支持IP、ARP、Appletalk、DECNET、Banyan Vines、DEC Ethernet、
DEC LAT、IPv6、IPX、MS-IPX、NetBEUI、SNA等网络层协议。
支持TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、
RSVP、SIPP-AH、SIP-ESP、SWIPE等传输层协议。
支持根据端口定义TCP/UDP协议。
支持各种主流P2P应用,包括KaZaA、eDonkey、Gnutella、
BitTorrent、WinMx、Direct Connect等等,即使这些应用是基于动态端口的。
支持对对HTTP进行基于主机、url、方法(get/post等)和内容
(Mime类型)的详细分类。
支持根据VLAN ID进行分类组合,给予不同的优先级。 支持根据主机列表进行分类控制。
Allot的NetEnforcer AC1000支持Pipe和VC两个等级的策略分类,
支持10K个Pipe和80K个VC,支持分别对出站流量和进站流量或双向进行控制。
可以针对每个Pipe或VC制定最大带宽限制和最小带宽保障,针对
Pipe还可以进行带宽预留设定。
时间是Allot策略设定中的一个选项,可以支持根据不同的时间段制
定不同的策略。
支持10个级别的优先权设定。
Allot支持突发和持续速率两种带宽控制方式,可针对视频、语音类
流量设置保证其带宽连续性的策略,将延迟、抖动等减小到最低。
防御DoS/DdoS的建议原则
总体原则:防御不同方式的DoS/DdoS攻击,要把访问控制、内容检查和带宽管理等相关技术结合起来运用。对于用户或者某些应用来说,关键是不要使其对系统整个资源的占用,达到或者超过系统所能承受的能力。否则,就不容易把正常的数据流量与DoS/DdoS区分开来。
总体而言,注意利用带宽分配技术和限制IP会话连接的数量等手段,保护系统总体的资源不致被某些资源耗占。
原则1:可以限制连接数(比如:连接总数) 原则2:可以限制连接速度(CER指数)
原则3:当某个IP地址的Connection数超过应有的限制时,考虑丢掉它
原则4: 可以直接屏蔽攻击者的IP/MAC地址、或者来自的域 原则5:从外部进入内部的流量但地址又来自于内部的,(IP欺骗)的可能较大,可以屏蔽他们。
原则6:利用L7的内容检查,限制相应的应用对资源的消耗 原则7:对Telnet和FTP的服务,要严格控制
原则8:对P2P的控制要非常注意,它们不仅耗占资源,也是常常传播Worm的地方
原则9:对某些节点(如PC、Web服务器)采取限定流量,可以减轻可能因为攻击对网络的负荷。
为监视可能的攻击,使用如下原则:
原则1:监视网路的、特定节点的连接数
原则2:监视网络的、特定节点的CER指数。这非常重要 原则3:监视最活跃的IP节点(Client)
原则4:监视可能的服务器(Server),注意观察平时是Client而突然变成了服务器
原则5:监视平时最活跃的应用和协议
7 产品与网管系统的结合的结合方式
Allot 支持与HP OpenView Network Node Manager 的集成。Allot的Net Enforcer包含了一个SNMP的agent,支持RFC1213/MIB II和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是Net Enforcer支持Pipe和VC级别的MRTG监控。
Allot 与HP OpenView Network Node Manager 的集成
Allot 支持与HP OpenView Network Node Manager 的集成。Allot的Net Enforcer包含了一个SNMP的agent,支持RFC1213/MIB II和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是Net Enforcer支持Pipe和VC级别的MRTG监控。
安装步骤:
1、下载NetEnforcer MIB 文件
The MIB文件可以从 NetEnforcer GUI 下载。 下载完毕后解压缩到本地硬盘上。
2、编辑NetEnforcer MIBs文件。 (1)导入NetEnforcer MIBs文件
(2)选择NetEnfocer图标,插入到拓扑图中。
流量分析:
集成HP OpenView Network Node Manager后,网管人员可以利用
SNMP进行流量分析。下图是通过NNM对HTTP VC和Citrix VC的流量进行分析的图表。
LOT公司带宽管理产品简介
