Part1_HiPER产品特点以及型号介绍_艾泰科技工程师培训材料

艾泰科技有限公司版权所有讲师：电子邮箱：联系电话：手机：电子邮箱：传真：上海艾泰科技有限公司培训材料艾泰科技有限公司版权所有网络运行过程安全保障解决方案艾泰科技有限公司版权所有中小型网络的应用现状网络运行安全保障第一关内网安全交换机网络运行安全保障第二关宽带安全网关网络运行安全保障第三关VPN安全艾泰HiPER系列产品线目录艾泰科技有限公司版权所有中小型网络应用现状宽带接入越来越多宽带用户接近5000万网络攻击迅速增多带宽增大，使得攻击越来越容易病毒垃圾邮件攻击增多根据调查，87％以上的病毒通过电子邮件进入企业对网络资源的不合理使用有30%~40%的Internet访问是与工作无关的甚至色情，赌博等非法的站点P2P下载存在带宽滥用和版权的问题艾泰科技有限公司版权所有中小型网络应用现状各种ARP欺骗病毒横行ARP的设计基于假设信任的体系理论模型早已有第一个大规模的应用是“传奇杀手”PoP3电子邮件骗取帐号等也在流行企业可以选择的安全设备眼花缭乱防火墙IDS、IPS防垃圾邮件网关、防木马网关流量分析…….太多了艾泰科技有限公司版权所有中小型网络未来关注的焦点保障网络的可靠性接入设备足够快，不能成为瓶颈鲁棒提高网络使用效率能适应各种应用降低维护成本专职的管理人员不多，需要容易维护提高网络安全性提高网络的使用效率保证可靠数据传输保护投资，未来平滑升级容易管理艾泰科技有限公司版权所有中小型网络的应用现状网络运行安全保障第一关内网安全交换机网络运行安全保障第二关宽带安全网关网络运行安全保障第三关VPN安全艾泰HiPER系列产品线目录艾泰科技有限公司版权所有艾泰科技内网安全保障体系艾泰科技有限公司版权所有关注内网网络问题70%~80%来自内网内部机器木马越权访问带宽滥用ARP欺骗艾泰科技有限公司版权所有内网解决方案二层是基础即使不连接外部网络，内网问题依然存在方案：安全交换机特点：线速转发、VLAN、802.1X、IP/MAC/端口绑定、关闭自学习、限制每端口的MAC数量、ACL、端口QoS等效果：防止大部分内网问题艾泰科技有限公司版权所有中小型网络的应用现状网络运行安全保障第一关内网安全交换机网络运行安全保障第二关宽带安全网关网络运行安全保障第三关VPN安全艾泰HiPER系列产品线目录艾泰科技有限公司版权所有为什么需要宽带安全网关应用越来越丰富传统的上网浏览，收发邮件，文件共享ERP、电子商务VOIP/VideooverIP,TriplePlay对带宽的需求越来越高攻击越来越多ARPsnooping，DoS/DDoS，AccessViolation,PhisherBT，电驴等P2P软件下载消耗带宽网络复杂化，需要管理监控快速查找故障仅做IP转发是不够的艾泰科技有限公司版权所有艾泰科技的宽带安全网关相当于IP路由快速转发带宽管理VPN加密防火墙管理和监控安全防范快速路由器带宽管理器管理机构防火墙VPN网关防火墙+++++艾泰科技有限公司版权所有丰富的管理功能•WEB和命令行配置相结合•丰富的管理内容•丰富的SNMP信息•灵活的业务管理控制上网技术•防火墙和防止攻击的功能快速高效的转发和过滤算法•快速转发算法，ARM9166主频的硬件平台可以达65KPPS，IntelIXP533的可达210KPPS•单线路或者多线路接入算法•多种转发和流量分配技术申请专利中•灵活的过滤技术，高效的过滤算法•灵活的NAT技术，可以路由和NAT结合独有的基于CBT/CBQ的带宽管理技术•抑制高消耗的带宽控制技术算法CBT•灵活的带宽分类技术•类的带宽的最高限制和最低限制•类的带宽相互借用先进的VPN安全特点•隧道协议IPSec，L2TP，PPTP•IPSecoverL2TP/PPTP，或者L2TP/PPTPoverIPSec•客户端，服务器•PPTP/L2TP客户端的NAT•广泛的兼容性为中小企业度身定制的宽带安全网关艾泰科技有限公司版权所有带宽的问题(1)应用的增多，需要更高的带宽实际有效的带宽＝min（运营商带宽，接入设备的最大转发能力的带宽）选择接入设备的最小要求接入设备不能成为瓶颈在有限的带宽内的应用对时延不敏感的应用：WEB浏览，收发邮件，网上下载对时延敏感的应用：语音，视频占据小带宽：WEB浏览占据高带宽：BT、电驴、迅雷等P2P下载在有限带宽内的成员关键部门非关键部门艾泰科技有限公司版权所有带宽的问题(2)网络使用者希望带宽利用率最高公平地分配带宽野蛮使用者不影响其他人实际情况是P2P占据太多的带宽典型例子，ADSL接入上行带宽本来小，P2P占据得的比例很高上行带宽没有了，下行再大也没用所以在有些地区2M扩成4M没多大改善导致不公平QQ,MSN,IE和P2P对比艾泰科技有限公司版权所有带宽的解决方法问题来源不像ATM，IP标准是竞争的，共享的，无序的尽量发挥运营商的带宽选择合适的设备，充分利用运营商的带宽如运营商给20Mbps的线路，设备的转发能力要求在64字节包长的时候能超过20Mbps艾泰解决竞争带宽的方法CBT(CreditBasedTraffic)算法解决平均带宽，抑制BT、电驴、迅雷等P2P下载CBQ算法精细控制带宽艾泰科技有限公司版权所有带宽的解决方法CBT特点(1)在资源不足的情况下，保证公平CBT可以公平、高效、低延迟地提供流量控制功能CBT能特别是对突发、不可预期的流量有效目前控制的挑战很大一部分来自突发流量CBT有望成为流量控制的标准艾泰科技有限公司版权所有带宽的解决方法CBT特点(2)使用社会工程学原理，涉及到消费积累突发信用反馈信用补充信用重建适合使用于IP网络可保证交互式应用的流量如QQ，MSN，Telnet，浏览艾泰科技有限公司版权所有艾泰科技宽带安全网关上的CBT公平使用带宽平时用地少的机器，可以临时借一下用得超过信用太多，随着时间的增长，可用的带宽越来越少抑制P2P下载保证交互式应用的质量艾泰科技有限公司版权所有艾泰科技宽带安全网关上的CBQCBQ是公开的流量控制算法Class-BasedQueuing特点:1.将相同的应用分成类，可以是基于地址，协议和端口等2.为指定的类预留带宽3.限制特定类可以使用的最高带宽4.允许设定某类带宽空闲时外借，或者向其他类借用带宽5.类内所有的机器平均共享带宽，保持相对的公平可以和CBT一起使用艾泰科技有限公司版权所有平常的流量图使用了CBQ以后的流量图艾泰科技HiPER上的CBQ艾泰科技有限公司版权所有带宽管理现实意义对于商业用户，可以将带宽划分给不同部门，关键部门带宽分配多一些，可以保证带宽的合理引用，避免因为带宽不足而引起的业务损失对于网吧用户，可以将不同的业务区域划分不同的带宽，比如影视点播区最高，游戏区其次，聊天区最低。然后给不同的区域规定不同的收费策略，提高网吧收益。对于小区用户，可以设定最高带宽，每个家庭用户的带宽都不能超过这个限制。CBT/CBQ一起解决宽带小区内有人使用BT下载工具给整个网络带来的带宽危机。艾泰科技有限公司版权所有Internet运营商A运营商B•根据NAT会话均衡分配线路——可以实现单PC合并使用多条接入线路的带宽；•根据主机均衡分配线路——可以实现将内网PC平均分配到多条线路上，但是每台PC只走一条线路；•根据源地址分配线路——可以实现指定内网的PC使用指定的线路；•根据带宽比例分配线路——当多条接入线路带宽不一致时，可以按照带宽比例设定均衡规则；•根据目的地址分配线路——可以实现到指定的网站使用指定的线路。不中断的数据传送艾泰科技有限公司版权所有Internet运营商A运营商B根据各地ISP的实际情况，艾泰科技提供了多种线路检测的方式：•网关ICMP请求的线路检测——路由器连续ping接入线路的下一跳，如果丢包达到预设值则认为线路中断，此时将此线路用户切换到好的线路上去；线路中断后设备会继续ping接入线路的下一跳，直到线路恢复，再将用户切换回来。•指定地址ICMP请求的线路检测——当接入线路的下一跳禁ping时，可以将ICMP检测的目标地址指定为第三方的IP地址。•ARP请求的线路检测——当接入线路全部禁ping时，可以使用向接入线路的下一跳发ARP请求的检测方式。•DNS请求的线路检测——当接入线路只是IP路由中断（例如很多地方网吧12点后ISP断线的情况），可以使用向指定服务器发DNS请求的检测方式。线路检测方式当使用多线路接入时，用户最担心的就是某条线路的中断给业务带来的影响。这时候就必须有一种检测机制，让路由器很快的知道线路的中断或者恢复情况，从而让路由器尽快将用户切换到好的线路上去。ADSL线路可以使用其本身的线路检测方式来检测线路的好坏，但是固定IP接入的线路时，就必须使用专门的线路检测方式。艾泰科技有限公司版权所有接入的安全业务管理的安全应用在以太网口上，或在PPPOE/PPTP/L2TP拨号连接上实现防火墙的功能包过滤，基于IP地址，协议和端口，时间段应用层过滤根据URL过滤根据关键词过滤接入黑白名单安全上网用户的黑白名单NAT防火墙启用NAT，天然防止外来未知包的攻击防止ping，防止扫描艾泰科技有限公司版权所有接入的安全接入时间的控制的安全计时ADSL，控制上网时间等于上班时间，防止浪费控制指定时间，指定人群的上网防止攻击的安全防止DoS/DDoS攻击申请的专利号：200310122858.7接入帐号的控制的安全三个级别帐号---管理员、执行、浏览艾泰科技有限公司版权所有接入的安全管理HiPER的安全指定地址才可以telnet或者http访问HiPER指定地址才可以通过snmp访问HiPERHiPER的LAN口安全PortVLAN使得不同的部门都可以上网，而他们之间不可相互访问艾泰科技有限公司版权所有现实的需要如何查找网络内部的机器感染了蠕虫病毒如何知道网络内部用户访问了非法网站如何了解网络内部每个用户的带宽利用率网络慢了，问题在出口带宽，还是在其他地方HiPER的管理和监控HiPER提供每个natsession的监控，包括源和目的地址，端口等提供每台机器使用的带宽的监控提供出口的带宽使用情况查看NAT转换成功/失败的计数容易发现蠕虫病毒管理和监控艾泰科技有限公司版权所有WEB配置和管理方式命令行方式本地和远程管理可以禁止远程管理SNMP提供丰富的MIBSYSLOG将设备的消息发送到标准的syslog服务器XportHiPERManager管理和监控的方式艾泰科技有限公司版权所有管理和监控可以检查内网每个用户的实时上网信息，可以按条件查询，如内外网地址，端口等端口统计，包转发的数量，平均速率NAT统计，每台机器的NATsession情况艾泰科技有限公司版权所有中小型网络的应用现状网络运行安全保障第一关内网安全交换机网络运行安全保障第二关宽带安全网关网络运行安全保障第三关VPN安全艾泰HiPER系列产品线目录艾泰科技有限公司版权所有在IP网络上的隧道IPSec提供了安全的机制基于IPVPN1VPN2共享的公共IP网络IPSec隧道VPN1VPN2很灵活，但是没有QoSVPNGWVPNGWVPNGWVPNGW今天的IPVPN艾泰科技有限公司版权所有大势所趋:根据用户的服务做区分使用HiPER的QoS，基于没有QoS保证的IP网络，创建出有QoS的网络“Quality”IPVPN1VPN1VPN2VPN2正在成长的IPVPN艾泰科技有限公司版权所有•可以替代的–DDN/Frame-relay–分支机构比较多的企业–Extranet–解决地址冲突•主要优点–高性能价格比–适合中国市场–容易管理和维护WEB/CLI/XportHiPERmanager•高性能价格比的适用方案–集成了VPN，防火墙，丰富的维护