固網前端解決方案

1、引言

随着互聯網絡在文化(huà)領域的運用,互聯網上的文化(huà)擴張和文化(huà)霸權将會(huì)成爲一個新的問(wèn)題。如何在網絡時代保持傳統文化(huà),維護本國(guó)文化(huà)的個性,将會(huì)具有越來(lái)越重要(yào)的意義。在國(guó)內(nèi),伴随着網絡信息總量的不(bù)斷攀升,網上出現(xiàn)大(dà)量以聲、圖、文形式傳播的暴力、反動、迷信、賭博、毒品等不(bù)良內(nèi)容,這(zhè)些都對人(rén)們的日常生活産生了很(hěn)大(dà)的影響,尤其對青少年的健康成長造成很(hěn)大(dà)的傷害。但(dàn)這(zhè)些有害的信息僅僅依靠法律的手段來(lái)約束是(shì)不(bù)夠的,需要(yào)我們從(cóng)技術上來(lái)克服這(zhè)些內(nèi)容對社會(huì)造成的影響。由此,必須進一步加強信息內(nèi)容安全技術的研究與應用。

與此同時,移動通(tōng)信網、廣播電(diàn)視(shì)網、互聯網三網融合後,新的信息技術還将帶來(lái)新的信息安全問(wèn)題,如多(duō)媒體(tǐ)內(nèi)容安全問(wèn)題、超寬帶無線自(zì)組網安全問(wèn)題、移動智能終端安全防範問(wèn)題等等。綜上所述,信息安全面臨的威脅日益嚴重,信息社會(huì)爲網絡與信息安全提出了更高(gāo)挑戰。

2、整體(tǐ)解決方案

當前,電(diàn)信骨幹網絡大(dà)量采用40G POS及100G以太網技術,對這(zhè)類鏈路(lù)的數據取證工(gōng)作必然需要(yào)采取集群方式,因此需要(yào)解決鏈路(lù)協議轉換、負載均衡,并盡可(kě)能減少後端分(fēn)析系統的負載。

固網取證整體(tǐ)解決方案如圖1所示,由前端和後端兩部分(fēn)組成,前後端之間(jiān)通(tōng)過流量分(fēn)析接口将疑似非法流量導入後端分(fēn)析平台,通(tōng)過動态控制(zhì)接口“遠程控制(zhì)協議(RCP)”進行(xíng)一體(tǐ)化(huà)控制(zhì)。


圖1 固網取證整體(tǐ)解決方案

後端系統根據不(bù)同的需求可(kě)以采用不(bù)同的結構,但(dàn)整體(tǐ)上由流恢複層、定向應用層、分(fēn)析挖掘層和數據庫層共四部分(fēn)組成。無論面向何種應用,在當前互聯網流量急劇增加的情況下,都需要(yào)前端設備有效衰減流量,降低(dī)後端服務器的計算和能耗。


圖2 固網後端推薦方案
3、戎騰固網前端解決方案

戎騰網絡固網前端解決方案,從(cóng)降低(dī)用戶整體(tǐ)成本爲出發點,滿足用戶各種需求爲核心,推出了以下四種解決方案:

(1) 核心網絡ATCA架構方案

采用ATCA-NTW1280機箱或ATCA-NTW6401機箱,流量通(tōng)過分(fēn)光進入PFC802(40G POS卡)、HFC602線卡(100G以太網卡)、CNT8PE(10G POS卡)、CNT16(10G POS卡)進入設備,通(tōng)過多(duō)元組過濾,分(fēn)組分(fēn)流輸出。根據目前各後端系統的技術狀态及商用萬兆以太網的價位,所有輸出均采用10G以太網。

戎騰網絡研制(zhì)的各種輸入線卡,自(zì)身就(jiù)帶有輸出功能,如PFC802有8個萬兆以太網輸出接口,HFC602有6個萬兆以太網輸出接口,CNT8PE和CNT16PE每對鏈路(lù)都支持輸入爲POS,輸出爲以太網。PFC802、CNT8PE和CNT16PE都按照(zhào)輸入輸出1:1設計,輸入闆卡本身輸出可(kě)以滿足需要(yào)全流量輸出的應用場(chǎng)合。HFC602按照(zhào)輸入輸出10:3設計,滿足網監領域10%至20%的輸出比例要(yào)求,若用戶需要(yào)更多(duō)流量的輸出,可(kě)以采用CNT16或CNT8實現(xiàn)更多(duō)流量的輸出。

戎騰網絡所研設備的處理能力:

  1. 單機箱100G以太網最大(dà)輸入能力爲2.4T(共12對100G以太網鏈路(lù));
  2. 單機箱40G POS最大(dà)輸入能力爲960G(共12對40G POS鏈路(lù));
  3. 單機箱10G POS/WAN/LAN最大(dà)輸入能力1.92T(共96對萬兆鏈路(lù));
  4. 最大(dà)交換能力1.28T;
  5. 單闆卡支持多(duō)元組規則256K;
  6. 最多(duō)支持1024台後端分(fēn)析計算機。

圖1 固網前端系統基本結構

(2) 核心網絡ATCA架構DPI方案

該方案在固定域過濾方案的基礎上增加DPI闆卡(CDP2000),适用于需要(yào)前端設備使用深度報文檢測過濾部分(fēn)流量的應用場(chǎng)合,如某些分(fēn)析僅關注HTTP POST,另一些分(fēn)析僅關注郵件(jiàn),通(tōng)過DPI闆卡的有效流量衰減,配合多(duō)元組過濾,可(kě)以有效降低(dī)後端分(fēn)析系統的負載。采用CDP2000作爲DPI加速闆卡時,實現(xiàn)流管理、DPI加速和應用層流量識别。CDP2000最大(dà)流量轉發能力80Gbps,最大(dà)正則表達式處理能力44Gbps。

(3) 彙聚網絡ATCA架構方案

彙聚層網絡與骨幹網絡的主要(yào)差别在于Radius信息是(shì)完整的,報文通(tōng)過前端設備時,前端設備可(kě)以識别認證信息,并從(cóng)中提取出IP地(dì)址與用戶名,從(cóng)而在報文輸出時将用戶名與報文綁定輸出,使得後端還原系統自(zì)身就(jiù)能夠溯源到用戶,不(bù)需要(yào)電(diàn)信提供Radius庫,從(cóng)而具備更好的實用性。


基于ATCA的彙聚層解決方案

(4) 獨立機箱解決方案

獨立機箱系統PET是(shì)一種高(gāo)性價比的10G以太網LAN、10G以太網WAN和10G POS流量采集解決方案。PET的系統設計采用核心功能和接口相(xiàng)分(fēn)離(lí)的方式,爲滿足不(bù)同數目鏈路(lù)提供多(duō)種選擇。PET的最小(xiǎo)配置爲PET160與1塊EC4子卡,支持2對鏈路(lù)(上下行(xíng)共4個接口),最大(dà)配置爲PET320與4塊EC8子卡,支持16對鏈路(lù)(上下行(xíng)共16個接口)。