中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案

中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案-I-目录一、中国人保信息化背景.......................................................................................................2二、中国人保广西省分公司网络现状和存在的问题...........................................................22.1.中国人保网络现状.......................................................................................................22.1.1.网络基础建设已经完成...................................................................................32.1.2.网络安全设备部署基本到位...........................................................................32.2.网络存在的问题...........................................................................................................32.2.1.不清楚内网络运行的状况...............................................................................32.2.2.未知流量层出不穷...........................................................................................42.2.3.不能有效的对网络进行控制...........................................................................42.2.4.关键应用的运营得不到有效保障...................................................................42.2.5.上下级单位网络通信质量得不到保障...........................................................52.2.6.对服务器访问流量缺乏有效管理...................................................................52.2.7.网络安全方面存在隐忧...................................................................................6三、中国人保广西分公司网络应用层优化解决方案...........................................................73.1、AM解决方案简介..................................................................................................73.2、AM解决方案作用..................................................................................................9四、应用层优化核心技术简介.............................................................................................134.1、MaxnetDPI技术简介...................................................................................134.2、MaxnetDFI技术简介..........................................................................................144.3、基于令牌桶的流控算法.......................................................................................15五、Maxnet公司简介...........................................................................................................17一、中国人保信息化背景中国人民财产保险股份有限公司（PICCP&C（PeoplesInsuranceCompanyofChina），简称“中国人保”，下同）是经国务院同意、中国保监会批准，于2003年7月由中国人民保险集团股份有限公司发起设立的、目前中国内地最大的非寿险公司，注册资本111.418亿元。其前身是1949年10月20日经中国人民银行报政务院财经委员会批准成立的中国人民保险公司，是世界500强企业。中国人保广西分公司拥有遍及省的机构网点，包括12个地、市级承保、理赔、财务“三个中心”，上千多个分支机构，拥有多样化的营销渠道，形成了强有力的销售和服务网络，足以支撑全国范围的通保通赔与异地出险、就地理赔等保险增值服务。近年来中国人保广西省分公司信息化的快速发展，在很大程度上得益于以网络技术为核心的信息化建设的持续推进，以及由此衍生出的基于网络平台的各项业务拓展。从应用角度看，中国人保系统网络平台主要是由四个层次的网络组成：1、上联网：通过与电信、移动和联通等大运营商合作，租用光纤专线链路连接北京总部，承载整个广西省与总部业务交互；2、省数据中心：整网采用千兆链路，主要业务有承保、理赔、OA系统、公文流转、财务管理以及人事管理等电子政务的应用；3、下联网：通过与电信、移动和联通等大运营商合作，租用光纤专线和12个地市分支机构互联。主要用于地市和省之间业务系统；4、互联网：主要承载人保对外网络服务，包括内部用户资料下载，以及门户网站、VPN接入等。二、中国人保广西省分公司网络现状和存在的问题2.1.中国人保网络现状中国人保广西省分公司信息中学集中了整个广西省信息网络，结构庞大，用中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案第3页户数量众多，业务应用系统复杂多样，迄今为止，全网的基础建设已经完成，网络安全设备基本到位，不断引进了新的基于网络应用的产品和服务，构成了庞大复杂的网络。2.1.1.网络基础建设已经完成伴随着信息化技术的广泛应用，网络建设已成为衡量一个企事业单位信息化、现代化的重要标志。近几年来，中国人保广西省分公司的计算机网络建设发展突飞猛进，投入大量资金完成了网络基础建设。目前网络中已经配备各种核心路由器、交换机等网络设备，基本采用了1000M以太网技术，构建了信息系统支撑平台，包括了OA系统、财务系统、邮件系统、储运管理、源数据库等。2.1.2.网络安全设备部署基本到位如今的网络环境正在变得更加复杂，中国人保广西省分公司已经部署了防火墙、IPS、VPN以及流控等网络安全设备，以期解决日益猖獗的病毒木马、以及各种各样的网络攻击行为，但是收效甚微（IDS、防火墙、流控只能对互联网出口链路进行管理，无法对内部流量进行分析和管控），网管人员需要更多的手段和工具以迅速解除这些安全威胁从而保证网络的可用性和性能。2.2.网络存在的问题2.2.1.不清楚内网络运行的状况虽然在中国人保广西省分公司前期的基础网络建设中已经使用了交换机、路由器、防火墙等网络设备，但是传统的这些网络设备由于工作在OSI网络模型的二、三、四层，然而在后网络时代，大量的办公应用都具备了跳跃端口、随机端口、自定义端口甚至包伪装等等功能，规避IT管理员的管理与控制。这些软件的端口随时可变，甚至可以在web浏览必须的80端口上进行自己的活动。因此导致传统的网路设备对于7层应用的识别完全处于透明模式，对各类协议和应中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案第4页用在能见度上显得苍白无力，IT管理员无法知道网络系统的运行状况、带宽的使用情况以及网络中到底运行着什么应用。最终导致中国人保广西省分公司网络管理人员对自己所管理的网络运行情况状况不够了解，这样当网络出现任何的风吹草动，网管人员显得无能无力，面对越来越多的网络连通性投诉，网管人员也是心有余而力不足。2.2.2.未知流量层出不穷当信息化革命向纵深发展，网络应用从模式上有极大的转变时，网络上所流动的数据量给网络资源尤其是内网带来不可估量的压力。随着各类应用的普及，未知流量层出不穷，经常发生各类应用系统在使用的时候会有很大延迟甚至因为找不到服务器而中断。这不可避免地给网管人员带来极大的困扰。我们迫切需要在网络中添加“业务流量分析和控制系统”，该设备对于网络就好比消防系统对于一座现代化的大楼：在平时“业务流量分析和控制系统”帮我们监控整个网络中是否有异常、隐患、甚至网络灾难爆发的预兆，在网络灾难爆发的时候能够迅速扑灭，确保关键应用的“维生通道”，无论未知流量如何井喷，确保关键应用在任何时候都不受影响。2.2.3.不能有效的对网络进行控制目前中国人保广西省分公司各地级市单位大部分的管理人员对其网络的带宽使用情况并不了解或无从获知，更不了解他的网络上主要有什么应用在运行，因此也无法采取相应的措施来控制和合理的使用有限的资源。当所有的业务应用在网络中进行带宽之争时，由于没有对应用进行优先级的划分，因此非关键型应用总是占据上风。高容量文件传输所消耗的带宽远远超过它们所应享有的，而组织网络中的关键型应用之间又在相互竞争仅有的少量的带宽。2.2.4.关键应用的运营得不到有效保障中国人保广西省分公司各级单位的关键应用包括与信息安全、关键用户息息中国人民财产保险公司广西分公司网络业务流量分析和控制解决方案第5页相关的各类网络应用，包括承保、理赔、OA、邮件、视频会议和办公自动化等。目前中国人保广西省分公司各级单位的网络系统中缺乏有效的网络管理策略，对核心业务应用（如承保、理赔、OA、邮件等）、时延敏感的应用（VOIP、视频会议）等应用同时一视同仁，网络的使用不是根据业务应用的优先级以及重要程度来支配的，最终导致网络带宽被非业务应用疯狂地使用。中国人保广西省分公司就曾经出现过未知流量井喷，导致部分镇区网络出口阻塞的不良情形，带来网络拥塞等影响网络使用的棘手问题，使得为网络建设投入的资金得不到合理的回报，最终会造成直接的经济损失。2.2.5.上下级单位网络通信质量得不到保障在中国人保广西省分公司信息网络中，用户数量庞大、网络应用环境复杂，当所有的业务应用在同一网络中进行带宽资源竞争时，由于没有对应用进行优先级的划分，因此非关键型应用总是占据上风。随之而来的是，由网络链路拥塞引发的应用性能下降问题也日益严重，导致时常出现省公司和各地级市单位之间的通信出现延迟甚至中断的现象，极大地影响了中国人保广西省分公司正常业务的开展及用户正常网络应用的服务质量。在缺乏控制和有效管理的组织中，宝贵的带宽资源被恶意的、非关键应用所占用，而大部分用户的合法应用则使用一小部分的带宽资源，这也是中国人保广西省分公司在网络运维管理方面面临的主要问题和挑战。2.2.6.对服务器访问流量缺乏有效管理中国人保广西省