流量告警图例

最活跃的内部/外部主机地址

不同协议或应用的分布状况

长期流量统计与分析

Allot的NetEnforcer支持实时监控和长期监控

? 监控内容包括带宽、流量、协议和应用、连接数、数据包大小及利用率

等，监控对象可以是系统、Pipe、VC或主机，监控方向可以是出站、入站或双向，均能够按照图表和数据两种方式显示，应用及IP地址排名支持前25位。

? Allot的协议库目前包含8000多种协议，支持自动识别所列的所有协

议，并可在线升级，无需重起。

随着网络的发展，不同网络应用的增加，Allot可以对设备软件的Service进行更新以便识别新的网络应用。

4 带宽管理产品部署方式

设备在网络中的摆放位置

如果需要做长期的流量数据收集与统计，还需要添加1台服务器

5 带宽管理产品客户化工作

用户在安装时需要提供： ? 该设备在网络拓扑中的位置；

? 连接该设备的网络接口（光纤、铜），接口速率、实际数据吞吐量； ? 主要的网络应用；

? 是否存在“非对称路由的可能”；

6 针对各个功能点的性能

? Allot的NetEnforcer AC1000支持从2到7层的多种协议和应用类型：

? 支持IP、ARP、Appletalk、DECNET、Banyan Vines、DEC Ethernet、DEC LAT、IPv6、

IPX、MS-IPX、NetBEUI、SNA等网络层协议。

? 支持TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、RSVP、SIPP-AH、

SIP-ESP、SWIPE等传输层协议。 ? 支持根据端口定义TCP/UDP协议。

? 支持各种主流P2P应用，包括KaZaA、eDonkey、Gnutella、BitTorrent、WinMx、

Direct Connect等等，即使这些应用是基于动态端口的。

? 支持对对HTTP进行基于主机、url、方法（get/post等）和内容（Mime类型）的

详细分类。

? 支持根据VLAN ID进行分类组合，给予不同的优先级。 ? 支持根据主机列表进行分类控制。

? Allot的NetEnforcer AC1000支持Pipe和VC两个等级的策略分类，支持10K个

Pipe和80K个VC，支持分别对出站流量和进站流量或双向进行控制。

? 可以针对每个Pipe或VC制定最大带宽限制和最小带宽保障，针对Pipe还可以进

行带宽预留设定。

? 时间是Allot策略设定中的一个选项，可以支持根据不同的时间段制定不同的策略。 ? 支持10个级别的优先权设定。

? Allot支持突发和持续速率两种带宽控制方式，可针对视频、语音类流量设置保证

其带宽连续性的策略，将延迟、抖动等减小到最低。

防御DoS/DdoS的建议原则

总体原则：防御不同方式的DoS/DdoS攻击，要把访问控制、内容检查和带宽管理等相关技术结合起来运用。对于用户或者某些应用来说，关键是不要使其对系统整个资源的占用，达到或者超过系统所能承受的能力。否则，就不容易把正常的数据流量与DoS/DdoS区分开来。

总体而言，注意利用带宽分配技术和限制IP会话连接的数量等手段，保护系统总体的资源不致被某些资源耗占。

原则1：可以限制连接数（比如：连接总数） 原则2：可以限制连接速度（CER指数）

原则3：当某个IP地址的Connection数超过应有的限制时，考虑丢掉它 原则4: 可以直接屏蔽攻击者的IP/MAC地址、或者来自的域

原则5：从外部进入内部的流量但地址又来自于内部的，（IP欺骗）的可能较大，可以屏蔽他们。

原则6：利用L7的内容检查，限制相应的应用对资源的消耗 原则7：对Telnet和FTP的服务，要严格控制

原则8：对P2P的控制要非常注意，它们不仅耗占资源，也是常常传播Worm的地方