如何用Linux安全管理网络流量(1) - 港临工作室- lanv - 和讯博客
如何用Linux安全管理网络流量(1) [原创 2010-04-06 12:05:18]   
一、 网络流量管理的范畴

近十几年来,互联网已经成为越来越重要的需求。据统计,互联网目前已成为人类社会最重要的信息基础设施,占人类信息交流的80%。对社会进步、经济发展和国家安全具有重大战略意义。在这种大背景下,面对日益复杂的网络联机及逐渐增加的网络流量,系统和网络管理者必须花费更多时间精力来了解这些网络设备的运作状况,以维持一个系统的正常运作。

一般来说,网络管理者所需要了解的是各个网段的使用情形,频宽的使用率,网络问题的瓶颈发生于何处。当网络问题发生时,必须能够很快地分析和判断出问题的发生原因,可能是线路问题、网络设备问题、或者是路由器的设定问题。对网络流量进行有效的管理是{zd0}化发挥网络效能的首要因素。那么,管理网络流量的时候应该通过什么样的依据管理,通过什么手段有效的把流量进行识别、分析和管理呢?这是本专题所要解决的主要问题。

一般说来,我们可以将网络流量管理大致分为如下几个大的范畴:

1、 流量识别

流量识别,也叫业务识别|(Application Awareness):它是伴随着网络业务的蓬勃发展而出现的一个新的概念,通过对业务流量从数据链路层到应用层的报文深度检查分析,依据协议类型、端口号、特征字符串和流量行为特征等参数,获取业务类型、业务状态、业务内容和用户行为等信息,并进行分类统计和存储。业务识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息,如业务类型、业务状态、业务分布、业务流量流向等。业务识别是一个相对复杂的过程,需要多个功能模块的协同工作,业务识别的工作过程简单描述如下: 

◆识别处理模块采用多通道识别处理,通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法,将网络流量均匀的分配到多个处理通道中。 

◆多处理通道并行执行网络流量的深度报文检查,获取网络流量的特征信息,并与业务识别特征库中的特征进行比对。 

◆将匹配结果送往识别处理模块,并标识特定网络流量。如果存在多个匹配结果,选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定,该网络流量的后续连接将不再进行深度的报文检查,直接将其网络层和传输层信息与已知识别结果进行比对,提高执行效率。 

◆识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中,为网络流量的统计分析提供依据。 

◆统计分析模块从识别结果存储模块中读取相关信息,并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示,或以文件的形式输出。 

◆在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区,为实施网络流量管理提供依据。

目前常用、典型的业务识别技术就是我们所熟知的DPI技术和DFI技术。

(1)DPI技术

PI是深度报文检测(Deep Packet Inspection)的简称,是一种典型的业务识别技术。DPI技术之所以称为“深度”的检测技术,是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息,包括源/目的IP地址、源/目的传输层端口号、协议号,以及底层的连接状态等。通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VoIP应用、IPTV应用被广泛开展的情况,传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展,在获取数据包基本信息的同时,对多个相关数据包的应用层协议头和协议负荷进行扫描,获取寄存在应用层中的特征信息,对网络流量进行精细的检查、监控和分析。

DPI技术通常采用如下的数据包分析方法: 

◆传输层端口分析。许多应用使用默认的传输层端口号,例如HTTP协议使用80端口。 

◆特征字匹配分析。一些应用在应用层协议头,或者应用层负荷中的特定位置中包含特征字段,通过特征字段的识别实现数据包检查、监控和分析。 

◆通信交互过程分析。对多个会话的事务交互过程进行监控分析,包括包长度、发送的包数目等,实现对网络业务的检查、监控和分析。

(2)DFI技术

DFI是深度流行为检测(Deep Flow Inspection)的简称,也是一种典型的业务识别技术。DFI技术是相对于DPl技术提出的,为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性,因此,DFI技术并不对网络流量进行深度的报文检测,而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析,来获取业务类型、业务状态。

两种技术的设计基本目标都是为了实现业务识别,但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。从两种技术的对比情况看,两者互有优势,也互有短处,DPI技术适用于需要精细和准确识别、精细管理的环境,而DFI技术适用于需要高效识别,粗放管理的环境。

2、流量统计分析

网络流量管理的基本目标是了解网络、业务和用户资源的使用情况,找到性能瓶颈并进行精细化管理,对用户行为进行分析和控制,以及对信息安全防护。

在网络中多个层面的网络设备中集成业务识别功能,如骨干节点之间、服务提供商互联节点之间、国际出口、城域网出口和城域网接入层等,或者单独部署具备业务识别功能的网络设备对网络流量进行统计分析和趋势判断。通过流量统计分析,网络管理者能够知道当前网络中的业务流量的类型、带宽、时间和空间分布、流向等信息。

3、流量管理

将流量识别能力添加到网络流量管理中,能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度。具备业务识别能力的网络流量管理将具备P2P应用的管理能力,通过对P2P流量的抑制来提升传统数据业务的用户体验度。具备业务识别能力的网络流量管理还能够对严重影响业务运营者收入的未经许可的业务进行抑制。通过对VoIP信令流量和媒体流量的关联检测和统计分析,通过截断媒体数据包、伪装信令报文等方式对VoIP业务进行流量管理。通过综合使用网络层、传输层和应用层检测技术,对未经许可的宽带私接用户采取中断连接、主动告警、分时控制等多种管理动作,实现对未经许可的宽带私接的流量管理。业务识别还能够帮助网络流量管理实现业务资源的调度,业务识别能够获得业务资源使用、业务状态的实时隋况。当某一业务服务器负载较大时,可以进行全局的业务资源负载均衡,平均的承担业务请求;同时也能够对用户的业务请求进行调度,决定是否继续响应用户新的业务请求,或者根据用户的优先级,优先响应高优先级用户的业务请求,提升业务运营效率。

4、其他方面

对于网络流量管理来说,在网络中的多个层面的网络设备中集成业务识别功能,或者单独部署具备业务识别功能的网络设备,和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系,提升整个网络的安全防护能力。

具备业务识别能力的网络流量管理具有主动的流量特征识别分析能力,能够主动的发现诸如DDoS攻击、病毒和木马等异常流量,较好的弥补其他网络安全设备,如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等的不足,提升其主动发现安全威胁的能力,并能够及时的向其他网络安全设备发出告警,从安全威胁源头开始就进行主动的防御。

此外,具备业务识别能力的网络流量管理还能够获取并保存网络流量的网络层信息(例如,源/目的IP地址、用户标识ID等信息),通过这些信息,网络管理者能够进行有效的安全威胁的溯源定位。

我最近在玩和讯财经微博,很方便,很实用。
一句话,一张图,随时随地与我分享理财心得与亲历见闻。
点击以下链接xx,来和我一起玩吧!

郑重声明:资讯 【如何用Linux安全管理网络流量(1) - 港临工作室- lanv - 和讯博客】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——