深度數(shù)據(jù)包檢測(cè)鼓勵(lì)創(chuàng)新和信息共享同時(shí)保護(hù)DoD網(wǎng)絡(luò)

面對(duì)不斷增長(zhǎng)的網(wǎng)絡(luò)使用量，國(guó)防部可以尋求深度數(shù)據(jù)包檢測(cè)，以更深層次地區(qū)分授權(quán)、未經(jīng)授權(quán)和娛樂流量，以實(shí)現(xiàn)更好的安全性、帶寬管理和整體信息保障。

現(xiàn)代戰(zhàn)爭(zhēng)對(duì)網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施提出了非常特殊的要求。隨著國(guó)防部（DoD）不斷發(fā)展以支持以網(wǎng)絡(luò)為中心的環(huán)境，該機(jī)構(gòu)的網(wǎng)絡(luò)對(duì)于維持安全協(xié)作和信息共享至關(guān)重要，這是戰(zhàn)場(chǎng)和任務(wù)行動(dòng)的共同作戰(zhàn)圖景所必需的。

然而，國(guó)防部網(wǎng)絡(luò)還支持非關(guān)鍵任務(wù)的各種流量。隨著VoIP和流媒體等下一代融合應(yīng)用程序池的不斷增長(zhǎng)，未經(jīng)授權(quán)和娛樂性使用網(wǎng)絡(luò)越來越多地占用重要任務(wù)操作所需的帶寬。除了給防御網(wǎng)絡(luò)帶來沉重壓力外，這種大量未經(jīng)授權(quán)的網(wǎng)絡(luò)流量還隱藏了安全工具中的惡意內(nèi)容。

更大的用戶群以及對(duì)關(guān)鍵任務(wù)信息的更大需求所帶來的固有威脅意味著國(guó)防部需要充分了解和管理誰在網(wǎng)絡(luò)上，用戶在做什么以及他們有權(quán)訪問的資源。國(guó)防部網(wǎng)絡(luò)管理員必須超越傳統(tǒng)的網(wǎng)絡(luò)分析方法，實(shí)施深度數(shù)據(jù)包檢測(cè) （DPI） 技術(shù)，以保持機(jī)構(gòu)網(wǎng)絡(luò)可靠、及時(shí)和安全。

國(guó)防部國(guó)內(nèi)外威脅

根據(jù)非正式估計(jì)，70%的國(guó)防部網(wǎng)絡(luò)流量被認(rèn)為是“非官方的”。這意味著與國(guó)防部業(yè)務(wù)無關(guān)的流量在很大程度上主導(dǎo)了該機(jī)構(gòu)的可用帶寬，降低了可用于執(zhí)行和支持任務(wù)的吞吐量，并損害了網(wǎng)絡(luò)安全。

例如，像YouTube這樣的流媒體網(wǎng)站對(duì)國(guó)防部網(wǎng)絡(luò)來說尤其麻煩。這些文件通常非常大，可能會(huì)創(chuàng)建導(dǎo)致帶寬問題的不對(duì)稱流量。對(duì)國(guó)防部網(wǎng)絡(luò)流量的獨(dú)立分析發(fā)現(xiàn)，此類流媒體網(wǎng)站的使用在NCAA瘋狂三月錦標(biāo)賽和奧運(yùn)會(huì)等備受矚目的活動(dòng)中達(dá)到頂峰。

毋庸置疑，這種娛樂性使用帶寬對(duì)國(guó)家安全構(gòu)成了非常現(xiàn)實(shí)的威脅。事實(shí)上，國(guó)防部最近向參議院軍事委員會(huì)提交的一份關(guān)于國(guó)防部人員訪問互聯(lián)網(wǎng)的報(bào)告強(qiáng)調(diào)，如果不加以檢查，未經(jīng)授權(quán)和娛樂性地使用國(guó)防部網(wǎng)絡(luò)可能會(huì)減少可用于關(guān)鍵任務(wù)數(shù)據(jù)傳輸?shù)膸?，甚至阻礙關(guān)鍵任務(wù)數(shù)據(jù)傳輸。此外，坦率地說，更成問題的是，通過創(chuàng)造更高的流量，娛樂用途可能會(huì)偽裝并允許入侵者、病毒和其他惡意威脅偽裝成良性流量。根據(jù)向國(guó)會(huì)提交的一份關(guān)于國(guó)防部人員訪問互聯(lián)網(wǎng)的報(bào)告［1］，點(diǎn)對(duì)點(diǎn)（P2P）流量，如來自Kazaa的音樂文件共享，可能特別危險(xiǎn)，因?yàn)樗?jīng)常將損壞的文件引入網(wǎng)絡(luò)，并且可以避開傳統(tǒng)的安全工具。

最近對(duì)國(guó)防部入站網(wǎng)絡(luò)流量的觀察表明，絕大多數(shù)與通常與 Web 流量相關(guān)的端口相關(guān)聯(lián)，如表 1 所示。就其本身而言，這種關(guān)聯(lián)并不意味著流量是合法的。

表 1：大多數(shù)入站到 DoD 的流量都與這些典型的 Web 端口相關(guān)聯(lián)，但這種關(guān)聯(lián)并不意味著流量是合法的。

實(shí)際上，此流量通常代表惡意活動(dòng)，只是將自己“偽裝”為合法的Web流量。根據(jù)國(guó)土安全部（DHS）的數(shù)據(jù)，2007年對(duì)機(jī)構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)相關(guān)攻擊增加了158%，而變相流量可能是造成這種急劇上升的部分原因?？紤]到這一非常真實(shí)且不斷增長(zhǎng)的威脅，國(guó)防部必須消除娛樂網(wǎng)絡(luò)使用導(dǎo)致潛在安全漏洞的可能性。

作為應(yīng)對(duì)網(wǎng)絡(luò)安全和帶寬挑戰(zhàn)的一個(gè)例子，國(guó)防信息系統(tǒng)局 （DISA） 實(shí)施了全球信息網(wǎng)格 - 帶寬擴(kuò)展 （GIG-BE） 計(jì)劃，以增加帶寬并使對(duì)美國(guó)大陸約 87 個(gè)關(guān)鍵站點(diǎn)的物理訪問多樣化。國(guó)防部還阻止在戰(zhàn)場(chǎng)上的官方軍用計(jì)算機(jī)上訪問流行的娛樂網(wǎng)站，如YouTube，MySpace和Photobucket。

雖然這些主動(dòng)努力有助于提高網(wǎng)絡(luò)可靠性，但有些方法充其量是有限的。我們需要的是支持 DPI 的應(yīng)用程序，這些應(yīng)用程序可以更豐富地了解通過網(wǎng)絡(luò)的流量。

DPI：以策略為中心的方法應(yīng)對(duì)以網(wǎng)絡(luò)為中心的挑戰(zhàn)

為了保護(hù) DoD 網(wǎng)絡(luò)的完整性并確保為基本操作提供足夠的帶寬，管理員必須確定消耗網(wǎng)絡(luò)帶寬的流量的確切性質(zhì)，并通過網(wǎng)絡(luò)范圍的策略實(shí)施來阻止流量或確定流量的優(yōu)先級(jí)。更重要的是，檢測(cè)和分析必須在不影響網(wǎng)絡(luò)速度或增加延遲的情況下進(jìn)行。

通過標(biāo)準(zhǔn)的傳輸控制協(xié)議（TCP）/互聯(lián)網(wǎng)協(xié)議（IP）網(wǎng)絡(luò)，數(shù)據(jù)使用小數(shù)據(jù)包在系統(tǒng)之間發(fā)送，這些小數(shù)據(jù)包快速遍歷網(wǎng)絡(luò)，并在各自的端點(diǎn)重新組裝以重新創(chuàng)建原始信息。當(dāng)前流量監(jiān)控和管理技術(shù)的目的是掃描單個(gè)數(shù)據(jù)包以檢測(cè)特定模式，發(fā)出有關(guān)攻擊或未經(jīng)授權(quán)使用的警報(bào)，并阻止有害活動(dòng)。

例如，常見的安全應(yīng)用程序包括入侵檢測(cè)系統(tǒng) （IDS）、入侵防御系統(tǒng) （IPS） 和防火墻。防火墻通常用于阻止互聯(lián)網(wǎng)端口或可疑 IP 地址上的有害流量。許多現(xiàn)代防火墻還可以識(shí)別和阻止有害協(xié)議。雖然防火墻會(huì)同時(shí)檢查入站和出站流量，但它們僅在部署站點(diǎn)提供保護(hù)，不保護(hù)開放系統(tǒng)互連 （OSI） 模型的第四到第七級(jí)網(wǎng)絡(luò)，也不闡明用于確定訪問權(quán)限的策略。圖 1 說明了支持 DPI 的技術(shù)提供的額外可見性。

圖1：DPI 超越了 OSI 模型的表層，以查看每個(gè)數(shù)據(jù)包的實(shí)際內(nèi)容。

另一方面，支持 DPI 的設(shè)備允許以線速傳輸大量數(shù)據(jù)，同時(shí)提供對(duì)更深層次網(wǎng)絡(luò)流量的前所未有的可見性，以識(shí)別和補(bǔ)救安全漏洞和未經(jīng)授權(quán)的使用。

在 OSI 模型的第 2 層到第 7 層運(yùn)行，支持 DPI 的應(yīng)用程序可以通過在數(shù)據(jù)的“DNA”中搜索定義的特定于協(xié)議的特征（如 http 的 URL 或 SMTP 的電子郵件地址）來指導(dǎo)、過濾和記錄基于 IP 的應(yīng)用程序和 Web 通信，而不考慮協(xié)議或應(yīng)用程序類型。這些變量由網(wǎng)絡(luò)管理員在規(guī)則或策略引擎中配置，該規(guī)則或策略引擎根據(jù)基于簽名的比較實(shí)現(xiàn)這些策略;啟發(fā)式、統(tǒng)計(jì)或基于異常的技術(shù);或這些的某種組合。例如，許多DPI設(shè)備可以識(shí)別數(shù)據(jù)包流（除了進(jìn)行逐個(gè)數(shù)據(jù)包分析），從而允許根據(jù)累積的流信息實(shí)施控制操作。

從本質(zhì)上講，DPI 應(yīng)用程序需要定義每個(gè)適用的協(xié)議才能運(yùn)行。存在數(shù)以千計(jì)的以太網(wǎng)協(xié)議，每種協(xié)議都有自己獨(dú)特的會(huì)話格式。此外，由于標(biāo)準(zhǔn)組的修改或新協(xié)議的引入，這些協(xié)議定義經(jīng)常變化。雖然許多 L4 安全設(shè)備在做出數(shù)據(jù)包處理決策之前僅檢查數(shù)據(jù)包的 IP 標(biāo)頭以識(shí)別 IP 和端口信息，但由于對(duì)數(shù)據(jù)協(xié)議和特性進(jìn)行更全面的檢查，DPI 系統(tǒng)可以解決更大的數(shù)據(jù)包處理挑戰(zhàn)。

專門構(gòu)建的 DPI 平臺(tái)可以結(jié)合 IDS、IPS 和防火墻以及任何其他基于 DPI 的應(yīng)用程序（即用于合法攔截和數(shù)據(jù)泄漏預(yù)防的應(yīng)用程序）的功能，從而提供重要的附加功能和保護(hù)，使網(wǎng)絡(luò)管理員能夠簡(jiǎn)化和保護(hù)流量。標(biāo)記為“高優(yōu)先級(jí)”的消息（如任務(wù)關(guān)鍵型通信）可以在娛樂活動(dòng)（如觀看體育集錦或收聽流媒體廣播）中涉及的低優(yōu)先級(jí)消息或數(shù)據(jù)包之前路由到其目的地。更深層次的可見性還意味著可以識(shí)別與未經(jīng)授權(quán)的使用相關(guān)的惡意數(shù)據(jù)并采取行動(dòng)。這種能力對(duì)于應(yīng)對(duì)娛樂性或未經(jīng)授權(quán)使用軍事網(wǎng)絡(luò)帶來的挑戰(zhàn)至關(guān)重要。

用于網(wǎng)絡(luò)管理的通用操作平臺(tái)

支持 DPI 的設(shè)備增強(qiáng)了傳統(tǒng)安全、流量管理以及網(wǎng)絡(luò)監(jiān)控和分析解決方案的功能。理想情況下，國(guó)防部應(yīng)該考慮在一個(gè)通用的操作平臺(tái)上部署這些技術(shù)，利用內(nèi)部開發(fā)的政府現(xiàn)貨（GOTS）應(yīng)用程序和商業(yè)現(xiàn)貨（COTS）應(yīng)用程序。網(wǎng)絡(luò)設(shè)備必須跟上千兆位線速的步伐，并支持實(shí)時(shí)深度數(shù)據(jù)包處理。

若要滿足 DPI 的要求，平臺(tái)必須：

基于 Linux，因?yàn)榇蠖鄶?shù)前瞻性的安全和網(wǎng)絡(luò)監(jiān)控應(yīng)用程序都是開源和基于 Linux 的

可定制以適應(yīng)不斷變化的網(wǎng)絡(luò)解決方案要求

經(jīng)濟(jì)高效，因?yàn)槲锢砜臻g、設(shè)施和電力成本迫使國(guó)防部做出注重預(yù)算的高性能決策

可編程，因此 DoD 可以快速開發(fā)、部署和管理任務(wù)關(guān)鍵型操作、新服務(wù)和應(yīng)用程序

以策略為中心，允許國(guó)防部為網(wǎng)絡(luò)流量定義自己的策略

支持IPv6，因?yàn)檎咽跈?quán)今年采用互聯(lián)網(wǎng)協(xié)議版本6（IPv6）

要實(shí)現(xiàn)國(guó)防部關(guān)于支持所有信息分類級(jí)別和協(xié)作的安全而強(qiáng)大的網(wǎng)絡(luò)的愿景，需要獨(dú)特的網(wǎng)絡(luò)分析和控制功能。在靈活的平臺(tái)和全面的策略的支持下，支持 DPI 的應(yīng)用程序超越了傳統(tǒng)的安全工具，為聲音帶寬和安全控制提供了前所未有的可見性。最終，這項(xiàng)技術(shù)可以幫助國(guó)防部在鼓勵(lì)通信和創(chuàng)新之間找到適當(dāng)?shù)钠胶?，同時(shí)保護(hù)國(guó)防部數(shù)據(jù)的安全性和完整性。

審核編輯：郭婷