一、应用背景：在国内，政府信息中心（以下简称：信息中心）的网络通常由Internet和政务专网组成，通过多年的政府网络建设，全国各地政务网无论是从基础网络，还是网络的管理及安全，都已颇具规模。

近年来中央强调各级政务信息公开，打造服务性政府，让电子政务变的不仅仅政府各部门间的沟通工具，也逐渐成为政府信息公开窗口，广大民众获取政务信息的重要途径，这更为政务网络的管理人员、规划人员提出更高的要求。

下面我们以某政府信息中心作为案例，探讨政府信息中心如何在目前的环境下改善网络运行效果，优化各种网络应用，规避因网络流量所造成的断网事故。

该政府信息中心作为全国性的电子政务的示范单位，目前在IT系统建设方面状况如下： 1． 网络接入：与上、下级政府单位通过政务专网实现广域网互联，网络中心通过300M光纤线路接入Internet。

2． 应用方面：已成功实施了电子政务、OA等全局性的应用系统，以及各部门的业务系统。

开通了“区长在线”等与公众互动的交互平台，电子政务建设方面，在国内屡获殊荣，获得各级政府部门的一致肯定与好评。

3． 信息资源：有五十多台服务器，其中大部分服务放置本地监管，部分服务器托管于其它机房，机房所在的区政府大楼至少有2000台以上的PC机、并全部实现联网。

4． 为保证IT系统的正常运行，已采取了大量的安全防范措施：如已实现内外网物理隔离、已部署防火墙、防病毒、入侵检测系统等。

5． 专业人员队伍：信息中心拥有一批高水平的技术人员，负责IT系统的建设与运作维护，同时也聘请第三方的安全顾问公司进行指导。

随着信息中心网络的扩容、发展，各个网络上业务、用户规模及流量快速增长，但网络流量的增长速度远高于用户数量的增长速度，网络带宽扩容的压力与日俱增，网络流向很不均衡；对网络内流量及各种应用协议急需进行管理与统计分析，为网络规划和优化调整提供基础依据。

网络上以BT、eDonkey、迅雷为代表的P2P类型的应用以及各种视频应用等大量使用，占用了大量的带宽资源，导致了网络的拥塞和服务质量下降。

为了保证用户能够“相对平等”的使用网络资源和带宽，提高网络的整体服务质量，同时提高“每个单位的平均收益率”，需要采取必要的技术手段对BT、eDonkey等大量耗费带宽的P2P应用进行一定程度的监测和调控，以达到提高服务质量的目的。

二、面临的问题与隐患当前的网络应用已经从物理连接的建设，数据链路层高速网络的实施，网络层全球化的路由交换和会话层的应用发展到了网络应用层也就是OSI第七层的应用。

但随之而来的是如何保证网络应用的性能和安全已经成为困扰所有网络用户的问题，成为所有网络用户的迫切需要解决的问题。

另外在目前的网络中有70%以上的安全威胁来自于网络内部，那种认为购买了防火墙、防病毒产品就等于买到了网络安全的想法早已过时，网络攻击和病毒常常发源于企业网内部的“可信任”主机，内网安全迫切需要大家投入比以往更多的关注。

系统的思考一下，其实大多数的内网安全隐患都是源于内部应用无法管理所造成的，尤其是内部用户访问Internet资源的泛滥，如大流量的P2P下载及在线视频。

从普遍性的问题来看，政府信息中心的IT系统尚有以下方面问题有待重视：1. 内网基层设施齐全，但是缺少统一管理机制和实现统一管理的设备，不能及时发现网络存在的问题，在找到问题后（如：病毒爆发），大量的异常网络流量全部汇聚到核心层交换机，但因地理位置、技术等原因管理人员无法即时控制病毒的蔓延，从而导致在出现问题时来不及补救，使整个网段甚至网络系统瘫痪。

2. 网络带宽资源无法合理分配，缺少基础控管数据。

带宽使用效率较低，无法了解网络带宽真正使用情况。

重要应用程序的运行没有网络带宽保障，可能在关键时候出现网络阻塞情况。

应用软件难于控管，特别是P2P等点对点传输软件（如BT）、视频等，在使用时会挤占大量的网络资源。

3. IT系统是政府管理运作不可或却的工具，但同时也可能因为员工滥用IT资源而影响工作、甚至可能给企业带来各种法律风险。

如：上班时间玩游戏、聊天、炒股影响工作，上不健康的网站、网上发贴可能给单位惹来法律风险，泄露机密对单位造成损失等。

对于内部流量的控制，传统的网络管理系统虽然可以提供业务流量监测手段，但基本上只是采用一些通用型的网络链路使用率监视软件，对网络的重点链路和互联点进行简单的端口级流量监视和统计，或采用在网络中部分重点业务接入点加装远程监控探测的方式，对网络中部分端口进行网络流量和上层业务流量的监视和采集，但无法完全满足互联网业务流量的管理需求。

同时，众多的网络产品，如防火墙、路由器、L3交换机等，虽然提供了流量控制功能，基本上都是基于IP及协议端口的方式来管理控制，对于BT等无规则的应用根本无法控管。

三、应用分析：1. 网络流量流向分析：了解信息中心各种数据网不同属性流量分布，预测流量变化趋势，找出网络瓶颈，为网络规划、优化调整提供基础依据；对应用、用户应用进行深入分析，我们可以清晰地掌握网络的应用行为，为设计实施更好的用户服务及产品提供了可靠的基层数据。

2. 异常流量分析：当网络攻击发生时，从信息中心IP数据网的层面，对异常流量攻击实施有效监控和定位；能够及时响应，对异常流量和一些非法应用进行控制，保证信息中心IP数据网的正常运行。

3. 网络应用监控：通过建立健全安全监测管理系统，对IP数据网的流量及网上的各种应用协议进行统计分析，结合日常网络维护操作，重点对异常流量进行分析和预警，实现在IP数据网络上的网络安全预警。

4. 策略控制能力：能够基于IP地址、端口、业务、时间的带宽控制。

支持的基于应用的带宽控制包括保证(较小带宽)、限制（较大带宽）、流量透传、丢弃、设置优先级（至少五个级别）等多种控制方式。

综上所述，政府信息中心对IT系统的流量管理的需求，概述如下：① 对出/入网络的流量进行控制② 网络流量流向分析③ 网络行为分析及带宽管理④ 实时流量检测⑤ 任意分配个别流量带宽 ⑥ 分析个人、程序流量并制定带宽管理 ⑦ 依据不同的应用持续进行双向带宽管理⑧ 网络行为的分析与控管 ⑨ 个性化IM/P2P的控制管理四、解决方案：根据政府信息中心实际需求要求，从产品的适用性、高稳定性、易操作性、高扩展性、易管理等特点，推荐领先技术流量管理与控制系统-- ExtraMonitor系列（XM）流量控制产品。

1、 的部署方式： 1.1 部署说明结合政府信息中心网的实际情况，主要遵循方便网络流向分析，方便网络异常流量检测，方便网络应用监视与控制的原则，我们可以将流量分析系统部署在Internet骨干网上分析各业务流量，信息中心骨干网承载全区所有业务支撑网流量，为了实现对各个业务系统如OA系统、政务平台等业务等内部流量分析，对网络内部的异常流量进行检测，对关键核心业务的带宽进行保证，在信息中心骨干网上部署 实现对全网流量进行分析，对异常流量进行检测，对网络应用进行监控，根据业务应用控制的不同带宽。

同时在保证信息中心业务正常业务流量的情况下,合理的为主要人员分配带宽。

1.2网络结构图如下：（简略图）架设在核心交换机与防火墙之间，控管、监测整个网络的出口流量，并通过本身的Bypss功能，即使XM流量控制设备断电、停机、也不影响网络通信，确保整个网络的持续性，不造成单点故障。

2、运行效果：通过 XM保证重要业务应用所需的网络带宽，实现网络为工作（业务运作）服务的目标： ① 核心业务系统所需的网络带宽有保障，保证业务运作与工作的高效进行；② 对非工作使用网络可根据需要是否设限； ③ 通过四到七层的网络交换技术，从应用层面解决了上述问题；④ 实时监看内网流量、掌握网络资源使用情况，丰富的历史报表，便于事后查询；⑤ 把握网络流量运行状况，应对突发事故； ⑥ 优化带宽资源配置、降低网络费用；⑦ 可针对session数高的应用服务如：P2P等,作限制,减少Core Swicth 或 Router、FireWall等网络设备的负载,减少网络Down Time的时间。

3、运行截图：3.1、实时流量分析，提供基于IP、应用、网络出口的实时流量分析。

3.2、针对关键应用，P2P等大流量应用做带宽策略：3.3、丰富的流量报表，基于用户及应用的报表分析，并可根据情况自定义报表类型：