[发明专利]基于应用协议智能识别的流量控制方法

说明书

本发明公开了一种基于应用协议智能识别的流量控制方法，其包括以下步骤：深入读取IP包载荷的内容来对应用层协议中的应用层信息进行重组，从而识别出该数据流的应用层协议；构建三级流量管理模型，其包含：支持区域的入/出方向，支持用户组以及支持用户组下的每个用户。本发明所述基于应用协议智能识别的流量控制方法能够配合DDoS、多ISP路由、多网关负载均衡等功能，为用户提供一体化的安全防护和流量管理。

技术领域

本发明涉及一种网络安全技术领域。更具体地说，本发明涉及一种基于应用协议智能识别的流量控制方法。

背景技术

互联网经过十多年的发展，已从早期少数的网络应用，例如，BBS、Web、Email、Telnet等，发展到现在丰富的网络应用，例如，在线视频、视频会议、IP语音、网络游戏、在线聊天、在线电子商务、远程教育等。

P2P技术的出现，使得传统的网络访问模式从客户端/服务器的树状结构向扁平的网络结构转变。而P2P技术和网络应用的结合，不仅对互联网的带宽资源，也对企业出口防火墙的并发、新建造成巨大压力。实际调查，P2P应用通常会占用整个网络带宽资源的60％到80％。流量管理设备的出现，有效的帮助用户对网络流量进行引导和优化，但独立的流量管理设备需要在出口线路中接入一台设备，从而增加了故障点。

另外，由于企业应用和网络系统愈来愈庞杂，在网络边界处除了需要考虑网络边界安全和带宽管理，还需要考虑诸多的因素。针对内部P2P流量的泛滥，不仅需要对P2P流量进行管理，还需要应对P2P带来的新建、并发大量增加。为提高网络可用性，需要支持多条不同ISP的线路，并对不同ISP线路提供负载均衡的容错备份，确保

Internet/Intranet的存取服务不会中断，保证线路平稳、快速的传输品质。如果应对每种需求都添置一台设备，那么多台网络安全设备以及多台网络管理设备，将使网络边界更加不堪重负。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于应用协议智能识别的流量控制方法，其能够配合DDoS、多ISP路由、多网关负载均衡等功能，为用户提供一体化的安全防护和流量管理。

为了实现根据本发明的这些目的和其它优点，提供了一种基于应用协议智能识别的流量控制方法，其包括以下步骤：深入读取IP包载荷的内容来对应用层协议中的应用层信息进行重组，从而识别出该数据流的应用层协议；构建三级流量管理模型，其包含：支持区域的入/出方向，支持用户组以及支持用户组下的每个用户。

优选的是，所述基于应用协议智能识别的流量控制方法还包括：在每一级都支持和应用协议的结合，实现对应用流量的控管；在区域、用户组以及每个用户的配置模板中支持12个服务或者应用服务组；每个应用服务组可以包含最大128个服务，可以直接针对应用服务组来设置最大带宽和保证带宽，以限制服务组内的所有服务的带宽。

优选的是，所述基于应用协议智能识别的流量控制方法还包括：面向用户的流量管理，在三级流量管理模块中，第二级支持用户组，第三级支持用户组下的每个用户。

优选的是，所述基于应用协议智能识别的流量控制方法还包括：定义源地址和目的地址，其中，源地址支持手工输入网段、地址对象、AAA用户组，目的地址支持手工输入网段、地址对象。

优选的是，所述基于应用协议智能识别的流量控制方法还包括：采用带宽管理和配额管理相结合的流量管理机制，其中，带宽管理是以用户能访问的最大带宽、保证带宽为管理对象，单位是Kbps；而配额管理是在指定的时间内，某个用户或用户组能使用的流量，单位是MByte(s)。