面對不斷增長的網(wǎng)絡使用量，國防部可以尋求深度數(shù)據(jù)包檢測，以更深層次地區(qū)分授權、未經(jīng)授權和娛樂流量，以實現(xiàn)更好的安全性、帶寬管理和整體信息保障。

現(xiàn)代戰(zhàn)爭對網(wǎng)絡通信基礎設施提出了非常特殊的要求。隨著國防部（DoD）不斷發(fā)展以支持以網(wǎng)絡為中心的環(huán)境，該機構的網(wǎng)絡對于維持安全協(xié)作和信息共享至關重要，這是戰(zhàn)場和任務行動的共同作戰(zhàn)圖景所必需的。

然而，國防部網(wǎng)絡還支持非關鍵任務的各種流量。隨著VoIP和流媒體等下一代融合應用程序池的不斷增長，未經(jīng)授權和娛樂性使用網(wǎng)絡越來越多地占用重要任務操作所需的帶寬。除了給防御網(wǎng)絡帶來沉重壓力外，這種大量未經(jīng)授權的網(wǎng)絡流量還隱藏了安全工具中的惡意內(nèi)容。

更大的用戶群以及對關鍵任務信息的更大需求所帶來的固有威脅意味著國防部需要充分了解和管理誰在網(wǎng)絡上，用戶在做什么以及他們有權訪問的資源。國防部網(wǎng)絡管理員必須超越傳統(tǒng)的網(wǎng)絡分析方法，實施深度數(shù)據(jù)包檢測 （DPI） 技術，以保持機構網(wǎng)絡可靠、及時和安全。

國防部國內(nèi)外威脅

根據(jù)非正式估計，70%的國防部網(wǎng)絡流量被認為是“非官方的”。這意味著與國防部業(yè)務無關的流量在很大程度上主導了該機構的可用帶寬，降低了可用于執(zhí)行和支持任務的吞吐量，并損害了網(wǎng)絡安全。

例如，像YouTube這樣的流媒體網(wǎng)站對國防部網(wǎng)絡來說尤其麻煩。這些文件通常非常大，可能會創(chuàng)建導致帶寬問題的不對稱流量。對國防部網(wǎng)絡流量的獨立分析發(fā)現(xiàn)，此類流媒體網(wǎng)站的使用在NCAA瘋狂三月錦標賽和奧運會等備受矚目的活動中達到頂峰。

毋庸置疑，這種娛樂性使用帶寬對國家安全構成了非?，F(xiàn)實的威脅。事實上，國防部最近向參議院軍事委員會提交的一份關于國防部人員訪問互聯(lián)網(wǎng)的報告強調(diào)，如果不加以檢查，未經(jīng)授權和娛樂性地使用國防部網(wǎng)絡可能會減少可用于關鍵任務數(shù)據(jù)傳輸?shù)膸挘踔磷璧K關鍵任務數(shù)據(jù)傳輸。此外，坦率地說，更成問題的是，通過創(chuàng)造更高的流量，娛樂用途可能會偽裝并允許入侵者、病毒和其他惡意威脅偽裝成良性流量。根據(jù)向國會提交的一份關于國防部人員訪問互聯(lián)網(wǎng)的報告［1］，點對點（P2P）流量，如來自Kazaa的音樂文件共享，可能特別危險，因為它經(jīng)常將損壞的文件引入網(wǎng)絡，并且可以避開傳統(tǒng)的安全工具。

最近對國防部入站網(wǎng)絡流量的觀察表明，絕大多數(shù)與通常與 Web 流量相關的端口相關聯(lián)，如表 1 所示。就其本身而言，這種關聯(lián)并不意味著流量是合法的。

表 1：大多數(shù)入站到 DoD 的流量都與這些典型的 Web 端口相關聯(lián)，但這種關聯(lián)并不意味著流量是合法的。

實際上，此流量通常代表惡意活動，只是將自己“偽裝”為合法的Web流量。根據(jù)國土安全部（DHS）的數(shù)據(jù)，2007年對機構網(wǎng)絡的網(wǎng)絡相關攻擊增加了158%，而變相流量可能是造成這種急劇上升的部分原因。考慮到這一非常真實且不斷增長的威脅，國防部必須消除娛樂網(wǎng)絡使用導致潛在安全漏洞的可能性。

作為應對網(wǎng)絡安全和帶寬挑戰(zhàn)的一個例子，國防信息系統(tǒng)局 （DISA） 實施了全球信息網(wǎng)格 - 帶寬擴展 （GIG-BE） 計劃，以增加帶寬并使對美國大陸約 87 個關鍵站點的物理訪問多樣化。國防部還阻止在戰(zhàn)場上的官方軍用計算機上訪問流行的娛樂網(wǎng)站，如YouTube，MySpace和Photobucket。

雖然這些主動努力有助于提高網(wǎng)絡可靠性，但有些方法充其量是有限的。我們需要的是支持 DPI 的應用程序，這些應用程序可以更豐富地了解通過網(wǎng)絡的流量。

DPI：以策略為中心的方法應對以網(wǎng)絡為中心的挑戰(zhàn)

為了保護 DoD 網(wǎng)絡的完整性并確保為基本操作提供足夠的帶寬，管理員必須確定消耗網(wǎng)絡帶寬的流量的確切性質(zhì)，并通過網(wǎng)絡范圍的策略實施來阻止流量或確定流量的優(yōu)先級。更重要的是，檢測和分析必須在不影響網(wǎng)絡速度或增加延遲的情況下進行。

通過標準的傳輸控制協(xié)議（TCP）/互聯(lián)網(wǎng)協(xié)議（IP）網(wǎng)絡，數(shù)據(jù)使用小數(shù)據(jù)包在系統(tǒng)之間發(fā)送，這些小數(shù)據(jù)包快速遍歷網(wǎng)絡，并在各自的端點重新組裝以重新創(chuàng)建原始信息。當前流量監(jiān)控和管理技術的目的是掃描單個數(shù)據(jù)包以檢測特定模式，發(fā)出有關攻擊或未經(jīng)授權使用的警報，并阻止有害活動。

例如，常見的安全應用程序包括入侵檢測系統(tǒng) （IDS）、入侵防御系統(tǒng) （IPS） 和防火墻。防火墻通常用于阻止互聯(lián)網(wǎng)端口或可疑 IP 地址上的有害流量。許多現(xiàn)代防火墻還可以識別和阻止有害協(xié)議。雖然防火墻會同時檢查入站和出站流量，但它們僅在部署站點提供保護，不保護開放系統(tǒng)互連 （OSI） 模型的第四到第七級網(wǎng)絡，也不闡明用于確定訪問權限的策略。圖 1 說明了支持 DPI 的技術提供的額外可見性。

圖1：DPI 超越了 OSI 模型的表層，以查看每個數(shù)據(jù)包的實際內(nèi)容。

另一方面，支持 DPI 的設備允許以線速傳輸大量數(shù)據(jù)，同時提供對更深層次網(wǎng)絡流量的前所未有的可見性，以識別和補救安全漏洞和未經(jīng)授權的使用。

在 OSI 模型的第 2 層到第 7 層運行，支持 DPI 的應用程序可以通過在數(shù)據(jù)的“DNA”中搜索定義的特定于協(xié)議的特征（如 http 的 URL 或 SMTP 的電子郵件地址）來指導、過濾和記錄基于 IP 的應用程序和 Web 通信，而不考慮協(xié)議或應用程序類型。這些變量由網(wǎng)絡管理員在規(guī)則或策略引擎中配置，該規(guī)則或策略引擎根據(jù)基于簽名的比較實現(xiàn)這些策略;啟發(fā)式、統(tǒng)計或基于異常的技術;或這些的某種組合。例如，許多DPI設備可以識別數(shù)據(jù)包流（除了進行逐個數(shù)據(jù)包分析），從而允許根據(jù)累積的流信息實施控制操作。

從本質(zhì)上講，DPI 應用程序需要定義每個適用的協(xié)議才能運行。存在數(shù)以千計的以太網(wǎng)協(xié)議，每種協(xié)議都有自己獨特的會話格式。此外，由于標準組的修改或新協(xié)議的引入，這些協(xié)議定義經(jīng)常變化。雖然許多 L4 安全設備在做出數(shù)據(jù)包處理決策之前僅檢查數(shù)據(jù)包的 IP 標頭以識別 IP 和端口信息，但由于對數(shù)據(jù)協(xié)議和特性進行更全面的檢查，DPI 系統(tǒng)可以解決更大的數(shù)據(jù)包處理挑戰(zhàn)。

專門構建的 DPI 平臺可以結(jié)合 IDS、IPS 和防火墻以及任何其他基于 DPI 的應用程序（即用于合法攔截和數(shù)據(jù)泄漏預防的應用程序）的功能，從而提供重要的附加功能和保護，使網(wǎng)絡管理員能夠簡化和保護流量。標記為“高優(yōu)先級”的消息（如任務關鍵型通信）可以在娛樂活動（如觀看體育集錦或收聽流媒體廣播）中涉及的低優(yōu)先級消息或數(shù)據(jù)包之前路由到其目的地。更深層次的可見性還意味著可以識別與未經(jīng)授權的使用相關的惡意數(shù)據(jù)并采取行動。這種能力對于應對娛樂性或未經(jīng)授權使用軍事網(wǎng)絡帶來的挑戰(zhàn)至關重要。

用于網(wǎng)絡管理的通用操作平臺

支持 DPI 的設備增強了傳統(tǒng)安全、流量管理以及網(wǎng)絡監(jiān)控和分析解決方案的功能。理想情況下，國防部應該考慮在一個通用的操作平臺上部署這些技術，利用內(nèi)部開發(fā)的政府現(xiàn)貨（GOTS）應用程序和商業(yè)現(xiàn)貨（COTS）應用程序。網(wǎng)絡設備必須跟上千兆位線速的步伐，并支持實時深度數(shù)據(jù)包處理。

若要滿足 DPI 的要求，平臺必須：

基于 Linux，因為大多數(shù)前瞻性的安全和網(wǎng)絡監(jiān)控應用程序都是開源和基于 Linux 的

可定制以適應不斷變化的網(wǎng)絡解決方案要求

經(jīng)濟高效，因為物理空間、設施和電力成本迫使國防部做出注重預算的高性能決策

可編程，因此 DoD 可以快速開發(fā)、部署和管理任務關鍵型操作、新服務和應用程序

以策略為中心，允許國防部為網(wǎng)絡流量定義自己的策略

支持IPv6，因為政府已授權今年采用互聯(lián)網(wǎng)協(xié)議版本6（IPv6）

要實現(xiàn)國防部關于支持所有信息分類級別和協(xié)作的安全而強大的網(wǎng)絡的愿景，需要獨特的網(wǎng)絡分析和控制功能。在靈活的平臺和全面的策略的支持下，支持 DPI 的應用程序超越了傳統(tǒng)的安全工具，為聲音帶寬和安全控制提供了前所未有的可見性。最終，這項技術可以幫助國防部在鼓勵通信和創(chuàng)新之間找到適當?shù)钠胶猓瑫r保護國防部數(shù)據(jù)的安全性和完整性。

審核編輯：郭婷