内容管理五步骤:
生产力/安全性最大化, 威胁/总持有成本最小化
|
现今许多因特网使用者已经安装了实时通讯(IM)与点对点传输(P2P)应用软件。这些软件会自动随机跳端口,或把自己伪装在HTTP的地道里,以规避管理者的检查。为了让管理者克服这个问题,「内容管理五步骤」可用来最大化生产力/安全性,并最小化威胁性与总持有成本。 |
|
第一步 — 随差及用实时流量侦测/学习:为了帮助管理者解决上述问题,InstantScan提供了随差及用流量侦测来当作第一步。只需要把网络线接起来,InstantScan就回现场把网络流量展现在你面前。您可以看到有多少MSN是用HTTP地道来伪装的,也可以看到有多少IM正在聊天。聊天的过程会被自动记录,以方便管理者汇入到设定中。 |
|
第二步 — 将第七层流量打回第四层:在流量侦测过后,若开始决定要管理流量了,你可以开使用第七层防火墙来档掉某些应用。在此图中,InstantScan会把在第七层乱窜的流量过滤,让其乖乖地以第四层流量方式运行,帮助你原有的第四层防火墙得以用埠号作最基本的控制。非但如此,InstantScan可帮助你阻挡非标准的IM联机。例如MSN会自动侦测防火墙设定,若MSN无法从标准的1860埠号连出去登入,则会开始用HTTP代理服务器联机出去。更有甚者,任何人都可以手动设定他要连到哪一台HTTP/SOCKS4/SOCKS5代理服务器(包括你公司里的HTTP代理服务器)。最惨的是,员工还可以使用浏览器连到各种不同提供MSN服务的网页,继续跟外面的人聊天。这些InstantScan都可以帮助你解决。 |
|
第三步 — 交互式行为管理:接下来,网管人员可能会开始想作个人化的政策。既然InstantScan可以认得应用程序的各种细部行为,网管人员可以针对每个使用者给予不同的行为权限。使用者的信息可以整合企业现有的使用者数据库,例如LDAP、Active Directory、POP3(S)、IMAP(S)、RADIUS。 |
|
第四步 — 深度内容检测:网管人员接下来可能想要开始设定进阶的内容过滤功能。在此图中,InstantScan可侦测/阻挡「压缩文件里的病毒」或「散布在MSN窗口里的URL或传档蠕虫」。若要做到极端的安全性,所有的对话都可以被侧录,来预防内部信息泄漏。若使用者违反了政策,说了些不该说的话,InstantScan能够直接在「IM窗口内」警告使用者公司的IM使用政策。 |
|
第五步 — 详细报表分析:最后,报表分析可以帮网管人员找出问题。数十种的图形报表,包括每天/每周/每月/每季/每年的频宽报表、IM使用行为、以公司部门显示聊天侧录、违反政策情况。报表可以客制化、搜寻,且得以用PDF/HTML的格式,在设定的时间周期下以附加文件寄出。 |
三层式架构:
效能、可用性、功能最大化
|
第七层网络设备通常要做「非常多的计算功夫」和「较好的分散架构」,以最大化效能、可用性、功能性。InstantScan采用了业界最先进的三层式架构来增加效能,让各层各司其职,完成每一个目的。 |
|
第一层 — 第七层设备:第七层设备应该要专注的是「快速地」与「准确地」执行内容检测。如此,第七层设备装在网络进出口在线,才不会影响到网络的效能。 |
|
第二层 — 管理服务器:管理服务器要负责的是中央集中控管第七层设备,并接收来自于不同第七层设备的事件,整理于数据库中更进一步制作报表分析。在管理服务器上制作报表,不会影响第七层设备的效能。 |
|
第三层 — 管理客户端:管理客户端可用任何具备JAVA功能的浏览器连到管理服务器。只要他连得到管理服务器,他就可以连得到任何架设于管理服务器之下的第七层设备。 |
软芯片加速®第七层封包分类器:
Classify Once Switch Many (COSM)加速
|
因为当今的网络应用除了固定端口号外,常使用「乱跳埠号」或「伪装于HTTP/HTTPS/SOCKS等代理服务器地道」里面,第四层分类器早已不堪使用。L7 Networks的专利软芯片®加速器,配备于InstantScan上时,可以在两个步骤内: |
|
第一步 — 固定步数的联机特征码比对既然第四层封包表头已经不敷使用,第七层的封包分类当然应该着重在网络应用的协议与内容里。软芯片®可以在固定步数内分类出每一条联机。理论上最惨的情况是12个封包,但通常只要在两个封包以内就可以比对出特征码。最惨的情况通常是出现在InstantScan不认识该联机的情况下,如此一来,软芯片®就得在每个联机的第12个封包时才停止判断。这比对的过程是以状态更新器,于全域DFA (Deterministic Finite Automata)中移动。全域DFA是在InstantScan开机时编译好的执行码,得以一次比对所有的特征码,而非线性比对(一个特征码一个特征码顺序比对)。 |
|
第二步 — 分一次转送多次 (Classify Once Switch Many):在第一步分类出来以后,后来的该联机的所有封包都会无条件被转送,不需要再被检查特征码。他们都会被转送到对的网络,并且享受到应得的服务。例如,在某一联机已经被认出来是KaZaA伪装成埠号80的HTTP后,剩下的所有该联机的封包都会被直接认成KaZaA,并且被放到对的队列中作进阶的频宽管理,不会需要更进一步的特征码比对那些后来的封包,达成加速的目的。 |
无IP地址®交互式内容检测:
真正达到透明化的随插即用
|
为达成真正的透明化以顺利随插即用,专利的「无IP地址®」隐形技术可以满足下列几个条件: |
|
没有任何IP地址设定于进出口网络接口,已达成完全的隐形,就像第二层交换器一样。 |
|
立即响应给使用者,通知违反政策的理由以及公司政策。直接于IM窗口内与使用者互动,以减少员工的抱怨,是一个必要的条件。InstantScan配备了「无IP地址®」的隐形技术以后,虽然没有任何IP地址,却能在与MSN / Yahoo! / ICQ / AOL / Google Talk / Internet Explorer / Outlook Express / Outlook / ...等应用程序直接互动。 |
|
无IP地址®隐形技术,配合SSL扫瞄®技术,能在SSL的环境中过滤HTTPS与SMTPS等的内容。所以,InstantScan是全球唯一能够在不具备IP地址的隐形状态下,对加密的SSL地道的内容进行内容的过滤动作。 |
SSL扫瞄®内容过滤:
透明化分析SSL加密内容
|
SSL的环境中,像是 HTTTPS / SMTPS / POP3S / IMAPS,都是终端点对终端点的加密地道。这些地道中,当然可能藏有病毒,或者员工泄密的可能。因为他们已经把自己加密起来,所以没有任何人可以在网络中间把他解开,并过滤内容。因此,病毒在HTTPS加密的WebMail系统中,就会非常轻易地被员工打开而中毒。具有技术的员工,也能够轻易的使用加密的SMTPS/HTTPS方式,把公司的机密数据送出到外面,规避公司的内容控管。为了达到完全透明的SSL内容过滤,专利的SSL扫瞄®技术,结合了无IP地址®的隐形技术,能够轻易的安装在网络上,扫瞄经过的SSL流量: |
|
InstantScan搭载的「匿踪式SSL内容检测引擎」,能将HTTPS/SMTPS/POP3S/IMAPS等SSL加密流量,在没有IP地址设定在对内/对外的网络接口情况下,透明地插在任意网络上,检测HTTPS/SMTPS/...等SSL通道中的内容。 |
|
无IP地址设定在网络接口下,InstantScan可像一般第二层交换器一样容易安装。 |
|
虽说是如此容易安装,InstantScan仍然具备交互式的交谈能力,得实时直接在应用程序里(MSN / Yahoo / AOL / ICQ / GoogleTalk / Outlook / IE / ...窗口中)与员工互动,告知任何不法的举动。这是非常重要的一个技术,因为他可以减轻很多MIS的负担,避免被员工抱怨信息系统有问题。结合了「无IP地址$reg」技术后,兼顾好安装以及强大的互动功能,为InstantScan添备了最具特色的技术 |
后知悉®频宽控制器
准确的第七层频宽管理技术
|
当管理网络流量时,除了具备第七层的封包分类引擎外,能准确地控制频宽更是最核心必备条件。当管理TCP流量时,经过的TCP联机可能造成巨大的缓冲空间负荷,以致造成大的延迟时间、经常性的缓冲区溢位、,甚至是联机间的频宽享用不公平(在抢同一缓冲区时)。所以,如何控制TCP的频宽并避免以上的缺点,是非常重要的问题点。已获得专利的「后知悉®」控制技术,是一项创新的方法,可同时解决TCP频宽准确性与以上缺点。相较之下,许多公司采用(或侵权使用)Packeteer公司的专利技术(TCR®),已被发现有以下缺点: |
|
在封包漏失环境下,效能易受损害(达10%损失) |
|
不容易兼容于某些操作系统的TCP协议堆栈 |
| |
|
|
相较之下,后知悉®控制技术可以保有TCR®的好处,却避免了他造成的坏处。后知悉®技术利用模拟per-flow queuing技术的行为,但将排队的数据封包搬移到反方向的知悉封包,因此达成缩小缓冲区(达96%)的任务。由于不更改TCP封包的Window Size,后知悉®技术在封包漏失的环境下,能胜过TCR®技术达10%的效能。经进一步地与CBQ整合,利用CBQ的触发事件驱动后知悉®引擎时,可用Pentium 4的机器达到750Mbps的效能。这些数据都可以经由公开的交换式实验环境(搭载RTT/loss/jitter人工变因)达成,并获国际电机电子期刊登载。 |
| |
|
| |
L7 Networks已经在IEEE的杂志上登载了多篇有关于频宽管理的技术论文,并实际应用于InstantBlock与InstantScan的频宽功能中: |
|
IEEE Transactions on Computers, Vol.53, No.3, March 2004: Assessing and Improving TCP Rate Shaping over Enterprise Edges |
|
IEEE Communications Surveys and Tutorials, Vol.5, No.2, 2003: A Measurement-Based Survey and Evaluation of Bandwidth Management Systems |
|
IEEE Global Telecommunications Conference 2004 (IEEE Globecom 2004), Dallas, Texas USA, Nov. 2004: On Shaping TCP Traffic at Edge Gateways |
|
IEEE Symposium on Computers and Communications (IEEE ISCC 2003), Kemer - Antalya, Turkey, Jun. 2003: Co-DRR: An Integrated Uplink and Downlink Scheduler for Bandwidth Management over Wireless LANs |
|
