网络科技瞬息万变,使用者的需求也是日新月异。但即使在这剧变的网络时代里,也有一件事无法改变,那便是信息将永无止境地激增。当前报文处理技术仅能做到信息导向的功能,而面对庞大网络信息所带来的众多威胁与挑战,无法了解报文内容的信息管理者如同雾里看花,只能利用庞大的后端芯片与软件机制来防范潜在的风险。现在,下一代的深层报文检测(DPI,Deep Packet Inspection)解决方案,将大幅提升网络以及服务器的安全性与功能,让企业与网络服务提供者创造更多价值。
企业市场:征服海量信息挑战
随着网络技术的演进,企业对于信息安全的主要需求也逐渐不同。早期,企业着重于对抗如病毒、非法登录等外部攻击;而到后来则开始以使用者行为与思考为出发点,建立信息安全的机制。也就是说从当初“排除”的思维改变成“分析”的概念。
当然,除了企业信息安全的需求不断增长之外,网络威胁也是日新月异。比如说网络上的威胁早已不再随机,而变成高度目标导向,攻击非常精准。而其方式也从单纯病毒式的外部攻击,扩张至木马式的内部渗透。种种的威胁与挑战都让珍贵的企业信息暴露在极高的风险之中,如果通过庞大的后台软件来建立信息安全机制,虽然可提供一定的可靠度,但是其管理与运算成本却是非常惊人。现在,通过 DPI解决方案,企业可以精密地在每一个报文进出企业网络时,深入分析了解其所内含的信息。一旦系统管理者能在此关键环节轻松掌握与分析所有的信息,那么它就如同化身为明察秋毫的海关人员般,能以非常有效率的方式,掌握所有进出的信息。
另一方面,随着无线网络接入技术的日益成熟,以及移动办公的普及,企业对其分支网络的管理难度有上了一个新的台阶。因为,传统上的防护设备(如防火墙)是假设内部网络是可以信赖的,只需将内部网络和外部网络隔开,仅开放少许端口或连接,控制以及检测这少量的连接便可。但是这种简单的网络拓扑结构假设已经完全不适用于当今,员工的被入侵的移动设备或者陌生访客的临时接入,都会给企业的网络带来不确定的风险,诸如病毒感染,木马后门植入,甚至绝密资料的泄漏等等。面对这些企业网络在内部被撕开的口子,网络管理人员不能再安枕无忧。他们需要更加全面和强大的网络报文管理和监控能力。通过引入高速的DPI解决方案,检测每一个在企业网内部传递的报文,也变得非常重要起来。
因此,DPI技术在企业市场便可产生许多不同的应用。除了可应用于庞大的信息安全需求之外,更可以做企业网络的内容与流量控制等精密的网络管理。通过DPI技术,企业将能摆脱被动的姿态,以经济有效的方式主动管理内外部的网络信息。
图1 深层报文检测(DPI)大幅提升企业信息安全范畴
网络服务市场:再创获利高峰
从电话成功问世以来,人类社会的通讯网络便以极其快速且复杂的方式拓展着,而运营商始终扮演者关键的角色。然而,面对目前这个高科技普及化的时代,消费者可以轻易地使用VoIP或是P2P等网络协议或应用,因此光是提供清晰的语音与基础的网络服务,是无法让消费者对运营商产生忠诚并贡献获利的。而许多如Google等在线服务提供者,也以非常精彩有效的方式,取代了早期网络服务商提供的网络入口信息功能。因此如何变得与众不同,成为了当前运营商们成功营运的关键问题。
因此网络运营商若要继续成长,新应用开发与网络通讯品质提升可以说是关键。近年来,许多振奋人心的网络应用都已问世,但由于网络速度与信息安全等条件制约,导致通讯业者难以快速导入,进而创造利润。而网络上如P2P等复杂且难以管理的信息交换机制,也让网络服务提供者不易保障网络品质。另外,收费机制也一个令人头痛的问题。就算推出了新的应用,但服务提供者要如何有效的得知网络系统庞大交换信息中包含了特定的增值服务,并借此公平且轻易地向特定使用者收取增值服务费用呢?
以上这些问题,随著高速DPI解决方案的问世,都将可以一一改善。通过高效的深层报文管理,网络服务提供者可以有效掌握所有系统上的信息流量,进而提升QoS等机制,来有效维护网络品质。而一旦能掌握每个报文的内容后,网络服务提供者也能检测到使用者目前正在使用的应用是什么,并由此开发出适合于新应用,并更有利于双方的收费机制。
当然,在高速DPI解决方案的驱动下,传输的内容无所遁形,网络服务提供者能够更加方便地提供信息安全保障,进而提升自身服务的价值。
图2 运营商对深层报文检测需求日益强劲
统一的平台,统一的特征库
对于众多的企业网络和运营商网络问题以及需求,反病毒、反攻击、信息安全审计、业务流量管理和特定业务计费等等,它们中的几个会同时出现在网络当中。传统办法将其分开处理往往会带来软件开发、设备投资、场地占用、能源消耗以及维护工作上的巨大投入,而获得的仅仅是低性能的系统,而且经过多个设备后报文的网络延时会变得相当大。这些对于现行的网络是个可怕的负担,也是为什么这些业务尚未完全开展起来的原因之一。
这些重要但开销巨大的业务有很多共同之处,都需要将网络报文基于网络会话重整然后查阅会话的每一个字节 ,也即所谓的深度报文检测。高性能的DPI系统能够将这些看似独立却又紧密联系的业务引入一同统一的架构平台上,大大减少了开发时间、设备、场地占用、能源消耗和维护的成本。
在DPI系统设计中另一个至关重要的问题就是,如何描述需要在网络报文中寻找的内容。我们需要一种语言,简单却又灵活,并且能够精确地将已知病毒、攻击、敏感信息和不同网络协议的特征描述出来。而正则表达式(RegularExpression)正是这样一种语言,它能够较为简单地描述清楚特征,而且又不失灵活性,与它相伴而生的自动机技术(FiniteAutomaton)又是快速同时处理多条特性匹配的最好方式。
所以将各种业务使用到的特征用正则表达式描述出来,形成不同的正则特征库。这些特征库从系统中独立出来,可以很容易地放入其他系统中重复使用,以加速新产品开发;而且它们可以方便地更新,这样能够处理每月以万记增加的病毒和攻击特征、新增加的网络协议以及经常不定期改变的私有网络协议。这种独立的特征库模式会催生出更多专注于特征库开发的机构,而设备制造者们可以更加专注于其他方面的创造。
六百倍的效能,百分之六的耗电
LSI是业界最早涉足DPI芯片解决方案的公司之一,其Tarari系列DPI解决方案自2001年问世以来已经得到业界领先公司的青睐,2006年推出全球首款DPI ASIC处理器,2008年又先后推出了基于最新T10技术的T1000及T2000芯片解决方案。LSI Tarari DPI处理器系列经过了8年的发展,技术演进了5代。扎实的技术积累与众多的商业应用案例经验,让该系列处理器发展地相当成熟、更加贴近实际应用场景,而更多的前瞻性设计让这系列方案成为DPI行业的领航者。
了解了DPI解决方案的优势后,我们接下来便应该思考如何规划搭载高速DPI解决方案的高效能系统了。在设计系统时,我们需要了解LSI Tarari处理器与中央处理器的搭配关系,这是关键的问题。首先,我们需考虑处理器频率与网络流量搭配状况,最好使处理器对于网络流量的转发能力以及TCP/IP流的管理能力和高速DPI芯片能够匹配。而当我们追求更高效能时,多核处理器自然是合适的选择,而现在不论是X86或是RISC架构的处理器都有丰富的多核处理器可供选择。
通过多核处理器与LSI Tarari的组合,搭载LSI Tarari的系统能以非常有效率的方式发挥极大的效能。例如同样都是3Ghz频率的中央处理器,在使用纯软件方案与使用LSI Tarari基于ASSP(Application-specific Standard Processor)的高速DPI解决方案的对比测试中,它们处理上会有超过600倍以上的性能差距,成效可谓相当惊人。
而使用LSI Tarari处理器对系统在耗电上的贡献也更是卓越。以10 Gb/s的深层报文检测任务为例,我们将需要20组搭载Intel Xeon 3Ghz Dual-Core的系统来应付如此繁重的软件解决方案,而其总耗电约为5000瓦。但是若是使用搭配LSI Tarai DPI芯片解决方案的系统的话,处理同样的运算总体系统功耗需求仅需265瓦。也就是说,通过LSI Tarari处理器的贡献,我们大约可以省下约94%的耗电!
综上所述,DPI芯片解决方案是提升系统深层报文处理能力的理想选择。而不论搭配的是普通处理器、多核心处理器还是网络处理器,在使用了高速DPI的芯片解决方案后,我们都能轻易且大幅地提升系统的深层报文处理能力。
图3 深层报文检测解决方案可有效配合任何功能诉求的处理器