概述

　　随着智能手机、平板电脑等配备无线网卡的智能终端呈现普及化，IPTV、网络游戏、网络社交、手机支付、手机IM等各类型的互联网应用呈爆炸性发展态势，综合网络、终端、应用内容在高速发展的状况下，使得宽带及移动互联网的用户数在持续增长。因而，运营商的地址资源也越发紧缺。同时，运营商作为大型互联网接入服务商，经常被监管部门要求提供相关的日志信息。典型的场景为：公安机关在互联网上监控到有人发布非法言论、组织非法集会、从事非法活动时，通过内容服务商或应用服务商查到相关的互联网IP地址，相关的IM账号，访问的URL地址等信息，再通过互联网IP地址、IM账号或URL地址信息以及具体的访问时间，来反查接入访问者的内网IP地址，以便快速锁定嫌疑人。

　　Hillstone运营商NAT日志审计方案，采用基于运营商级别的Hillstone数据中心防火墙配合Hillstone高性能日志审计平台HSA，在为运营商缓解IPv4地址资源枯竭的同时，还帮助运营商在合理控制宽带运营的成本，提升宽带接入用户体验，适应快速增长的接入业务，符合宽带运营监管要求等层面，提供有效支撑。

　　需求分析

　　运营成本、用户规模、符合监管是运营商共同关注的焦点，具体需求包括：

　　● 能够在大并发访问环境下，提供快速的日志审计以配合监管检查；

　　● 能够实现高性能、高容量的NAT，在节约运营商有限的IPv4地址资源的基础上，解决海量接入访问和有效IPv4资源的矛盾；

　　● 能够在支撑海量接入的同时，保障上网连续不中断；

　　● 能够针对P2P等高带宽消耗应用进行流量管理，提升用户上网体验。

　　解决方案

　　在运营商NAT场景中，Hillstone数据中心防火墙在运营商网络出口做NAT，HSA旁路部署进行NAT日志接收、存储和查询。

　　Hillstone运营商NAT日志审计方案

　　高性能日志审计满足监管要求

　　公安部82号令规定，互联网服务提供单位能够记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名，并且在使用内部网络地址与互联网网络地址转换方式为用户提供接入服务时，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，应当具有至少保存六十天记录备份。Hillstonet安全审计平台HSA为运营商运维人员提供了一个高效的日志审计平台。HSA支持集中收集日志，内容包含NAT会话日志、NAT444用户日志、URL访问日志、QQ上下线日志，入库性能最高可达100，000EPS；HSA提供高速日志检索功能，平均检索时间小于20秒；HSA可实现海量日志的记录，满足保存不少于90天日志的监管要求。

　　高性能NAT保证海量接入

　　Hillstone支持SNAT、DNAT等传统的NAT技术，并能够对多种应用协议进行ALG处理。同时还支持Full cone NAT、NAT444。Full cone NAT可将同一个私网[IP：Port]的会话映射成同一个公网[NAT IP：Port]进行通信，以节省NAT地址资源；也可对同一个内网中的用户互访进行NAT穿越，节省出口带宽。NAT444使用为私网地址用户分配静态公网地址+端口块的方式，方便溯源，降低管理成本。同时，Hillstone 数据中心防火墙采用了创新的全分布式架构，整机最大吞吐量为360Gbps，每秒新建连接数达600万，并发会话连接数最大可达1.8亿，完全满足运营商对于海量用户接入的需要。

　　智能链路负载均衡保障上网连续

　　Hillstone支持多链路智能负载均衡，在运营商多出口链路的环境下，当单条链路故障时可将流量快速切换到正常链路上，从而保障上网连续性，提升接入用户上网体验。同时能够根据每条链路的负载状态智能分配流量，避免链路忙闲不均，提升链路利用率。

　　强大的应用识别能力和QoS功能提升运营商服务质量

　　Hillstone支持识别1300多种、20多个分类的应用协议，可以提供基于应用的访问控制，并可以通过QoS功能对不同的网络应用流量进行不同时间段的最大带宽限制、最小带宽保障，也可为特定应用预留带宽资源，同时还支持对IP/IP段的带宽进行控制，以对不同类型的客户进行合理的带宽分配。