第一篇:网络升级技术方案
网络升级技术方案
12.1.1、项目背景
***大学校园网经过多年的建设和升级,已基本覆盖全校范围。目前网络为三层结构,核心层采用两台H3C的万兆交换机S10508,汇聚层采用了12台H3C的S5800和7503E以万兆上联至核心,接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采用的是基于802.1x的认证计费方式。学生区由于采用的是锐捷网络的接入设备,所以使用的是锐捷网络的认证计费系统SAM,教工宿舍采用的是H3C的接入设备,使用的是H3C的认证计费系统IMC。校园网现有网络出口总带宽1.6G,分别为教育网(300M)、中国电信(400M)、中国联通(400M)、中国移动(500M)。网络出口设备为一台山石网科的S6000安全网关,由于已购置数年,随着近年学校出口带宽的不断增加,其处理性能已不能满足需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采用双千兆链路捆绑连接。
传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求,但缺乏相应的控制和管理手段,用户之间互相影响,类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象经常发生,校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用,业务承载方面缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障,也难以实现灵活的基于身份、时间、位置等的用户控制。
当前不同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是: 1)如何适应和满足国家政策和法律法规对于校园网用户的行为要求; 2)如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展; 3)如何降低校园网的管理难度和维护工作量。
要解决这些问题必须要从网络架构和业务部署模式上面进行变革,而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分,使得各层设备各尽其能,也可以看出构建和发展扁平化网络架构是一个必然趋势。
其网络拓扑结构如下图:
12.1.2、改造目标
本次网络改造,学校需实现以下目标:
升级网络出口设备,需满足未来出口带宽扩到5G以上的需求,并且实现网络出口的链路负载均衡和各种网络安全措施,入侵防御(IPS)、网站防护(WAF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。
统一全校范围内的认证计费。采用支持多种认证方式(PPPoe、IPoe、portal)的BRAS设备,配合统一的认证计费管理软件,实现与学校一卡通系统的整合。
实现校园网扁平化,构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化,不同层次之间各司其职,有利于管理和维护,这种简单化的架构使得网络有更高的效率。 校园网目前由教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个网络的混合体,校园网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降,实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台,这些网络平台和主网络平台还要具有相同的功能。所以,从学校建设一卡通系统需提供一套逻辑隔离的专用校园网网络。 为学校即将建设的“一卡通数字校园”数据中心服务器群提供万兆接入校园网。 更换和升级原有的老旧接入交换机(100台24口、5台48口全千兆接入交换机)。
12.1.3、需求分析 A、网络出口改造需求分析
目前***大学校园网络规模较大,包括核心、汇聚(各科院、学生公寓、校办、图书馆等等)、接入的三层网络架构;其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校园一卡通系统等以及对内的OA办公系统、多媒体教学系统等多套系统平台;同时有多条运营商Internet出口链路在运行使用中。安全防护措施只在出口部署了基本的三层安全防护(防火墙)以及简单的流控策略。
网络拓扑图如下:
通过与客户沟通交流,以及对学校网络的分析讨论,确定湖南***大学网络目前存在以下问题:
1、***大学网络目前没有全网的入侵防护机制,尤其缺失针对应用的攻击检测和防御。
2、出口链路资源利用不均衡,利用率低,未针对学院应用进行优化:多条运营商出口链路,但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。
3、不具备完善的流量管控功能,无法根据客户不同应用进行精细化的流量识别、管控;同时没有针对公安部82号令,对可能的上网行为风险进行把控,存在危害性较大的政治风险(如校内非法的上网行为,涉黄、暴力、诽谤等等信息造成的社会影响)。
4、目前***大学网站无任何的应用级安全防护措施(只有传统的防火墙简单防护),完全暴露在攻击环境中,存在着非常严重的安全风险(包括DDOS攻击,木马盗链,SQL注入,网页篡改等等)。
5、***大学面向学生的选课系统存在一个域名,2个IP(即多台服务器)情况,目前采取的是轮询机制,但是该机制严重浪费服务器性能,并在高峰期可能造成系统瘫痪,延误学校正常的教学课程。同样的问题在***大学其他系统中依然存在。
6、***大学服务器集群区(数据中心)目前没有单独的安全防护措施(仅出口传统防火墙简单防护),同时没有将对外系统和对内系统隔离,存在严重的安全隐患。
7、***大学目前提供对外的学校网站DNS服务,具体解决办法是分别部署3台DNS系统,通过双网卡一端连接内网,一端分别连接电信、移动、联通外网出口,电信用户访问学校网站则返回给对应网站域名的电信IP,移动、联通同样的处理模式。这种部署方式实质上将***大学整个数据中心直接暴露在外网环境中,时刻存在全数据中心被攻击的风险,同时3DNS系统的部署方式也浪费了服务器资源,降低了资源利用率。
通过对客户系统现状的了解分析,以及与客户的沟通交流,确定本次安全建设需求如下:
1、整网入侵防御系统:针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击,需要在核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。
2、WEB应用安全防护:此次web系统作为对外企业门户网站系统平台,需要考虑在Internet上的安全因素,如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的安全防护,需要通过主动与被动结合,事前防御和事后弥补的多层次手段来达到防护目的。
3、链路及系统优化:
a链路负载:
1、inbond:根据访问源所属运营商,通过DNS智能解析将访问反馈数据发送到对应运营商链路,提高用户体验。
2、outbond:由于客户现网拥有多条出口链路,为了使客户带宽资源利用率提高,以及优化Internet访问,需要根据访问目的IP、域名DNS解析地址等等对出口链路进行负载均衡。
b服务器负载:由于***大学内外系统平台的访问频繁及高流量、高峰值的特性,所以需要对系统服务器群进行访问优化,根据每台服务器实时性能状态、资源耗用率,链路质量等等因素对业务系统进行负载均衡
4、流量控制及上网审计需求:根据公安部第82号令,以及学校自身办公效率提升诉求,需要针对网络出口不同流量进行智能分析处理,保障关键应用流量,限制无关应用,同时规范师生上网行为,防止非法上网行为给学校造成不良的社会影响。
5、DNS智能解析需求:根据不同运营商访问源及目的,智能选择流量路径。
6、可对全网安全防护设备进行统一平台管理,解决网络异构管理难题。
B、统一认证系统需求分析
***大学目前使用的是基于802.1x协议的H3C公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大,网络应用的增多,采用该协议的认证计费逐渐遇到很多问题,主要表现在:
该协议设计之初,本是为了解决无线接入认证计费问题,为了将其引入以太网进行认证计费,不同接入交换机生产厂家对其进行了相应改造,从而导致不同厂商对该协议有不同的私有化,进而存在兼容问题,客户如果要想新购设备,就必须购买与认证系统同一品牌交换机,否则无法接入网络;第二,要在以太网上有效的使用该协议,就必须安装与设备厂商配套的802.1x客户端软件,而且该软件与操作系统的TCP/IP协议栈是强耦合关系,所以对应不同的操作系统(如Windows、MAC OS、Linux等)的不同版本,就有不同的客户端版本,导致软件兼容性问题,这给网络运维人员带来无尽的维护工作量;第三,目前的802.1x系统,无法按照校内/校外以及免费/收费流量进行统计,所以无法实现按照不同流量的分离计费。此外,采用802.1X的认证计费方式无法实现统一端口下,多台终端同时上网问题(即家属区用户无法通过家用soho路由设备实现多台终端上网)。然而,这种应用需求越来越强烈。最后,家用网络电视、网络冰箱或者物联网终端,上网如何认证计费问题,也困扰着网络管理者。因此,需要对认证计费系统进行改造,建设统一的网络认证平台,实现准入和准出的控制及按流量的认证计费。准出控制系统,采用网关型的准出控制系统,对校园用户进行准出控制。可以有效识别用户的收费/免费流量,同时通过与统一认证计费平台的协同工作,可以有效控制用户是否具有外网访问权限,进而控制用户访问外网的带宽。准入控制实现基于pppoe、ipoe及portal的准入控制。网络中不同区域灵活选择认证策略。
统一认证计费平台的建设需要满足一下场景的需求:
1、为保障未来五年内业务量的快速增长,核心网络需要具备T级别的交换容量;
2、支持有线无线一体化接入。Portal与PPPOE方式均需支持;
3、可实现对于学生访问学校内网不认证、不计费,只有在访问外网时才认证、计费;
4、学生上网行为可监管,上网记录可溯源;
5、教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。另外要求,教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费的功能。
6、对于学生和用户的账户有一个暂停计费的功能,比如学生采取包月的形式,如果1号交钱,学生5号放暑假,如果学生在自助网页上选择5号暂停服务,则系统计费的时间段应能够往下一个月自动后移;
7、计费系统应有针对用户进行时间补偿的功能,应用场景:如果某一地块网络故障,则需要对该地块的上线用户赠送5天免费上网的补偿。
8、对于导师带领学生做项目和教师带领学生勤工俭学的场景,需要支持主账号和附属账号的功能,比如一个导师的主免费账号下,下挂20个附属账号也属于免费账号,并且上线时做单独的账户和密码认证。
9、主账号和附属账户的模式也须支持学校科研项目申请的方式,并支持收费。比如:学校一名教师申请了一个科研课题,拿出一定经费申请一个项目科研主账号和多个子账号开展工作,此时对该团队的项目的上网计费仅需计费主账号,主账号一旦计费时间截止,则所有子账号也均不能再上网。
10、支持对于各个学院的专线接入开会功能,如实验室采用专线接入,则应支持对专线用户开户,开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制;
11、对于打印机等哑终端的接入做MAC地址认证和IP绑定;
12、全网IPv4/V6双栈部署,并充分考虑向全IPv6网络的过渡;
13、考虑运营商用户接入,校方和运营商之间在用户认证计费管理运维上能实现协同; C、网络扁平化需求分析
使校园网的功能划分更清晰,核心层设备由于性能很强可以对新功能新业务能够提供良好的支持,汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加,管理上面显得更加简单;校园网扁平化网络并不是意味着网络物理层次的减少,而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化,不同层次之间各司其职,有利于管理和维护,这种简单化的架构使得网络有更高的效率。由三层结构变为二层结构,在这种网络架构下面可以使用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机,使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成,从而实现整个校园网的高性能。
对原有校园网架构升级改造为扁平化的网络架构后对于系统管理员和普通用户而言,其应用效果表现在:
1)一个简单的的网络架构:也就是将原有的多达三层或更多层的校园网结构简化为了二层结构,即业务控制层(核心网络层)和宽带接入层(接入层),在逻辑意义上面实现了网络结构的平滑过渡。
2)一个多业务的系统:指网络平台支持用户接入、认证、审计、计费、带宽管理、行为控制,同时也支持MPLS VPN、IPv6、组播业务的应用和快速部署。
3)一个统一身份认证的平台:实现了有线、无线用户的任意漫游,也实现了不同系统之间用户的统一认证,避免重复地多次认证,提高用户了体验。
4)一个透明的网络:校园网对用户仍然是透明的,用户无需关心网络流量如何转发,用户无论在哪里登录,都可以获得相同的访问权限和带宽保障。
D、一卡通专网需求分析
随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展,“数字化校园”已经不单单是一个概念,各大高校已经陆陆续续地开始对校园网进行数字化建设。其中,校园“一卡通”系统以其便捷、高效、安全、环保等特点成为了数字化校园建设的重要组成部分。
校园“一卡通”以智能卡为信息载体,融合了各领域诸多高新科技,使其具有电子身份识别和电子钱包的功能。能够替代校园内日常生活所需各种证件以及完成校园内的各种支付业务,如:饭卡、医疗卡、上网卡等。最终达到教、学、考、评、住、用的全面数字化和网络化,真正实现了“一卡在手,走遍校园”。
***大学的校园主干网部分是整个校园一卡通系统的核心,消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理,一般采用专网形式,独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(virtual private network),即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输,从而保证通信的保密性。vpn与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输,数据包经过加密后,按隧道协议进行封装、传送,并通过相应的认证技术来实现网络数据的专有性。
校园网一卡通主干网(高速以太网)部分,要求所有的以太网设备在vlan部分和现有的校园网设备隔离,保证现有的校园网和一卡通部分是两个网络,设备不允许互相访问。同时为了共享已有的校园网资源,所以,一卡通与校园网采用防火墙进行单通道连接,保证一卡通网络能访问校园网数据,如:信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网,这样将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,使得一卡通网络上的设备能够安全、稳定的运行。
一卡通网络结构可以分为三层。一卡通网络的中心层,是以数据库服务器为中心的局域网的分布式结构。中心层设置中心交换机,与身份认证系统,卡务管理机,结算管理机,结算中心服务器一起构成一卡通网络与结算中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个ic卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用tcp/ip网络协议。整个一卡通专网所用交换机,建议采用端口mac地址绑定,使每个端口只能设置唯一的ip地址,连接特定的设备,从而保证了整个网络的安全性。
通过网络分段实现
首先是网络分段。在实际应用过程中,通常采取物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干ip子网)相结合的方法来实现对网络系统的安全性控制。
其次,关于vlan的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(atm和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制,但应用了交换机和vlan技术后,实际上转变为点到点通讯。如上图,不同系统在网上划分为不同的虚拟网,如“一卡通”卡务中心和消费系统划分在不同的vlan段,通过以下相应的vlan划分方法来提高网络安全。
1、基于端口的vlan,就是将交换机中的若干个端口定义为一个vlan,同一个vlan中的计算机具有相同的网络地址,不同vlan之间进行通讯需要通过三层路由协议,并配合mac地址的端口过滤,就可以防止非法入侵和ip地址的盗用问题。
2、基于mac地址的vlan,这种vlan一旦划分完成,无论节点在网络上怎样移 动,由于mac地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个vlan。
3、基于ip地址的vlan,新增加节点时,无须进行太多配置,交换机根据ip地址会自动将其划分到不同的vlan。这中vlan智能化最高,实现最复杂。一旦离开该vlan,原ip地址将不可用,从而防止了非法用户通过修改ip地址来越权使用资源。
E、数据中心网络需求分析
数据中心交换机负责整个校园网数据中心平台上应用业务数据的高速交换。两台数据中心交换机分别与计算池、存储池、WEB应用服务器以及管理区连接,数据中心交换机与计算池、存储池、WEB应用服务器间均采用万兆接口捆绑互联。
两台数据中心部署IRF2虚拟化技术,简化路由协议运行状态与运维管理,同时大大缩短设备及链路出现故障快速切换,避免网络震荡。IRF2互联链路采用2*10GE捆绑,保证高可靠及横向互访高带宽。
12.1.4、方案设计 A、网络出口方案设计
通过与客户进行技术交流,需求收集及分析,此次湖南***大学网络的整体安全改造解决方案包含系统出口入侵防御系统、WEB应用安全防护、链路和系统服务优化及DNS智能解析(负载均衡)、流量控制及上网行为审计等六大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施,为客户网络完成全方位无缝隙的安全防护,以及更优的用户体验。
客户系统通过本方案的建设部署后,整体拓扑如下: 湖南师范大学拓扑图备注:千兆线路万兆线路电信移动联通教育网负载均衡入侵防御系统上网行为管理Web应用防火墙DPX8000汇聚交换机服务器区域核心2核心1汇聚层食堂体育馆图书馆网络中心实验楼学生处教学楼综合楼学生区汇聚层接入层接入层
通过我司的解决方案部署(如上图),将我司DPX8000深度业务交换网关产品替换掉原有的3层基础防火墙,通过在DPX8000扩展槽插卡多类业务板卡(如IPS、负载均衡、漏洞扫描、WAF等等),解决***大学网络L4-7层安全措施缺乏的问题,同时将***大学内外系统(数据中心)隔离,外网作为单独的DMZ区与DPX8000相连,web服务器部署我司网页防篡改产品(Webshield)配合我司WAF业务板卡对***大学web业务进行主动、被动结合的安全防护,而在内部系统(数据中心)出口部署我司负载均衡,单独防护并对内网系统进行应用优化,并通过我司UMC统一管理平台进行管理,解决网络异构管理的难题,最终完成对***大学网络整体、多层次、基于不同应用安全需求的安全防护。
建设思路
针对目前的网络概况,将在本次网络中部署迪普科技深度业务交换网关DPX8000实现***大学网络多维度安全防护,通过多块业务板卡在DPX8000上的部署,实现出口入侵防御系统、WEB应用安全防护、链路和系统服务优化及DNS智能解析(负载均衡)、流量控制及上网审计等全方位的安全和应用优化功能。
随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用,网络数据传输容量出现了几何级增长,据吉尔德定律预示,未来25年,带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂,也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备,这种网络层与业务层相分离的架构初期比较灵活,但却只能适用于小型网络,主要原因有:
设备的不断叠加使得网络变得越来越复杂,并带来大量单点故障 数据报文的多次重复解析和处理,造成网络性能的衰减和延迟的增加
多厂商、多设备间相互兼容困难,特别是随着网络规模和组网模式的不断革新,难以实现性能、功能、接口的按需扩展
网络与安全技术兼容困难,如MPLS VPN、IPv6、虚拟化等 各设备间物理和逻辑都是分割的,无法统一管理
很显然,这种“葫芦串”的简单叠加模式看似合理,但已远远落后于用户业务需求的增长速度,不仅会耗费大量人力物力,造成资源的浪费,同时也会使得网络变得异常复杂,带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。
如何有效解决上述问题,在大容量线速无阻塞转发条件下,保证网络及业务的安全、快速、可用?随着网络标准化、虚拟化、智能化程度的不断提高,只有通过将交换、应用和业务进行深度整合,并借助虚拟化技术实现网络层和业务层的无缝融合,才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。DPtech 正是在此背景下推出了DPX8000系列深度业务交换网关,包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款产品。
DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台,集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上,还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务的线速处理,是目前业界业务扩展能力最强、处理能力最高、接口密度最高的深度业务交换网关,旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。
入侵防御系统
通过我司入侵防御系统IPS2000业务板块的部署,完成对***大学出口整网的入侵检测和防御(深度内容检测技术),迪普独有的“并行流过滤引擎”技术,在保证网络高安全的同时完成数据的线速处理,保障客户体验。
随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库„„。迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其内置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。
漏洞库的全面性、专业性、及时性是决定IPS能否有效防御的另一关键。迪普科技拥有专业的漏洞研究团队,不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞。迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间内具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。目前,迪普科技已成为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。
IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。IPS2000-Blade业务板技术特点
业界最高端IPS,万兆线速处理能力,特征库增加不会造成性能下降 管理平面与数据平面双通道设计,极大提升了系统健壮性 专业漏洞研究团队,是中国国家漏洞库的主要提供者之一 内置专业防病毒引擎,病毒样本十万条以上,可防御各类病毒 高效丰富的DDoS攻击防护能力
实时的响应方式:阻断、限流、隔离、重定向、Email 掉电保护、应用Bypass等高可靠性机制,确保IPS不会成为网络故障点 灵活的部署模式:在线模式、监听模式、混合模式 支持分布式管理 功能介绍
一体化安全防护
DPtechIPS2000-Blade入侵防御系统模块直接嵌入在DPtech DPX A3/DPX A5/DPX A12系列深度业务交换网关,即可实现入侵防御功能,不改变原网络的结构,与网络设备配合完成安全业务网关的工作,为用户提供一体化的安全保护,降低了用户首次和后续扩容的投入成本。
入侵防御与检测
支持缓冲溢出攻击、蠕虫、木马、病毒、SQL注入、网页篡改、恶意代码、网络钓鱼、间谍软件、DoS/DDoS、零日攻击、流量异常等各种攻击的防御。
病毒防范
内置卡巴斯基病毒库,支持10万条以上病毒库;支持防御文件型、网络型和混合型等各类病毒;支持新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。
流量控制
对迅雷、BT、eDonkey、eMule、网际快车、PPLive、QQLive、MSN、QQ等主流应用流量进行深度识别并进行管控。
DDos防护
支持SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等DDoS攻击防护
全面、及时的攻击特征库
攻击特征库是检测引擎进行攻击检测的依据,没有完善的攻击特征库,再强大的检测引擎也无法发挥作用,就像动力强劲的发动机没有合适的、足够的燃油一样。DPtech公司多年的网络技术与安全技术积累,造就了资深的攻击特征库团队和安全服务团队,建有攻防实验室,紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态,定期更新并发布攻击特征库升级包,源源不断地为强大的检测引擎注入高质量的燃油。
DPtech公司的攻击特征库具有如下特点:
1、覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征;
2、更新及时,常规情况下每周进行攻击特征库更新,紧急情况下24小时内提供更新的攻击特征库;
3、攻击特征库与国际权威的漏洞库CVE兼容;攻击特征库虽然兼容国际,但仍根植中国,更多关注国内特有的网络安全状况,及时对国内特有的攻击提供防御;攻击特征库包含了与该攻击相关的详细描述,包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等;
4、攻击特征分类合理、细致,易于查询、易于归类操作。 实用、强大的业务增值功能
DPtechIPS2000-Blade入侵防御系统模块除了能有效、实时地抵御网络攻击外,还提供了丰富实用的IPS之外的其他业务增值功能,如基于应用的带宽管理、URL过滤等,可为客户带去更多的业务体验、更高的性价比,从而使客户获得更高的投资收益率。 基于应用的带宽管理
DPtechIPS2000-Blade入侵防御系统模块的协议识别功能支持1000多种应用协议的识别,在这个协议识别的基础上,IPS模块可以对各种应用进行灵活的带宽控制,限制非关键应用,并保证了客户网络上关键应用的带宽。 客户定制的URL过滤
DPtechIPS2000-Blade入侵防御系统模块提供了URL过滤功能,客户可自定义URL过滤规则实现对敏感网页和网页内容进行过滤,URL过滤规则支持正则表达式。 安全技术与网络的深度融合
DPtechIPS2000-Blade入侵防御系统模块融合了丰富的网络特性,支持MPLS、802.1Q、QinQ、GRE、PPPoE等网络协议,可在各种复杂的网络环境中实现透明接入组网。 丰富的响应方式
IPS在分析报文检测到异常情况后,需要采取一个特定的响应动作。DPtechIPS2000-Blade入侵防御系统模块提供了丰富的响应方式,包括阻断、限流、TCP Reset、抓取原始报文、隔离、Email告警、Syslog上报、记本地日志等。各响应方式可以相互组合,并且设备出厂内置了一些常用的动作组合,以方便客户使用。其中DPtech公司独特设计的重定向和隔离响应方式,不但能有效防止安全威胁在网络上扩散,而且还能及时通知有安全威胁的客户端相关的安全事件。 强大、灵活的管理功能
DPtechIPS2000-Blade入侵防御系统模块提供了强大、灵活的管理功能,DPtech公司在设计IPS管理功能的时候既考虑了客户单台或小规模部署时的轻便管理系统设计,又考虑了客户大规模部署时的集成管理系统设计。
1、完备、实用的单机管理
在单台或小规模部署时,为了让客户节约设备成本和管理成本,DPtechIPS2000-Blade入侵防御系统模块提供了单机的基于Web的图形化管理系统,让客户不用单独购买、部署额外的管理服务器硬件和管理软件就能实现对IPS的图形化管理。DPtechIPS2000-Blade入侵防御系统模块的单机管理系统的功能虽然没有它的集中管理系统强大,但是所有管理功能也是完备的,包括安全策略管理(如安全策略配置、下发等)、攻击事件管理(如攻击事件查询、统计分析、报表等)、各种对象管理等。同时,DPtechIPS2000-Blade入侵防御系统模块的单机管理系统界面友好,方便易用,客户无需安装专门的客户端软件,直接采用标准浏览器即可实现一目了然的图形化管理。
2、强大的集中管理
在大规模部署时,为了让客户对全网网络安全动态进行统一的监控,DPtechIPS2000-Blade入侵防御系统模块提供了强大的集中管理系统,客户通过集中管理系统可以在全网范围内制定统一的安全策略,方便地分发到各地的IPS设备上,同时各地的IPS设备上产生的攻击事件可以集中上报到集中管理中心,管理中心对全网范围内的安全事件进行集中的统计分析,并提供各种直观、详细的报表,在全景式的分析报表中,客户可以轻松地看到整网过去的安全状况和未来的安全趋势 Web应用安全防护
通过我司WEB应用防火墙WAF3000业务板块的部署,在web服务器前端的部署,完成对***大学WEB网站主动、被动相结合的安全防护。
随着市场需求以及产业的发展,互联网已迈进Web应用时代。如今,Web业务平台已经在企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。Web业务的迅速发展同时引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。
近几年,国内因为Web安全漏洞引发的安全事件常有发生,从政府网站、到互动社区,都受到来自黑客的攻击,攻击事件造成的经济损失及影响极大。企业在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。随着Web应用程序的增多和网络技术的发展,Web应用所带来的安全漏洞越来越多,同时,被用来进行攻击的黑客攻击也越来越多,伴随而来的是在经济利益的驱动下,黑客活动主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
传统防火墙、入侵检测等安全类产品主要是针对链路层、网络层信息进行威胁识别,然而,从近几年网站篡改的大量案例来看,攻击过程所包含的信息内容在链路层、网络层都是合法的,问题其实主要出现在应用层面,因此传统的安全防护体系对此类攻击的防范效果不甚理想。需要应用层安全防护硬件产品解决方案来实现整体网站防护。
Web安全问题本质上是软件代码质量问题。但web应用较传统的软件,具有其特性。Web应用大多需要频繁的变更以满足新业务的需求,而开发人员往往只注重业务的可行性,而忽略安全性的考虑。理想的情况是软件开发人员能够按照安全的编码原则进行Web开发,但对于这些已经上线,正提供对外业务的Web应用,因整改代码代价过大而较难实行。针对这种问题,Web应用防火墙应运而生。它不同于传统的安全设备如IPS,防火墙,只针对L4层进行检测,而针对Web的攻击大多是在L7应用层发生的。Web应用防火墙通过对HTTP流量的双向分析,为WEB应用提供实时的防护。
通过应用层安全设备(迪普科技的WAF)可以实现基于网关的防护,将网络中各种威胁流量清除。同时,为避免各种直接连接到、绕过网关防御而到达网站服务器的攻击,则需要通过基于服务器的软件产品进行防护,这个软件系统就是杭州迪普科技有限公司推出的DPtech WebShield网站防护系统(以下简称:系统)。
WAF300-Blade业务板技术特点
先进的多核硬件架构,实现高性能的安全防护 漏洞防护:SQL注入、跨站脚本攻击、会话劫持 流量优化:负载均衡、WEB加速、SSL卸载 HTTP协议加固、网页防恶意篡改 应用层DDoS攻击防御 冗余电源、无缝接入等高可靠性
迪普科技推出了基于全新多核处理器硬件架构的DPtech WAF3000系列Web应用防火墙产品。WAF3000系列产品是迪普科技面向企业、政府、运营商等各行业用户开发的新一代网络安全防护设备,能够有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层DDoS、网页篡改在内的各种高危害性Web攻击。同时,WAF3000产品还具有强大的Web流量优化和负载均衡等功能,可对大型服务器进行流量整形、Web加速、SSL卸载等功能,是集Web攻击防御、协议加固、流量优化于一体的全面Web网络安全防护设备。
Web攻击手段层出不穷,因此Web应用防火墙需要具备及时防御和升级的能力,DPtech WAF3000产品可通过持续不断地更新,使用户在最快的时间内获得最新的特征库,确保为用户提供最安全及时的Web应用防护。功能介绍
全方位Web防护功能 参数攻击防护
OWASP最新的“Web应用十大安全风险”中,前两位分别是注入攻击和XSS(跨站式脚本攻击),这两种攻击方式均是与HTTP请求参数密切相关的。参数攻击防护的重要性可见一斑。
Sql注入攻击防护
Sql注入往往是应用程序缺少对输入进行安全检查所引起的,攻击者把一些包含sql指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。这种攻击所造成的后果往往很大,一般整个数据库的的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包括管理员的权限。DPtech WAF3000支持对GET POST COOKIE注入检测。对风险语句进行告警和阻断,防止恶意请求对数据进行篡改。
Xss攻击防护
XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。DPtech-WAF3000设备能够对用户提交的数据进行检测,阻断含有恶意脚本的请求。
命令注入防护
随着web服务器平台的迅速发展,它们已经能够使用内置的API与服务器的操作系统进行几乎任何必须得交互。如果正确使用,这些API可以帮助开发者访问文件系统、连接其他进程、进行安全的网络通信。但是有时候开发者往往直接向服务器发送操作系统命令。但是,如果向操作系统命令传入用户提交的输入,就很有可能受到命令注入攻击,使得统计者能够提交专门设计的输入,修改开发者想要执行的命令。WAF可以通过屏蔽各种操作系统命令,设定系统参数长度,阻断元字符等方式阻止黑客进行各种命令注入攻击。
目录遍历攻击
现在许多web功能强迫应用程序根据用户在请求中提交的参数向文件系统读取或写入数据。如果不以安全的方式执行这些操作,攻击者就可以提交专门设计的输入,使得应用程序访问开发者并不希望它访问的文件,这称之为目录遍历漏洞。攻击者可以利用这种缺陷读取秘密和程序日志等敏感信息,修改配置文件和软件代码。WAF能够通过智能分析请求目录异常行为,对恶意访问行为进行阻断。
Web常规攻击
DPtech-WAF3000能够对诸如远程包含,远程数据写入,等上千种常规ips攻击进行识别,阻断。
HTTP协议攻击防护
HTTP请求正规化检查
通过对HTTP协议请求方法,版本,等协议格式进行正规化校验,避免出现诸如拆分攻击等通过协议盲点进行恶意攻击。
Cookie正规化检查
通过对请求中Cookie 中的SESSION进行校验,防止通过畸形SESSION窃取服务器中用户私有信息。
缓冲区溢出攻击防护
缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。DPtech WAF3000系列产品能够对HTTP请求行和请求头双向流进行检测,通过特征检测和阈值阻断来保护Web服务器正常运作。 应用层DOS攻击防护
DDOS,分布式拒绝服务攻击.很多DoS攻击源一起攻击某台服务器就组成了DDOS攻击.,而应用层DDOS又有其特有的属性,通过对HTTP请求进行限制保护能够有效阻止DOS攻击。DPtech WAF3000系列产品支持SYN flood,HTTP flood,XML DOS等常见DOS攻击。
多种策略防护方式
DPtech WAF3000系列产品支持多种策略防护方式:
url黑白名单策略防护
通过url黑白名单可以对特定用户限定其访问路径范围。对部分网页进行保护。
usr-agent黑白名单策略防护
能够通过跟踪用户信息字段,阻断非法用户请求。
用户请求细粒化配置防护
能够限定包括用户请求方法,参数范围、长度,请求报头长度,提交数据长度,还可以通过配置正则表达式对请求url参数进行正规化限制。通过以上细粒化配置可以有效跟踪,防护各种攻击方式。 会话劫持防护
会话劫持是指通过仿冒客户session获取用户权限并进行一系列危害用户的行为。WAF支持加密,摘要和重放保护机制防止攻击者通过会话劫持窃取和篡改服务器中的用户信息等行为。
敏感关键词过滤及服务器信息防护
非法关键字过滤
通过配置能够隐藏或阻断用户提交信息或网页中包含的敏感关键词,防止非法内容发布。
爬虫行为智能过滤
能够对访问服务器的爬虫进行分类阻断,防止爬虫消耗大量服务器资源。
服务器敏感信息防护
能够过滤服务器侧的基本信息,诸如服务器版本号,应用类型等易被黑客利用的信息。
服务器错误信息替换
对服务器的错误信息返回进行过滤,防止攻击者搜集服务器错误信息。做到对攻击的“事前”防护。
关键文件防护
能够对关键文件下载进行阻断。防止黑客通过搜集服务器残留的测试脚本,目录文件,残旧数据库分析服务器漏洞或窃取用户信息。
恶意文件上传防护
通过对上传文件检查,防止黑客通过绕过认证等限制上传木马,病毒等恶意行为。负载均衡功能
丰富的负载均衡调度算法
调度算法指对需要负载均衡的流量,按照一定的策略分发到指定的服务器群中的服务器或指定链路组的某条链路上,使得各台服务器尽可能地保持负载均衡。调度算法以连接为粒度,同一条连接的所有报文都会分发到同一个服务器上。这种细粒度的调度在一定程度上可以避免单个用户访问的突发性引起服务器间的负载不平衡。
负载均衡技术持丰富的负载均衡调度算法。不同调度算法所实现的负载均衡效果不同,可以需要根据具体的应用场景,采用不同的算法。 静态调度算法
静态算法,即按照预先设定策略,进行分发,不考虑当前各实服务的实际负载情况。算法特点:实现简单,调度快捷。
轮转(Round Robin Scheduling)
依次将请求分发到不同的服务器上,使得各个真实服务器平均分担用户的连接请求。如:实服务群中包含三个实服务A、B、C,假设各实服务均未达到连接上限,最后分发给A、B、C的连接数之比为1:1:1。
适用场景:服务器集群中各服务器性能相当,无优劣之分。 加权轮转(Weighted Round Robin Scheduling)
按照权值大小,依次将请求分发到不同的服务器上,权值大的分配较多请求,权值小的分配较少请求。该算法可以解决服务器间性能间带宽不一的问题,权值标识服务器间性能差异。
如:实服务组中包含三个实服务A、B、C,其配置权值分别为:4、3、2。假设各实服务均未达到连接上限,最后分发给A、B、C的连接数之比为4:3:2。
适用场景:服务器集群中各服务器性能存在差异。
随机(Random Scheduling)
将请求随机分发到不同的服务器上。从统计学角度看,调度结果为各个服务器平均分担用户的连接请求。
适用场景:服务器集群中各服务器性能相当,无优劣之分。
加权随机(Weighted Random Scheduling)
将请求随机分发到不同的服务器上。从统计学角度看,调度结果为各个服务器按照权值比重分担用户的连接请求,最后的比值和加权轮转一致。
适用场景:服务器集群中各服务器性能存在差异。
基于源IP的Hash(Source IP Hashing Scheduling)
通过一个散列(Hash)函数将来自同一个源IP的请求映射到一台服务器上。适用场景:需要保证来自同一个用户的请求分发到同一个服务器。
基于源IP端口的Hash(Source IP and Source Port Hashing Scheduling)
通过一个散列函数将来自同一个源IP和源端口号的请求映射到一台服务器上。适用场景:需要保证来自同一个用户同一个业务的请求分发到同一台服务器。
基于目的IP的Hash(Destination IP Hashing Scheduling)
通过一个散列函数将去往同一个目的IP的请求映射到一台服务器上。
适用场景:需要保证到达同一个目的地的请求分发到同一台服务器。适用于网关负载均衡和链路负载均衡。 动态调度算法
相对于静态算法,动态算法根据各实服务实际运行中的负载情况进行连接分发,分发效果更均衡。
最小连接(Least Connection Scheduling)
负载均衡设备根据当前各服务器的连接数来估计服务器的负载情况,把新的连接分配给连接数最小的服务器。该算法能把负载差异较大(连接保持时长差异较大)的请求平滑分发到各个服务器上。
适用场景:服务器集群中各服务器性能相当,无优劣之分,不同用户发起的连接保存时长差异较大。
加权最小连接(Weighted Connection Scheduling)
调度新连接时尽可能使服务器的已建立活动连接数和服务器权值成比例,权值表明了服务器处理性能。
适用场景:服务器集群中各服务器性能存在差异,不同用户发起的连接保存时长差异较大。
丰富的健康性检测方法
所谓健康检测,就是负载均衡设备定期对真实服务器状态进行探测,收集相应信息,及时隔离工作异常的服务器。健康检测的结果除标识服务器能否工作外,还可以统计出服务器的响应时间,作为选择服务器的依据。
负载均衡技术支持丰富的健康性检测方法,可以有效地探测和检查服务器的运行状态。
ICMP 向服务器集群中的服务器发送ICMP Echo报文,若收到ICMP Reply,则服务器正常。
TCP 向服务器集群中服务器的某端口发起TCP连接建立请求,若成功建立TCP连接,则服务器正常。
HTTP 与服务器集群中服务器的HTTP端口(默认情况为80)建立TCP连接,然后发出HTTP请求,若收到的HTTP应答内容正确,则服务器正常。 持续性功能
一次业务交互可能包括多个TCP连接,如FTP应用(包含一个控制通道和多个数据通道)和HTTP应用。这些TCP连接间有些存在显式关联关系,如FTP应用,数据通道的TCP连接是通过控制通道协商得来的。有些存在隐含的关联关系,如HTTP网络购物,多条连接组成一次业务应用,且多个连接并不像FTP应用一样有“父子”之分,能通过父通道获取子通道信息,但所有该业务的请求应发给同一服务器,否则可能造成无法完成所请求的功能,因为其数据报文中携带隐含关联信息,如cookie。
将属于同一个应用层会话的多个连接定向到同一服务器的功能,就是持续性功能。根据持续性原则,建立会话表项,保证后续业务报文都送往同一个服务器处理。比如使用源地址建立持续性表项,保证持续性。 具有显式关联关系持续性功能
如前所述,FTP应用的多条TCP连接之间具有显式关联关系:子通道五元组是通过父通道协商得来的。因此负载均衡设备对于FTP应用会逐包分析父通道报文,一旦发现子通道协商信息,就会利用该信息建立父通道会话关联表项,当子通道首报文到来时,根据关联表项和父会话表项建立完整的会话表项,从而保证父子通道登录同一台服务器。显式关联关系由负载均衡设备自动识别,无需配置策略。
具有隐式关联关系持续性功能:
1、基于源IP地址的持续性功能
基于源IP地址的持续性功能常用于服务器负载均衡应用中,用以确保同一个客户端的业务能分配到同一个服务器中。
负载均衡设备接收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的服务器情况,在会话表项生存周期内,后续相同源IP地址的业务报文都将发往该服务器处理。
2、基于目的IP地址的持续性功能
基于目的IP地址的持续性功能常用于链路负载均衡应用中,用以确保去往同一个目的地址的业务能分配到同一条链路上。
负载均衡设备接收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的链路情况,在会话表项生存周期内,后续相同目的IP地址的业务报文都将分发到该链路转发。
基于Cookie和header的持续性功能常用于web服务器需要用户携带私有信息或某些特定信息的服务器负载均衡应用中,用来确保同一个用户能够去往同一个目的地址。Cookie支持4种持续性方式,包括插入模式,重写模式,被动模式,HASH模式。
4~7层的负载均衡
基于第四层(L4)的负载均衡在截取数据流以后,对数据包检查与分析的部分仅限于IP报头及TCP/UDP报头,而不关心TCP或UDP包的内部信息。而基于L7的负载均衡则要求负载均衡设备除了支持L4负载均衡以外,还要解析数据包中4层以上的信息,即应用层的信息。例如,可以解析HTTP协议,从数据包中提取出HTTP URL或Cookie信息。
L7负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式。与L4负载均衡相比,L7负载均衡具有如下优点: 通过对HTTP报头的检查,可以检测出HTTP400、500和600系列的错误信息,因而能透明地将连接请求重新定向到另一台服务器,避免应用层故障。
可根据数据包内容(如判断数据包是图像文件、压缩文件或多媒体文件格式等),把数据流量引向相应内容的服务器来处理,增加系统性能。
可根据连接请求的数据类型(比如根据URL来区分是请求普通文本、图象等静态文档,还是请求ASP、CGI等动态文档),把相应的请求引向相应的服务器来处理,提高系统的性能及安全性。
由于L7负载均衡对应用层协议进行深度识别,因此,对于每种应用层协议都需要有独立的识别机制,这大大限制了L7负载均衡的应用扩展性,一般只是针对HTTP进行负载均衡。同时,深度识别应用层协议,对系统性能也会有很大影响。
流量优化功能
HTTP缓存技术
支持HTTP缓存
DPtech WAF3000采用多级cache智能缓存加速技术,支持多种缓存置换算法:
LRU(最近最少使用次数)
LRU_DA(动态衰减最近最少使用次数)LFU(最近最少使用频率)
LFU_DA(动态衰减最近最少使用频率)
传统缓存加速技术
对诸如html,js,jpg等静态资源进行缓存同时也可以对jsp等动态资源进行缓存处理,提高客户端响应速度,降低服务器负载,有效节省服务器系统资源消耗。
智能缓存加速技术
采用新型的缓存加速技术,通过修改响应报文内容,对web资源属性进行重组,减少客户端请求次数,提高客户端请求效率。
连接复用功能
将客户端的多个连接合并为与服务器的一个连接来进行通信,减少TCP连接的三次握手次数,提高实际有效数据的交换比率。同时连接复用功能还将Web流量的多个短连接合并为一个长连接,提高服务器的响应速度,改善服务器的性能。在不需要改变任何网络构造也不需要改变任何服务器构造前提下总体上实现减轻服务器的负荷,提高服务器的响应能力的目标。
根据用户对服务器负荷和响应能力的协调,配置不同的复用比例,以达最佳的服务器总体性能。例如:复用比例配置成10:1时,对于实服务器的TCP三次握手次数变成原来的1/10,理论上服务器的负荷也减轻到原来的1/10,客户端的连接平均响应时间因为TCP三次握手次数的减少而减少;复用比例配置成20:1时,客户端的连接平均响应时间的减少量则会因为复用比例的增加而有所上升,但对于实服务器的TCP三次握手次数变成原来的1/20,理论上服务器的负荷也减轻到原来的1/20。
HTTP压缩功能
采用通用的gzip格式,代替WEB服务器对静态资源进行压缩。gzip使用deflate压缩算法,即先用lz77算法进行压缩,对得到的结果再用huffman编码的方法进行压缩。gzip格式压缩比例高,能够有效提高服务器的响应速度,减轻服务器的负荷,节省用户带宽,缩短用户下载内容的时间,从而提高网站访问的响应质量。
SSL代理
提供硬件ssl代理加密功能,web服务器需要开放http协议端口,并将证书导入到WAF中,用户即可通过访问设备的443端口达到对HTTP数据流的加密。链路和系统服务优化及DNS智能解析(负载均衡)
通过我司负载均衡设备ADX3000业务板及盒式设备在内部系统出口的部署,完成以下功能:
一、链路负载:
1、inbond:根据访问源所属运营商,通过DNS智能解析将访问反馈数据发送到对应运营商链路,提高用户体验。
2、outbond:由于***大学现网拥有多条出口链路,为了使客户带宽资源利用率提高,以及优化Internet访问,需要根据访问目的IP、域名DNS解析地址等等对出口链路进行负载均衡。
二、服务器负载:由于***大学内外系统平台的访问频繁及高流量、高峰值的特性,所以需要对系统服务器群进行访问优化,根据每台服务器实时性能状态、资源耗用率,链路质量等等因素对业务系统进行负载均衡。
三、提供DNS解析服务:根据不同运营商访问源解析相对应运营商域名对应的IP地址并反馈,同时为访问学校对外系统的内网用户(师生)解析域名内部地址,优化内网用户访问对外系统时的访问路径(直接通过内网访问)。
随着数据中心及互联网应用的不断发展,人们发现即使网络基础设施再好,例如万兆交换、千兆路由、光纤布线,都会或多或少地出现关键应用访问速度慢、稳定性差等问题,过去的解决方法一般是通过4层负载均衡设备对网络出口链路和数据中心进行流量管理和服务分担。然而随着网络应用的日益复杂,Web2.0、VoIP、流媒体、SSL等新应用的不断增多,由于传统的4层负载均衡设备主要关注于网络层面的网络稳定保障,并未关注整个应用层面的交付过程,因此无法为用户提供全面快速、可用、安全的应用交付能力支撑。
DPtech ADX3000系列应用交付平台是传统的4层负载均衡的升级、扩展,是集成了负载平衡、应用优化、安全防护等技术于一体的综合应用交付平台。它通过数十种健康检查和负载均衡调度算法,将客户端的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性,并大大提升服务器的使用效率和弹性伸缩能力;通过静态表项匹配及动态链路检测等技术,对多条链路状态进行实时的探测和监控,确保流量以最合理及快速的方式分发到不同链路上,实现业务的高效传输;通过TCP优化、TCP复用、SSL卸载/加速、压缩、缓存等技术,来提高用户的访问速度和应用体验;通过DDoS防护等安全技术,确保数据中心业务的持续可用;支持路由、高密千兆及万兆端口,并支持NAT、DR、链路、三明治等组网模式,组网及管理灵活、简单。
ADX3000系列消除了网络和应用之间的割裂,满足了用户规模不断扩大和对应用服务提出的更高要求,使用户的访问速度、访问安全以及7×24不间断的稳定性得到大大提高,并大大降低运营成本。ADX3000系列是业界第一款100G应用交付平台,具有处理能力强、应用交付能力全面、接口密度丰富等优点,可应用于各行业和运营商的数据中心和网络出口,提供服务的可靠性、提高服务的响应速度、方便业务灵活扩展等最佳的业务价值。
ADX3000-Blade业务板技术特点
业界第一款100G应用交付平台。高性能APP-X硬件平台,确保盒式设备最大可提供万兆级应用交付能力;机架式设备最大可提供100G应用交付能力,可以在原有业务不中断的情况下,通过增加ADX业务模块的方式实现快速、平滑的扩容 全面应用交付能力。不仅支持链路、服务器及全局负载均衡功能,并支持TCP优化、SSL加速、缓存、压缩、智能路由等应用加速和DDoS等安全防护功能,确保应用的快速、安全、可用
高效的健康检测算法。可从网络层、应用层全方位的探测、检查服务器和链路的运行状态,以便快速的选择最合适的服务器或出口链路,从而实现高效的负载分担 丰富的负载均衡调度算法。支持全面的4~7层负载均衡和链路负载均衡功能。能够提供多达十余种的负载均衡调度算法,包括:轮询、比重法、最小链接、最小响应时间、随机、源地址/目的地址/源端口HASH、就近性选择、基于带宽的调度以及基于HTTP内容的调度等算法
部署方式灵活。支持NAT、DR、链路、三明治等多种接入方式,并支持高密千兆及万兆接口,能满足各种复杂应用环境的需要
电信级高可靠。双电源、数据平面与控制平面相分离、VRRP等技术,可有效降低单点故障,确保99.999%的电信级可靠性 功能介绍
多种负载均衡调度算法
调度算法指对需要负载均衡的流量,按照一定的策略分发到指定的服务器群中的服务器或指定链路组的某条链路上,使得各台服务器或链路尽可能地保持负载均衡。调度算法以连接为粒度,同一条连接的所有报文都会分发到同一个服务器或链路上。这种细粒度的调度在一定程度上可以避免单个用户访问的突发性引起服务器或链路间的负载不平衡。
负载均衡技术持丰富的负载均衡调度算法。不同调度算法所实现的负载均衡效果不同,可以需要根据具体的应用场景,采用不同的算法。 静态调度算法
静态算法,即按照预先设定策略,进行分发,不考虑当前各实服务或链路的实际负载情况。算法特点:实现简单,调度快捷。
轮转(Round Robin Scheduling)
依次将请求分发到不同的服务器或链路上,使得各个真实服务器或链路平均分担用户的连接请求。如:实服务群中包含三个实服务A、B、C,假设各实服务均未达到连接上限,最后分发给A、B、C的连接数之比为1:1:1。
适用场景:服务器集群中各服务器性能或链路群中各链路带宽相当,无优劣之分。
加权轮转(Weighted Round Robin Scheduling)
按照权值大小,依次将请求分发到不同的服务器或链路上,权值大的分配较多请求,权值小的分配较少请求。该算法可以解决服务器间性能或链路间带宽不一的问题,权值标识服务器间性能或链路间带宽差异。
如:实服务组中包含三个实服务A、B、C,其配置权值分别为:4、3、2。假设各实服务均未达到连接上限,最后分发给A、B、C的连接数之比为4:3:2。适用场景:服务器集群中各服务器性能或链路集群中各链路带宽存在差异。
随机(Random Scheduling)
将请求随机分发到不同的服务器或链路上。从统计学角度看,调度结果为各个服务器或链路平均分担用户的连接请求。
适用场景:服务器集群中各服务器性能或链路群中各链路带宽相当,无优劣之分。 加权随机(Weighted Random Scheduling)
将请求随机分发到不同的服务器或链路上。从统计学角度看,调度结果为各个服务器或链路按照权值比重分担用户的连接请求,最后的比值和加权轮转一致。
适用场景:服务器集群中各服务器性能或链路群中各链路带宽存在差异。
基于源IP的Hash(Source IP Hashing Scheduling)
通过一个散列(Hash)函数将来自同一个源IP的请求映射到一台服务器或链路上。
适用场景:需要保证来自同一个用户的请求分发到同一个服务器或链路。
基于源IP端口的Hash(Source IP and Source Port Hashing Scheduling)
通过一个散列函数将来自同一个源IP和源端口号的请求映射到一台服务器或链路上。
适用场景:需要保证来自同一个用户同一个业务的请求分发到同一台服务器或链路。
基于目的IP的Hash(Destination IP Hashing Scheduling)
通过一个散列函数将去往同一个目的IP的请求映射到一台服务器或链路上。
适用场景:需要保证到达同一个目的地的请求分发到同一台服务器或链路。适用于网关负载均衡和链路负载均衡。
动态调度算法
相对于静态算法,动态算法根据各实服务或物理链路实际运行中的负载情况进行连接分发,分发效果更均衡。
最小连接(Least Connection Scheduling)
负载均衡设备根据当前各服务器或链路的连接数来估计服务器或链路的负载情况,把新的连接分配给连接数最小的服务器或链路。该算法能把负载差异较大(连接保持时长差异较大)的请求平滑分发到各个服务器或链路上。适用场景:服务器集群中各服务器性能或链路群中各链路带宽相当,无优劣之分,不同用户发起的连接保存时长差异较大。
加权最小连接(Weighted Connection Scheduling)
调度新连接时尽可能使服务器或链路的已建立活动连接数和服务器或链路权值成比例,权值表明了服务器处理性能或链路实际带宽。
适用场景:服务器集群中各服务器性能或链路群中各链路带宽存在差异,不同用户发起的连接保存时长差异较大。
带宽(Bandwidth Scheduling)负载均衡设备根据不同链路的实际剩余带宽及权值,将新连接分发到剩余带宽最大的链路上。
适用场景:链路群中各链路状况(包括带宽、拥塞程度等)存在差异。
灵活的就近性算法
就近性算法是指在链路负载均衡中,负载均衡设备利用健康性检测功能实时探测链路的状态,根据探测结果计算出最优链路,并通过最优链路转发业务流量。就近性算法支持的健康性检测类型包括:
DNS:通过DNS报文,检测远端DNS服务的可用性并获得就近性计算参数。只有Inbound链路负载均衡支持该检测类型。
ICMP:通过ICMP报文,检测远端地址的可达性并获得就近性计算参数。TCP Half Open:通过建立TCP半开连接,检测远端地址的可达性并获得就近性计算参数。
就近性算法根据以下几个参数进行加权计算,得出链路加权数,并根据链路加权数的大小判断链路的优劣:
链路物理带宽:即链路的可用带宽值。
链路成本:取决于每条链路的成本值,比如租用联通10M链路每月1万元,租用电信10M链路每月1.5万元,则两条链路的成本比例为2:3,两条链路成本的取值应该满足该比例。
链路延迟时间(即RTT):通过探测获得。路由跳数(即TTL):通过探测获得。
多种健康性检测方法
所谓健康检测,就是负载均衡设备定期对真实服务器或链路服务状态进行探测,收集相应信息,及时隔离工作异常的服务器或链路。健康检测的结果除标识服务器或链路能否工作外,还可以统计出服务器或链路的响应时间,作为选择服务器或链路的依据。
负载均衡技术支持丰富的健康性检测方法,可以有效地探测和检查服务器或链路的运行状态。
ICMP 向服务器集群中的服务器或链路上的节点发送ICMP Echo报文,若收到ICMP Reply,则服务器或链路正常。
TCP 向服务器集群中服务器的某端口发起TCP连接建立请求,若成功建立TCP连接,则服务器正常。
HTTP 与服务器集群中服务器的HTTP端口(默认情况为80)建立TCP连接,然后发出HTTP请求,若收到的HTTP应答内容正确,则服务器正常。
FTP 与服务器集群中服务器的21号端口建立TCP连接,然后获取服务器上的文件,若收到的文件内容正确,则服务器正常。
TCP Half Open 向链路上节点的某端口发起TCP连接建立请求,若成功建立TCP半开连接,则链路正常。
DNS 向链路上的DNS服务器发送DNS请求,若收到正确的DNS应答,则链路正常。
多种会话持续性功能
一次业务交互可能包括多个TCP连接,如FTP应用(包含一个控制通道和多个数据通道)和HTTP应用。这些TCP连接间有些存在显式关联关系,如FTP应用,数据通道的TCP连接是通过控制通道协商得来的。有些存在隐含的关联关系,如HTTP网络购物,多条连接组成一次业务应用,且多个连接并不像FTP应用一样有“父子”之分,能通过父通道获取子通道信息,但所有该业务的请求应发给同一服务器,否则可能造成无法完成所请求的功能,因为其数据报文中携带隐含关联信息,如cookie。
将属于同一个应用层会话的多个连接定向到同一服务器的功能,就是持续性功能。根据持续性原则,建立会话表项,保证后续业务报文都送往同一个服务器处理。比如使用源地址建立持续性表项,保证持续性。
具有显式关联关系持续性功能
如前所述,FTP应用的多条TCP连接之间具有显式关联关系:子通道五元组是通过父通道协商得来的。因此负载均衡设备对于FTP应用会逐包分析父通道报文,一旦发现子通道协商信息,就会利用该信息建立父通道会话关联表项,当子通道首报文到来时,根据关联表项和父会话表项建立完整的会话表项,从而保证父子通道登录同一台服务器。显式关联关系由负载均衡设备自动识别,无需配置策略。
具有隐式关联关系持续性功能
基于源IP地址的持续性功能 基于源IP地址的持续性功能常用于服务器负载均衡应用中,用以确保同一个客户端的业务能分配到同一个服务器中。
负载均衡设备接收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的服务器情况,在会话表项生存周期内,后续相同源IP地址的业务报文都将发往该服务器处理。
基于目的IP地址的持续性功能
基于目的IP地址的持续性功能常用于链路负载均衡应用中,用以确保去往同一个目的地址的业务能分配到同一条链路上。
负载均衡设备接收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的链路情况,在会话表项生存周期内,后续相同目的IP地址的业务报文都将分发到该链路转发。
基于Cookie和header的持续性功能常用于web服务器需要用户携带私有信息或某些特定信息的服务器负载均衡应用中,用来确保同一个用户能够去往同一个目的地址。Cookie支持4种持续性方式,包括插入模式,重写模式,被动模式,HASH模式。
4~7层的负载均衡
基于第四层(L4)的负载均衡在截取数据流以后,对数据包检查与分析的部分仅限于IP报头及TCP/UDP报头,而不关心TCP或UDP包的内部信息。而基于L7的负载均衡则要求负载均衡设备除了支持L4负载均衡以外,还要解析数据包中4层以上的信息,即应用层的信息。例如,可以解析HTTP协议,从数据包中提取出HTTP URL或Cookie信息。
L7负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式。与L4负载均衡相比,L7负载均衡具有如下优点:
通过对HTTP报头的检查,可以检测出HTTP400、500和600系列的错误信息,因而能透明地将连接请求重新定向到另一台服务器,避免应用层故障。
可根据数据包内容(如判断数据包是图像文件、压缩文件或多媒体文件格式等),把数据流量引向相应内容的服务器来处理,增加系统性能。 可根据连接请求的数据类型(比如根据URL来区分是请求普通文本、图象等静态文档,还是请求ASP、CGI等动态文档),把相应的请求引向相应的服务器来处理,提高系统的性能及安全性。
由于L7负载均衡对应用层协议进行深度识别,因此,对于每种应用层协议都需要有独立的识别机制,这大大限制了L7负载均衡的应用扩展性,一般只是针对HTTP进行负载均衡。同时,深度识别应用层协议,对系统性能也会有很大影响。
多种HTTP安全防护策略
随着基于web业务的迅速发展,web的安全性越来越受到关注。黑客们能够利用操作系统的漏洞或通过web程序的漏洞进行sql注入等攻击,以获取 web服务器的控制权限,或篡改网页内容,窃取内部数据或网站用户的重要信息,因此越来越多的用户也开始关注网站的安全性问题。HTTP安全防护其基本功能如下
网络爬虫防护。对有攻击性的爬虫行为进行限制,能够减小web服务器的负载。
网页盗链防护。一些网站通过一些手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务,这样严重侵害了真正的服务提供商的利益,防盗链功能能够防止盗链的发生,保护服务提供商的利益。
HTTP正规化。通过HTTP METHOD规则的设置能够防止黑客利用一些非常用的METHOD获取网站信息,减小web服务器的安全隐患。通过请求行和cookie各个参数的长度限制能够多种缓冲区溢出攻击。
漏洞攻击防护。能够对sql注入攻击和xss攻击进行阻断和告警。参数修改防护。防止黑客恶意修改HTTP提交信息的参数来对一些服务的正常功能产生不利影响。
黑白名单。通过设置黑白名单能够对经常发起攻击的ip或网段进行限制。HTTP安全日志。记录每次遭受攻击的ip,端口,攻击信息等。
连接复用功能
将客户端的多个连接合并为与服务器的一个连接来进行通信,减少TCP连接的三次握手次数,提高实际有效数据的交换比率。同时连接复用功能还将Web流量的多个短连接合并为一个长连接,提高服务器的响应速度,改善服务器的性能。
HTTP压缩功能 代替WEB服务器对静态资源进行压缩,能够有效提高服务器的响应速度,减轻服务器的负荷。
流量控制及上网行为审计
通过我司上网行为管理及流控UAG3000业务板的部署,一方面通过对***大学上网行为的审计管控,完成公安部第82号令要求,以及学校自身办公效率提升诉求,规范师生上网行为,防止非法上网行为给学校造成不良的社会影响;另一方面针对网络出口不同流量进行智能分析处理,保障关键应用流量,同时根据不同的流量特性智能选择不同出口链路,提高用户体验。
P2P、在线点播、网络游戏等的无节制使用,使企业网络流量呈现爆炸式增长,宝贵的网络资源被滥用,严重影响了Mail、视频/电话会议等关键业务的正常使用;互联网的无序、随意访问,也会给企业带来各种潜在安全风险;病毒等威胁的肆意泛滥,不仅会造成网络流量异常,甚至将导致业务瘫痪。传统的通过扩容网络带宽的方法不仅成本大而且收效甚微,将应用流量控制和行为管理相结合是解决上述问题的最佳选择。
迪普科技在网络及安全领域具有长期积累,具有自主研发的100G应用层硬件处理平台,是全球极少数可提供万兆流量控制和行为管理产品的厂商。迪普科技UAG系列产品基于“并行流过滤引擎”、“DPI”等核心技术,提供包括网络流量分析及控制、上网行为管理、访问控制、病毒防范等功能的综合解决方案。其深入到7层的识别、分类和控制技术,能快速实现网络流量及应用的可视化,并配合灵活的管控策略,实现对网络资源轻松管理;“零带宽损耗”技术彻底解决流量控制带来带宽高损耗问题;超过1000万条自动分类的URL地址库,让上网行为管理工作更加智能和简单;集成的卡巴斯基病毒过滤引擎,可实时阻断病毒、木马和蠕虫等威胁,并可消除病毒暴发带来的异常流量。
UAG可应用于各种网络环境,是目前业界性能最高、网络行为识别最精确、功能最丰富的流量控制及行为管理产品。UAG的部署,可帮助企业实现IT管理、应用资源、安全防护的全面提升和优化。
UAG3000-Blade业务板技术特点 深度流量分析
可识别上千种协议,清晰的图形化界面可直观查看实时/历史流量走势、应用排名、用户状态、连接数等信息,便于分析网络健康状况以及定位故障。多维度、丰富的分析和数据报表,可满足各种统计报告要求。 精细化流量控制
对于网络中的各种应用流量,可基于用户、时间、VLAN和协议等进行细粒度流量管理。为保证流量控制的准确性和全面性,UAG采用了智能的专利P2P识别技术,来实现对加密和未知版本P2P的有效识别。另外,UAG提供应用级QoS,可为核心业务预留资源,在出现网络资源不足时,优先保障核心业务的通畅运行。 零带宽损耗
通过智能阻断和动态协商技术,在进行流量管理时,将带宽消耗降低到5%以内,避免“流量控制带来带宽高损耗”。该技术在确保用户体验流畅的网络应用的同时,也节省大量网络带宽,让网络应用得到提升,从而增强经济效益。 上网行为管理
可对Web访问、网络游戏、炒股、在线影视等上网行为进行详细记录审核和权限管理,规范用户上网行为,确保上网行为符合相关规定要求;可提供超过1000万条URL数据库并分为数十种类别,用户可简单、灵活的实施URL控制策略。 病毒防护
内置的专业卡巴斯基防病毒引擎,采用新一代虚拟脱壳和行为判断技术,能准确查杀各种变种病毒、未知病毒,遏制因这些威胁引起的异常流量,在抵御威胁同时净化网络流量。功能介绍 用户管理
对上网行为的监控需要对用户身份进行有效的管理,没有严格的认证就无法有效区分用户,也就无法部署差异化授权策略,自然无法有效防御身份冒充、权限扩散与滥用等。
UAG产品支持持丰富的身份认证方式:Web 认证、用户名/密码认证、IP认证、MAC认证、IP-MAC绑定认证,同时支持与第三方认证服务器AD、LDAP、Radius 等联动进行用户身份认证,确保合法用户才可以正常接入网络;
下图是用户名/密码认证的流程图,其他认证方式与该流程图类似
用户上网通过IP判断用户是否通过认证没有通过认证向用户推送认证界面(该认证界面可以自定义)已经通过认证用户在认证界面中输入合法的用户名和密码,提交UAG进行认证非法用户UAG提取用户输入的用户名和密码进行认证合法用户用户正常上网
流量分析和控制
UAG采用特征分析和行为模型相结合的独有引擎设计,在不影响报文网络延迟的情况,精确识别各种网络应用;
UAG一共可以识别几百种网络应用,如下图所示,可以全面有效的对网络流量进行监控和管理,并且通过定期的协议库规则的升级,可以支持最新的网络应用流量;
UAG可以识别的主流应用如下:
1、迅雷、电骡、BT等多种P2P流量
2、PPTV、PPStream、优酷网、土豆网等各种网络视频流量
3、QQ、MSN、新浪UC等各种聊天软件流量
4、魔兽世界、传奇等各种网络游戏流量
5、同花顺、大智慧等各种股票软件流量
对于普通的网络应用,UAG使用精确引擎检测技术,通过对网络报文的方向、网络报文的五元组、网络报文的长度、网络报文的负载部分进行深度扫描,精确识别该网络报文所属的网络应用;
对于P2P的的网络应用,UAG除了使用精确引擎检测技术进行检测以外,UAG还使用了行为模式引擎技术,通过对P2P软件的流量模型、行为模型和统计模型的分析,构建P2P软件的通用检测技术,可以解决现有的P2P和以后新出现的P2P软件的识别和统计,一劳永逸地解决P2P的监控和管理;
一旦精确识别了网络应用,就可以对该网络应用进行允许、禁止和限制等各种管理策略,保证用户正常网络应用的带宽,限制P2P的大量流量占用带宽;
下图是流量分析和控制的流程图:
UAG收到用户报文精确引擎识别(通过报文的长度、报文的负载内容、报文的方向进行识别)无法识别为具体的网络应用将用户报文送入行为模式引擎进行识别识别为某种网络应用识别为网络行为将该网络应用或者网路行为以及相关流量信息进行统计通过图表等方式展示当前网络流量发布情况按照用户配置的流量控制策略进行控制,允许或者禁止用户进行该网络应用的访问
行为审计
各种网络应用日新月异,如何有效的监管上网行为,避免员工频繁地进行网络聊天、观看在线视频等非工作网络业务,防止员工外发信息泄露公司机密信息,防止员工发表与法律法规不相符的相关言论,是每一个单位、企业、公司等面临的问题;
UAG产品通过内容审计引擎对各种网络应用进行扫描,提取各种虚拟帐号(如QQ号码、MSN帐号、邮件地址等、论坛帐号),对外发的各种文件上传、论坛发帖、新闻回复等内容进行深度检测;具体的实现流程图如下:
UAG收到用户报文精确识别应用协议聊天应用网页浏览邮件发送论坛发帖FTP应用识别帐号信息,聊天对象、聊天内容识别网页URL地址,网页标题识别邮件地址,收件人地址,邮件主题,邮件内容,邮件附件识别帐号信息,发帖内容识别FTP登录。退出,上传下载文件名、文件内容过滤 防病毒功能
UAG内置的专业防病毒引擎,采用新一代虚拟脱壳和行为判断技术,能准确查杀各种变种病毒、未知病毒,为企业构建绿色的IT环境。
防病毒检测流程图如下:
UAG收到用户报文精确识别应用协议将协议的负载部分进行提取采用防病毒引擎对负载进行扫描发现病毒给出告警信息和对应的策略 DPX8000产品介绍
DPtech DPX8000系列深度业务交换网关是DPtech公司专门为大型企业、运营商和数据中心网络提供业界最高性能安全防护的高端核心设备。DPX8000系列基于强大的多核处理器技术和FPGA 硬件加速处理技术,采用背板、全交换、分布式模块化架构,并且控制平面和数据平面相分离:控制平面采用强大的多核处理器进行各种业务的调度和应用识别;数据平面采用专用的FPGA 进行数据流的快速转发处理,并且可以通过增加多种业务插卡来提供丰富安全服务,用户可以在不改变网络拓扑的情况下,随时升级网络安全防护等级和业务处理能力。
产品技术特点
业界第一款深度业务交换网关。集业务交换、网络安全、应用交付三大功能于一体,适应融合业务网络发展趋势,使复杂的网络变得更简单
100G高性能平台。支持未来40GE和100GE以太网标准;提供高性能业务单板,最大可提供400G整机深度业务处理能力
丰富的业务扩展能力。支持应用防火墙、IPS、流量控制、安全审计、应用交付、异常流量清洗/检测等深度业务功能的按需扩展
领先的虚拟化能力。DPX8000以资源化方式,将一个个相互独立的功能单一的物理设备形成一个或多个逻辑对象,所有策略配置和管理均基于逻辑对象进行实施,不仅大大提高了业务组网能力,并使得可靠性、无缝升级能力大大增强。
强大的网络适用性。支持IPv4/IPv6、三层/二层MPLS VPN等丰富的网络特性,并提供48GE光、48GE电、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各种高密端口
电信级高可靠。主控冗余、N+1电源、不间断重启、热补丁、数据/控制/监测平面分离等技术,确保99.999%的电信级可靠性
迪普整网安全解决方案优势
多层次、立体的安全防护及应用优化
迪普安全解决方案集成了多个应用级安全模块,实现客户网络安全及应用优化的一站式部署。通过防火墙、WAF、IPS业务板块的集成为客户网络提供了应用及的安全防护;SSLVPN、统一审计网关、负载均衡业务板块解决了用户的应用安全及应用质量提升的需求。
智能流量调度,减少数据处理流程,提高业务处理效率
迪普科技专有的智能流量调度技术可实现对客户网络访问流量智能识别及分流,根据不同流量安全及优化需求将数据智能调度到相应安全业务板块,从而减少数据的重复及非需求的识别处理。 一体化
安全业务板块一体化方案一方面规避了网络中因多安全设备串联而带来的单点故障,同时减少数据报文的多次重复解析和处理以及网络性能的衰减和延迟。另一方面解决了多厂商、多设备间相互兼容困难,特别是随着网络规模和组网模式的不断革新,难以实现性能、功能、接口的按需扩展的问题。 虚拟化
领先的虚拟化能力。迪普产品DPX8000以资源化方式,将一个个相互独立的功能单一的物理设备形成一个或多个逻辑对象,所有策略配置和管理均基于逻辑对象进行实施,不仅大大提高了业务组网能力,并使得可靠性、无缝升级能力大大增强。 高性能
迪普出口安全防护解决方案提供100G高性能平台。支持未来40GE和100GE以太网标准;提供高性能业务单板,最大可提供400G整机深度业务处理能力。 丰富的业务扩展能力
支持应用防火墙、IPS、流量控制、安全审计、应用交付、异常流量清洗/检测等深度业务功能的按需扩展;支持IPv4/IPv6、三层/二层MPLS VPN等丰富的网络特性,并提供48GE光、48GE电、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各种高密端口,可支持任何复杂组网需求。 高可靠性
电信级高可靠。主控冗余、N+1电源、不间断重启、热补丁、数据/控制/监测平面分离等技术,确保99.999%的电信级可靠性。
B、统一认证系统方案设计
针对以上***大学认证计费系统的需求分析,同时结合***大学关于多业务场景接入、灵活管理运营的相关要求,此次认证计费系统改造的解决方案如下:
网络拓扑设计
在目前校园网核心出口位置部署一台H3C公司电信级高性能大容量BRAS 设备SR8804-X,为全校有线和无线用户提供统一用户接入与核心路由转发。SR8804-X上行与出口防火墙互联,下行与核心交换机互联。后期扩容时,可以考虑再部署一台,实现双机热备。双机热备部署,能够实现单台设备宕机,用户无感知,无需重新拨号的要求,保证用户良好体验。认证计费系统推荐采用深澜公司Srun3000多接入认证计费平台,与SR8804-X对接,作为Radius server、Portal Server和Policy server、深澜用户自助管理平台。校园网引入BRAS的好处
BRAS(宽带远程接入服务器)是一种面向宽带网络应用的应用网关,可用来完成宽带网络用户的接入、认证、计费、控制、管理,满足不同用户对传输容量和带宽利用率的要求,是宽带网络可运营、可管理的基石,被广泛应用于运营商网络中。在校园网中引入BRAS设备,旨在保留原有的园区网优势,引入运营商网络的优势,打造成易管理、高效安全的校园网。BRAS的优势主要体现在以下几方面。
1.多种接入认证方式:PPPoE、IPoE、DHCP+Web、绑定认证等,可根据需要灵活选用,且同一网络中可多种接入认证方式并存。
2.灵活的计费策略:按时长计费、按流量计费、上网卡计费、不计费,且提供计费保护功能,可根据用户提供不同“套餐”,满足收费差异化需求。
3.强大的用户管理能力:通过域管理能很好地区分不同用户,提供不同带宽、不同访问权限等差异化的服务,实现用户的精细化管理。
4.集中式运营管理:采用BRAS集中认证方式,设备与认证计费系统无关,摆脱802.1x网络设备与认证计费系统绑定,降低建网投资;接入层设备与业务无关,便于新业务开展;集中式维护也大大降低了对接入交换机的维护工作量。
5.完善的安全防护功能:BRAS可通过对终端鉴别和授权、仿冒终端的识别、隔离与控制,充分保证终端的安全性,一方面可以隔离非法终端,另一方面可以抑止合法终端的非法活动,如网络攻击、病毒等。
具体实现方案
1)学生宿舍区和家属区接入
学生宿舍区和家属区建议采用PPPOE+QinQ模式,每用户每VLAN。接入交换机配置用户VLAN,汇聚交换机添加外层VLAN,核心交换机透传到BRAS设备,由BRAS终结QINQ报文。
SR8804-X作为用户网关,IPOE用户上线到SR8804-X转DHCP服务器给用户分配IP地址,在通过认证之前用户只能访问认证前域的服务器,用户的第一个HTTP报文进行重定向到Portal服务器,实现WEB认证,认证通过后允许用户访问认证后域。
SR8804-X作为用户网关,PPPOE用户直接到深澜AAA服务器进行用户名和密码认证。
对比原802.1X认证计费模式,改造后有如下优点。
所有接入终端,都和网关建立点对点Session连接。认证通过后才能获得IP地址。PPPOE不存在ARP机制,减少了网络中的ARP问题。
交换机完全作为二层透传和端口收敛来用。无特殊需求,无需绑定任何厂家,只要支持VLAN交换机基本功能即可。
在汇聚层交换机上打外层VLAN,确保每用户每VLAN,完全解决了广播风暴和环网问题。
接入/汇聚层无横向流量,采用QinQ机制,每个用户终端之间都二层隔离,用户终端之间互访全部上到BAS进行交换,所有流量经过SR8804-X,管理点集中化。
可以控制每用户流量带宽及用户业务优先级。计费策略多样化(包月、按流量、按时长等多种策略组合)
认证客户端为操作系统自带或绿色软件客户端。无程序兼容问题。 天然具备IPV6业务演进能力。
2)办公和教学科研区接入
办公区建议采用IPOE和PPPoE混合认证模式,每部门每VLAN或每院系每VLAN。如有无线接入,则采用IPoE(MAC+Portal)认证模式。
改造后有如下优点:
控制粒度可以精细到用户级,可以统计用户流量,控制用户带宽,控制用所户访问资源等。
采用先MAC后Portal的认证方式,只需一次认证通过,下线后在后台记录其MAC地址,下次认证无需再在portal页面输入用户名密码,可实现无感知认证。
每部门划分一个VLAN,广播域控制在部门内。三层网关起在SR8804-X上,所有跨三层访问经过SR8804-X。跨三层业务既做到准入,又做到准出。 计费策略多样化(包月、按流量、按时长等多种策略组合)
3)运营商用户接入
校园网存在许多在运营商开户的学生和家属,校园网统一建设以后,需要满足这些用户的接入需求,同时也能对这些用户进行管理和计费。
学校认证计费系统实现RADIUS代理功能,用户统一使用PPPoE拨号,在BRAS上终结PPPoE,并将用户信息发到校园AAA系统上认证,AAA系统根据用户名携带的域信息辨识属于校园网或是运营商,对于校园网用户则直接提供认证并在通过之后分配IP地址,对于运营商用户则执行RADIUS代理功能,将用户认证信息发送到相应运营商的AAA上去进行认证,由对应AAA分配IP地址。在BRAS上执行策略路由,在用户认证通过之后访问互联网时,根据用户源IP或所属用户组指定出口,同时在运营商的出口路由器上设置ACL,只允许所属用户IP地址的流量通过。
此种方案简单易部署,运营商之间协同实现用户接入,双方可共同计费,方便对帐以及费用拆分,并实现对全校用户的统一管理。
4)办公区IT设备共享方案
对于办公区的IT设备,例如打印机、传真机等设备,需要对本区域的终端互联并实现共享,同时对于外区域设备不可见。可采取两种方案接入: 1.认证方案
对于这些IT设备进行MAC接入认证,在后台输入MAC地址和VLAN,设备上电以后申请IP地址,如MAC匹配则认证通过并且下发策略,通过ACL限制只允许该区域所在的终端IP地址访问,或者只允许特定的用户访问。该方案的优点在于安全可控,而缺点在于配置工作量较大。
2.局域网方案
在一个区域通过接入交换机或者汇聚交换机将终端放到一个VLAN下,由该区域用户自行规划IP地址并实现共享,该IP网段在BRAS上不被识别因此也不会发布到学校网络中去。用户如果需要上线则可以进行PPPoE拨号或者将网卡改成DHCP方式获取地址通过IPoE上线。该方案优点在于配置工作量小,符合办公区老师的平时办公习惯,缺点在于局域网缺乏隔离,存在原有的环网或ARP攻击,而且只能在小范围内共享,不能灵活进行配置。
5)实验室和学院的专线接入
针对实验室和学院的专线接入采用以太网二层专线接入方式。专线(Leased Line)接入业务是指将SR8804-X的某个以太网接口或者接口下的某些VLAN整体提供给一组用户使用的业务。一条专线下可以接入多台计算机,但是在SR8804-X上只表现为一个用户,SR8804-X对专线进行统一的认证计费、带宽控制、访问权限控制以及QoS控制。
6)DAA根据目的地址计费
DAA(destination address accounting)是“根据目的地址计费”的英文缩写。
该方案实现了对用户接入业务访问目的地址的差别进行管理,根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。在校园网内,用户上线后一般访问教育网内不收费或者收很低的费用,而且是不限速的,而如果访问教育网外的Internet,需要收取较高的费用,同时限制一定的带宽,通过此功能可以实现访问校内资源不计费,访问外网或是教育网采用不同的计费策略。
7)教师在不同地点上线采用不同的计费策略
教师在办公区办公时上网进行认证不计费,在家属区上网时进行计费。教师在办公区上线时,也要能够支持同一账户在家属区同时上线,并且进行计费。SR8804-X根据用户上线携带的不同VLAN或是Option信息通过Radius报文上报到深澜认证计费系统,,在认证计费系统上可以根据这些信息做漫游计费,在特定的源地址和VLANID可以不做明细计费,同时允许多个用户同时拨号,统一计费。2)针对用户身份权限和计费运营的管理 认证方式分析
在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种:(1)PPPoE认证(2)Portal认证(3)802.1X认证 1.PPPoE认证
PPPoE协议允许通过一个连接客户的简单以太网启动一个PPP对话。
PPPoE的建立需要两个阶段,分别是搜寻阶段和点对点对话阶段。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
PPPoE的缺点:需要安装终端软件。
PPPoE的优点:成熟稳定,是应用最广泛的认证接入方式;客户端稳定可靠,兼容性好;安全性高。
2.Portal认证
基于Portal的认证方式,适用于各类用户接入方式。其特点是:用户在计算机上不必安装任何拨号软件,只需要上网时打开浏览器,访问Portal(WEB)认证页面并输入用户名和口令,即可完成认证过程。
H3C公司BRAS系列的(Portal)WEB认证的处理流程如下:
假设用户是以DHCP方式获得IP地址,其认证流程如下:
(1)用户主机配置成通过DHCP动态获取IP地址后,用户主机初始化并发送DHCP申请包,此包经用户侧设备转发到BRAS。BRAS做DHCP Relay将该包转发至DHCP服务器。DHCP服务器对DHCP申请包以响应,给用户分配用于认证的IP地址。
(2)BRAS接收到DHCP响应包,转发到相应的用户主机并形成IP地址、MAC地址和VLAN端口的对应关系,在用户未通过Portal认证以前,通过ACL来限制该用户主机的访问权限,如可以限制用户只能访问一些包括门户网站在内的一些免费网点(允许访问的目的地在网络设备上可以配置);
(3)用户启动IE浏览器后输入任何网址,BRAS将用户发起HTTP请求强制到Portal服务器,请求打开Portal认证页面。Portal认证服务器接收到HTTP请求,通过Http给用户返回Portal页面。用户在Portal页面上中输入用户名和密码并提交,该用户名和密码经Portal(WEB)服务器转交给BRAS设备;
(4)BRAS收到用户的用户名和密码后,通过Radius协议将用户名和密码送到Radius服务器进行认证;
(5)如果认证通过,BRAS会根据Radius服务器下发的认证通过报文来修改用户的ACL,允许该合法用户正常上网。同时也会通知WEB服务器用户认证通过,由WEB服务器通过HTTP方式在网页上通知用户已经认证通过;
如果认证不通过,BRAS会通知WEB服务器用户认证不通过,由WEB服务器通过HTTP方式在网页上通知用户认证失败;
此外,H3C BRAS系列还支持基于端口的Portal认证方式。即用户在Portal页面上不需要输入任何用户名和密码,此时BRAS设备根据用户的VLANID或PVC ID进行认证。
3.802.1X认证
802.1X 协议起源于无线局域网(WLAN)的发展和应用,WLAN具有移动性、开放性的特点,因此需要对用户的端口接入进行认证控制,以保护无线频谱资源的利用和网络安全。802.1X协议推出的主要目的是为了解决无线局域网用户的接入认证问题,通过端口认证来防止其他公司的计算机接入本公司的无线局域网。
802.1X协议目前开始应用于有线局域网中,通过对用户交换机接入端口的认证控制,达到对用户管理的目的,目前802.1X协议已经正式发布,整个协议为二层协议,将用户报文分为业务报文和认证报文两种,为了区分这两种报文,专门为认证报文增加了特定的标志(EtherType=888E),业务报文继续采用原来的标准以太网报文。当用户上网时,用户的逻辑端口(端口+MAC)状态为锁闭状态,由用户或用户交换机发起认证申请,认证通过后,由支持认证的SR8804-X对用户交的逻辑重新配置,将端口状态配置为开启。
H3C公司为满足客户多种选择的要求,对标准的802.1X协议做了一定的扩充,与DHCP+WEB认证方式结合,以满足网络运营的要求:
a.扩展了802.1X的握手机制,解决了有线网应用中的仿冒和时长计费准确性问题; b.支持本地认证,不需要外接 Radius 服务器,降低了小型网络的建设成本和管理成本; c.802.1X系统支持EAP终结和EAP续传两种模式,可以支持现有的 Radius Server,保护网络运营商的投资。
d.提供多平台的802.1X客户端软件(WINDOWS 98/ME/2000/XP),客户端软件可以满足网络运营的要求.e.802.1X受控端口机制灵活, 支持基于端口,基于VLAN,基于MAC地址的受控端口, 可以灵活地应用在各种网络环境, 如校园、网吧、小区.f.通过与Portal方式配合,提供业务支撑能力。
4.三种认证方式的比较
H3C公司BAS系列支持PPPoE和Portal认证方式,此外H3C SR8800-X系列还支持802.1x认证方式。
802.1X是一种二层认证协议,不负责三层的IP地址分配的工作,同时作为新协议,还需要在实际网络中对运营适用性进行考察,因此主要的认证方式建议采用PPPoE和DHCP+WEB认证。
PPPoE和DHCP+WEB认证方式都适用于卡号用户和固定用户,都可以不输入用户名和密码。
安全性:PPPoE和DHCP+WEB认证方式的安全性相当,都可对用户名和密码加密。IP地址防盗用、地址绑定、用户隔离等安全措施是由二层物理隔离和网络设备特殊处理实现,与认证方式无关。WEB认证不存在IP报文分片、组播复制困难和客户端软件的维护问题。同时WEB认证和Portal页面结合紧密,对用户来说界面直观友好,便于进行自助服务,容易开展各种宽带增值业务。
PPPoE协议属于点到点协议,对于组播等宽带网络的应用协议不支持。PPPoE包经过BRAS设备时由于多层包封装导致可能使以太网包超过1518字节,BRAS设备对PPPoE包重新打包,对效率有所影响。PPPoE认证对于用户主机需要增加额外的终端软件,从而带来一些的维护工作。但PPPoE使用广泛成熟,并且更加符合用户使用习惯,是应用最广泛的认证方式。PPPoE也可以同Portal页面紧密结合。
建议***大学校园网以PPPoE方式为主,Portal方式为辅。计费方式分析
赢利是运营商开展业务的一个主要目的。在宽带网络业务运营中,存在费用支付2/8规则,即20%的用户缴纳80%的费用,80%的用户交纳20%的费用。用户收入的不均衡与用户对信息需求的不均衡,决定了资费需求的多样性。由于用户需求具有多层次性,因此运营商必须能够为不同需求的用户提供差异服务(业务)和灵活、经济的计费方式,丰富业务,实现按业务收费。
H3C公司BRAS系列提供多种灵活的计费方式,充分满足运营商的业务需求。BRAS的计费功能是和Radius服务器共同完成的,BRAS本身并不存放用户的计费信息。通过Radius协议,向Radius服务器上报用户本次上网的计费信息(时长、流量),由Radius服务器(计费系统)根据这些信息来生成用户话单,提供用户费用管理、查询、密码修改等功能。
1.计费策略制定依据
宽带网络制定计费策略的依据应该主要从用户所能享用的服务质量等级(SLA)的角度进行考虑,不同等级的用户享用不同质量的SLA要素。
当前可作为衡量SLA质量的主流计费因子的要素为:上网时长、上网流量、上网允许接入带宽。
上网时长:表示用户对于网络部分资源(线路、IP地址)的占用时间,类比窄代电路方式下的上网模式。
上网流量:因为IP技术采用的是带宽共享技术,故流量更能反映用户对于网络资源的使用情况。问题为流量计费不精确、大部分用户网络流量不能形成稳定消费。
上网允许接入带宽:为用户网络SLA(服务等级协定)方式的较好体现,反映用户最大能享用的网络服务质量情况。
实际运营中需要综合考虑各种计费因子,采用SLA(服务等级协议)中用户所能享受的计费因子中各个因子所占的比重不同,作为实际制定计费策略的依据。典型的如包月限时长、包月限带宽、包月限流量、纯粹的时长卡等等,制定计费策略的根源都在于用户享用的SLA等级不同。
2.计费技术:一次计费和实时计费 一次计费
对于采用标准Radius协议的计费方式,计费是通过在用户认证通过后由设备送出一个计费开始信息,用户下网后发一个计费结束信息来获取用户上网时长和流量的。采用此种方式可能因为异常情况造成用户上网时长和流量信息的丢失。
H3C公司BRAS系列通过设备重传、Radius Server备份和本地暂存储数据方式对用户计费信息进行了很好的保护。
实时计费
H3C公司BRAS系列可以根据具体的需要,进行用户费率的实时计费,也就是说,每隔一段时间(如5分钟),就会对用户进行一次计费,把用户当前上网的计费信息(时长、流量)通过Radius报文上报给Radius计费服务器,从而尽最大可能避免因为设备故障而给运营商带来的用户上网费用损失。
利用实时计费方式可较容易实现预付费功能。3.简单计费方式:包月、时长、流量、带宽
1、包月:H3C公司BRAS系列可以通过单独配置计费方法为不计费,使一些不需要计费或不关心计费清单的特殊业务(如包月用户)避免产生大容量的计费清单,减轻ISP的压力。
2、时长计费:H3C公司BRAS系列负责对每个用户每次上网的时间进行精确统计,并通过Radius报文上报Radius计费服务器,计费服务器的计费软件负责根据设定的时长计费费率计算出该用户的上网费用,并生成和保存用户话单。
3、流量计费:H3C公司BRAS系列负责对每个用户每次上网的流量进行精确统计,并通过Radius报文上报给Radius计费服务器,计费服务器的计费软件负责根据设定的流量计费费率计算出该用户的上网费用,并生成和保存用户话单。
4、带宽计费:通过在H3C公司BRAS系列上固定设置和后台Radius服务器带宽属性下发的方式,实现对用户最大允许接入网络带宽的限制(CAR),实际运营中可利用此属性实现基于用户带宽的收费策略。
4、预付费功能
预付费卡号方式也是一种灵活适用的常见计费策略,用户可以不用开固定帐号,通过定额上网卡上的帐号密码上网,可以按时长或流量计费,直到卡上金额用光为止。同样,预付费功能也必须由BRAS与服务器共同完成,根据具体的计费策略,预付费功能又可进一步分为按时长预付费和按流量预付费。
1、按时长预付费:在用户上网时,Radius计费服务器根据用户卡上的余额和设定的时长计费费率计算出该用户能够上网的可用时长,通过Radius报文下发给BRAS,BRAS将实时检测该用户的上网时间,在用户下线后,BRAS将用户本次上网的时长上报给Radius计费服务器。在用户上网过程中,如果用户的本次上网时长达到Radius服务器下发的用户上网可用时长时,BRAS将主动切断用户连接,同时上报Radius计费服务器用户下线。计费服务器的计费软件根据BRAS上报的计费信息和设定的计费策略计算出该用户的上网费用,
第二篇:轮胎安全升级技术
轮胎安全升级技术,汽车轮胎安全的缔造者
据统计,截止到2013年年底,我国汽车保有量1.37亿辆,并以平均每天4500辆的速度急剧增长,庞大的数据背后是轮胎安全需求的巨大市场。汽车轮胎安全升级技术是继安全带、安全气囊、ABS(汽车制动防抱死系统)之后的第四大汽车安全保障系统!
我国高速公路通车里程达到9.6万公里,仅次于美国的10万公里,排在世界第二位。公安部和交通部联合统计显示:国内高速公路70%交通事故是由轮胎隐患引起的,时速120公里以上任何一个前胎爆破,翻车死亡率100%。轮胎是汽车安全行驶的第一道生命防线,爆胎已与疲劳驾驶、超速行驶并列为汽车安全三大杀手!
轮胎安全升级技术是通过智能喷胶机将新型高分子纳米材料均匀地喷涂在轮胎的内壁上,在轮胎内部形成一个安全防护层。当轮胎遭到钉体刺入时安全防护层中的新型高分子纳米材料能迅速将钉体紧紧包裹并及时把穿孔彻底密封,有效防止轮胎漏气,当钉体拔出时,新型高分子纳米材料瞬间填充创口,依靠粘性使创口处的纳米材料粘合。而且新型高分子纳米材料不但能起到防刺扎、防漏效果,而且还具备防弹和缓冲爆胎的功效。
轮胎升级后是普通轮胎不能相比的,因为升级后的轮胎除了具有防漏、防爆、防弹、不怕扎的效果外,还可以延长轮胎正常的使用寿命,同时也可提高车身平衡稳定性,增强车辆整体的安全性,从而达到安全省油,节能环保的效果。
上海势威安全轮胎升级技术,不仅具有国家发明专利和权威机构的检测认证,同时也得到了广大车主和国内外代理商的一致认可。你们的支持就是我们动力的源泉,上海势威公司一定会让这项技术更好的为广大车主服务的!携手势威,把安全和爱带回家!
第三篇:党支部升级方案
为进一步加强基层党组织建设,充分发挥基层党组织的主观能动性,提高基层党组织的凝聚力和战斗力,不断扩大党组织的覆盖面和影响力,推进创先争优活动深入开展,结合我局实际,特制订如下升级方案。
一、指导思想
坚持以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,本着学习先进,取长补短,真正达到“先进上水平、中间增活力、后进得转化”目标,努力实现基层党组织领导班子好、党员队伍好、工作机制好、工作业绩好、群众反映好的“五好”目标,整体提升基层党组织的战斗力、凝聚力和创造力,为实现 “双一”目标,深化“三项行动”奠定坚强的组织基础。
二、总体目标
通过开展“分类定级、对标进位”活动,努力在明确党组织书记管党职责、加强党员队伍教育管理、健全党建工作制度、加强党组织活动阵地建设、激发党员创先争优活力等方面取得新突破,围绕组织建设争先进位,推动党建工作新提升,力求高标准定位、超前性谋划、精细化实施,组织开展特色鲜明、形式多样的实践活动,使组织创先有平台、党员争优有路径,不断提升党建工作水平。
三、主要措施
1、规范各基层党组织活动平台建设。扎实开展创先争优活动,以“五亮五比五创”活动为载体,实行 “一站式”服务,积极倡导“五个三”细节服务,健全完善首问责任制、限时办结制以及重点工作跟踪落实等制度。广泛开展岗位练兵、“岗位建功做模范、我为党旗添光彩”等活动,激励广大党员立足岗位,提高业务能力,增强执政为民的能力和水平,不断提高机关干部工作能力、服务水平、办事效率。
2、规范党员教育管理工作机制。结合实际,在每月支部活动中,开展重温入党誓词、观看革命影片、共过政治生日、爱党演讲比赛、专题教育讲座等形式多样的主题教育,激发党员干部加强党性锻炼的积极性和主动性。进一步完善党员公开承诺、党员目标明白卡等制度,健全完善党员党性分析制度,每名党员结合工作实际,从理论学习、工作任务、廉洁自律等方面做出承诺,在“七一”和年底根据党员的工作情况和履职承诺情况进行民主测评和民主评议。坚持“两推一公示”制度,做好入党积极分子培养考察和党员发展工作,保证发展质量,党的基层组织和党员队伍充满生机与活力。认真抓好党费收缴和党内统计工作,做好党内生活记录。
3、规范党群共建工作机制。重视对工青妇工作的领导,着力在组织体系、队伍建设、活动载体、工作制度、场所阵地等方面,深入推进党建带工建、带团建、带妇建工作。指导工青妇组织按照各自章程,独立负责地开展工作,积极开展各具特点的活动,营造干部职工积极参与、努力向上、团结紧张、严肃活泼的氛围。
4、规范党建档案资料管理。加强档案工作管理,理顺档案管理体系。根据实际,整合资源,做好文件资料的收集、整理和归档工作。
四、工作要求
晋位升级工作是“分类定级、对标进位”活动的重点内容,也是确保基层组织建设年活动取得成效的关键。各支部要高度重视,摆在突出位置来抓;各级党组织书记作为第一责任人,要亲自研究部署、率先作出示范、加强督促落实,制定具体的整改措施,确保整改措施一个个落实,突出问题一个个解决,推动党建工作再上新台阶。
第四篇:村支部升级方案
* *村级党支部
“升级晋档、科学发展”实施方案
为进一步深化推进农村党支部“升级晋档、科学发展”活动,我村认真学习号文件,“关于进一步开展农村党支部升级晋档科学发展活动实施方案”现结合我村实际制定“* *村党支部升级晋档科学发展”实施方案,请镇党委审示。
* *村党支部
二0一二年十月二十四日
一、基本情况
* *村*个村民小组,*户,*人,有党员*名。2011年我村农民人均纯收入4300元,在黄官镇升级晋档,科学发展活动中属类村党支部
二、总体思路
以邓小平理论和“三个代表”重要思想和科学发展观为指导,深入学习贯彻党的十七届五中全会和县委十二届十次全委会议精神,按照新农村建设“二十字”方 针总要求,进一步加强我村党组织建设,理清工作思路,完善工作制度,以促进农民增收为重点,真正把农村基层党组织建设成为推动科学发展、带领农民致富、密切 联系群众、维护农村稳定的坚强领导核心,为农村改革发展提供坚强的组织保障。
三、目标任务
根据“生产发展、生活宽裕、村容整洁、乡风文明、管理民主”的工作要求,严格按照黄官镇村级党组织,升级晋档,科学发展活动考核评价指标完成活动任务。
四、工作重点
(一)生产发展
1、主导产业:主要发展烤烟生产到2016年达到亩,人均烤烟生产收入元,大力发展核桃种植,到年人均 亩。坚持积极引导村民发展生猪养殖,到2016年每户户均达 头以上,全村年出栏生猪 头以上。
(二)生活宽裕
以促进农民增收为目标,坚持因村制宜,逐户都有新的经济增长点,加速推进农业产业化,大力发展劳务经济,不断改善农业基础条件,加快建设具有村的社会主义新农村,力争到2016年全村农民人均纯收入达元奋斗,年平均增幅左右。
(三)村容整洁
1、村内道路硬化率:充分利用一事一议,组织动员群众修建和改造农村公路,抓好 连户道路扩宽改造、通村道路养护及绿花化。
2、村内环境:以清洁工程为契机,加大力度清除农户房前屋后和公共场所的垃圾和淤泥,实施建路、建沼、改厨、改厕和改圈,设立垃圾相,垃圾池。教育村民把柴草垛放到隐必位置,村内环境达到“五无”标准(无土堆、柴堆、粪堆、圈 舍、厕所))改变农村“脏、乱、差”现象。
(四)乡风文明
1、加强计生政策宣传:深入开展婚育新风进万家活动,促进文明生育,全面落实计划生育政策法规,强化流动人口管理,夯实基础工作,稳定低生育水平,确保实现各项控制指标,使全县符合政策生育率始终保持在。
2、平安村建设:以创建平安村活动为载体,大力宣传两率一度,确保两率一度知晓率在我村达到,。健全村级治
保调解组织,确保全年无群体性上访和群体性事件,无刑事案件和较大治安案件发生。
3、文明家庭创建率:以创建文明村、文明院落和文明家庭为载体,深入开展文明新风进万家活动,积极倡导健康文明的生活方式,引导群众崇尚科学,抵制迷 信,移风易俗,破除陋习,树立先进的思想观念和良好 的道德风尚,形成文明向上的社会风貌,全乡文明家庭创建达到。
(五)管理民主
1、班子建设;建立和完善村“三 委”联席会议制度,加强党支部在现行社会经济发展中的作用。
2、党员队伍建设:严格落实每年至少发展 1名 岁以下年轻党员的要求,严格执行《不合格党 员处置办法》,严把“入口”,畅通“出口”,纯洁队伍,党员活动开展正常,党员作用发挥好。认真抓好村级后备干部队伍建设,按照现任干部 1:1 的比例,建立完善村级后备干部人才库,加大培养、选拔力度,促进尽快成长。
3、村级组织活动场所建设:坚持“四化”标准,力提升村级组织活动场所品位和综合服务功能;进一步规范活动场所管理,充分发挥村级活动场所的综合效益。力争我村级活动场所都在平方米以上,服务功能齐全,作用发挥好,社会效益明显。
4、党务村务公开:全面推行村干部值班制度、农村工
作“四议制”,严格落实党务、村务公开制度,规范公开内容、严格公开程序、灵活公开形式,明确公开时间,确保公开效果,群众满意率达到以上。
5、民主测评:工作业绩、工作作风、办事能力得到群众充分认可,群众满意度高,测评分值达 分以上。
村党支部
二0一二年十月二十二日
第五篇:网络升级改造经验交流
网络升级改造经验交流
根据总公司2010年网络升级改造工作的总体安排,今年年初昔阳分公司分别进行了工作任务部署和全体职工动员会议,并结合昔阳的实际情况,为完成网改工作,昔阳分公司做了以下几方面的工作。
一、网改人员的选聘
公司提前进行了网络改造人员的社会招聘工作,通过电视媒体利用正月期间连续播出招聘广告。3月初对招聘报名的70多人进行技能操作测试,应聘人员逐一进行考核,评判打分,择优录用,从中选择了20人作为网络改造的补充力量,并对招聘人员依据总公司“网络建设标准”,“网络设计施工规范”进行了网络基础理论、实际操作技能、施工安全、施工队伍管理等方面进行了培训,随后对气象局宿舍区进行了试点改造,的技能,并在实践中得到提高。
二、网改队伍的组成在组建网络改造施工队伍方面,全制度管理”和“有线电视施工安全操作规程”等管理制度,一责任人,全面树立安全第一的工作意识,进度。施工队组建以分公司技术力量为主,调人员,包括从办公,后勤,机房等方面抽出勘探技术组,每队以4老带队长均为分公司技术元老,具有高度的责任意识和管理经验。
三、施工队伍的具体分工队长:全面负责施工队的管理,做好技术,安全,协调等工作,主抓施工人员的定岗、任务分配和组织管理,全面负责施工安全。副队长:主要抓网络改造各环节中的施工工艺和技术标准,好光机和放大器工作参数的调试和终端用户电平的测试并记录,现问题随时纠正。
资料员:具体负责施工工具和材料的管理,集,并在每一工作项目(光节点)完成前做好资料的整理,表册和图纸的完善。并及时交设计组,以便实施工程初验。司机:负责车辆的保管,保证运输工具的正常运行。并协助做好材料和工具的管理,废旧材料的储运。
四、设计组的职责
设计组分别由勘探设计人员和图纸绘制人员组成,探设计,后期的数据整理、图纸绘制、工程项目申请和报验,物质材料的跟踪和管理,施工的竣工项目的初验,并及时提交总公司验收。
五、相关部门的密切配合 市场和后勤保障部门负责在网用户的核实、用户信息的修正,网改后用户区域管理的划分(光节点)。物质部门协同设计组保障材料的申报,负责督促已批项目的材料的到位,做好各项目工程材料的领用手续和竣工材料的核实,6新的人员结构模式,通过实际操作检验了施工队员确定施工队长为安全工作的第在质量的基础上求分别从分公司各个部门抽4人,分别组织3个工程施工队伍,4名分公司人员,各有分工,各尽其职。严格按照设计进行规范施工,检查各工序的施工质量,工程量的记录和缆线数据的收具体负责工程前期的技术规划、负责好废旧缆线的回收和上交工作,“安个设计做出负责好
为了保证网改的顺利进行和高质量的完成,我们制定了做到在安全的基础上求发展,招收的施工人员为辅,1
用户资料的收集,现场的勘
工具发放和管理。
点击咨询 