单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,DCFS,流量整形与接入控制网关,产品介绍,2010,年,8,月,7,日,产品功能介绍,应用识别及流量分析,系统监控,防火墙功能,带宽管理,接入控制和计费,统计审计,1,、应用识别和流量分析,应用识别原理,应用识别精度,整体性能,1.1,、流量分析原理,基于,DPI,的报文分析和识别,标准协议和应用,基于,DFI,的行为分析识别,加密数据量分析：加密,BT,、电驴,1.1,、流量分析原理,DPI-Deep Packet Inspection 深度包检测,分析IP报文、TCP/UDP报文、应用Data,通过对数据报文内容的分析确定应用类型,基于特征字的识别（IP Portocol=89 OSPF,TCP Port=23-Telnet）,基于控制流识别应用流,通过对一个应用的控制层面特征来解析应用行为（TFTP UDP Port=69,而应用数据的端口是通过协商确定的,非特定端口）,行为模式识别,对终端行为进行研究,并建立行为识别模型,根据终端当前行为,判断用户正在进行的应用或即将进行的应用,DFI-Dynamic Flow Inspection动态流检测,基于主机流量行为的识别技术,通过分析主机行为来判断主机应用,网络流量的交互特征,会话连接特征。,1.1,、流量分析原理,DPI,DFI,分析方式,逐包分析,行为模式识别,报文交互特征,会话特征,识别效率,低,高,识别准确率,高,低,协议库升级频度,高,需及时跟踪新协议和新应用,低,同一应用升级或变种的报文交互特征、协议状态机迁移、会话特征变化不大,1.2,、流量分析精度,识别率高,识别率保持90%以上,外乡设计和开发,常见应用分析细致入微,应用协议库终身免费升级,DPI,DFI,2,、系统监控,系统总体实时监控,系统状态实时监控,在线主机实时监控,2.1,、系统总体监控信息,2.2,、系统状态监控,2.2.1,、系统状态,-CPU,监控,2.2.2,、系统状态,-,内存使用监控数据,2.2.3,、系统状态,-,会话数监控数据,2.2.4,、系统状态,-,在线主机数监控数据,2.2.5,、系统状态,-,接口流量监控数据,2.3,、在线主机实时监控,-,状态,可对接入终端的应用层实时流量进行监控,及时发现内网的病毒等流量问题。如以下图：通过双击认为“有问题的某台主机的地址,可看该主机详细应用情况。,2.3,、在线主机实时监控,-,应用,可对接入终端的应用层实时流量进行监控,点击主机,IP,地址即可监控主机应用信息,2.3、在线主时机话监控-会话,可对接入终端的会话进行监控,点击会话数量即可监控会话信息,3,、防火墙功能,抵御网络冲击,会话保活,不同平安域的应用控制管理,3.1,、抵御网络冲击,识别攻击流量,阻断攻击流量,监控和告警,3.2,、会话保护,系统总体会话保护,终端会话的全局控制,特定主机的会话控制,3.3、不同平安域的应用控制管理,防火墙应用控制,4,、带宽管理,带宽管理的原理,带宽通道的功能,带宽通道的结构,带宽控制特色策略,4.1,、带宽管理的原理,执行的原理：,对象1：将总带宽分成不同的“带宽通道。,对象2：要控制的IP或IP组。（这里的控制是双向的）,对象3：确定要控制的应用或应用分组。（400种之外的应用可控制特征进行自定义对可管理的应用进行扩展）,对象4：时间,将上述四种对象进行任意组合。,4.2,、带宽通道功能,可定义的带宽通道,带宽上限,带宽下限,带宽使用的优先级,租用、出租空闲带宽,精确灵活的带宽控制,精确到每个,IP,地址,精确到每个会话,每个地址的带宽均分,TCP,速率控制、,UDP,限速、异步流量保障,4.3,、带宽通道结构,树状划分,可继承,4.4,、带宽控制特色策略,动态分配带宽策略,带宽均分策略,TCP,速率控制策略,二级带宽控制策略,4.4.1,、带宽控制策略,-,动态分配带宽资源,带宽下限：通道的保障带宽,如果空闲可以出租给其他通道,带宽上限：通道的最大带宽,在通道繁忙时,如果其他通道空闲,可以租用,带宽下限,带宽上限,空闲状态,最正确运行状态,繁忙状态,4.4.2,、带宽控制策略,-,终端带宽均分,基于终端的带宽动态分配（带宽均分）：,4.4.2,、终端带宽均分的原理,带宽分配与会话数无关,1M,750K,250K,500K,500K,均分前,均分后,4.4.2,、终端带宽均分优点,在网络资源紧张时均衡的分配带宽资源,在网络资源空闲时可以充分利用带宽资源,可以配合用户带宽限制使用,可以针对某种应用,确保关键应用的带宽分配,4.4.2,、带宽均分效果,效果展示,4.4.3,、,TCP,速率控制技术,决定,TCP,会话速率的关键因素：,WINSIZE,4.4.3,、,TCP,速率控制的特点,优点,通过改变,window size,控制,TCP,会话速率,可以实现双向控制,可以减小设备的缓冲压力,可以针对单个用户动态实施,防止,TCP,全局同步,缺点,只能应用于,TCP,协议,视频,256K,P2P 256K,4.4.4,、二级带宽限制技术,在限制终端带宽根底上的应用限制,单用户,1M,4.4.4,、二级带宽控制技术的优点,在根本带宽控制的根底上,可以进行二次深层控制,细化网络的可管理粒度,实现更有效的带宽管理-没有一刀切,让带宽利用更高效,让用户获得更公平的带宽体验普通应用、下载应用均有带宽保障,5,、接入认证和计费,业内第一款融合流量整形与用户接入认证计费的网关系统,用户接入控制,本地用户认证,兼容,DCBI,、,DCSM,、标准,Radius,的身份验证,运营管理,计费策略灵活,精确的计费功能,准确丰富的运营报表,不再基于,IP,而是基于用户的应用管理和控制,用户身份唯一性,用户身份确定性,用户身份可管理性,5,、接入认证和计费管理,接入认证功能,计费策略,流量整形与接入认证融合的优点,5.1,、接入认证功能,支持,Client,和,Portal,两种认证方式,可以与独立,Portal Server,配合,DCSM Portal Server,接入绑定策略丰富,用户名、密码、用户,IP,、用户,MAC,、用户终端,ID,五元绑定,接入控制策略强大,防修改,MAC,防代理、防,Pc,克隆、防小路由,防私设,DHCP Server,操作系统自动升级,客户端自动升级,在线管理,上线消息通知,在线消息通知,强制下线,在线升级客户端,在线操作补丁升级,5.2,、灵活的计费策略,计费功能,17,种计费原型,对特定目标不计流量,对特定源、特定目标组合不计流量,丰富的计费管理策略满足网络运营管理的需求,5.3,、流量整形与接入认证计费融合的优点,基于用户的速率控制,基于用户的应用控制,5.3,、流量整形与接入认证计费融合的优点,用户管理的可视化,用户速率,用户会话,用户协议分析,6,、统计审计,DCFS自身提供实时的系统运行状态、主机状态等信息,DCFS-Analyzer日志系统：配合DCFS对访问Internet进行日志信息收集、统计、分析、处理的综合日志处理系统,详细统计内网主机数量、内网会话数量、上网协议分析数据,详细记录用户上网会话信息,提供会话级的审计功能,精确统计用户上网流量和协议分析流量,准确分析用户数据协议类型,方便分析用户的使用习惯、网络负载规律、网络应用特征,方便网络出口的日志收集、分析和挖掘,为网络规划、策略调整提供科学依据。,对网络策略调整提供科学、系统、全面的日志分析,促进网络出口的有效利用和管理,6.1,、网络接口流量信息,6.2,、主机信息,主时机话、主机流量、主机协议、特定协议流量排名,6.3,、应用统计和分析,应用流量、,TOP50,应用、详细协议分析,6.4,、分区流量统计,分区统计、分区排名,6.5,、带宽通道使用分析,6.5,、主机数、会话数统计,