SDN和DPI技術(shù)結(jié)合 實(shí)現(xiàn)集中控制和自動化

責(zé)任編輯:一三

2013-09-13 09:13:43

摘自:TechTarget中國

深度數(shù)據(jù)包檢測(DPI)技術(shù)顯著地加強(qiáng)了當(dāng)前網(wǎng)絡(luò)的安全性和管理性能,但是如果能和軟件定義網(wǎng)絡(luò)(SDN)結(jié)合起來,DPI會成為一個更強(qiáng)大的工具。

深度數(shù)據(jù)包檢測(DPI)技術(shù)顯著地加強(qiáng)了當(dāng)前網(wǎng)絡(luò)的安全性和管理性能,但是如果能和軟件定義網(wǎng)絡(luò)(SDN)結(jié)合起來,DPI會成為一個更強(qiáng)大的工具,能夠集中網(wǎng)絡(luò)策略控制和加速自動化進(jìn)程。

DPI是一種網(wǎng)絡(luò)數(shù)據(jù)包過濾技術(shù)。數(shù)據(jù)包傳遞到一個審查點(diǎn),DPI技術(shù)會檢查該數(shù)據(jù)包,搜索不匹配協(xié)議、病毒、垃圾郵件、入侵或其它定義標(biāo)準(zhǔn)。然后,該工 具會決定這個數(shù)據(jù)包是通過還是需要重新路由。DPI為整個網(wǎng)絡(luò)提供信息以確保先進(jìn)的網(wǎng)絡(luò)自動化、策略、合規(guī)性和安全功能。

DPI技術(shù)的發(fā)展

半導(dǎo)體處理能力的加強(qiáng)促使DPI關(guān)鍵技術(shù)的發(fā)展,包括:

深度檢測數(shù)據(jù)包的能力:該能力可以檢測到個體流量更多的內(nèi)容和信息。

滲透探測:DPI功能可部署在大范圍的設(shè)備上(不只是因特定目的建立的設(shè)備),包括以太網(wǎng)交換機(jī)、路由器、服務(wù)器負(fù)載平衡器、廣域網(wǎng)優(yōu)化設(shè)備、管理設(shè)備和網(wǎng)絡(luò)安全元素。

更頻繁的檢測:改進(jìn)的處理能力意味著當(dāng)DPI開啟時,頻繁的檢測可以確保DPI永久開啟并不停檢測所有數(shù)據(jù)包,性能很少會中斷。

DPI可以作為軟件在標(biāo)準(zhǔn)的服務(wù)器上運(yùn)行:這個功能會使DPI部署成本比其它專用設(shè)備低。

SDN和DPI技術(shù)結(jié)合可以實(shí)現(xiàn)集中策略和安全控制

改進(jìn)的DPI技術(shù)可以為SDN控制器提供網(wǎng)絡(luò)狀態(tài)和流量的詳細(xì)數(shù)據(jù)。這樣SDN就可以將網(wǎng)絡(luò)看作是一個整體的資源,而不是一系列單個設(shè)備(如交換機(jī)、安全 性和其它4-7層元素)。最終,SDN和DPI技術(shù)的結(jié)合可以讓網(wǎng)絡(luò)專家將控制策略和自動化應(yīng)用到整個網(wǎng)絡(luò),而不是單個組件或元素。憑借核心DPI性能可 以為所有相關(guān)功能(控制器、策略、安全性等)提供信息幫助,而不是目前各個性能設(shè)備的系統(tǒng)各自擁有其專屬DPI技術(shù)。

由于日益增長的遠(yuǎn)程工作人員、自帶設(shè)備趨勢和不同內(nèi)外部的流量類型(如Facebook、Skype、視頻聊天、流媒體和視頻等)造成的新的安全性需求,這種集中DPI技術(shù)的實(shí)施還有很長的路要走。

現(xiàn)在,網(wǎng)絡(luò)在識別良好的通信流量和應(yīng)排除在網(wǎng)絡(luò)外的通信流量時,必須要進(jìn)行更深度的“探測”。例如,IT管理人員可能想要允許Skype聊天請求來節(jié)省國際撥號費(fèi)用,但是為了防護(hù)數(shù)據(jù)泄露(DLP)和實(shí)施合規(guī)策略而通過Skype傳輸?shù)奈募K也需要被檢測。

DPI和SDN技術(shù)結(jié)合以提高網(wǎng)絡(luò)安全性

DPI技術(shù)確保IT管理員和安全官員可以制定打擊惡意軟件和其它威脅的策略,并將其在所有層級實(shí)施,包括應(yīng)用層和用戶層。DPI和SDN技術(shù)的結(jié)合能使網(wǎng) 絡(luò)安全遍布在整個網(wǎng)絡(luò),而不僅僅是特定的端點(diǎn),比如防火墻。一個先進(jìn)的網(wǎng)絡(luò)安全系統(tǒng)可以通過其本身行為來評估網(wǎng)絡(luò)通信的“健康度”,而不是依靠外圍的控 制。

DPI和SDN技術(shù)結(jié)合 可以在網(wǎng)絡(luò)管理方面應(yīng)用大數(shù)據(jù)

當(dāng)前網(wǎng)絡(luò)管理系統(tǒng)大部分仍然保持一個被動的、操作密集的狀態(tài),這就意味著訓(xùn)練有素的網(wǎng)絡(luò)工程師必須對網(wǎng)絡(luò)減速或故障做出被動反應(yīng),而不是在這之前做出有前瞻性的主動反應(yīng)。

增強(qiáng)型DPI技術(shù)可以依靠成倍地提供關(guān)于該網(wǎng)絡(luò)的信息而改變這種狀態(tài)。但面臨的挑戰(zhàn)在于,怎樣依靠這些龐大的數(shù)據(jù)來做出更好的決定。在不久的將來,網(wǎng)絡(luò)管理實(shí)質(zhì)上就是一個大數(shù)據(jù)問題,關(guān)于數(shù)據(jù)收集的頻率、類型和運(yùn)用的分析方法或策略將會變得重要,成為主要思考的問題。

DPI在為網(wǎng)絡(luò)健康和性能提供關(guān)鍵信息方面扮演著重要的角色。增強(qiáng)型DPI將影響很多供應(yīng)商,包括現(xiàn)在的網(wǎng)絡(luò)供應(yīng)商(如思科、瞻博網(wǎng)絡(luò)、惠普網(wǎng)絡(luò)、F5、 Riverbed)、SDN初創(chuàng)企業(yè)(如Big Switch、Plumgrid、Saisei)、IT供應(yīng)商(如IBM、Intel、VMware)、網(wǎng)絡(luò)監(jiān)控供應(yīng)商(如Gigamon、 NetScout、IXIA)和大量網(wǎng)絡(luò)安全提供商。作為網(wǎng)絡(luò)安全工具和管理工具,DPI在網(wǎng)絡(luò)中的應(yīng)用會變得越來越普遍。結(jié)合SDN的DPI技術(shù)將引領(lǐng) 當(dāng)前網(wǎng)絡(luò)走向更容易管理、更安全、運(yùn)營成本更低的自動化網(wǎng)絡(luò)。

SDN

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號