/ 中存储网

纵览当今数据中心安全两大热门技术

2015-07-10 11:07:13 来源:企业网D1Net

如今人们的工作与生活一时也离不开数据中心Data Center。随着移动互联网的普及,极大地增强了人们对内容的需求:网络支付、手机上网、移动办公、虚拟交易等一系列应用改变了人们的生活方式,同时也带来了新的、更为复杂的安全风险,这些风险隐藏在应用的内容之中,和应用本身密不可分,比如WEB服务、网络支出、网络文件共享、软件下载与安装等应用,带来了不计其数的安全漏洞和病毒。比如采用手机支付的方式变得越来越方便,但仍有不少的人担心不够安全,担心自己的信息被泄露,资金受到损失,每当我们下载一个陌生软件时存在顾虑,这个软件有没有病毒?不过自古邪不侵正,正所谓“魔高一尺,道高一丈”,早有成千上万从事安全技术研究的人们为大家的互联网生活保驾护航,为数据中心Data Center的安全建言献策,不少的技术已经形成产品应用于各种数据中心Data Center之中,让人们安心享用这个属于我们的互联网时代。数据中心Data Center安全技术涵盖广泛,远非几言可以概观,该篇文章从网络应用层技术出发,对比说明当今最热门的两大安全技术,抛砖引玉,让大家有所深入了解。

基于应用的安全技术,当今最热门的要属深度包检测技术和深度流检测技术。深度包检测技术(Deep Packet Inspection,即DPI),是在分析报文头的基础上,结合不一样应用协议的“指纹”综合判断所属的计算机应用。深度流检测技术(Deep Flow Inspection,即DFI),是一种基于流量行为的计算机应用识别技术。一种基于报文,一种基于流,由于实现机制不一样,各有各的特点。我们将数据中心Data Center的流量做一下分类,然后再具体看一下哪种安全技术适用于哪些具体的流量。

20141023101506

表1列了常见的网络流量特征,可见不一样的计算机应用的流量表现并不完全相同,所以需要区别对待。早期的安全技术也是根据流量特征实现过滤的,比如当收到网页浏览的流量,发现其数据报文源或目的端口是80,即知道就是网页流量,端口是23是telnet,端口号是22则是ssh,很多应用都是用固定的端口号,这样可以根据端口号的差异采用不一样的安全策略。不过随着各种应用的逐步丰富,很多应用可以采用非标准的端口或者随机变化的端口号,一部分对等网络协议出现并不断演进,可以在协议运行过程中采用动态协商、数据报文加密等方式,让这种古老的技术无法再发挥优势,一定要要对协议可以进行自动识别,才能满足安全性的要求。

深度包检测技术可以精确识别具体的计算机应用,可以逐包检查,将报文和特征库里的特征一一比对,这需要大量的计算,会耗费大量的CPU、内存等资源才能完成。另外为何保证匹配的精确性,要及时更新特征库。每当出现一种新的病毒或者异常流量,都需要实时更新特征库,这样才能确保及时检测出安全隐患。而深度流检测技术却无法精确识别具体应用,只是泛泛地识别某一类应用,所以也不需要大量的计算。深度流检测技术是基于网络层、传输层信息、业务流持续时间、字节长度分布等参数进行分析,也就是表1列出的流量特征。深度流检测技术根据流量特征,那么采取一定的安全措施。由于本身并不需要匹配报文内容,所以也不需要特征库,这样就省去了升级的麻烦。深度包检测技术可以用于需要准确地识别具体应用的系统中,比如各种流量计费系统,用户行为分析系统等;而深度流检测技术只能识别出是哪种应用,因此可以对具体的计算机应用进行流量控制、限速、清洗等应用。从两种安全技术的对比说明中不难看出,深度包检测技术善于精确打击,而深度流检测技术擅长集中控制,在不一样的计算机应用中两者可以发挥着不一样的作用。

如今的安全环境恶劣,除了人为的原因,各种应用不断变换也暴露出多种风险。安全技术一种亡羊补牢的技术,无法预测将来会出现哪些新特征的计算机应用,出现哪些系统漏洞,所以只要发现了漏洞才去修复,因此安全技术也有一定的滞后性。正是这样,在如今互联网络发展非常迅猛的今天,依然有不少人担心安全问题。无论是深度包检测技术还是深度流检测技术,都是完全基于具体应用来进行安全过滤的。比如我们在数据中心Data Center的出入接口部署深度流检测技术,控制异常流量的进入,只允许网页浏览、视频访问应用,并对网络带宽流量进行控制,通过这些安全技术可以让数据中心Data Center整体流量运行平稳,避免带宽的浪费,消除垃圾流量占用数据中心Data Center网络带宽。然后在数据中心Data Center内部各个具体应用服务器部署深度包检测技术,对具体应用报文进行检查,不放过一个不安全的报文,避免病毒入侵,尽管深度包检测技术要消耗大量的计算资源,但由于深度包检测技术只关心数据中心Data Center某一类的计算机应用,整体而言计算体量并不会很大,这样一个主外一个主内可以确保整个数据中心Data Center安全无忧。

深度包检测技术和深度流检测技术是在数据中心Data Center要面对严重网络安全问题的形势下出现的,为数据中心Data Center提供了一套完整的安全解决方案,数据中心Data Center早已离不开这两种技术。在大型的数据中心Data Center里,建议两种安全技术都要部署;在一般的数据中心Data Center建议根据数据中心Data Center的实际情况,看用户更为关注哪类安全,然后选择适当的技术,确保数据中心Data Center安全。在人们越来越重视信息安全的环境背景下,这两类安全技术必将在数据中心Data Center里获得越来越广泛的计算机应用,同时也会在实际应用中不断地完善自身技术。