立体防护 智联控管
——Internet出口安全综合解决方案

　　Internet出口一般部署多重安全设备（这些设备很可能来自不同厂商），安全设备有各自管理软件，很难实现安全设备统一管理。另外，目前的很多Internet出口路由器、交换机等网络设备和安全设备各有一套管理软件，无法实现网络、安全设备统一管理，给网络管理带来诸多不便。

　　二、 Internet出口安全解决方案

　　根据以上Internet出口安全需求分析，需要在Internet出口部署防火墙、IPS、LB、ACG等安全设备，以实现对Internet出口的立体防护，并实现对Internet出口流量的智能控管（如图7所示）。

　　1. Internet出口的立体防护

　　防火墙主要工作在网络层以下，可以解决Internet出口的访问控制问题；IPS属应用层设备，可以进行深度检测，可以有效防御Internet网络上大量肆虐的具备渗透防火墙能力的木马、病毒。通过防火墙与IPS的组合，在保证性能的前提下，可实现对Internet出口网络2-7层的立体防护，有效抵御各种安全威胁。

　　为了避免防火墙成为Internet出口的性能瓶颈，要求部署在Internet出口的防火墙具备高性能NAT能力，防火墙可以提供与并发连接同等规格的NAT会话能力，支持多台防火墙统一管理调度和用户上网日志审计，并且在防火墙开启日志审计功能时性能不下降；IPS设备需具备防病毒功能，能够在进行应用层防御的同时有效防御Internet上肆虐的各种病毒。

　　2. Internet出口的智能选路

　　在Internet出口部署负载均衡设备可以解决出口链路的多方面问题。

　　智能选路：负载均衡设备对Internet出方向的每一个数据流的目的IP进行探测，选出最优链路进行分发。

　　防链路拥塞功能：在Internet出口多ISP链路情况下，要防止链路出现流量过载。负载均衡设备可以提供防链路拥塞功能来避免流量过载情况，负载均衡设备针对每条链路设置流量阈值，一般阈值略低于链路物理带宽值，当该链路的实际流量达到阈值后，后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上（如图8所示）。

　　解决来回路径不一致问题：在多ISP出口的应用场景中，用户对Internet提供公众服务（如WEB、邮件系统）中，由于出口路由器一般配置静态策略居多，容易出现用户请求报文与服务器响应报文来回路径不一致的情况。