由于越來越多的網(wǎng)絡(luò)應(yīng)用（如電子郵件、SNS社交網(wǎng)絡(luò)、P2P等）及其流量給企業(yè)系統(tǒng)和網(wǎng)絡(luò)管理者提出了更高的安全要求，需要高效、合理地對這些流量采用相應(yīng)的策略和技術(shù)進(jìn)行管理。本文將基于此背景，主要介紹網(wǎng)絡(luò)流量安全管理策略。

網(wǎng)絡(luò)流量安全管理的主要目標(biāo)和策略

目標(biāo)

隨著網(wǎng)絡(luò)流量的不斷增長以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁蕪雜化，我們不難看到，簡單的無限制的增加網(wǎng)絡(luò)帶寬是不能解決網(wǎng)絡(luò)流量的根本問題的。我們需要對網(wǎng)絡(luò)流量進(jìn)行管理，從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。在網(wǎng)絡(luò)流量管理的過程中，我們首要的問題就要明確網(wǎng)絡(luò)管理目標(biāo)。在網(wǎng)絡(luò)流量管理中，我們需要牢記4個(gè)目標(biāo)：

首先，我們要了解網(wǎng)絡(luò)流量的使用情況；

其次，要找到優(yōu)化網(wǎng)絡(luò)性能的途徑；

第三，要通過網(wǎng)絡(luò)管理技術(shù)來提升網(wǎng)絡(luò)效能；

最后，還需要做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作。

具體說來，要達(dá)到上述四個(gè)目標(biāo)，網(wǎng)絡(luò)管理員們可以通過有效的分類方式非常明確的知道我們需要的帶寬到底哪些是實(shí)際使用的。網(wǎng)絡(luò)流量管理的第二個(gè)目標(biāo)是找到網(wǎng)絡(luò)性能的瓶頸。網(wǎng)絡(luò)性能很重要的一個(gè)方面是吞吐量，這是網(wǎng)絡(luò)能夠傳輸?shù)淖畲髷?shù)據(jù)量，還有延遲等。第三，通過本文所介紹的流量監(jiān)控及控制軟件可以高效地提升網(wǎng)絡(luò)性能，從而滿足不同的網(wǎng)絡(luò)應(yīng)用需求。最后，網(wǎng)管們還可以綜合運(yùn)用入侵檢測系統(tǒng)（IDS）、防火墻（FireWall）、統(tǒng)一威脅管理（UTM）設(shè)備來對網(wǎng)絡(luò)流量進(jìn)行信息安全方面的防護(hù)工作。當(dāng)然，信息安全方面的工作不是本文的介紹范疇，在這里不作過多介紹。

策略

在日常的網(wǎng)絡(luò)流量管理中，為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo)，我們需要采取相應(yīng)的步驟。這個(gè)步驟分別是：網(wǎng)絡(luò)流量捕捉和分類、網(wǎng)絡(luò)流量監(jiān)視（統(tǒng)計(jì)和分析）和控制策略。

網(wǎng)絡(luò)流量捕捉和分類：他是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過設(shè)置捕捉點(diǎn)，對網(wǎng)絡(luò)流量進(jìn)行捕捉和分類，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細(xì)化了。Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類。

網(wǎng)絡(luò)流量監(jiān)視（分析）：監(jiān)視步驟用來顯示流量的運(yùn)行狀況，幫助找出問題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及對活躍的應(yīng)用程序。我們的設(shè)備能夠跟蹤平均和高信息的流量，識別最大的用戶和應(yīng)用程序，將網(wǎng)絡(luò)流量定位到不同的領(lǐng)域，從應(yīng)用的角度監(jiān)視網(wǎng)絡(luò)流量，分析網(wǎng)絡(luò)帶寬明確的關(guān)鍵問題所在。用統(tǒng)計(jì)報(bào)表來進(jìn)行表現(xiàn)。該目標(biāo)可以采用NTOP可視化分析管理工具來協(xié)助網(wǎng)絡(luò)管理員在實(shí)際工作中實(shí)現(xiàn)。

控制策略：通過網(wǎng)絡(luò)流量分析后，接下來根據(jù)優(yōu)先級別分配帶寬資源。分配的依據(jù)可以根據(jù)主機(jī)、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進(jìn)行滯后考慮。用戶們可以根據(jù)TC工具來進(jìn)行和實(shí)現(xiàn)一個(gè)完整的分類監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來，將原來無序的網(wǎng)絡(luò)流量變得有序。