企業網D1Net 10月22日 如今人們的工作與生活一時也離不開數據中心。隨著移動互聯網的普及,極大地增強了人們對內容的需求:網絡支付、手機上網、移動辦公、虛擬交易等一系列應用改變了人們的生活方式,同時也帶來了新的、更為復雜的安全風險,這些風險隱藏在應用的內容之中,和應用本身密不可分,比如WEB服務、網絡支出、網絡文件共享、軟件下載與安裝等應用,帶來了不計其數的安全漏洞和病毒。比如采用手機支付的方式變得越來越方便,但仍有不少的人擔心不夠安全,擔心自己的信息被泄露,資金受到損失,每當我們下載一個陌生軟件時存在顧慮,這個軟件有沒有病毒?不過自古邪不侵正,正所謂“魔高一尺,道高一丈”,早有成千上萬從事安全技術研究的人們為大家的互聯網生活保駕護航,為數據中心的安全建言獻策,不少的技術已經形成產品應用于各種數據中心之中,讓人們安心享用這個屬于我們的互聯網時代。數據中心安全技術涵蓋廣泛,遠非幾言可以概觀,本文從網絡應用層技術出發,對比說明當今最熱門的兩大安全技術,拋磚引玉,讓大家有所深入了解。
基于應用的安全技術,當今最熱門的要屬深度包檢測技術和深度流檢測技術。深度包檢測技術(Deep Packet Inspection,即DPI),是在分析報文頭的基礎上,結合不同應用協議的“指紋”綜合判斷所屬的應用。深度流檢測技術(Deep Flow Inspection,即DFI),是一種基于流量行為的應用識別技術。一種基于報文,一種基于流,由于實現機制不同,各有各的特點。我們將數據中心的流量做一下分類,然后再具體看一下哪種安全技術適用于哪些具體的流量。
|
應用 |
持續時間 |
平均速率 |
傳輸字節數 |
|
網頁游覽 |
短 |
高 |
較高 |
|
游戲 |
長 |
低 |
高 |
|
VPN訪問 |
長 |
低 |
高 |
|
點到點 |
長 |
較高 |
高 |
|
NAT |
不固定 |
不固定 |
不固定 |
|
視頻 |
長 |
中 |
高 |
表1:不同應用的流量特征
表1列了常見的網絡流量特征,可見不同的應用的流量表現并不完全相同,所以需要區別對待。早期的安全技術也是根據流量特征實現過濾的,比如當收到網頁瀏覽的流量,發現其數據報文源或目的端口是80,即知道就是網頁流量,端口是23是telnet,端口號是22則是ssh,很多應用都是用固定的端口號,這樣可以根據端口號的差異采用不同的安全策略。但是隨著各種應用的逐步豐富,很多應用可以采用非標準的端口或者隨機變化的端口號,一些對等網絡協議出現并不斷演進,可以在協議運行過程中采用動態協商、數據報文加密等方式,讓這種古老的技術無法再發揮優勢,必須要對協議可以進行自動識別,才能滿足安全性的要求。
深度包檢測技術可以精確識別具體的應用,可以逐包檢查,將報文和特征庫里的特征一一比對,這需要大量的計算,會耗費大量的CPU、內存等資源才能完成。另外為何保證匹配的精確性,要及時更新特征庫。每當出現一種新的病毒或者異常流量,都需要實時更新特征庫,這樣才能確保及時檢測出安全隱患。而深度流檢測技術卻無法精確識別具體應用,只是泛泛地識別某一類應用,所以也不需要大量的計算。深度流檢測技術是基于網絡層、傳輸層信息、業務流持續時間、字節長度分布等參數進行分析,也就是表1列出的流量特征。深度流檢測技術根據流量特征,那么采取一定的安全措施。由于本身并不需要匹配報文內容,所以也不需要特征庫,這樣就省去了升級的麻煩。深度包檢測技術可以用于需要準確地識別具體應用的系統中,比如各種流量計費系統,用戶行為分析系統等;而深度流檢測技術只能識別出是哪種應用,因此可以對具體的應用進行流量控制、限速、清洗等應用。從兩種安全技術的對比說明中不難看出,深度包檢測技術善于精確打擊,而深度流檢測技術擅長集中控制,在不同的應用中兩者可以發揮著不同的作用。
如今的安全環境惡劣,除了人為的原因,各種應用不斷變換也暴露出多種風險。安全技術一種亡羊補牢的技術,無法預測將來會出現哪些新特征的應用,出現哪些系統漏洞,所以只要發現了漏洞才去修復,因此安全技術也有一定的滯后性。正是這樣,在如今互聯網絡發展非常迅猛的今天,依然有不少人擔心安全問題。無論是深度包檢測技術還是深度流檢測技術,都是完全基于具體應用來進行安全過濾的。比如我們在數據中心的出入接口部署深度流檢測技術,控制異常流量的進入,只允許網頁瀏覽、視頻訪問應用,并對網絡帶寬流量進行控制,通過這些安全技術可以讓數據中心整體流量運行平穩,避免帶寬的浪費,消除垃圾流量占用數據中心網絡帶寬。然后在數據中心內部各個具體應用服務器部署深度包檢測技術,對具體應用報文進行檢查,不放過一個不安全的報文,避免病毒入侵,雖然深度包檢測技術要消耗大量的計算資源,但由于深度包檢測技術只關心數據中心某一類的應用,整體而言計算體量并不會很大,這樣一個主外一個主內可以確保整個數據中心安全無憂。
深度包檢測技術和深度流檢測技術是在數據中心面臨嚴重網絡安全問題的形勢下出現的,為數據中心提供了一套完整的安全解決方案,數據中心早已離不開這兩種技術。在大型的數據中心里,建議兩種安全技術都要部署;在一般的數據中心建議根據數據中心的實際情況,看用戶更為關注哪類安全,然后選擇適當的技術,確保數據中心安全。在人們越來越重視信息安全的環境背景下,這兩類安全技術必將在數據中心里獲得越來越廣泛的應用,同時也會在實際應用中不斷地完善自身技術。
京公網安備 11010502049343號