二、 联合挑战：专业技术产品讲解与评析

　　1.李庭芳：

　　回顾一下，流控也不是最近两年才出现的一个话题，它其实是从2000年的时候到现在一直不断发展，从我们感觉来说是分几个阶段：第一个阶段在2000年的时候，那时候是传统的交换机/路由器的厂商，做的流控就是基于QoS的技术;第二个阶段是在2005年的时候，像思科这样做一些基于三层、四层、七层的概念，但总是摆脱不了传统的模式，相当于是把七层跟三层、四层做了一个平滑演进的阶段;第三个阶段是在2007年的时候，有很多的厂商分别开始做面向七层的很专业的流控技术，包括网康，我们不光是基于七层模型，我们更多是把人的行为模式添加进去，这样我们提出来基于八层的一种概念，这个概念是兼容了原来的七层，同时更多是把人的上网行为也考虑进去。

　　现在专业流控它一方面是用了DPI技术，DPI技术是对那些明文的协议有很好的识别，但是对一些加密的，现在用迅雷做下载他会用加密进行传输，这种方式用DPI技术可能就会有一定的限制，就识别不了，怎么办?现在我们还要有DFI，就是动态流检测技术，这样对加密传输的协议我们可以很好的去识别，有一些P2P的应用它可能是藏在协议包里面的，伪造别的端口，但是如果用DPI技术识别不了，用DFI的技术就可以识别。有些是仅仅基于数据流的方式也不能识别，人的行为识别技术是什么样呢?像现在的P2P应用它有一个特征，这个原地址是不变的，但是我的目的地址是可变的，并且时间间隔也是很均匀的，通过整个系列的分析发现它是这种P2P的应用。即使这样，我觉得可能还不够，还要基于有关的行为识别技术，这是三者相结合的，才能有效的满足基于人，基于时间做一个很好的流控。

　　我们网康有一种专利技术，多维非线性的策略引擎，能够使我们在大流量，大的策略的情况下设备性能依然保持高效。在我们网康试验室里面做了一个测试，就是用传统的线性的策略引擎，可能加载六百条策略的时候，性能下降50%，再往上的时候是300条的时候是25%，如果用多维非线性引擎的话性能可能只下降10%。

　　2.刘欣宇：

　　流控这个概念真正成型也是在最近这两年内，2006年~2008年推出的产品，最主要的特点就是基于应用层，即基于七层分析实际的应用。但是像基于P2P这种技术的应用你就分析不出来，还有，P2P的技术可能绑在协议里面。DPI的技术，但这也仅仅是流控第一个步骤，第二个步骤是怎么样控制，像传统的一些网络安全设备，比如说防火墙，我也可以把它理解为流控设备，IDS通过网络监听去分析一个端口，但现在很多的应用，其端口都是不断的变化，而且不同的版本也是不一样的。现在的DPI技术，包括东软的产品，它本身是一个流控设备，就是针对所有应用协议，包括不同版本之间的差异，来了任何一个数据包都可以马上知道它是什么样的应用，包括预制的策略，包括动态加减的策略，还有一部分流量分析设备，也就是我们的产品叫做流量分析设备，基于几个设备的结合就可以提供一个非常详细的流量控制。

　　最主要的一条，我们要做的流量控制你首先要调查控制什么，针对什么样的应用控制到什么样的力度，比如说举一个最简单的例子，对于我们企业角度来讲，我不希望你在上班的时候使用P2P，那么我对他来说就是把这个关掉，但是对于运营商角度来讲，他就是一个链路的提供者，你不可以把这个协议整个中断，但是你又不得不控制，那么就要在一定程度上做控制，我可能给P2P分配30%的流量，超过30%是不可以的，这就是控制的一个灵活性，以后我们做流控就是越来越灵活，这是一个发展方向。

　　为什么说要做网络控制，实际上就是因为来源于网络带宽不够，第一个申请带宽，20兆，30兆，但是没有分析为什么带宽会堵塞，就是通过有效的流量管理和控制，提高带宽的使用的频率，这是我们所要达到的目标，所以说我们要做的就是区分哪些是你真正要使用的流量，哪些是不允许通过的流量，也就是说划分一个层次，比如说业务数据，这是最高的，娱乐肯定是最低的，比如说像MSN聊天的，这类可能是沟通中的一个媒介，但是又不能让大家都去聊天，就是基于这些看法需要一个流量的控制。

　　这种控制就是基于DFI的技术和基于DPI的技术，基于DFI的技术更多可以看到是从宏观的角度去看待，我们所分析的数据来源是基于路由器打出来的数据流，可以说它是一个基于统计模型来做分析，我通过它可以看出整个网络里面点、线、面，这三个层次流量的一个变化，我点可以到单一的IP，面可以看到全网，甚至整个出口的流量都能够看到;DPI的技术是从微观的角度去看，它关心的是真正的原始数据包，你拿一个单一的包我不仅仅是看单一的包，我是要看它详细的数据目录，通过宏观和微观的配合形成了这么一个整个的运维体系，东软实际上是两个产品，一个是流量分析，第二个是基于DPI去做的。