隨著信息化建設(shè)的開展，各單位機(jī)構(gòu)業(yè)務(wù)系統(tǒng)、科研、管理以及辦公自動化等應(yīng)用系統(tǒng)的建設(shè)已初具規(guī)模。國內(nèi)有一定規(guī)模的骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡(luò)，提前進(jìn)入了萬兆時(shí)代。萬兆骨干網(wǎng)有效地解決了園區(qū)網(wǎng)內(nèi)部帶寬不足的問題，滿足了大規(guī)模用戶的網(wǎng)絡(luò)需求，但園區(qū)網(wǎng)的出口區(qū)域仍然面臨多方面的挑戰(zhàn)。

園區(qū)網(wǎng)出口面臨的挑戰(zhàn)：

來自外部網(wǎng)絡(luò)的攻擊、病毒、掃描令人防不勝防。
上網(wǎng)速度慢，打開一個網(wǎng)頁要好久，高峰時(shí)間更慢，來自內(nèi)部網(wǎng)絡(luò)的電驢和BT下載大量蠶食出口帶寬、ARP病毒搞的大家都上不了網(wǎng)，管理員坐立不安。
語音、視頻會議，門戶網(wǎng)站等關(guān)鍵業(yè)務(wù)質(zhì)量無法保證。
出口鏈路多，然而在資金不太充裕的條件下，如何擁有多出口負(fù)載均衡的強(qiáng)大功能又同時(shí)兼?zhèn)鋸?qiáng)悍的NAT地址轉(zhuǎn)換性能。
出口日志無從記錄，無法滿足公安機(jī)關(guān)的反查要求。
園區(qū)網(wǎng)出口需求分析：

　　通過對園區(qū)網(wǎng)出口面臨的一些問題的深入分析，我們將園區(qū)網(wǎng)出口建設(shè)的需求歸納如下：

出口設(shè)備需要具備高處理性能、高吞吐量。
高安全性能，能夠有效阻止來自外部網(wǎng)絡(luò)的各種攻擊、病毒、掃描。
能夠精確識別各種應(yīng)用層流量，限制非法流量，同時(shí)保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。
如何針對不同的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)實(shí)施不同的帶寬策略
出口多鏈路能夠負(fù)載均衡。
提供詳細(xì)的出口訪問日志記錄。
出口設(shè)備盡量少，避免出口過于臃腫
園區(qū)網(wǎng)出口建議方案：
　 基于上述對園區(qū)網(wǎng)出口的現(xiàn)狀與需求的深刻理解，神州數(shù)碼網(wǎng)絡(luò)推出了為園區(qū)網(wǎng)出口區(qū)域量身定制的出口安全解決方案。出口建議拓?fù)淙缦拢?br />

流量整形網(wǎng)關(guān)
　　如上圖所示，出口采用DCFS8500應(yīng)用層流量整形網(wǎng)關(guān)，基于多核嵌入式處理器架構(gòu)，支持4橋8個千兆端口，雙向5Gbps吞吐量，800萬并發(fā)連接數(shù)，控制各種應(yīng)用的帶寬，保證關(guān)鍵應(yīng)用，抑制不希望有的應(yīng)用，可針不同的源IP（組）和時(shí)間段，在所分配的帶寬管道內(nèi)，對其應(yīng)用實(shí)現(xiàn)不同的流量帶寬限制、或者是禁止使用。該產(chǎn)品主要功能特點(diǎn)如下：

        1.統(tǒng)計(jì)、監(jiān)控和分析網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例，為網(wǎng)絡(luò)的用途和下一步的規(guī)劃提供科學(xué)依據(jù)。通過對網(wǎng)絡(luò)上的流量數(shù)據(jù)進(jìn)行監(jiān)控和分析，量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多少，從而得知用戶的網(wǎng)絡(luò)最主要的用途是什么。
        2.帶寬管理：限制每個用戶的上網(wǎng)帶寬，自動采取平均分配帶寬的優(yōu)化算法，確保帶寬資源分配的公平性和合理性；不同用戶組分配不同帶寬，即可輕松實(shí)現(xiàn)區(qū)分服務(wù)。

        3.有效控制各種應(yīng)用所占帶寬，保證關(guān)鍵應(yīng)用，抑制不希望的應(yīng)用，如下圖所示，為DCFS8500流量控制策略加載前后，迅雷流量所占用的帶寬對比。

       4.監(jiān)控內(nèi)網(wǎng)每個節(jié)點(diǎn)的實(shí)時(shí)出流量、實(shí)時(shí)入流量的大小，可用來判斷內(nèi)網(wǎng)節(jié)點(diǎn)是否存在攻擊行為、中病毒等問題。如下圖所示，通過雙擊認(rèn)為“有問題”的某臺主機(jī)的地址，可看該主機(jī)詳細(xì)會話情況。

       5.強(qiáng)大的帶寬二級管理：這是DCFS的獨(dú)有的管道復(fù)用技術(shù)，不僅可以針對每個用戶實(shí)現(xiàn)帶寬的管理，而且同時(shí)也可對不同種網(wǎng)絡(luò)應(yīng)用協(xié)議進(jìn)行帶寬管理。（例如：在限制每用戶的帶寬不超過256K的同時(shí)，還可以同時(shí)限制針對總體上限制BT的總帶寬不超過10M）

        6.網(wǎng)絡(luò)應(yīng)用的識別率高、針對中國本地特色應(yīng)用能進(jìn)行精確識別。國內(nèi)本地化應(yīng)用識別強(qiáng)，可識別600余種應(yīng)用，對于新出現(xiàn)的應(yīng)用，我們提供對新的網(wǎng)絡(luò)應(yīng)用識別的按需定制升級服務(wù)。
        7.DCFS為業(yè)界首個將身份認(rèn)證與流量整形完美結(jié)合產(chǎn)品，支持用戶身份認(rèn)證、帶寬授權(quán)、靈活計(jì)費(fèi)和用戶審計(jì)功能，與神州數(shù)碼TrustCenter產(chǎn)品配合，可以實(shí)現(xiàn)靈活計(jì)費(fèi)。該功能避免了過多的網(wǎng)絡(luò)設(shè)備在出口串接，形成故障點(diǎn)和帶寬瓶頸的問題。

.多核防火墻
　 在網(wǎng)絡(luò)的出口安全防護(hù)方面，布置神州數(shù)碼的終結(jié)者多核超萬兆防火墻，神州數(shù)碼DCFW-1800E-10G防火墻專為萬兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商，大型園區(qū)網(wǎng)，數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),設(shè)備采用64位多核處理器和高速交換總線技術(shù)，實(shí)現(xiàn)了芯片級的VPN、QoS流量管理等功能的硬件加速性能，避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。

　 神州數(shù)碼終結(jié)者系列防火墻采用多核處理器架構(gòu)，在實(shí)際工作中，每個核心可以在相對節(jié)能的方式下運(yùn)行，犧牲單個核心的運(yùn)算速度，但多顆核心協(xié)同處理任務(wù)，以達(dá)到性能倍增的目的。在這樣的架構(gòu)下，終結(jié)者可以達(dá)到的指標(biāo)如下：

設(shè)備基于多核架構(gòu)，提供強(qiáng)勁的防火墻處理性能，高達(dá)20G的數(shù)據(jù)吞吐量
VPN數(shù)據(jù)（3DS+SHA-1）吞吐量高達(dá)10G
每秒處理新建TCP連接超過25萬，UDP新建連接50萬
支持最高1000萬并發(fā)連接數(shù)(缺省500萬，可升級至1000萬)
超強(qiáng)的抗DoS攻擊能力，以每秒創(chuàng)建5000TCP會話作為背景流量，可以檢測并防御80萬個包/秒以上的SYN-FLOOD攻擊
IPSec VPN隧道數(shù)最大可支持3萬條（出廠缺省支持，無需單獨(dú)購買）
SSL VPN最大支持1萬在線用戶
　 高端多核防火墻DCFW-1800E-10G具備強(qiáng)大的NAT功能，可專用于園區(qū)網(wǎng)出口大量的NAT地址轉(zhuǎn)換，同時(shí)，神州數(shù)碼終結(jié)者系列多核防火墻可以全面支持IPv6，實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。

.上網(wǎng)行為日志管理
　 DCBI-NetLog上網(wǎng)行為日志系統(tǒng)可實(shí)現(xiàn)記錄園區(qū)網(wǎng)內(nèi)上網(wǎng)者訪問過哪些網(wǎng)站、訪問的URL、源/目的IP、源/目的端口、上網(wǎng)時(shí)間及流量等數(shù)據(jù)，從而提供了園區(qū)網(wǎng)用戶上網(wǎng)行為的安全審記數(shù)據(jù)源，并實(shí)現(xiàn)各種統(tǒng)計(jì)功能。與神州數(shù)碼DCSM聯(lián)動，上網(wǎng)行為記錄可直接映射到上網(wǎng)者的用戶帳號，而不只是簡單的記錄到上網(wǎng)者源IP，從而可以根據(jù)用戶上網(wǎng)帳號更加準(zhǔn)確地定位到上網(wǎng)行為的責(zé)任人，而不再是根據(jù)用戶的源IP來確定上網(wǎng)行為的責(zé)任人。主要特性包括：

        1.高性能，為解決本身的性能問題，并且為了在使用時(shí)不影響網(wǎng)絡(luò)的性能，采用下面的方式：采用旁路的組網(wǎng)方式不與認(rèn)證計(jì)費(fèi)的網(wǎng)關(guān)采用同一設(shè)備，而是采用單獨(dú)的設(shè)備
        2.上網(wǎng)行為記錄功能，可實(shí)現(xiàn)記錄上網(wǎng)者訪問過哪些網(wǎng)站、訪問的URL、源/目的IP、源/目的端口、上網(wǎng)時(shí)間及流量等數(shù)據(jù)，從而提供了上網(wǎng)行為的安全審記數(shù)據(jù)源，滿足國家安全部門對上網(wǎng)行為進(jìn)行記錄的要求。很容易查詢哪些用戶是否訪問過黃色、法輪功等非法網(wǎng)站。

      3.與DCSM聯(lián)合組網(wǎng)，上網(wǎng)行為記錄可直接映射到上網(wǎng)者的用戶帳號，而不只是簡單的記錄到上網(wǎng)者源IP。
      4.各種上網(wǎng)行為的統(tǒng)計(jì)功能，以圖例的方式顯示哪些網(wǎng)站是最近訪問次數(shù)的Top-10、哪些用戶最近發(fā)包次數(shù)的Top-10等。根據(jù)這些訪問情況的統(tǒng)計(jì)結(jié)果，很容易發(fā)現(xiàn)網(wǎng)絡(luò)上哪些節(jié)點(diǎn)或用戶有異常行為。

       5.即使用用戶通過代理上網(wǎng)（即：用戶訪問的目的IP是代理的IP），也能解析出用戶訪問的最終網(wǎng)站的URL。
      6.可解析出e-mail流量的源mail地址、目的mail地址
      7.可解析出Ftp的用戶名、口令、所使用的ftp命令等
      8.可解析出telnet的各種操作信息
      9.采用海量存儲部件，在數(shù)據(jù)存儲超過閥值時(shí)有報(bào)警功能，并且可將歷史數(shù)據(jù)導(dǎo)出由用戶自行存儲。
     10.組網(wǎng)方便：自帶兩個千兆電口，一個口用于接業(yè)務(wù)網(wǎng)絡(luò)，另一個口用于接管理網(wǎng)絡(luò)。
     11.支持容量收斂功能：可根據(jù)指定的屬性，將在一定時(shí)間內(nèi)連續(xù)的上網(wǎng)日中屬性值相同的記錄合并成一條記錄，從而大大降低對存儲容量的需求。
     12.支持iSCSI網(wǎng)絡(luò)存儲協(xié)議，并且可與iSCSI等存儲設(shè)備對接，使存儲容量達(dá)到無限擴(kuò)展。