gtxyzz

上网行为管理策略配置实战系列—核心业务保障

gtxyzz 安全防护 2023-01-08 386浏览 0

在企业网络中,如何合理使用互联网资源一直都是让网络管理部门很头疼的问题。上期我们提到了如何利用NS-ICG禁止对非法网页的访问,从本期开始,后面将会针对各种典型办公网的业务场景实现相应的客户网络活动管理。据一项调查显示,如果不进行完善管理的话,宝贵的带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费,还使得企业正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段,网络管理员往往不能及时地定位并管理下载源。如何保证核心业务,比如视频会议、邮件来往等不受影响?网康科技NS-ICG可通过灵活的基于应用的流量管控来满足。

技术原理:

基于应用的流量管控策略,前提是在于对数据包的有效识别,数据包除了传统的五元组信息外,通过结合DPI(深度包检测)和DFI(深度流检测)的复合技术,可以挖掘出数据包自身特有的应用特征和行为特征,所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的。类似地,NS-ICG可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。

配置实战:

前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中。

第一步实现非核心业务的流量限额功能。所谓限额策略,是通过为用户和应用指定上网时长限额或上网流量限额,让指定的用户对某种应用或者全部应用在指定时间段内只能使用一定的时长,或只能使用一定的流量,实现企业对员工上网时长或流量的控制。

我们点击【策略管理】→【控制策略设置】进入主页面,点击"添加"按钮,选择并点击"应用限额策略",进入如下图所示页面:

上网行为管理策略配置实战系列—核心业务保障

该列表以树状结构列出了NS-ICG支持的所有应用,目前约600多种。

如果选定全部应用:表示只要1分钟内有上网流量通过NS-ICG,则认为该用户使用网络一分钟。超过限额后则不能继续使用网络。

如果选定部分应用:表示只要1分钟内有指定协议的流量通过NS-ICG,则认为用户使用指定的协议一分钟时间。超过限额后则不能继续使用该协议,但可以继续使用其他未指定的协议。

配置完毕后,点击"确定"按钮,就配置好了这条策略。若想让最新的配置立即生效,请点击右上方"立即生效"按钮。

上述操作可以保障无关业务的流量不会超过指定额度,节省网络流量资源。

第二步:实现针对核心业务分配带宽资源。通过为用户和应用指定"带宽通道对象",让指定的用户和应用走指定的通道,实现对用户和应用的带宽上下限管理。

先根据需要定义多个带宽通道,对于每个通道,可以指定其保障上下行速率、突发上下行速率、优先级等参数对数据流近进行整形,可以选择将通道内流量对策略用户平均分配,见下图。

上网行为管理策略配置实战系列—核心业务保障

如果对一组用户设置了总带宽,为了防止组内个别成员独占带宽,可以通过勾选"平均分配"将通道平均分配给每个策略用户,也可以针对组内每个成员设置平均带宽上限,实现组内带宽资源的公平使用。

上网行为管理策略配置实战系列—核心业务保障

选择指定的用户和指定的时间段(比如上班时间),即可实现核心应用的带宽保障功能。

继续浏览有关 安全 的文章
发表评论