如今已是互聯網時代，每天都有數不清的新應用出現，不斷吞噬著網絡帶寬。擴容等手段并不能很好地解決問題，反而在一定程度上加劇了應用流量失控的局面。在這樣的背景下，流控作為一種獨立產品形態(tài)逐漸走向前臺，被越來越多的用戶所關注。但它不像防火墻、IPS那樣成熟，許多功能仍處于嘗試、完善的階段，圍繞著產品本身也出現了一些爭議。加上流控市場有點像UTM大潮初起時，混亂且無序，用戶在選型時不免遇到一些困擾。今天就讓我們剝繭抽絲，討論一下流控產品的發(fā)展及選型應用之道。

殊途同歸的技術路線

簡單的說，能對網絡流量進行應用識別，并基于流量的應用歸屬提供可視化、管理與優(yōu)化的設備，就可以叫做流控。滿足條件的產品在市場上有很多，它們基本上可以歸為兩類，即"根正苗紅"的流控和安全網關剪裁得到的流控。前者一般由傳統流控廠商推出，他們長期專注于流控領域，在技術積累方面有自己的優(yōu)勢，對市場需求的跟進速度較快。例如基于應用的路由功能，就是傳統流控廠商率先在設備中提供支持。另一類產品則由安全廠商所力推，隨著安全業(yè)務逐步向應用層遷移，應用識別已成為新一代安全產品中的基礎功能。無論是UTM、防毒墻還是上網行為管理，都需要優(yōu)秀的應用識別引擎做為安全業(yè)務有效性及性能的保障。在這種情況下，流控成為新一代安全產品剪裁得到的副產品，安全廠商藉此殺入這片藍海。

流控產品背后同時出現網絡廠商和安全廠商的影子，是技術發(fā)展的必然結果。基于DPI實現的應用識別功能已經成為基礎性的技術，被廣泛應用于不同領域。從網絡廠商的角度看，路由器、應用交付設備都可以借助應用識別掀起新一輪革命，目前的流控產品已可以看做它們的雛形。而站在安全廠商的角度，應用識別技術的運用則更為普及。它既能工作在底層，為所有應用層安全業(yè)務提供支撐，又可以獨當一面，以應用可視化的功能形態(tài)出現。尤其是在NGFW（下一代防火墻）的概念興起后，應用可視化及管理特性儼然成為了安全產品的事實標準。實際上，我們認為未來應用層安全產品的軟件結構都會趨于統一，高性能包轉發(fā)系統和基于DPI的應用識別引擎將成為所有應用層安全業(yè)務的基石。而流控，完全可以看做是前兩者加QoS模塊構成的產品形態(tài)。

雖然技術路線上殊途同歸，不同領域廠商推出的流控產品還是存在一定的差異。安全廠商在流控產品規(guī)格、接口擴展性、性能方面占有一定優(yōu)勢，一些機架式產品已經具有上百G的整機性能，且能彈性部署升級。但在應用識別率方面，此類產品或多或少地為保障性能做出犧牲。我們曾經測試過一款支持應用協議識別的安全網關，該產品只對連接的前16個數據包進行分析。如果16個數據包仍未能判斷出協議類型，則直接歸為未知應用。傳統流控廠商推出的產品通常則以更高的應用識別率為目標，會對數據包進行更細致的跟蹤分析，得到的統計數據也更全面，缺點是不具有安全業(yè)務的擴展性，多數產品在性能指標上與主流安全網關只開啟流控功能時存在差距。

硬件架構方面，傳統流控廠商從成本、開發(fā)難度等角度考慮，大多使用了通用的x86平臺；安全廠商則多使用專用的網絡業(yè)務處理平臺，在I/O能力上曾占有優(yōu)勢。但隨著近年來英特爾在嵌入式領域的大力投入，新一代x86平臺在計算能力、I/O、功耗、可靠性等方面都有了質的飛躍，用做流控時的表現已不弱于專用的網絡業(yè)務處理平臺。我們的測試及部分廠商的內部測試結果表明，在最新的Sandy Bridge平臺上，流控產品完全可以達到40G的整機處理能力，可以說目前流控產品的性能已與硬件架構無關。

歸屬權：新的矛盾

未來的網絡必定具有應用感知特性，而這一特性究竟應該由網絡設備還是安全設備實現，是一個非常敏感的問題。畢竟在許多大型用戶的IT部門組織結構中，負責網絡和安全的是兩個截然不同的團隊。更有甚至，有用戶處出現了IT部門業(yè)務保障團隊與安全維護團隊的糾紛，其原因是流控產品實施的某些封禁策略影響到企業(yè)業(yè)務系統的正常運行，造成了經濟損失。應用識別與控制特性的歸屬權，陷入了管理流程與權限上的灰色地帶，讓CIO們頗為尷尬。悲劇的是，現階段用戶部署流控設備就必須面對這個問題；而不部署流控，應用流量失控對網絡及業(yè)務造成的影響，又是IT部門不可承受之重。

除了用戶內部的管理矛盾，許多廠商也因流控產品的歸屬問題處于對立面。網絡廠商（主要是傳統流控廠商）認為流控的網絡屬性天經地義，畢竟這類產品不對應用內容進行排查；安全廠商則認為有"狀態(tài)"的業(yè)務都屬安全范疇，并且應用流量失控會造成關鍵業(yè)務中斷等安全事件。我們認為兩種說法都有一定的道理，因為流控的產品形態(tài)本身正處于網絡與安全的中間狀態(tài)。需要特別注意的是，千萬不要讓產品歸屬之爭左右了選型意向，除非所處行業(yè)有特殊規(guī)定，否則網絡產品的入網證和安全產品的銷售許可證在用戶面前只是廠商為不同領域競爭對手設置的壁壘，不要讓小小貼紙成為好產品的攔路虎。

流控產品的歸屬問題倒是應該引起行業(yè)主管部門的注意。相傳國內某整體網絡解決方案提供商之前在海外運營商市場折戟沉沙，就是因為使用了具有應用層內容過濾功能的產品當做流控投標（過濾功能沒有通過授權許可開放）。根據當地法律及行業(yè)規(guī)范要求，用于運營網絡的流控產品必須在源代碼中就不能存在任何內容過濾相關的功能（即便沒有通過授權許可開放）。該公司事后痛定思痛，計劃將產品線進行剝離，在面向運營網絡的所有產品中徹底刪除所有涉及應用層業(yè)務的代碼。目前我國雖然在行業(yè)信息化建設方面還沒有類似規(guī)定，但在隱私保護呼聲漸高的今天，這個問題需要得到各行業(yè)主管部門的重視，給出具有前瞻性的指導方案。

認清需求 理智抉擇

面對流控市場的紛紛擾擾，用戶難免在選型時陷入迷茫。在這個時候，不妨再準確梳理下自己的需求，將其細化到產品對應的功能、性能指標，制定出理智的招標要求。對于應標產品應一視同仁，最好在實驗室環(huán)境測試設備的真實性能及在功能上的滿足度，再到真實環(huán)境中進行長期的穩(wěn)定性測試。如果未來有計劃購買流控設備上更多業(yè)務的授權許可（例如安全業(yè)務），最好能預先開啟相應功能進行測試，以免屆時遇到性能瓶頸，讓原有計劃變成紙上談兵。

許多用戶認為，流控的作用就是在網絡出口做應用流量控制，保證關鍵業(yè)務、提升內網用戶的上網體驗。其實這只是此類設備的一種應用場景，作為網絡基礎架構層面的新面孔，流控有著越來越多的適用領域。我們曾對流控產品在一些大型行業(yè)用戶網絡中的應用情況進行過調查分析，歸納出3種常見的部署模式，供讀者參考：

" 使用流控對全網流量進行應用識別，獲取不同時間段的監(jiān)控結果及分析報表，為管理決策提供數據支撐。

" 使用流控針對不同應用設定流量限速策略，可以用更少的帶寬達到更好的網絡訪問體驗，在解決問題的同時降低成本。動態(tài)限速是被用戶越來越多提到的需求，例如在網絡空閑的時候，適當允許P2P應用占用更多的帶寬。

" 使用流控基于應用做分流，例如將郵件、網頁瀏覽路由到質量高（通常帶寬低且貴）的鏈路上，將P2P下載、在線視頻等非關鍵應用路由到質量低（通常帶寬高且便宜）的鏈路上，在提高可靠性的同時降低成本。

除此之外，流控產品也被大型行業(yè)用戶挖掘出一些新的應用場景，其中比較具有代表性的是：

" 使用流控基于應用做流量鏡像，將特定應用的流量路由或鏡像到其他設備上，在提高業(yè)務有效性的同時為下游設備減負。例如只將需要進行病毒過濾的流量路由/鏡像到防毒墻，不但比基于端口的方式更精準，也減小了防毒墻在I/O方面的壓力。

" 使用流控在數據中心邊緣監(jiān)控/保障特定應用，將其當做IT合規(guī)的審計工具。例如某些行業(yè)規(guī)范要求，必須保證Web服務器與數據庫服務器間只有SQL流量。

" 使用流控對WLAN接入的流量進行分析，實施有針對性的管理及優(yōu)化策略。大范圍部署無線網絡的運營商已經提出了這一需求，相信隨著BYOD模式的普及，行業(yè)用戶也有著同樣的需要。流控產品必須與時俱進，加入對移動終端類型及移動互聯網應用的支持。

它山之石：廠商眼中的高校網絡與流控產品

除了用戶自己，最了解用戶需求的莫過于為其提供產品解決方案的眾多廠商。所以本次我們也采訪了7家有流控產品在售的業(yè)內廠商，了解一下他們對流控技術與產品發(fā)展的看法。廠商所處領域的不同，不免影響到其看待問題的角度。這是件好事，看問題的角度越多，得到的結論自然也就越全面。

需要說明的是，我們采訪前的調研對象中有相當多的高校信息中心老師，他們無疑是對流控產品最感興趣的一類人。結合高校網絡的特點來看，流控在之前提到的所有場景中都有用武之地。尤其是基于應用的路由功能，對于大多采用多鏈路接入的高校用戶來說尤為重要。我們也在后續(xù)采訪過程中請廠商針對高校的需求進行了深入的分析，并給出了落地到產品的改善建議。

7家受訪廠商中，靈州網絡、邁科網絡、派網科技是長期堅持以流控技術為核心的廠商，并且目前所售產品也主要以流控為主。這3家廠商對應用流量失控造成的影響有著更加細致的解讀，同時提出了一些產品模式及功能上的創(chuàng)新。某種意義上，他們的思路可以看做流控產品形態(tài)變化的風向標。

迪普科技、山石網科則是國內安全領域的新興勢力，均以網絡安全起家/見長。他們的產品都屬于多功能安全網關范疇，除流控外還可提供豐富的網絡基礎功能及多種安全業(yè)務，在采訪中也更多體現出看問題及產品解決方案的全面性。以應用安全起家的深信服科技則是另一種思路，他們似乎在努力把流控的功能做細做深，并且努力與其占據市場優(yōu)勢地位的上網行為管理產品進行融合。深信服科技也是采訪中唯一將移動終端/移動互聯網應用的識別做為重點的廠商，這應是流控產品形態(tài)發(fā)展的一個方向（已經有行業(yè)用戶在招標中提出這方面要求）。

H3C則是本次采訪中唯一能夠提供整體網絡解決方案的廠商，所以其強調流控與網絡設備融合的觀點并不令人感到意外。不管流控產品歸屬到網絡領域還是安全范疇，應用識別技術與網絡基礎架構的融合趨勢都不會受到影響。

采訪內容按企業(yè)名稱拼音順序排列

[[104076]]

H3C安全產品部產品經理 張東亮

由于資費等原因，高校網絡出口帶寬一般比較有限。通過流量分析可以看出，占用帶寬較多的主要是迅雷、BT等P2P下載和QQ直播、迅雷看看等在線視頻應用，嚴重時會影響到教科研相關業(yè)務的使用體驗。擴容并不是解決問題的最好方法，很多情況下，網絡擁塞不會因為帶寬增加而得到緩解。這就如一條沒有交通規(guī)則的公路，不管擴到多寬，也很快就會被堵死。H3C認為，合理的解決方法是通過在出口處部署流控設備，實現業(yè)務流量的可視化，同時針對P2P、視頻流等非關鍵業(yè)務在策略上做嚴格限制，將整網流量有序化?？紤]到不同時段，校內不同區(qū)域網絡流量模型自身的特點，流量控制策略的配置需要針對時間、IP地址等元素進行更為細致的設定，方可保證帶寬分配的合理性。

H3C SecPath ACG系列產品是H3C面向運營商、大中型企業(yè)、教育系統開發(fā)的專業(yè)應用控制網關，提供高性能2-7層深度報文檢測、流量統計以及全面的帶寬控制功能，賦予用戶分時段、分區(qū)域進行精細化流量管理的能力，使帶寬資源得到合理、充分的使用。該系列中亦有可用于H3C路由器、交換機的插板形態(tài)產品，讓網絡基礎設施也能擁有應用的感知與控制能力，符合未來發(fā)展趨勢。

[[98869]]

迪普科技產品部副部長 孫曉明

迪普科技認為，高校網絡類似于一個小型的運營商網絡，一般擁有多個帶寬、資費標準不同的互聯網出口。如何綜合考慮各方面因素，為師生提供最佳的網絡訪問體驗，成為一個重要課題。大體上，目前高校網絡出口存在"路徑優(yōu)化"、"大容量NAT""流控"、"法規(guī)遵從"、"惡意代碼抑制"等需求。僅就流控而言，校園網用戶數量眾多，流量構成復雜，帶寬需求量大，僅采用針對用戶的帶寬及連接數限制是不夠的，必須輔之以基于應用的流控手段。也就是說，網絡出口設備不僅要識別傳輸協議，還要識別到細粒度的應用。例如同為P2P模式的應用，在線視頻就應當保證，P2P下載則要被限制。

針對高校網絡出口的應用流量控制需求，迪普科技的UAG3000系列產品及DPX8000上的UAG插卡都可以提供完備的流控能力，在微秒級時延下達到最大200G的整機性能。UAG引擎目前能夠識別超過1600種協議，可以進行精準的流量控制，同時提供多維度的、豐富的數據分析報表。利用智能阻斷和動態(tài)協商技術，該產品將流控的帶寬消耗降低到5%以內，實現"零帶寬損失"。UAG還特別支持IPv4/IPv6雙棧的特性，以滿足高校中越來越多的IPv6部署需求。

[[98870]]

靈州網絡首席技術官 梁翊

根據靈州網絡的統計，目前高校網絡出口帶寬多在1G-4G左右，而終端接入帶寬則為百兆乃至千兆，且難以采用運營商常用的PPPoE方式對帶寬及安全進行控制。其結果是出口帶寬相對緊張，百兆接入終端的網絡攻擊行為就足以威脅校園網出口安全。此外，校園網中應用更新速度快、突發(fā)性強（例如時下歐洲杯期間造成的視頻流量激增），流控設備必須在性能及協議更新響應速度上有所保障，才能實施精準的流量控制。鑒于高校網絡普遍采用了多鏈路接入的模式，鏈路負載均衡/NAT也應成為評估流控產品的重要指標，這不僅可以減少網絡出口的故障點，也使鏈路質量具有更好的優(yōu)化效果。

針對高校網絡出口的普遍需求，靈州網絡提供了運營級鏈路出口優(yōu)化解決方案，可實現應用流量、鏈路資源及用戶身份的可視可控。作為方案核心，新一代多功能網關集成了流量分析、帶寬管理、鏈路負載均衡、NAT和應用路由等互聯網出口必需的接入和管控功能，整機最大性能達到雙向20G。該產品還在傳統流控技術的基礎上，結合獨有的帶寬巡航及流控損耗優(yōu)化等技術，在流量優(yōu)化過程中減小帶寬損耗，提升網絡訪問體驗。

[[98871]]

邁科網絡產品總監(jiān) 潘月來

根據邁科網絡的統計數據，高校網絡出口的承載與運營商相仿但實際壓力更大，部分高校出口帶寬利用率已經達到100%，網絡擁堵情況嚴重。從流量分布來看，視頻類應用以超過40%的比例排在首位，P2P下載雖然排在次席，但高并發(fā)會話的協議特點一直是造成出口壓力的重要原因。Web瀏覽的流量雖呈下降趨勢，其體驗卻是評估網絡質量的重要指標。社交類、網游類應用的流量也不容小覷，學生對這類應用的延遲非常敏感。這些事實表明，流量控制的焦點已從早期的P2P下載限制漸變?yōu)橛脩趔w驗的保證，履行管理職能的高校網絡中心也面臨從管理到服務的角色轉變。

面對需求的變化，流控產品必須與時俱進。邁科網絡目前針對高校用戶主推的AM-6000系列產品可以在多千兆環(huán)境下實現線速處理，整機最大處理能力達到14G；基于Sandy Bridge平臺的新產品能夠達到萬兆線速的處理能力，已在部分高校做開局測試。功能方面，該系列產品解決方案可實現基于用戶身份的精細化管理，能夠根據應用特點動態(tài)優(yōu)化流量，而不僅僅只做控制。對外的帶寬分流功能可以根據需要將指定應用流量分配到不同的鏈路，對內的流量配額（Quota）設定則很可能是未來高校網絡的最佳管理方式。

[[98872]]

派網科技總經理 王濤

高校網絡與運營商網絡類似，都難以對終端實行準入機制，也不可能對上網流量進行嚴格控制，所以不管出口帶寬多大都會被跑滿。流控產品雖然在教育行業(yè)應用較早，但在愈發(fā)復雜的互聯網應用面前，其對流量的管控能力在逐步下降。這歸根結底是應用識別率的問題，沒有準確的識別結果為基礎，流量控制乃至應用路由都無從實現。

派網科技始終專注于應用流量的管理與分析，在提升協議識別率方面摸索出一套行之有效的方法。自6年前發(fā)布第一代產品時起，Panabit就采用了"小步快跑"的互聯網模式打造與運營，通過免費發(fā)行的標準版快速積累了一批穩(wěn)定的用戶群體。來自他們的主動反饋促使產品可靠性、易用性與功能覆蓋面逐步提升，也讓Panabit在應用識別率及更新速度方面保持領先。針對一些多出口環(huán)境中流量不對稱對協議識別造成的影響，派網科技率先在產品中集成了智能P2P輔助分析模塊，通過數據模型對流量行為進行關聯性分析，進一步提升了應用識別率，在一些高校測試后得到了非常積極的評價。這一新特性能夠與Panabit完善的應用路由功能及高達40G的處理能力相結合，為高校用戶提供了一站式應用流量管理解決方案。

[[104081]]

山石網科首席技術官 劉向明

高校網絡出口類似于運營商，存在著多鏈路、高帶寬、海量接入的特點。根據山石網科的統計，目前高校網絡中主要分為兩類應用：第一類是用戶感知較強的網頁瀏覽、網絡游戲等，第二類是P2P模式為主的下載、在線視頻等。通常用戶感覺網絡體驗不佳是因為第二類應用搶占了過多資源，這也是需要進行應用流量控制的主要原因。山石網科建議，要根據用戶、應用和行為對鏈路資源進行分配與控制，并對一些非關鍵應用進行限制。這種控制應是彈性而非靜態(tài)的，即不僅要控制不同應用的帶寬，還要根據總體負載來彈性調整帶寬的控制力度。鑒于接入鏈路的質量與價格存在差異，網關也應提供應用引流技術，將不同優(yōu)先級的流量牽引到不同鏈路，從而更合理地利用鏈路資源。

針對以上需求，山石網科推出了一系列高性能安全網關，最高可支持百萬級新建連接/NAT及千萬級的并發(fā)訪問，在海量接入時依然可提供可靠的業(yè)務支撐。該產品具有較強的應用識別及控制能力，多鏈路環(huán)境下提供ISP路由和應用引流方案，當某條鏈路出現故障時，還能將流量分配到其他鏈路。結合產品本身強大的安全防護特性，為高校網絡出口提供了高質量網絡接入及安全保障。

[[98873]]

深信服科技市場行銷部技術總監(jiān) 殷浩

根據深信服科技了解到的情況，目前國內高校出口帶寬在3G-6G的占到總數的60%，6G以上則占20%，部分高校甚至已完成萬兆接入的部署。出口帶寬的增加帶動了設備升級，也對流控產品的性能與穩(wěn)定性提出了更高要求。另一方面，隨著移動終端的普及，無線網絡大量出現在校園中，高校互聯網出口中來自移動終端的流量有顯著增長。這其中很大一部分是IOS/Android等非Windows設備，它們的網絡流量模型及應用特征都有很大改變，流控產品須能識別終端類型及應用，才能準確、合理地管理流量。此外，IPv6已在高校率先推廣使用，對IPv6流量的分析與控制能力將成為未來高校的重要需求。

深信服科技推出的融合流控功能在內的第二代上網行為管理產品具有萬兆接口及與之匹配的處理能力，支持對IPv6及IPv4封裝IPv6的流量進行分析與控制。該產品內置了850種以上的互聯網應用，其中包括了Windows、IOS、Android等平臺上的主流應用，可對互聯網流量做更全面的分析與識別。新增加的動態(tài)流控特性可根據鏈路帶寬空閑比例自動調節(jié)流控策略，更好地保證了高校出口帶寬的利用率。