l7[L7-Networks]

l7[L7-Networks]

l7,即L7-Networks的InstantScan(簡稱IS)產品是在專業級流控設備InstantQoS的基礎上,基於中國大陸市場的需求,研發的一款集實時監控、QoS、上網行為管控、套用內容管控與審計(第八層)等功能為一身的UTM型產品。IS採用即插即用技術,無需更改網路架構;多網橋接入、可基於AD賬號進行控管、兼容現有Proxy。

基本信息

實現步驟

l7[L7-Networks] l7[L7-Networks]

第一步、感知流量 (Visibility):展示並監控七層套用;

第二步、去蕪存菁 (Normalization):找出並封鎖綠色軟體和偽裝套用;

第三步、行為管理 (Behavior Management):限制管控個人的 IM/Web/P2P 行為,根據實際需求,動態調節頻寬資源,保證OA、ERP、視頻會議等關鍵套用的頻寬,最大限度的資源頻寬資源;

第四步、內容管理 (Content Management):以人為單位過濾/限制網路訪問內容;

第五步、報表分析 (Reporting):生產力計算與用量計費。

技術創新特點

技術創新一:基於SESSION的控制

l7[L7-Networks] l7[L7-Networks]

業界既有的流控手段:無論是交換機、路由器、防火牆還是相關的軟體工具對套用進行攔截、阻隔、還是ACL訪問控制的手段,都只是做一個簡單的動作,那是就“堵”;而這個堵的方法恰恰是因為這些類型的產品先天設計不足造成的:因為這些產品對數據包的處理方法都是以佇列的最佳化和套用連線埠的過濾作為技術實現的目的的。這裡先不說能否堵得住的問題,單就說堵這種方法就人為的給網路鏈路增加了許多的負擔。

L7的流控理論:只有解決了通道的壓力才能取得流控目的的成功; L7 工作在Layer4-7-8,對流量的控制基於精確的套用會話,並能根據最初的Session特徵判別其傳輸意圖,從而以L7特有PAE引擎的確認機制要求每一個經過最初確認的Session才能反饋流形成的會話策略。如若某種套用最初的Session被IS判別並給予否認,則會反饋非會話策略給流發起者。從而使基於套用層的流在初始狀態下被約束,將用戶租賃的頻寬資源真正釋放出來給核心套用。

技術創新二:動態頻寬技術

套用截圖 套用截圖

按照已設定好的QoS策略對各組別進行頻寬分配;

多種QoS策略按時間段及日程分通過日程化功能預約有限的網路資源;

複合優先權別調度的流量錦盒實現動態頻寬分配。

技術創新三:動態交付技術

管理策略 管理策略

實施L7 之前的套用交付情況:當設備遠端用戶請求數據資源時,有多個用戶同時請求伺服器的同一種資源,伺服器會依據用戶的請求次數將同一種資源分多次交付,哪怕是伺服器同一時間接到多個相同的請求,也會將資源分多次交付給用戶;如此會對網路通道產生較大的壓力。

起用L7套用動態交付後:使用L7 的動態交付功能,則可將用戶並行的請求和回響改為串列,且可將一定時間內相同的數次請求和回響改為一次請求。從而大大減緩了通道的壓力,提升了網路的運營效率。網路通道壓力得到釋放,關鍵業務套用的傳輸效率大大提高。

各類型號區別

IS-100 套用內容交換器

硬體規格:

① 符合19 吋 1U 標準機箱並附一RS-232 主控台界面,具4個 100/1000 Base-TX之網路接口。

② 內建1組100/1000 Base-TX的對內、對外網路接口,備有硬體旁路設計,能在設備故障時自動切入,避免網路中斷。

③ 具備1個獨立的管理埠 (MGT) 100/1000Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄到管理伺服器整理成報表。

④ 具備1GB的記憶體。

效能規格:

①同一時間最高可處理 20,000 條在線上。

②雙向流量負載能力最高達 160 Mbps。

③同一時間最高允許150個IP上線。

④每秒新建在線上數達1,850個。

⑤最多可設定512個規則。

IS-500W 套用內容交換器

① 符合19 吋 1U 標準機箱並附一RS-232 主控台接口,具備6個100/1000Base-TX接口。

②具備2組對內、對外UTP接口,內建硬體旁路,可在系統故障時自動進入旁路模式,避免網路中斷。

③具備一個獨立的管理埠 (MGT) 100/100 Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄

⑤ 具備100/1000Base-TX接口高可用性功能 (HA),可以Active-Active (AA)模式運行。

效能規格:

① 同一時間最高可處理 200,000 條在線上。

② 雙向流量負載能力最高達 300 Mbps。

③ 同一時間最高允許500個IP上線。

④ 每秒新建在線上數達3,000個。

⑤ 最多可設定1,024個規則。

IS-1000W 套用內容交換器

硬體規格:

① 符合19 吋 1U 標準機箱並附一RS-232 主控台接口,具備6連線埠 100/1000Base-TX接口。

② 具備4連線埠對內、對外UTP接口,內建硬體旁路,可在系統故障時自動進入旁路模式,避免網路中斷。

③ 具備一個獨立的管理埠 (MGT) 100/100 Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄到管理伺服器整理成報表。

④ 具備100/1000Base-TX接口高可用性功能 (HA),可以Active-Active (AA)模式運行。

⑤ 具備1GB的記憶體。

效能規格:

① 同一時間最高可處理 300,000 條在線上。

② 雙向流量負載能力最高達 600 Mbps。

③ 同一時間最高允許1,000個IP上線。

④ 每秒新建在線上數達5,150個。

⑤ 最多可設定1,024個規則。

IS-3000W 套用內容交換器

硬體規格:

① 符合19 吋 1U 標準機箱並附一RS-232 主控台接口,具備6連線埠100/1000Base-TX可擴展4連線埠SFP界面。

② 具備4連線埠對內、對外UTP接口,內建硬體旁路,可在系統故障時自動進入旁路模式,避免網路中斷。具備4連線埠對內、對外SFP接口,可擴充外接式光纖旁路模組。

③ 具備一個獨立的管理埠 (MGT) 100/1000 Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄到管理伺服器整理成報表。

④ 具備10/100/1000Base-TX接口高可用性功能 (HA),可以Active-Active (AA)模式運行。

效能規格:

① 同一時間最高可處理 500,000 條在線上。

② 雙向流量負載能力最高達 1 Gbps。

③ 同一時間最高允許3,000個IP上線。

④ 每秒新建在線上數達10,000個。

⑤ 最多可設定2,048個規則。

IS-5000 套用內容交換器

硬體規格:

① 符合19 吋 2U 標準機箱並附一RS-232 主控台接口,采模組化設計,基本模組具備4連線埠 10/100/1000Base-TX,可另外擴充4至8埠 10/100/1000Mbps UTP或SFP,或2至4連線埠 10000Mbps SFP之網路接口。

② 具備最多10埠對內、對外UTP接口,內建硬體旁路,可在系統故障時自動進入旁路模式,避免網路中斷。可擴充內接式或外接式光纖旁路模組。

③ 具備一個獨立的管理埠 (MGT) 10/100/100 Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄到管理伺服器整理成報表。

④ 具備10/100/1000Base-TX 接口高可用性功能 (HA),可以Active-Active (AA)模式運行。

⑤ 具熱插拔式雙電源備援,能在不停機狀態下置換損壞的電源供應器。

效能規格:

① 同一時間最高可處理 1,000,000 條在線上。

② 雙向流量負載能力最高達 2 Gbps。

③ 同一時間最高允許20,000個IP上線。

④ 每秒新建在線上數達20,000個。

⑤ 最多可設定30,000個規則。

IS-8000 套用內容交換器

硬體規格:

① 符合19 吋 2U 標準機箱並附一RS-232 主控台接口,采模組化設計,基本模組具備2連線埠1000Base-TX,可另外擴充4至8埠 1100/1000Mbps UTP或SFP,或2至4連線埠 10000Mbps SFP之網路接口。

② 具備最多10埠對內、對外UTP接口,內建硬體旁路,可在系統故障時自動進入旁路模式,避免網路中斷。可擴充內接式或外接式光纖旁路模組。

③ 具備一個獨立的管理埠 (MGT) 100/100 0Base-TX接口,接收來自管理伺服器的設定,並傳送事件記錄到管理伺服器整理成報表。

④ 具備100/1000Base-TX 接口高可用性功能 (HA),可以Active-Active (AA)模式運行。

⑤ 具熱插拔式雙電源備援,能在不停機狀態下置換損壞的電源供應器。

效能規格:

① 同一時間最高可處理 4,000,000 條在線上。

② 雙向流量負載能力最高達 4 Gbps。

③ 同一時間最高允許100,000個IP上線。

④ 每秒新建在線上數達30,000個。

⑤ 最多可設定64,000個規則。

型號相同之處

安裝架構

線上模式安裝,實時以第七層分類器偵測,並提示藏匿流量。具延展性的三層式架構,容易中央控管:管理客戶端、管理伺服器、設備端。

實時流量分析

能以樹狀展示目前流量協定種類、各協定種類下目前套用、各套用下目前IP、各IP下目前在線上,以及各在線上的建立方向、傳輸量、封包數、所占頻寬、所在通道。

能以樹狀展示目前流量有的子網路、各子網路下目前IP、各IP下目前套用協定、各協定下目前在線上、以及各在線上的建立方向、傳輸量、封包數、所占頻寬、所在通道。

能以樹狀展示目前流量經過各通道的狀況,包括上下載累積傳輸量、封包數、頻寬。

能展示目前各IP策略比對情況,並以特殊顏色顯示超限用戶,且能利用上下載流量頻寬大小來排序用戶。

七層套用頻寬管理

管理MSN / Yahoo / ICQ / AOL / Google Talk / Miranda / Trillian等實時通訊,管制使用時間。一旦時間到,政策馬上套用,強迫不能繼續使用的人馬上註銷。

管理Skype/QQ使用者,即使偽裝在隨機的UDP/TCP埠號或HTTP/HTTPS裡面,依然能被阻擋。

點對點通訊的阻擋或上下載頻寬控制,包括eMule、eDonkey、KaZaA、BitTorrent、Grokster、 FastTrack、iMesh、Morpheus、ezPeer、Kuro、Gnuttela、WinMX、Bearshare、 AudioGalaxy、AppleJuice、DirectConnect、OpenFT、MUTE、Hotline、QQ超級旋風、迅雷、酷我八音盒、漢魅、Pigo、Poco、FreeDownloadManager、Fs2You、百度下吧、Vagaa、網際快車flashget等。

串流媒體的阻擋或上下載頻寬控制,包括QQTV、UUsee、PPfilm、PPlive、PPstream、RealPlayer、QuickTime、KKBox、Shoutcast、Winamp、Live365、PeerCast、WebsTV、Radio365、PPTV、沸點、風行、快播(波波虎)、TVants 、FastTV 、SSTV、MeteorNetTV、MMS 、SeeTV、QQlive、QQmusic、Youtube、青娛樂、iv影音加速器、樂魚影音盒、SinaTV、SohuTV、QVOD、CCTVregocx、迅播、優視網、飛速土豆、極速酷六、Google Video等。

地道軟體的阻擋或上下載頻寬控制,包含Hopster、YourFreedom、Garden、Gpass、Tor、HttpTunnel、JAP、RealTunnel、Vnn、SoftEther、自由門、無界等。

網路電話的阻擋或上下載頻寬控制,包括Skype、Polycom、RTP、RTCP、SkypeOu t 、Eyeballchat、SIP、TelTel、H.323、MsnVoice、NetMeeting等。

股票軟體的阻擋或上下載頻寬控制,包含華泰證券、大智慧、同花順證券、天一證券、股票交易分析家、證券之星、招商證券、安信交易、天網網上交易等。

大陸線上遊戲的阻擋或上下載頻寬控制,包含CS、大話西遊、勁舞團、征途、完美世界、魔域、魔獸世界、卡丁車、奇蹟世界、熱血江湖、問道、天堂、武林群俠傳、吞食天地、三國無雙、QQ農場、開心農場等。

台灣線上遊戲的阻擋或上下載頻寬控制,包含中華英雄、SP1未來啟示錄、唯舞獨尊、明星三缺一、天堂1/2、楓之谷、雪山的咆哮DNF、絕對武力CS、勁舞團1/2、魔獸世界WoW、跑跑卡丁車、開心農場、開心水族箱等。

整合現有賬號:

可匯入AD使用者賬戶或群組,在管理時可純粹以AD使用者賬戶名或群組名來管理,無需收集IM賬號,適用浮動IP的區域網路用戶。

報表可以用AD使用者賬戶名或群組名來顯示數據。

網頁強制登入:可設定讓上網用戶強制被導向到設備網頁,與遠程認證資料庫或設備設定的賬號密碼認證,並以登錄賬號比對設備的政策,在浮動IP的環境下編寫以人或群組為管理對象的管理規則。

頻寬控制功能

針對流進、流出的流量可個別設定頻寬總量,並自定各方向的子通道數目,以及各子通道的頻寬大小,成為一頻寬通道方案。

可儲存數個頻寬通道方案,並可依據時間排程自動切換不同之頻寬通道方案。

具備信道內流量控制功能,能將信道內的流量以IP、網段、在線上作為單位,公平分配信道的頻寬,避免某IP、某網段、某在線上強占該通道的頻寬,維持公平性。

內建預設通道,能將未指定的流量放入預設的頻寬通道里。

可設定排外名單,讓特定用戶完全不受七層政策辨識。

IP限制功能

可設定每一區域網路地址的上下載總頻寬限流、在線上數上限、每日/周/月之上下載使用總量限額。

可設定每一區域網路地址的特定套用上下載限流、特定套用在線上數上限、特定套用之每日/周/月之上下載使用總量限額。

對區域網路用戶可設定例外網路地址,並定義例外者的區域網路頻寬政策。

具兩階段懲罰式設計,讓流量超過總量限額者,得被完全斷流,或進入第二階段流速限制。

提供公布欄網頁,讓用戶得以上網查詢配額情況。

實時通訊過濾與記錄功能

以MSN、Yahoo、ICQ、AOL的實時通訊使用者賬號管理,在DHCP網路架構下或置於防火牆外時,依然可針對人側錄、控管其行為/內容。

實時通訊行為管理:登入、傳檔案、檔案分享、語音、視訊、遊戲、白板、遠程協助、照片交換等。

實時通訊內容管理:聊天關鍵字過濾、傳檔案檔案型態過濾。

實時通訊對象管理:控制聊天的對象,可分為員工、非員工、所有人、群組使用者等。

實時通訊安全管理:普通/壓縮檔案傳檔案掃毒、實時通訊視窗中超級連結型/檔案型蠕蟲散布。

支持自定回響訊息,訊息可直接顯示在實時通訊視窗里,告知公司實時通訊使用政策,避免侵犯隱私權的法律糾紛。

阻止使用者使用實時通訊加密軟體,例如IM Secure或SimpleLite。可以直接在視窗中告知公司政策。

定期線上更新應用程式特徵碼、實時通訊處理引擎、病毒蠕蟲定義檔案。

支持實時通訊側錄,可針對個人、群組去設定側錄與否。多國語言皆可側錄,顯示側錄時可以部門、個人顯示聊天的雙方。

網頁過濾與紀錄功能

具備網頁行為過濾,可針對特定網址關鍵字、網址分類資料庫、上傳下載檔案型態,進行阻擋或過濾,並可過濾HTTP Post讓機密信息不易外流。

具備網頁內容過濾,可過濾HTTP對象,例如Java applet、cookie、ActiveX等可能藏有病毒的網頁對象。

具備網址分類庫,能針對廣告、賭博、色情、暴力、毒藥等20種以上分類進行URL過濾,並可自定URL關鍵字以阻擋不當網頁。

可自定例外名單,讓某些區域網路用戶不會被網頁管理員管理。

可自定信任網域,讓符合的網站不會被網頁管理員管理。

實時回響使用者訊息,明確告知違反政策的原因,避免侵犯隱私權的法律糾紛,或導致使用者不滿網路穩定性。

支持代理伺服器的網路環境,在不更改其它網路設備設定或使用者設定的前提下,進行網頁內容過濾。

支持網頁側錄,可選擇性儲存被訪問的網頁URL,並進一步分析每個使用者的流量、在線上分布。

可針對個人或全體訪問的網站進行排行,或針對上傳及下載的網站進行排行。對於違反政策的用戶,進行排行或交叉行為分析。

可自動更新分類網址資料庫,確保系統能阻擋最新的不良網站。

其它記錄功能

具備網頁郵件內容紀錄功能,能將常見的Hotmail、Yahoo Mail、163網易等網頁郵件的發信、收信的內容記錄下來,附屬檔案也可記錄檔案名稱與檔案內容。

具備TELNET記錄,能將BBS等操作內容完全記錄,包含彩色的BBS畫面,以及每頁操作的畫面內容。

具備FTP記錄,可將FTP通信的過程記錄下來,包括時間、檔名、FTP命令。

系統管理功能

具備分級人員管理,以三個階層:admin、audit、manager進行管理與稽核,避免技術人員侵犯隱私權。以manager許可權登入者,只能管理,不能看側錄數據;以audit許可權登入者,只能稽核側錄數據,不能管理;以admin許可權登入者,可管理也可稽核側錄數據。

內建中央集中控管功能,以圖形化管理接口,透過加密方式同時控制多台設備,讓多台設備的設定同步,減少管理複雜度,並能集中所有設備報表於同一台管理伺服器。

使用者接口支持多國語言,側錄的數據亦得以各國語言呈現。

設備提供智慧型型匯入功能,自動將經過的流量整理出區域網路受控對象,方便管理者定義政策。

報表查詢功能

歷史Top排行報表能按時間區間,以樹狀一層一層打開,展示各套用的流量排行、各套用下各IP的流量排行,該套用該IP下的詳細使用記錄。

備Top排行報表,能限定地址範圍找出用量的套用排行,或限制套用範圍找出用量的地址排行。系統能自動列出存在的區域網路地址或存在的網路套用。

具備以天、周、月、年為單位的頻寬統計圖表,並能分流入、流出,套用協定、協定類別、信道為條件來觀看頻寬報表,並能以圓餅圖顯示各種條件的比例。

具備客制化報表,能針對IP、子網路等條件,將特定對象列入重點觀察,以長期觀察其頻寬、套用協定排行。

頻寬圖表能以不同顏色區分不同的統計數據,並能實時隱藏任一統計數據,方便進行觀察。統計圖形得以用堆疊圖顯示各數據的加總情況,亦可以用線圖顯示各數據各自的趨勢。

圖表可以匯出為pdf、xls、html等格式,並可設定管理伺服器定期以email派送HTML/PDF統計報表。

報表能依照各橋接的加總顯示頻寬統計或排行統計,亦可顯示各橋接的頻寬統計或排行統計。

設備能紀錄所有經過的在線上細節,包括在線上結束時間、區域網路IP與埠號、外網IP與連線埠號、協定、方向、流量進出大小、套用軟體。

相關詞條

熱門詞條

聯絡我們