面對不斷增長的網(wǎng)絡(luò)使用量，國防部可以尋求深度數(shù)據(jù)包檢測，以更深層次地區(qū)分授權(quán)、未經(jīng)授權(quán)和娛樂流量，以實現(xiàn)更好的安全性、帶寬管理和整體信息保障。

現(xiàn)代戰(zhàn)爭對網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施提出了非常特殊的要求。隨著國防部（DoD）不斷發(fā)展以支持以網(wǎng)絡(luò)為中心的環(huán)境，該機構(gòu)的網(wǎng)絡(luò)對于維持安全協(xié)作和信息共享至關(guān)重要，這是戰(zhàn)場和任務(wù)行動的共同作戰(zhàn)圖景所必需的。

然而，國防部網(wǎng)絡(luò)還支持非關(guān)鍵任務(wù)的各種流量。隨著VoIP和流媒體等下一代融合應(yīng)用程序池的不斷增長，未經(jīng)授權(quán)和娛樂性使用網(wǎng)絡(luò)越來越多地占用重要任務(wù)操作所需的帶寬。除了給防御網(wǎng)絡(luò)帶來沉重壓力外，這種大量未經(jīng)授權(quán)的網(wǎng)絡(luò)流量還隱藏了安全工具中的惡意內(nèi)容。

更大的用戶群以及對關(guān)鍵任務(wù)信息的更大需求所帶來的固有威脅意味著國防部需要充分了解和管理誰在網(wǎng)絡(luò)上，用戶在做什么以及他們有權(quán)訪問的資源。國防部網(wǎng)絡(luò)管理員必須超越傳統(tǒng)的網(wǎng)絡(luò)分析方法，實施深度數(shù)據(jù)包檢測 （DPI） 技術(shù)，以保持機構(gòu)網(wǎng)絡(luò)可靠、及時和安全。

國防部國內(nèi)外威脅

根據(jù)非正式估計，70%的國防部網(wǎng)絡(luò)流量被認為是“非官方的”。這意味著與國防部業(yè)務(wù)無關(guān)的流量在很大程度上主導(dǎo)了該機構(gòu)的可用帶寬，降低了可用于執(zhí)行和支持任務(wù)的吞吐量，并損害了網(wǎng)絡(luò)安全。

例如，像YouTube這樣的流媒體網(wǎng)站對國防部網(wǎng)絡(luò)來說尤其麻煩。這些文件通常非常大，可能會創(chuàng)建導(dǎo)致帶寬問題的不對稱流量。對國防部網(wǎng)絡(luò)流量的獨立分析發(fā)現(xiàn)，此類流媒體網(wǎng)站的使用在NCAA瘋狂三月錦標賽和奧運會等備受矚目的活動中達到頂峰。

毋庸置疑，這種娛樂性使用帶寬對國家安全構(gòu)成了非?，F(xiàn)實的威脅。事實上，國防部最近向參議院軍事委員會提交的一份關(guān)于國防部人員訪問互聯(lián)網(wǎng)的報告強調(diào)，如果不加以檢查，未經(jīng)授權(quán)和娛樂性地使用國防部網(wǎng)絡(luò)可能會減少可用于關(guān)鍵任務(wù)數(shù)據(jù)傳輸?shù)膸?，甚至阻礙關(guān)鍵任務(wù)數(shù)據(jù)傳輸。此外，坦率地說，更成問題的是，通過創(chuàng)造更高的流量，娛樂用途可能會偽裝并允許入侵者、病毒和其他惡意威脅偽裝成良性流量。根據(jù)向國會提交的一份關(guān)于國防部人員訪問互聯(lián)網(wǎng)的報告［1］，點對點（P2P）流量，如來自Kazaa的音樂文件共享，可能特別危險，因為它經(jīng)常將損壞的文件引入網(wǎng)絡(luò)，并且可以避開傳統(tǒng)的安全工具。

最近對國防部入站網(wǎng)絡(luò)流量的觀察表明，絕大多數(shù)與通常與 Web 流量相關(guān)的端口相關(guān)聯(lián)，如表 1 所示。就其本身而言，這種關(guān)聯(lián)并不意味著流量是合法的。

表 1：大多數(shù)入站到 DoD 的流量都與這些典型的 Web 端口相關(guān)聯(lián)，但這種關(guān)聯(lián)并不意味著流量是合法的。

實際上，此流量通常代表惡意活動，只是將自己“偽裝”為合法的Web流量。根據(jù)國土安全部（DHS）的數(shù)據(jù)，2007年對機構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)相關(guān)攻擊增加了158%，而變相流量可能是造成這種急劇上升的部分原因。考慮到這一非常真實且不斷增長的威脅，國防部必須消除娛樂網(wǎng)絡(luò)使用導(dǎo)致潛在安全漏洞的可能性。

作為應(yīng)對網(wǎng)絡(luò)安全和帶寬挑戰(zhàn)的一個例子，國防信息系統(tǒng)局 （DISA） 實施了全球信息網(wǎng)格 - 帶寬擴展 （GIG-BE） 計劃，以增加帶寬并使對美國大陸約 87 個關(guān)鍵站點的物理訪問多樣化。國防部還阻止在戰(zhàn)場上的官方軍用計算機上訪問流行的娛樂網(wǎng)站，如YouTube，MySpace和Photobucket。

雖然這些主動努力有助于提高網(wǎng)絡(luò)可靠性，但有些方法充其量是有限的。我們需要的是支持 DPI 的應(yīng)用程序，這些應(yīng)用程序可以更豐富地了解通過網(wǎng)絡(luò)的流量。

DPI：以策略為中心的方法應(yīng)對以網(wǎng)絡(luò)為中心的挑戰(zhàn)

為了保護 DoD 網(wǎng)絡(luò)的完整性并確保為基本操作提供足夠的帶寬，管理員必須確定消耗網(wǎng)絡(luò)帶寬的流量的確切性質(zhì)，并通過網(wǎng)絡(luò)范圍的策略實施來阻止流量或確定流量的優(yōu)先級。更重要的是，檢測和分析必須在不影響網(wǎng)絡(luò)速度或增加延遲的情況下進行。

通過標準的傳輸控制協(xié)議（TCP）/互聯(lián)網(wǎng)協(xié)議（IP）網(wǎng)絡(luò)，數(shù)據(jù)使用小數(shù)據(jù)包在系統(tǒng)之間發(fā)送，這些小數(shù)據(jù)包快速遍歷網(wǎng)絡(luò)，并在各自的端點重新組裝以重新創(chuàng)建原始信息。當前流量監(jiān)控和管理技術(shù)的目的是掃描單個數(shù)據(jù)包以檢測特定模式，發(fā)出有關(guān)攻擊或未經(jīng)授權(quán)使用的警報，并阻止有害活動。

例如，常見的安全應(yīng)用程序包括入侵檢測系統(tǒng) （IDS）、入侵防御系統(tǒng) （IPS） 和防火墻。防火墻通常用于阻止互聯(lián)網(wǎng)端口或可疑 IP 地址上的有害流量。許多現(xiàn)代防火墻還可以識別和阻止有害協(xié)議。雖然防火墻會同時檢查入站和出站流量，但它們僅在部署站點提供保護，不保護開放系統(tǒng)互連 （OSI） 模型的第四到第七級網(wǎng)絡(luò)，也不闡明用于確定訪問權(quán)限的策略。圖 1 說明了支持 DPI 的技術(shù)提供的額外可見性。

圖1：DPI 超越了 OSI 模型的表層，以查看每個數(shù)據(jù)包的實際內(nèi)容。

另一方面，支持 DPI 的設(shè)備允許以線速傳輸大量數(shù)據(jù)，同時提供對更深層次網(wǎng)絡(luò)流量的前所未有的可見性，以識別和補救安全漏洞和未經(jīng)授權(quán)的使用。

在 OSI 模型的第 2 層到第 7 層運行，支持 DPI 的應(yīng)用程序可以通過在數(shù)據(jù)的“DNA”中搜索定義的特定于協(xié)議的特征（如 http 的 URL 或 SMTP 的電子郵件地址）來指導(dǎo)、過濾和記錄基于 IP 的應(yīng)用程序和 Web 通信，而不考慮協(xié)議或應(yīng)用程序類型。這些變量由網(wǎng)絡(luò)管理員在規(guī)則或策略引擎中配置，該規(guī)則或策略引擎根據(jù)基于簽名的比較實現(xiàn)這些策略;啟發(fā)式、統(tǒng)計或基于異常的技術(shù);或這些的某種組合。例如，許多DPI設(shè)備可以識別數(shù)據(jù)包流（除了進行逐個數(shù)據(jù)包分析），從而允許根據(jù)累積的流信息實施控制操作。

從本質(zhì)上講，DPI 應(yīng)用程序需要定義每個適用的協(xié)議才能運行。存在數(shù)以千計的以太網(wǎng)協(xié)議，每種協(xié)議都有自己獨特的會話格式。此外，由于標準組的修改或新協(xié)議的引入，這些協(xié)議定義經(jīng)常變化。雖然許多 L4 安全設(shè)備在做出數(shù)據(jù)包處理決策之前僅檢查數(shù)據(jù)包的 IP 標頭以識別 IP 和端口信息，但由于對數(shù)據(jù)協(xié)議和特性進行更全面的檢查，DPI 系統(tǒng)可以解決更大的數(shù)據(jù)包處理挑戰(zhàn)。

專門構(gòu)建的 DPI 平臺可以結(jié)合 IDS、IPS 和防火墻以及任何其他基于 DPI 的應(yīng)用程序（即用于合法攔截和數(shù)據(jù)泄漏預(yù)防的應(yīng)用程序）的功能，從而提供重要的附加功能和保護，使網(wǎng)絡(luò)管理員能夠簡化和保護流量。標記為“高優(yōu)先級”的消息（如任務(wù)關(guān)鍵型通信）可以在娛樂活動（如觀看體育集錦或收聽流媒體廣播）中涉及的低優(yōu)先級消息或數(shù)據(jù)包之前路由到其目的地。更深層次的可見性還意味著可以識別與未經(jīng)授權(quán)的使用相關(guān)的惡意數(shù)據(jù)并采取行動。這種能力對于應(yīng)對娛樂性或未經(jīng)授權(quán)使用軍事網(wǎng)絡(luò)帶來的挑戰(zhàn)至關(guān)重要。

用于網(wǎng)絡(luò)管理的通用操作平臺

支持 DPI 的設(shè)備增強了傳統(tǒng)安全、流量管理以及網(wǎng)絡(luò)監(jiān)控和分析解決方案的功能。理想情況下，國防部應(yīng)該考慮在一個通用的操作平臺上部署這些技術(shù)，利用內(nèi)部開發(fā)的政府現(xiàn)貨（GOTS）應(yīng)用程序和商業(yè)現(xiàn)貨（COTS）應(yīng)用程序。網(wǎng)絡(luò)設(shè)備必須跟上千兆位線速的步伐，并支持實時深度數(shù)據(jù)包處理。

若要滿足 DPI 的要求，平臺必須：

基于 Linux，因為大多數(shù)前瞻性的安全和網(wǎng)絡(luò)監(jiān)控應(yīng)用程序都是開源和基于 Linux 的

可定制以適應(yīng)不斷變化的網(wǎng)絡(luò)解決方案要求

經(jīng)濟高效，因為物理空間、設(shè)施和電力成本迫使國防部做出注重預(yù)算的高性能決策

可編程，因此 DoD 可以快速開發(fā)、部署和管理任務(wù)關(guān)鍵型操作、新服務(wù)和應(yīng)用程序

以策略為中心，允許國防部為網(wǎng)絡(luò)流量定義自己的策略

支持IPv6，因為政府已授權(quán)今年采用互聯(lián)網(wǎng)協(xié)議版本6（IPv6）

要實現(xiàn)國防部關(guān)于支持所有信息分類級別和協(xié)作的安全而強大的網(wǎng)絡(luò)的愿景，需要獨特的網(wǎng)絡(luò)分析和控制功能。在靈活的平臺和全面的策略的支持下，支持 DPI 的應(yīng)用程序超越了傳統(tǒng)的安全工具，為聲音帶寬和安全控制提供了前所未有的可見性。最終，這項技術(shù)可以幫助國防部在鼓勵通信和創(chuàng)新之間找到適當?shù)钠胶猓瑫r保護國防部數(shù)據(jù)的安全性和完整性。

審核編輯：郭婷