教你玩转下一代防火墙的流量管理


网络基础技术和网络应用的迅速发展,用户对网络性能要求越来越高,网络出口带宽不断升级,却仍然不能够满足用户日益增长的需求。网络管理中的流量管理如何更精细的划分,成为众多管理员的烦恼。如今,下一代防火墙已然成为标配,那么,在下一代防火墙里如何“随心所欲”进行带宽和流量管理的方式呢?

传统设备流控功能的局限
具有流控功能的设备很常见,包括专业的流控设备、UTM等等,但均由于自身的局限而无法满足用户的众多需求,整体上可以概括为以下几个方面:一是流量划分不精细,无法做到多层级嵌套;二是缺乏流量管理手段和直观可视的流量管理走向;三是优先级的处理效果有限,很难有效保证关键业务优先调度处理;四是剩余带宽的利用不高效。

由于以上的缺陷存在,在网络承载的应用日益复杂与多元化的当前时代,直接导致了在使用中存在关键业务应用访问迟缓,而同时部分带宽有剩余的情况,无形中增加了IT维护成本,同时也浪费了带宽。

iQoS精准管理用户和应用的带宽
山石网科早前发布了智能下一代防火墙,作为具有专利技术(发明专利ZL201210585462.5)的、增强的智能流量管理(iQoS)成为主打特点之一,颇受关注。而目前,山石网科下一代防火墙全线产品已经包含这一功能。iQoS通过细粒度流量划分和两层八级QoS管道嵌套技术,来实现基于用户和应用的控制,通过可视化的配置调整,可以实时查看流量控制的效果。同时支持基于业务优先级的分类,灵活调整带宽,保障关键业务的畅通,充分利用每M的带宽。

一句话概述之,iQoS就是通过对网络带宽进行多层级的嵌套的精细划分,可以在保障优先级的前提下,有效地控制每个用户下的每种应用的流量,最高效利用带宽。

详解五大突出特性
两层八级的流量控制,山石网科增强的智能流量管理支持两层流控,每层流控支持四级嵌套,从而实现两层八级的网络应用控制。对于没有包含关系,无法通过多层级嵌套解决的问题可以通过两层流量解决;对于复杂的应用场景,可以通过多级嵌套实现基于用户组织架构的流量控制。

精细化流量划分,iQoS以管道为单位对流量进行划分。所有流经设备的流量,都将按照预设的匹配条件进入管道。可以根据一种条件来划分流量,如根据源地址条目;也可以根据多种条件组合来划分流量,多种条件之间是”与”的关系,如根据源接口、目的地址条目和应用HTTP,即从指定的源接口到具体的目的地址的HTTP流量,这样能够更加精细的划分流量。

管道监控,山石网科下一代防火墙提供专门针对管道的监控,管道的配置与管道监控统一。管道监控提供第一层流控和第二层流控中各级管道的流量排名及百分比,且可通过管道状态、管道流量方向、时间粒度等方式展现相关用户、应用的流量排名情况。

差分服务, iQoS能够通过设置优先级(0-7级)进行差分服务。用户通过应用识别功能识别出网络中的应用类型,并根据管道监控分析出关键应用和非关键应用,根据需要可以建立一套基于优先级的差异化服务的可行性策略,为关键应用分配更高优先级,并对其进行高优先级的调度控制。

弹性带宽调整,当每一级管道有剩余带宽时,可以借给子管道使用,使带宽能够充分利用。当管道下有多个子管道,并且每个子管道的优先级相同,则以抢占的方式抢占上一级管道的剩余带宽;当管道下多个子管道的优先级不同,则按照优先级比例借父管道的剩余带宽,高优先级的应用能够获得更多的剩余带宽,从而保证带宽得到更合理、高效的利用。