Hillstone之運營商NAT日志審計解決方案
責編:admin |2015-01-05 16:24:28概述
隨著智能手機、平板電腦等配備無線網卡的智能終端呈現普及化,IPTV、網絡游戲、網絡社交、手機支付、手機IM等各類型的互聯網應用呈爆炸性發展態勢,綜合網絡、終端、應用內容在高速發展的狀況下,使得寬帶及移動互聯網的用戶數在持續增長。因而,運營商的地址資源也越發緊缺。同時,運營商作為大型互聯網接入服務商,經常被監管部門要求提供相關的日志信息。典型的場景為:公安機關在互聯網上監控到有人發布非法言論、組織非法集會、從事非法活動時,通過內容服務商或應用服務商查到相關的互聯網IP地址,相關的IM賬號,訪問的URL地址等信息,再通過互聯網IP地址、IM賬號或URL地址信息以及具體的訪問時間,來反查接入訪問者的內網IP地址,以便快速鎖定嫌疑人。
Hillstone運營商NAT日志審計方案,采用基于運營商級別的Hillstone數據中心防火墻配合Hillstone高性能日志審計平臺HSA,在為運營商緩解IPv4地址資源枯竭的同時,還幫助運營商在合理控制寬帶運營的成本,提升寬帶接入用戶體驗,適應快速增長的接入業務,符合寬帶運營監管要求等層面,提供有效支撐。
需求分析
運營成本、用戶規模、符合監管是運營商共同關注的焦點,具體需求包括:
● 能夠在大并發訪問環境下,提供快速的日志審計以配合監管檢查;
● 能夠實現高性能、高容量的NAT,在節約運營商有限的IPv4地址資源的基礎上,解決海量接入訪問和有效IPv4資源的矛盾;
● 能夠在支撐海量接入的同時,保障上網連續不中斷;
● 能夠針對P2P等高帶寬消耗應用進行流量管理,提升用戶上網體驗。
解決方案
在運營商NAT場景中,Hillstone數據中心防火墻在運營商網絡出口做NAT,HSA旁路部署進行NAT日志接收、存儲和查詢。
Hillstone運營商NAT日志審計方案
高性能日志審計滿足監管要求
公安部82號令規定,互聯網服務提供單位能夠記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名,并且在使用內部網絡地址與互聯網網絡地址轉換方式為用戶提供接入服務時,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系,應當具有至少保存六十天記錄備份。Hillstonet安全審計平臺HSA為運營商運維人員提供了一個高效的日志審計平臺。HSA支持集中收集日志,內容包含NAT會話日志、NAT444用戶日志、URL訪問日志、QQ上下線日志,入庫性能最高可達100,000EPS;HSA提供高速日志檢索功能,平均檢索時間小于20秒;HSA可實現海量日志的記錄,滿足保存不少于90天日志的監管要求。
高性能NAT保證海量接入
Hillstone支持SNAT、DNAT等傳統的NAT技術,并能夠對多種應用協議進行ALG處理。同時還支持Full cone NAT、NAT444。Full cone NAT可將同一個私網[IP:Port]的會話映射成同一個公網[NAT IP:Port]進行通信,以節省NAT地址資源;也可對同一個內網中的用戶互訪進行NAT穿越,節省出口帶寬。NAT444使用為私網地址用戶分配靜態公網地址+端口塊的方式,方便溯源,降低管理成本。同時,Hillstone 數據中心防火墻采用了創新的全分布式架構,整機最大吞吐量為360Gbps,每秒新建連接數達600萬,并發會話連接數最大可達1.8億,完全滿足運營商對于海量用戶接入的需要。
智能鏈路負載均衡保障上網連續
Hillstone支持多鏈路智能負載均衡,在運營商多出口鏈路的環境下,當單條鏈路故障時可將流量快速切換到正常鏈路上,從而保障上網連續性,提升接入用戶上網體驗。同時能夠根據每條鏈路的負載狀態智能分配流量,避免鏈路忙閑不均,提升鏈路利用率。
強大的應用識別能力和QoS功能提升運營商服務質量
Hillstone支持識別1300多種、20多個分類的應用協議,可以提供基于應用的訪問控制,并可以通過QoS功能對不同的網絡應用流量進行不同時間段的最大帶寬限制、最小帶寬保障,也可為特定應用預留帶寬資源,同時還支持對IP/IP段的帶寬進行控制,以對不同類型的客戶進行合理的帶寬分配。