的纠纷，其原因是流控产品实施的某些封禁策略影响到企业业务系统的正常运行，造成了经济损失。应用识别与控制特性的归属权，陷入了管理流程与权限上的灰色地带，让CIO们颇为尴尬。悲剧的是，现阶段用户部署流控设备就必须面对这个问题；而不部署流控，应用流量失控对网络及业务造成的影响，又是IT部门不可承受之重。除了用户内部的管理矛盾，许多厂商也因流控产品的归属问题处于对立面。网络厂商（主要是传统流控厂商）认为流控的网络属性天经地义，毕竟这类产品不对应用内容进行排查；安全厂商则认为有状态的业务都属安全范畴，并且应用流量失控会造成关键业务中断等安全事件。我们认为两种说法都有一定的道理，因为流控的产品形态本身正处于网络与安全的中间状态。需要特别注意的是，千万不要让产品归属之争左右了选型意向，除非所处行业有特殊规定，否则网络产品的入网证和安全产品的销售许可证在用户面前只是厂商为不同领域竞争对手设置的壁垒，不要让小小贴纸成为好产品的拦路虎。流控产品的归属问题倒是应该引起行业主管部门的注意。相传国内某整体网络解决方案提供商之前在海外运营商市场折戟沉沙，就是因为使用了具有应用层内容过滤功能的产品当做流控投标（过滤功能没有通过授权许可开放）。根据当地法律及行业规范要求，用于运营网络的流控产品必须在源代码中就不能存在任何内容过滤相关的功能（即便没有通过授权许可开放）。该公司事后痛定思痛，计划将产品线进行剥离，在面向运营网络的所有产品中彻底删除所有涉及应用层业务的代码。目前我国虽然在行业信息化建设方面还没有类似规定，但在隐私保护呼声渐高的今天，这个问题需要得到各行业主管部门的重视，给出具有前瞻