以NPB先行篩選配送封包 提升網管資安設備效率

現代企業營運業務與網路已密不可分,欲確保有限的網路頻寬得以發揮最大化效益,首先必須掌握網路傳輸流量的內容,也就是具備可視性(Visibility)能力,以避免被重複或有問題的封包佔用,進而加快遞送效能。同時,可視化能力也被廣泛運用在處理資安問題,從網路封包的解析掌握連線行為,藉此辨別正常或異常流量。

不論是網路與應用程式的效能監控與管理、廣域網路加速、應用交付控制器,甚至是入侵偵測防禦、新世代防火牆、應用程式防火牆、APT防禦等網管與資安相關解決方案,雖然橫跨不同技術領域,但運作模式大多採取深度封包檢測(DPI),拆解Layer 2至Layer 7,取出標頭、通訊協定、內容(Payload)等資訊,再利用系統內建工具執行比對、過濾和分析。

但連線流量每次經過一種設備平台,就需要被開拆解析後再重新封裝傳遞,過去的網路環境較單純,不致出現過多的節點導致傳輸延遲時間增加。但隨著雲端運算、行動化應用成為顯學,再加上外部資安威脅從病毒式的破壞攻擊,轉變成謀取利益的資料竊取,企業IT環境複雜度變高、資安防禦設備變多,終究難免影響終端用戶連線效能。於是幾年前在歐美國家即已興起網路封包中介(Network Packet Broker,NPB)的機制,專司負責以深度封包檢測技術對封包進行拆解,再派送到效能管理、資安偵測與防禦平台,以提升整體效能。例如Gigamon、IXIA、Netscout、VSS Monitoring等,皆屬於網路封包中介技術供應商。

PacketX有效實現網路封包可視化

除了外商看重網路封包中介設備市場需求,近期亦有本土廠商PacketX(瑞擎數位)自主研發DPI分析引擎,內建於其GRISM設備提供。瑞擎數位總經理王騰嶽指出,過去常見做法是藉由流量複製器(TAP),或者仰賴交換器內建的Port Mirror功能,將網路流量複製一份送至網管或資安控管設備,再進行深入分析與偵查,但每個節點設備所承受的封包流量均為一致,仍需各自解析封包並篩選資訊。其實網路封包中介設備即是針對此問題,提供更有效率的作法,減少各個節點執行相同的工作程序。

「當網路規模越大、網管與資安設備建置日漸增多,網路封包中介設備所能提升的效益就越大。IT管理者可根據網路拓樸與節點的特性,於網路封包中介設備上設定篩選條件與配送路徑,如此可先行彙整不同源頭的流量,再分配到各個節點分析裝置,確保網管與資安設備只接收到與自身分析功能相關的流量。」王騰嶽說。

尤其是近年來,網路底層架構的改革聲浪不斷,例如軟體定義網路(SDN)、網路功能虛擬化(NFV)等興起,網路封包中介設備的重要性也將日漸顯著。王騰嶽舉例,目前行動通訊核心網路與資料中心的虛擬化網路,皆大量應用到網路隧道協定(Tunneling),但它也讓網路流量變得更複雜、更不易分析。

由於隧道機制是將網路封包重新封裝後再傳輸,網管或資安設備勢必需要能支援GTP、MPLS、QinQ等技術,才有能力解析封包。然而實際上多數設備均未支援,此時即可運用網路封包中介設備來協助。「PacketX提供的GRISM產品屬進階的網路封包中介方案,其技術可將封包的多層封裝拆解至最初狀態,或者直接透視至最內層封包進行篩選分配。」王騰嶽強調。


▲ Gigamon整合旗下包含GigaVUE Fabric Node、GigaVUE-OS軟體,基於專利Flow Mapping技術,搭配流量分析GigaSMART與GigaVUE-FM統一控制器,提供資安訊息派送平台(GigaSECURE Security Delivery Platform)。

此外,網路封包中介設備最常見的應用是依照目的IP或來源IP篩選封包再送到指定的位址,但以電信業為例,由於每個用戶訂購的應用服務不同,需要以使用者為基礎的篩選以配合分析,因此網路封包中介設備在如此應用環境下,亦可轉換成為NAB(Network Application Broker),為後端應用系統提供媒合服務。

Gigamon蒐集篩選流量 助應用服務運行

就台灣市場來看,Gigamon台灣暨越南區總經理錢旭光觀察,可視化機制的應用模式仍屬於早期教育階段,從客戶拜訪的經驗中發現,大多還不太了解可視化能力究竟解決哪類的問題,通常是在理解運作邏輯後才發現,確實是當前所需的機制。

Gigamon具備的深度封包檢測能力,目的是先行從流量中掌握網路整體連線狀態,再執行分流、派送處理。基於Gigamon專利的Flow Mapping技術,可先行定義封包解析後的資訊對應的應用服務,如此一來,可讓網管或資安設備專注處理各自擅長的流量。同時,連線封包所經過的網路節點皆可能產生NetFlow,若全數流量皆解析,會發現許多重複性封包,由於Gigamon本身具備掌握完整網路流量的能力,針對NetFlow資訊可先行刪除重複之處,再提供給後端分析,即可大幅降低網管或資安設備負擔。

「Gigamon設計的GigaSECURE Security Delivery Platform(資安訊息派送平台)內建Application Session Filter功能,擁有Layer 7的解析技術,不僅是辨識雲端服務採用的連接埠為Port 80或443,更進一步可區分連線需求的目的地應用服務,此資訊即可提供應用程式效能管理(APM)系統,執行深入監控與分析。」 錢旭光不諱言,核心技術架構確實有點類似於應用交付控制器(ADC),但功能性與應用模式卻是完全不同。就部署架構來看,ADC是In-line建置,不會遭遇封包遺失的問題;而Gigamon則是Out-of-band架構,也就是利用TAP複製封包,或利用網路設備的Port Mirror功能。但由於Port Mirror本身只負責傳送流量,不具備確認送達的機制,當網路流量變大,需要傳送的封包變多,Mirror流量的優先順序將自動被降低,如此一來即無法避免封包遺失問題。因此建議以TAP方式為主,可確保資料的完整性。

針對虛擬環境,Gigamon亦有建構在Hypervisor之上的虛擬主機,也就是GigaVUE-VM軟體。不需要在虛擬主機中安裝任何程式,借助vSwitch機制即可導出流量。錢旭光以VMware技術平台舉例,Gigamon的統一控管平台GigaVUE-FM可透過vCenter API,實作追蹤vMotion於DRS(Distributed Resource Scheduler)與高可用性叢集架構中的運作狀態,主要即是仰賴Hypervisor提供的VDS(Virtual Distributed Switch),監看虛擬主機之間流量傳遞狀態的機制,GigaVUE-FM藉此機制來蒐集、過濾及篩選流量,再遞送到目的地。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!