一切尽在掌控——网络流控设备采购

特别策划

阮征 · 2009年8月17日 第32期

通过前面几期(第26期到第29期)的介绍,相信大家已经初步了解了网络流控方案对企业业务的高效运行相当重要。在企业网络建设完毕并稳定运行一段时间后,很多网络管理员都会面临网络流量异常的问题,这时最好的解决方法就是选购一套有效的网络流量控制设备。不过市面上的网络流量控制设备的类别与品牌较多,面对林林总总的产品该如何选择呢?

选择“兼职”还是“专职”流控设备

目前流控设备的发展是非常迅速的,而且针对中小企业应用的流控功能层出不穷。与早年只在大型网络产品中配置流量管控功能不同的是,目前很多网络产品都将流量管控作为自己的卖点来宣传,低价、高性能、多功能整合成为这些产品的宣传口号。对于中小企业用户来说,在购买网络流量控制设备时,该选择专用的功能单一的流量管控产品还是选择带流控功能的多合一设备呢?

32-行业2-1-1.jpg
带流控功能的UTM设备的安全策略

选择“兼职”的还是专用的流控设备,需要根据企业的实际情况来判断,就个人经验来说,大型企业由于网络流量比较大,各种网络应用比较多,所以在实施时更适合选择专用流量管理设备,这样可以针对这个专用设备设置详细完整的流量管控策略,通过优化网络起到事半功倍的效果。如果是中小企业用户的话,由于经费有限,专业的流控设备价格又昂贵,笔者建议大家选择一些具有流控功能的多合一的网络产品即可,例如现在很热门的中小企业安全网关UTM设备,这些设备在提供流量管控功能的同时,可以实现诸如防病毒、防黑客、IPS入侵检测及VPN虚拟网连接等功能。虽然多合一功能设备意味着每种功能可能都不专业、不高效,但是对于中小企业这种网络应用不算太复杂,流量相对好管控的环境来说更划算,可以让企业花更少的钱办更多的事。

网络流控设备采购技巧

花钱办事一定要物超所值,购买网络流控设备也是如此。笔者参与了多起采购流控设备的业务,接触了多款不同厂商不同型号的流控设备,下面就为大家介绍下网络流控设备的采购技巧。

1.按需购买最划算

一般来说,网络流控设备最主要的参数就是吞吐速度了。每个企业都有自己的网络出口带宽,选择网络流控设备时要保证设备支持的吞吐速度大于实际带宽的流量。当然出于日后扩容升级考虑,我们还应该为流控设备管理的带宽留出一定的富余来。盲目购买高吞吐速度设备而支付高昂的费用,对于企业流量优化没有什么好处,多花的钱只能算打了水漂。同样,如果选择了吞吐速度小于实际带宽产品的话,在实际使用中会频繁发生“断流”或“假死”等问题。

2.配置灵活排首位

在选购流控产品时,配置灵活要排在选择因素的首位。笔者曾用过所有流量管理规则都由系统自行设置的产品,用户无法根据自己网段内的子网建立新过滤规则,这在某种程度上会大大影响流控设备的应用灵活性,用户不得不通过反复删除系统原有内置规则的方法创建新规则。是否可以由管理者灵活配置管理规则,是判断一款流控设备是否优秀的首要因素。

3.代码更新要及时

流量管控是针对网络通讯数据包进行操作的,每个数据包都有一个特征代码,通过特征代码的不同来判断对应的网络应用,因此网络流控设备的程序和杀毒软件一样也需要时刻保持更新。管理者需要每隔一段时间更新网络应用特征代码,这样才能够更加准确地定位不同网络应用,隔离非法流量。代码更新是否及时是判断一款流控设备是否优异的重要因素,除了查看厂商发布特征代码的频率及代码数量外,升级过程是否畅通也是不能忽视的问题。

4.厂商功底要足够扎实

相信谁都不愿意购买那种出故障后找不到厂商的产品,流控设备的购买也是如此,要知道好的厂商能够帮助客户设计流控规则,每月都会主动更新特征代码,同时故障排查的反应速度也会比较快。因此选择流控设备一定要选择大厂的产品,当然盲目信任国外的产品也是不可取的,毕竟网络应用很多是有“中国特色”的,选择国产流控设备也许更适应“中国国情”。

5.分层管理最优先

众所周知,网络结构是通过接入层、汇聚层与核心层进行分层管理的,有些流控产品在管理上也采取这种分层结构,通过在不同层面上安装硬件或软件终端的方法来提高流控效果。笔者认为这种分层管理的理念很好,一方面可以在重要位置通过硬件设备来管理流量,另一方面还可以在其他层面通过软件产品来统计分析流量特点。笔者认为应该首先考虑购买这种具有分层管理功能的流控设备。]

流量管控设备精品推荐

1.深信服M5400-BM

吞吐速度:700Mbps

并发连接数:800000

流量管理策略数:物理线路数×2048

32-行业2-1-3.jpg

点评:深信服做VPN产品以及上网行为管理产品的时间比较长,所以在流控方面的优势比较明显,可以说在国内排在前列,过滤时使用的应用协议识别库与URL库异常丰富。深信服M5400-BM可对加密的、版本泛滥的、同一版本多次变种以及不常见的P2P应用进行全方位识别,为有效的P2P应用管控提供了强大的技术保证。深信服M5400-BM支持以IP/MAC/IP&MAC跨三层绑定方式识别用户,支持基于用户名的用户身份识别。

2.锐捷RG-ACE

吞吐速度:6Gbps

并发连接数:3000000

流量管理策略数:65536

32-行业2-1-5.jpg

点评:锐捷RG-ACE采用了业界领先的DPI(深度数据包检测)和DFI(动态数据流检测)等技术,能够准确地对用户网络中的BT、电驴、迅雷、PPlive、PPStream、VoIP等协议进行精准识别和精细管理,从而确保用户关键应用的带宽,保障用户网络正常运行。锐捷RG-ACE采用了业界领先的多核平台解决方案,提供强大的数据处理能力和高达6Gbps的吞吐量,能够满足客户千兆出口带宽下的流量识别和管理功能。

3.网猫LECAT-100

吞吐速度:20Mbps

并发连接数:20480

流量管理策略数:10000

32-行业2-1-2.jpg

点评:网猫LECAT-100采用双OS引擎,互备式工作,确保系统不宕机。灵活方便的部署方案,支持透明模式部署和旁路侦听部署,系统高可用性,能够根据用户需求,仅通过升级软件授权即可成倍地提高该系统性能。系统部署比较简单,接入灵活,属于即插即用,接入后不会改变原有的网络结构模式。