若何用Linux安全管理网络流量[Linux安全]

近十几年来,互联网已经成为越来越重要的需求.据统计,互联网目前已成为人类社会最重要的信息底子设备,占人类信息交流的80%.对社会进步、经济发展和国家安全具有庞大战略意义.在这种大后台下,面对日益复杂的网络联机及渐渐增添的网络流量,系统和网络管理者必须耗费更多时间精神来理解这些网络设备的运作情况,以保持一个系统的正常运作.

普通来说,网络管理者所需求理解的是各个网段的利用情形,频宽的利用率,网络问题的瓶颈发生于何处.当网络问题发生时,必须可以很快地解析和判断出问题的发生缘由,大概是线路问题、网络设备问题、大概是路由器的设定问题.对网络流量举行有效的管理是最大化施展网络效能的主要因素.那么,管理网络流量的时刻应当通过什么样的根据管理,通过什么手段有效的把流量举行辨认、解析和管理呢?这是本专题所要办理的主要问题.

普通说来,我们可以将网络流量管理大致分为以下几个大的范围:

1、 流量辨认

流量辨认,也叫业务辨认|(Application Awareness):它是伴随着网络业务的发达发展而呈现的一个新的概念,通过对业务流量从数据链路层到利用层的报文深度查抄解析,根据协议范例、端口号、特点字符串和流量行为特点等参数,获得业务范例、业务状况、业务内容和用户行为等信息,并举行分类统计和存储.业务辨认的基本目的是帮忙网络管理者得到网络层之上的业务层流量信息,如业务范例、业务状况、业务分布、业务流量流向等.业务辨认是一个相对复杂的历程,需求多个功效模块的协同工作,业务辨认的工作历程简单描写以下: 

◆辨认处理模块采取多通道辨认处理,通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法,将网络流量均匀的分配到多个处理通道中. 

◆多处理通道并行履行网络流量的深度报文查抄,获得网络流量的特点信息,并与业务辨认特点库中的特点举行比对. 

◆将匹配后果送往辨认处理模块,并标识特定网络流量.假如存在多个匹配后果,选取优先级较高的匹配后果举行标识.特定网络流量一经辨认肯定,该网络流量的后续衔接将不再举行深度的报文查抄,直接将其网络层和传输层信息与已知辨认后果举行比对,提高履行效率. 

◆辨认处理模块将网络流量的业务辨认后果存储到辨认后果存储模块中,为网络流量的统计解析供应根据. 

◆统计解析模块从辨认后果存储模块中读取相关信息,并以曲线、饼图、柱状图大概文本的方法将辨认后果信息显示,或以文件的情势输出. 

◆在后果存储模块中保存的辨认后果信息会输出到网络流量管理功效区,为实施网络流量管理供应根据.

目前常用、典型的业务辨认技术就是我们所熟知的DPI技术和DFI技术.

（1）DPI技术

PI是深度报文检测(Deep Packet Inspection)的简称,是一种典型的业务辨认技术.DPI技术之所以称为“深度”的检测技术,是相关于传统的检测技术而言的.传统的流量检测技术仅获得那些存放在数据包网络层和传输层协议头中的基本信息,包含源/目的IP地址、源/目的传输层端口号、协议号,以及底层的衔接状况等.通过这些参数很可贵到充足多的业务利用信息.关于当前P2P利用、VoIP利用、IPTV利用被遍及展开的情形,传统的流量检测技术已经不能满意网络流量管理的需求了.

DPI技术对传统的流量检测技术举行了“深度”扩大,在获得数据包基本信息的同时,对多个相关数据包的利用层协议头和协议负荷举行扫描,获得存放在利用层中的特点信息,对网络流量举行精密的查抄、监控和解析.

DPI技术普通采取以下的数据包解析办法: 

◆传输层端口解析.很多利用利用默许的传输层端口号,比方HTTP协议利用80端口. 

◆特点字匹配解析.一些利用在利用层协议头,大概利用层负荷中的特定位置中包含特点字段,通过特点字段的辨认实现数据包查抄、监控和解析. 

◆通信交互历程解析.对多个会话的事件交互历程举行监控解析,包含包长度、发送的包数目等,实现对网络业务的查抄、监控和解析.

（2）DFI技术

DFI是深度风行为检测(Deep Flow Inspection)的简称,也是一种典型的业务辨认技术.DFI技术是相关于DPl技术提出的,为了办理DPI技术的履行效率、加密流量辨认和频繁进级等问题而呈现的.DFI更关注于网络流量特点的通用性,因此,DFI技术并不对网络流量举行深度的报文检测,而仅通过对网络流量的状况、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计解析,来获得业务范例、业务状况.

两种技术的计划基本目标都是为了实现业务辨认,但是二者在实现的着眼点和技术细节方面还是存在着较大辨别的.从两种技术的比较情形看,二者互有上风,也互有弊端,DPI技术实用于需求精密和精确辨认、精密管理的环境,而DFI技术实用于需求高效辨认,粗放管理的环境.

2、流量统计解析

网络流量管理的基本目标是理解网络、业务和用户资源的利用情形,找到性能瓶颈并举行精密化管理,对用户行为举行解析和掌握,以及对信息安全防护.

在网络中多个层面的网络设备中集成业务辨认功效,如骨干节点之间、服务供应商互联节点之间、国际出口、城域网出口和城域网接入层等,大概单独布置具有业务辨认功效的网络设备对网络流量举行统计解析和趋向判断.通过流量统计解析,网络管理者可以知道当前网络中的业务流量的范例、带宽、时间和空间分布、流向等信息.

3、流量管理

将流量辨认本领增添到网络流量管理中,可以帮忙网络管理者对网络资源和业务资源举行带宽掌握和资源调度.具有业务辨认本领的网络流量管理将具有P2P利用的管理本领,通过对P2P流量的克制来晋升传统数据业务的用户体验度.具有业务辨认本领的网络流量管理还可以对严重影响业务运营者收入的未经答应的业务举行克制.通过对VoIP信令流量和媒体流量的关联检测和统计解析,通过截断媒体数据包、假装信令报文等方法对VoIP业务举行流量管理.通过综合利用网络层、传输层和利用层检测技术,对未经答应的宽带私接用户采纳中止衔接、主动告警、分时掌握等多种管理行动,实现对未经答应的宽带私接的流量管理.业务辨认还可以帮忙网络流量管理实现业务资源的调度,业务辨认可以得到业务资源利用、业务状况的及时隋况.当某一业务服务器负载较大时,可以举行全局的业务资源负载均衡,平均的承当业务恳求;同时也可以对用户的业务恳求举行调度,决意能否持续呼利用户新的业务恳求,大概按照用户的优先级,优先呼应高优先级用户的业务恳求,晋升业务运营效率.

4、其他方面

关于网络流量管理来说,在网络中的多个层面的网络设备中集成业务辨认功效,大概单独布置具有业务辨认功效的网络设备,和防火墙等网络安全设备协同构建一个主动的安全威胁防备体系,晋升整个网络的安全防护本领.

具有业务辨认本领的网络流量管理具有主动的流量特点辨认解析本领,可以主动的发现诸如DDoS攻击、病毒和木马等非常流量,较好的补偿其他网络安全设备,如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等的不足,晋升其主动发现安全威胁的本领,并可以及时的向其他网络安全设备发出告警,从安全威胁源头开始就举行主动的防备.

此外,具有业务辨认本领的网络流量管理还可以获得并保存网络流量的网络层信息(比方,源/目的IP地址、用户标识ID等信息),通过这些信息,网络管理者可以举行有效的安全威胁的溯源定位.

　　以上是“若何用Linux安全管理网络流量[Linux安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：