[经管营销]DCFS流量整形与接入控制网关产品介绍-20100807.ppt

识别主机欺骗：主要指识别并阻断网络中通过欺骗IP源地址方式进行攻击的网络报文，通过对所有主机数据流行为的分析和监控，通过对主机的入出报文和报文之间的关系分析是否存在主机欺骗行为，不仅防止了内部主机对DCFS产品的恶意攻击，也杜绝了内部主机对外网的攻击。 拦截Flooding病毒流量：根据Flooding病毒攻击速率快、单向数据、网络扫描等特征能够识别并阻断常见的Flooding病毒。 拦截非正常单向流量：通过主机行为识别技术，能够识别并阻断SYN TCP等DoS攻击的单向攻击数据。 拦截IP分片数据流量： * 截图是系统总体会话与单主机终端会话的控制，如果定义了TCP/UDP会话保护，则同步启用SYN Flooding攻击检查，将利用新建会话速率和会话速率限制来阻断攻击报文。 特定主机的会话限制一般用于单主机会话限制不适用的目标主机或网段，例如内网对外服务的HTTP、FTP等服务器等等。 * 针对不同接口/区域、入/出方向、时间段、协议类型、源/目的进行应用控制设定，从而阻断不合法的应用。 * 传统的流量整形网关都是基于IP地址进行速率控制或流量控制，无法满足运营管理和移动性需求。例如在同一个IP地址段，可能有不同身份的用户，一些是学生，一些是老师，针对学生的控制包括：速率1M，不允许游戏，针对老师的控制包括：速率2M，不允许炒股。基于IP的流量整形网关无法在同一IP地址段的情况下实施细粒度控制。 同时也无法满足移动性需求，针对IP地址段的控制，在变更IP地址后其控制策略就改变了，导致控制识别。 * * 4.1、带宽管理的原理 执行的原理： 对象1：将总带宽分成不同的“带宽通道”。 对象2：要控制的IP或IP组。（这里的控制是双向的） 对象3：确定要控制的应用或应用分组。（400种之外的应用可控制特征进行自定义对可管理的应用进行扩展） 对象4：时间 将上述四种对象进行任意组合。 4.2、带宽通道功能 可定义的带宽通道 带宽上限 带宽下限 带宽使用的优先级 租用、出租空闲带宽 精确灵活的带宽控制 精确到每个IP地址 精确到每个会话 每个地址的带宽均分 TCP速率控制、UDP限速、异步流量保障 4.3、带宽通道结构 树状划分，可继承 4.4、带宽控制特色策略 动态分配带宽策略 带宽均分策略 TCP速率控制策略 二级带宽控制策略 4.4.1、带宽控制策略--动态分配带宽资源 带宽下限：通道的保障带宽，如果空闲可以出租给其他通道 带宽上限：通道的最大带宽，在通道繁忙时，如果其他通道空闲，可以租用 带宽下限 带宽上限 空闲状态 最佳运行状态 繁忙状态 4.4.2、带宽控制策略--终端带宽均分 基于终端的带宽动态分配（带宽均分）： 4.4.2、终端带宽均分的原理 带宽分配与会话数无关 1M 750K 250K 500K 500K 均分前 均分后 4.4.2、终端带宽均分优点 在网络资源紧张时均衡的分配带宽资源 在网络资源空闲时可以充分利用带宽资源 可以配合用户带宽限制使用 可以针对某种应用，确保关键应用的带宽分配 4.4.2、带宽均分效果 效果展示 4.4.3、TCP 速率控制技术 决定TCP会话速率的关键因素：WINSIZE 4.4.3、TCP 速率控制的特点 优点 通过改变window size控制TCP会话速率 可以实现双向控制 可以减小设备的缓冲压力 可以针对单个用户动态实施 防止TCP全局同步 缺点 只能应用于TCP协议 视频 256K P2P 256K 4.4.4、二级带宽限制技术 在限制终端带宽基础上的应用限制 单用户1M 4.4.4、二级带宽控制技术的优点 在基本带宽控制的基础上，可以进行二次深层控制 细化网络的可管理粒度 实现更有效的带宽管理--没有一刀切，让带宽利用更高效 让用户获得更公平的带宽体验—普通应用、下载应用均有带宽保障 5、接入认证和计费 业内第一款融合流量整形与用户接入认证计费的网关系统 用户接入控制 本地用户认证 兼容DCBI、DCSM、标准Radius的身份验证 运营管理 计费策略灵活 精确的计费功能 准确丰富的运营报表 不再基于IP而是基于用户的应用管理和控制 用户身份唯一性 用户身份确定性 用户身份可管理性 5、接入认证和计费管理 接入认证功能 计费策略 流量整形与接入认证融合的优点 5.1、接入认证功能 支持Client和Portal两种认证方式 可以与独立Portal Server配合—DCSM Portal Server 接入绑定策略丰富 用户名、密码、用户IP、用户MAC、用户终端ID五元绑定 接入控制策略强大 防修改MAC 防代理、防Pc克隆、防小路由 防私设DHCP Server 操作系统自动升级 客户端自动升级 在线管理 上线消息通知 在线消息通知 强制下线 在线升级客户端