统一出口让网络更安全
作者:暂无
来源:《计算机世界》 2013年第42期
贵州省黔西南州烟草公司信息中心 帅国建 李文雄
贵州省黔西南州烟草公司(简称“州公司”)各单位互联网访问原先为各自出口、费用自理且没有相应的安全防护措施。为完善互联网访问、应用安全防护能力,达到上网行为可控、可查、可追述的管理要求,后改为经上级单位做互联网统一出口规划后,需由州公司统一提供互联网出口服务,但这给州公司网络管理人员日常网络管理带来了极大的风险和压力,同时也给互联网线路带来了更高的服务要求。怎样使互联网访问应用安全性最好、线路带宽使用率最高、限制产生大量连接会话的P2P 应用,成为了黔西南烟草信息中心网络运维和管理所关注的重中之重。
互联网运维难题多未识别的网络
随着互联网统一出口建设的进一步推进,各下属分公司员工均需要通过现有专线接入到州公司,然后由州公司互联网出口访问互联网资源。一方面员工上网条件得到改善;另一方面由于互联网的开放性,
也给机构带来更高的网络使用危险性、复杂性和混乱性。用户访问互联网信息的同时,很有可能受到网络上木马、病毒等的攻击,从而造成信息安全事故。
在互联网运维过程中存在的问题表现有以下几个方面:IT 部门不清楚网络流量和内部员工的网络活动情况,无法为IT 决策提供数据支撑;没有技术保障的IT 管理制度形同虚设;滥用互联网应用,使网络业务系统运行缓慢,视频会议带宽得不到保障,单纯扩展带宽没有效果;缺乏细致的流量管理办法,导致业务系统应用带宽抢占严重;机密信息泄漏频发,急需防范泄密;恶意插件、脚本泛滥,给单位网络带来安全风险。
应用层网络技术现状
目前互联网应用,通常是TCP、UDP 混合协议传输,更强调带宽侵占性。州公司信息中心根据多年网络运维管理经验,参考兄弟公司管理方法,摸索出适合自身情况的网络管理方法。
在多方论证后发现,基于应用识别的智能(动态)流控技术可以实现根据应用进行合理分配带宽资源,同时,可以保证互联网出口带宽最大利用率。基于应用识别的智能(动态)流控技术在带宽有限时,通过业绩流量控制来限制P2P、流媒体等消耗带宽的应用,保障邮件、访问网站等与业务有关的重要应用的正常带宽范围;当互联网出口带宽只有30% 或者更低使用率时,适当降低控制阀值。传统流控技术造成带宽浪费的情况也不再出现。
发布评论