面對(duì)不斷增長的網(wǎng)絡(luò)使用量，國防部可以尋求深度數(shù)據(jù)包檢測(cè)，以更深層次地區(qū)分授權(quán)、未經(jīng)授權(quán)和娛樂流量，以實(shí)現(xiàn)更好的安全性、帶寬管理和整體信息保障。

現(xiàn)代戰(zhàn)爭(zhēng)對(duì)網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施提出了非常特殊的要求。隨著國防部（DoD）不斷發(fā)展以支持以網(wǎng)絡(luò)為中心的環(huán)境，該機(jī)構(gòu)的網(wǎng)絡(luò)對(duì)于維持安全協(xié)作和信息共享至關(guān)重要，這是戰(zhàn)場(chǎng)和任務(wù)行動(dòng)的共同作戰(zhàn)圖景所必需的。

然而，國防部網(wǎng)絡(luò)還支持非關(guān)鍵任務(wù)的各種流量。隨著VoIP和流媒體等下一代融合應(yīng)用程序池的不斷增長，未經(jīng)授權(quán)和娛樂性使用網(wǎng)絡(luò)越來越多地占用重要任務(wù)操作所需的帶寬。除了給防御網(wǎng)絡(luò)帶來沉重壓力外，這種大量未經(jīng)授權(quán)的網(wǎng)絡(luò)流量還隱藏了安全工具中的惡意內(nèi)容。

更大的用戶群以及對(duì)關(guān)鍵任務(wù)信息的更大需求所帶來的固有威脅意味著國防部需要充分了解和管理誰在網(wǎng)絡(luò)上，用戶在做什么以及他們有權(quán)訪問的資源。國防部網(wǎng)絡(luò)管理員必須超越傳統(tǒng)的網(wǎng)絡(luò)分析方法，實(shí)施深度數(shù)據(jù)包檢測(cè) （DPI） 技術(shù)，以保持機(jī)構(gòu)網(wǎng)絡(luò)可靠、及時(shí)和安全。

國防部國內(nèi)外威脅

根據(jù)非正式估計(jì)，70%的國防部網(wǎng)絡(luò)流量被認(rèn)為是“非官方的”。這意味著與國防部業(yè)務(wù)無關(guān)的流量在很大程度上主導(dǎo)了該機(jī)構(gòu)的可用帶寬，降低了可用于執(zhí)行和支持任務(wù)的吞吐量，并損害了網(wǎng)絡(luò)安全。

例如，像YouTube這樣的流媒體網(wǎng)站對(duì)國防部網(wǎng)絡(luò)來說尤其麻煩。這些文件通常非常大，可能會(huì)創(chuàng)建導(dǎo)致帶寬問題的不對(duì)稱流量。對(duì)國防部網(wǎng)絡(luò)流量的獨(dú)立分析發(fā)現(xiàn)，此類流媒體網(wǎng)站的使用在NCAA瘋狂三月錦標(biāo)賽和奧運(yùn)會(huì)等備受矚目的活動(dòng)中達(dá)到頂峰。

毋庸置疑，這種娛樂性使用帶寬對(duì)國家安全構(gòu)成了非?，F(xiàn)實(shí)的威脅。事實(shí)上，國防部最近向參議院軍事委員會(huì)提交的一份關(guān)于國防部人員訪問互聯(lián)網(wǎng)的報(bào)告強(qiáng)調(diào)，如果不加以檢查，未經(jīng)授權(quán)和娛樂性地使用國防部網(wǎng)絡(luò)可能會(huì)減少可用于關(guān)鍵任務(wù)數(shù)據(jù)傳輸?shù)膸挘踔磷璧K關(guān)鍵任務(wù)數(shù)據(jù)傳輸。此外，坦率地說，更成問題的是，通過創(chuàng)造更高的流量，娛樂用途可能會(huì)偽裝并允許入侵者、病毒和其他惡意威脅偽裝成良性流量。根據(jù)向國會(huì)提交的一份關(guān)于國防部人員訪問互聯(lián)網(wǎng)的報(bào)告［1］，點(diǎn)對(duì)點(diǎn)（P2P）流量，如來自Kazaa的音樂文件共享，可能特別危險(xiǎn)，因?yàn)樗?jīng)常將損壞的文件引入網(wǎng)絡(luò)，并且可以避開傳統(tǒng)的安全工具。

最近對(duì)國防部入站網(wǎng)絡(luò)流量的觀察表明，絕大多數(shù)與通常與 Web 流量相關(guān)的端口相關(guān)聯(lián)，如表 1 所示。就其本身而言，這種關(guān)聯(lián)并不意味著流量是合法的。

表 1：大多數(shù)入站到 DoD 的流量都與這些典型的 Web 端口相關(guān)聯(lián)，但這種關(guān)聯(lián)并不意味著流量是合法的。

實(shí)際上，此流量通常代表惡意活動(dòng)，只是將自己“偽裝”為合法的Web流量。根據(jù)國土安全部（DHS）的數(shù)據(jù)，2007年對(duì)機(jī)構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)相關(guān)攻擊增加了158%，而變相流量可能是造成這種急劇上升的部分原因?？紤]到這一非常真實(shí)且不斷增長的威脅，國防部必須消除娛樂網(wǎng)絡(luò)使用導(dǎo)致潛在安全漏洞的可能性。

作為應(yīng)對(duì)網(wǎng)絡(luò)安全和帶寬挑戰(zhàn)的一個(gè)例子，國防信息系統(tǒng)局 （DISA） 實(shí)施了全球信息網(wǎng)格 - 帶寬擴(kuò)展 （GIG-BE） 計(jì)劃，以增加帶寬并使對(duì)美國大陸約 87 個(gè)關(guān)鍵站點(diǎn)的物理訪問多樣化。國防部還阻止在戰(zhàn)場(chǎng)上的官方軍用計(jì)算機(jī)上訪問流行的娛樂網(wǎng)站，如YouTube，MySpace和Photobucket。

雖然這些主動(dòng)努力有助于提高網(wǎng)絡(luò)可靠性，但有些方法充其量是有限的。我們需要的是支持 DPI 的應(yīng)用程序，這些應(yīng)用程序可以更豐富地了解通過網(wǎng)絡(luò)的流量。

DPI：以策略為中心的方法應(yīng)對(duì)以網(wǎng)絡(luò)為中心的挑戰(zhàn)

為了保護(hù) DoD 網(wǎng)絡(luò)的完整性并確保為基本操作提供足夠的帶寬，管理員必須確定消耗網(wǎng)絡(luò)帶寬的流量的確切性質(zhì)，并通過網(wǎng)絡(luò)范圍的策略實(shí)施來阻止流量或確定流量的優(yōu)先級(jí)。更重要的是，檢測(cè)和分析必須在不影響網(wǎng)絡(luò)速度或增加延遲的情況下進(jìn)行。

通過標(biāo)準(zhǔn)的傳輸控制協(xié)議（TCP）/互聯(lián)網(wǎng)協(xié)議（IP）網(wǎng)絡(luò)，數(shù)據(jù)使用小數(shù)據(jù)包在系統(tǒng)之間發(fā)送，這些小數(shù)據(jù)包快速遍歷網(wǎng)絡(luò)，并在各自的端點(diǎn)重新組裝以重新創(chuàng)建原始信息。當(dāng)前流量監(jiān)控和管理技術(shù)的目的是掃描單個(gè)數(shù)據(jù)包以檢測(cè)特定模式，發(fā)出有關(guān)攻擊或未經(jīng)授權(quán)使用的警報(bào)，并阻止有害活動(dòng)。

例如，常見的安全應(yīng)用程序包括入侵檢測(cè)系統(tǒng) （IDS）、入侵防御系統(tǒng) （IPS） 和防火墻。防火墻通常用于阻止互聯(lián)網(wǎng)端口或可疑 IP 地址上的有害流量。許多現(xiàn)代防火墻還可以識(shí)別和阻止有害協(xié)議。雖然防火墻會(huì)同時(shí)檢查入站和出站流量，但它們僅在部署站點(diǎn)提供保護(hù)，不保護(hù)開放系統(tǒng)互連 （OSI） 模型的第四到第七級(jí)網(wǎng)絡(luò)，也不闡明用于確定訪問權(quán)限的策略。圖 1 說明了支持 DPI 的技術(shù)提供的額外可見性。

圖1：DPI 超越了 OSI 模型的表層，以查看每個(gè)數(shù)據(jù)包的實(shí)際內(nèi)容。

另一方面，支持 DPI 的設(shè)備允許以線速傳輸大量數(shù)據(jù)，同時(shí)提供對(duì)更深層次網(wǎng)絡(luò)流量的前所未有的可見性，以識(shí)別和補(bǔ)救安全漏洞和未經(jīng)授權(quán)的使用。

在 OSI 模型的第 2 層到第 7 層運(yùn)行，支持 DPI 的應(yīng)用程序可以通過在數(shù)據(jù)的“DNA”中搜索定義的特定于協(xié)議的特征（如 http 的 URL 或 SMTP 的電子郵件地址）來指導(dǎo)、過濾和記錄基于 IP 的應(yīng)用程序和 Web 通信，而不考慮協(xié)議或應(yīng)用程序類型。這些變量由網(wǎng)絡(luò)管理員在規(guī)則或策略引擎中配置，該規(guī)則或策略引擎根據(jù)基于簽名的比較實(shí)現(xiàn)這些策略;啟發(fā)式、統(tǒng)計(jì)或基于異常的技術(shù);或這些的某種組合。例如，許多DPI設(shè)備可以識(shí)別數(shù)據(jù)包流（除了進(jìn)行逐個(gè)數(shù)據(jù)包分析），從而允許根據(jù)累積的流信息實(shí)施控制操作。

從本質(zhì)上講，DPI 應(yīng)用程序需要定義每個(gè)適用的協(xié)議才能運(yùn)行。存在數(shù)以千計(jì)的以太網(wǎng)協(xié)議，每種協(xié)議都有自己獨(dú)特的會(huì)話格式。此外，由于標(biāo)準(zhǔn)組的修改或新協(xié)議的引入，這些協(xié)議定義經(jīng)常變化。雖然許多 L4 安全設(shè)備在做出數(shù)據(jù)包處理決策之前僅檢查數(shù)據(jù)包的 IP 標(biāo)頭以識(shí)別 IP 和端口信息，但由于對(duì)數(shù)據(jù)協(xié)議和特性進(jìn)行更全面的檢查，DPI 系統(tǒng)可以解決更大的數(shù)據(jù)包處理挑戰(zhàn)。

專門構(gòu)建的 DPI 平臺(tái)可以結(jié)合 IDS、IPS 和防火墻以及任何其他基于 DPI 的應(yīng)用程序（即用于合法攔截和數(shù)據(jù)泄漏預(yù)防的應(yīng)用程序）的功能，從而提供重要的附加功能和保護(hù)，使網(wǎng)絡(luò)管理員能夠簡化和保護(hù)流量。標(biāo)記為“高優(yōu)先級(jí)”的消息（如任務(wù)關(guān)鍵型通信）可以在娛樂活動(dòng)（如觀看體育集錦或收聽流媒體廣播）中涉及的低優(yōu)先級(jí)消息或數(shù)據(jù)包之前路由到其目的地。更深層次的可見性還意味著可以識(shí)別與未經(jīng)授權(quán)的使用相關(guān)的惡意數(shù)據(jù)并采取行動(dòng)。這種能力對(duì)于應(yīng)對(duì)娛樂性或未經(jīng)授權(quán)使用軍事網(wǎng)絡(luò)帶來的挑戰(zhàn)至關(guān)重要。

用于網(wǎng)絡(luò)管理的通用操作平臺(tái)

支持 DPI 的設(shè)備增強(qiáng)了傳統(tǒng)安全、流量管理以及網(wǎng)絡(luò)監(jiān)控和分析解決方案的功能。理想情況下，國防部應(yīng)該考慮在一個(gè)通用的操作平臺(tái)上部署這些技術(shù)，利用內(nèi)部開發(fā)的政府現(xiàn)貨（GOTS）應(yīng)用程序和商業(yè)現(xiàn)貨（COTS）應(yīng)用程序。網(wǎng)絡(luò)設(shè)備必須跟上千兆位線速的步伐，并支持實(shí)時(shí)深度數(shù)據(jù)包處理。

若要滿足 DPI 的要求，平臺(tái)必須：

基于 Linux，因?yàn)榇蠖鄶?shù)前瞻性的安全和網(wǎng)絡(luò)監(jiān)控應(yīng)用程序都是開源和基于 Linux 的

可定制以適應(yīng)不斷變化的網(wǎng)絡(luò)解決方案要求

經(jīng)濟(jì)高效，因?yàn)槲锢砜臻g、設(shè)施和電力成本迫使國防部做出注重預(yù)算的高性能決策

可編程，因此 DoD 可以快速開發(fā)、部署和管理任務(wù)關(guān)鍵型操作、新服務(wù)和應(yīng)用程序

以策略為中心，允許國防部為網(wǎng)絡(luò)流量定義自己的策略

支持IPv6，因?yàn)檎咽跈?quán)今年采用互聯(lián)網(wǎng)協(xié)議版本6（IPv6）

要實(shí)現(xiàn)國防部關(guān)于支持所有信息分類級(jí)別和協(xié)作的安全而強(qiáng)大的網(wǎng)絡(luò)的愿景，需要獨(dú)特的網(wǎng)絡(luò)分析和控制功能。在靈活的平臺(tái)和全面的策略的支持下，支持 DPI 的應(yīng)用程序超越了傳統(tǒng)的安全工具，為聲音帶寬和安全控制提供了前所未有的可見性。最終，這項(xiàng)技術(shù)可以幫助國防部在鼓勵(lì)通信和創(chuàng)新之間找到適當(dāng)?shù)钠胶?，同時(shí)保護(hù)國防部數(shù)據(jù)的安全性和完整性。

審核編輯：郭婷