當(dāng)前位置:首頁(yè) >  IDC >  服務(wù)器 >  正文

安博通業(yè)界觀察:SDN驅(qū)動(dòng)下一代NPBs產(chǎn)品融合發(fā)展

 2018-12-24 17:10  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

N PBs T AP

在上篇文章(流量可視化如何做到1+1+1>3)中我們分析過(guò)由TAP(分流器)、NPBs和業(yè)務(wù)分析系統(tǒng)三者組成的1+1+1解決方案架構(gòu)。其中TAP產(chǎn)品主要負(fù)責(zé)分流和負(fù)載,而NPBs產(chǎn)品主要負(fù)責(zé)提取和分析。在國(guó)內(nèi)的應(yīng)用語(yǔ)境中,一般我們談到TAP產(chǎn)品會(huì)稱之為“網(wǎng)絡(luò)分流器”,而談到NPBs產(chǎn)品會(huì)稱之為“流量探針、流量傳感器、流量可視化”等。在進(jìn)一步介紹SDN驅(qū)動(dòng)方案之前,筆者想先就分流器產(chǎn)品和流量探針產(chǎn)品之間的區(qū)別,做個(gè)簡(jiǎn)要的說(shuō)明。

“1+1+1”解決方案架構(gòu)示意圖

分流器 前級(jí) 偏重 載荷 、 高性能 硬件方案

從功能方面分析,分流器產(chǎn)品提供三個(gè)最重要的特性,第一個(gè)是編輯 報(bào)文處理 ,例如增減或刪除VLAN/VxLAN/NVGRE/GRE/ERSPAN等協(xié)議標(biāo)簽、編輯報(bào)文的IP/MAC地址、在報(bào)文中增加字段(例如timestamp)、報(bào)文截?cái)?、隧道封裝等。第二個(gè)是分流負(fù)載 ,例如多進(jìn)單出、單進(jìn)多出、多進(jìn)多出(如M:N模型)、HASH負(fù)載、分擔(dān)負(fù)載等。第三個(gè)是載荷級(jí)別 D PI ,例如基于載荷內(nèi)容進(jìn)行數(shù)據(jù)脫敏、數(shù)據(jù)去重、同源同宿、會(huì)話和分片跟蹤等,高性能方案中分流器產(chǎn)品可以提供N段關(guān)鍵字的全包浮動(dòng)搜索。這里要解釋的是,一般意義的上分流器支持的內(nèi)容識(shí)別僅停留在P ayload 級(jí)別 上,實(shí)現(xiàn)在整個(gè)報(bào)文的固定位置匹配精確或浮動(dòng)的特征碼,此分析粒度不足以直接服務(wù)安全和性能分析 。舉例來(lái)說(shuō),當(dāng)APT分析系統(tǒng)需要提取所有包含.doc和.pdf文件作為附件的郵件內(nèi)容,并計(jì)算文件HASH值或?qū)⒃嘉募蠄?bào)時(shí),就不適合直接使用分流器解決問(wèn)題。

從部署位置上看,分流器一般位于前級(jí)位置,需要處理T/10T級(jí)別的大流量,所以分流器產(chǎn)品常采用ATCA架構(gòu)/FPGA芯片等超高性能硬件方案,相應(yīng)地,高性能要求也降低了其功能靈活性和豐富度。

流量探針 后級(jí) 、偏重 應(yīng)用 內(nèi)容層面、豐富功能特性 、業(yè)務(wù)系統(tǒng)對(duì)接

在部署位置上,NPBs產(chǎn)品一般位于分流器/交換機(jī)產(chǎn)品的后級(jí),偏重于流量應(yīng)用層內(nèi)容解析, 具備較為豐富的功能特性 ,而絕對(duì)處理性能相比分流器產(chǎn)品較低 。例如,當(dāng)業(yè)務(wù)系統(tǒng)需要分析應(yīng)用表現(xiàn)和鏈路質(zhì)量時(shí),往往需要采集設(shè)備提供包含區(qū)域鏈路、應(yīng)用流速、應(yīng)用排名、流量占比、應(yīng)用延時(shí)、協(xié)議重傳等等內(nèi)容的綜合性信息,或者當(dāng)業(yè)務(wù)系統(tǒng)需要進(jìn)行安全分析的時(shí)候,需要采集設(shè)備學(xué)習(xí)和建立流量模型,識(shí)別流量應(yīng)用層內(nèi)容,并在流量超出模型范圍一定比例閾值或者出現(xiàn)特定應(yīng)用內(nèi)容時(shí)采取告警和信息上報(bào)。類似這樣的業(yè)務(wù)需求,需要NPBs產(chǎn)品能夠提供比分流器產(chǎn)品更深層的分析能力,不僅需要提供L 7 應(yīng)用層級(jí)別的內(nèi)容識(shí)別能力 ,還需要支持排名、建模、異常發(fā)現(xiàn)等數(shù)據(jù)分析能力 。正是憑借這些能力,NPBs產(chǎn)品才能夠?yàn)閺?fù)雜的業(yè)務(wù)分析和安全分析提供原始材料。

、 NPBs 方案的缺點(diǎn)

了解了分流器產(chǎn)品和NPBs產(chǎn)品的主要區(qū)別后,我們繼續(xù)討論一種應(yīng)用場(chǎng)景:多分支機(jī)構(gòu)組網(wǎng)下的業(yè)務(wù)分析。需求如下圖所示:假設(shè)某組織有50家分支機(jī)構(gòu),通過(guò)廣域網(wǎng)專線和互聯(lián)網(wǎng)VPN方式混合搭建總部和分支之間的通道,內(nèi)網(wǎng)中有數(shù)百個(gè)業(yè)務(wù)系統(tǒng)正在使用,用戶需要進(jìn)行流量采集,并圍繞業(yè)務(wù)使用和內(nèi)網(wǎng)安全進(jìn)行數(shù)據(jù)分析。

多分支機(jī)構(gòu)組網(wǎng)示意圖

針對(duì)此需求,由于所有用戶和業(yè)務(wù)系統(tǒng)的交互流量都要進(jìn)行分析,所以看似合理方案應(yīng)該是在50個(gè)分支機(jī)構(gòu)和總部的出口設(shè)備上旁路部署NPBs產(chǎn)品,進(jìn)行流量采集分析,示意圖如下:

全NPBs組網(wǎng)方案示意圖

但是如果仔細(xì)考慮,會(huì)發(fā)現(xiàn)上述全NPBs方案還有不少的問(wèn)題,例如:

無(wú)法實(shí)現(xiàn)靈活的按需采集

當(dāng)只需要分析某些特定的分公司或應(yīng)用系統(tǒng)時(shí)(可能正在發(fā)生緊急問(wèn)題),或單獨(dú)針對(duì)新上線業(yè)務(wù)進(jìn)行分析時(shí),無(wú)法簡(jiǎn)便地做到只牽引需要的流量,這導(dǎo)致盡管部署了全NPBs方案,但業(yè)務(wù)實(shí)時(shí)生效的NPBs設(shè)備比例很低,造成巨大資源浪費(fèi)。

流量初步過(guò)濾處理能力不足

很多NPBs產(chǎn)品偏重于流量識(shí)別和數(shù)據(jù)分析,但在前級(jí)處理過(guò)濾流量的能力不足,在使用全NPBs方案時(shí),對(duì)去重、截?cái)?、?fù)載等操作支持不佳,導(dǎo)致輸入的無(wú)效流量過(guò)大,NPBs分析的效率較低。

方案造價(jià)較高

相比分流器方案,NPBs產(chǎn)品處理性能較低,而且由于無(wú)法實(shí)現(xiàn)按需采集和初級(jí)過(guò)濾,往往實(shí)際分析僅100Mbps的特定業(yè)務(wù)流量時(shí),卻需要按照鏈路配置1Gbps性能的NPBs產(chǎn)品,造成整體產(chǎn)品選型成本偏高。

下一代 N PBs 產(chǎn)品 的要素

與下一代防火墻的概念類似,為了解決NPBs產(chǎn)品面臨的一些問(wèn)題,Gigamon、Big Switch Networks等NPBs廠商提都出了下一代NPBs產(chǎn)品的概念和要素:

1 、 融合 T AP 能力

越來(lái)越多的NPBs產(chǎn)品開始支持分流器產(chǎn)品的特性,增加流量初級(jí)過(guò)濾的能力,反之,越來(lái)越多的分流器產(chǎn)品也在支持NPBs產(chǎn)品的特性,從而提升流量深層識(shí)別能力。雖然從架構(gòu)層面上看,兩款產(chǎn)品在各自的專用領(lǐng)域基本無(wú)法做到互相替代,但在較通用的場(chǎng)景下,例如企業(yè)級(jí)廣域網(wǎng)和數(shù)據(jù)中心,對(duì)專用的高性能分流器并不存在剛需,此時(shí)融合初步分流器能力的NPBs產(chǎn)品就會(huì)非常適用。

2 深層解析和可視化呈現(xiàn)

IXIA Vision系列NPBs產(chǎn)品

在IXIA的NPBs產(chǎn)品序列中,其可視化能力定義為四個(gè)層級(jí),從網(wǎng)絡(luò)層、報(bào)文層、安全層和應(yīng)用層逐漸遞進(jìn),作為產(chǎn)品的高附加值特性存在,可見深層解析能力和可視化呈現(xiàn)能力是NPBs產(chǎn)品的重要指標(biāo)??蛻魧?duì)NPBs產(chǎn)品的要求不再僅停留在網(wǎng)絡(luò)層和報(bào)文層的通用功能,而是需要深入到業(yè)務(wù)層面進(jìn)行定制化識(shí)別,以及較強(qiáng)的本地可視化呈現(xiàn)能力。

3 安全和性能分析融合

關(guān)于NPBs產(chǎn)品的下游分析系統(tǒng),筆者目前觀察到兩個(gè)主要應(yīng)用方向,其中一個(gè)是性能分析方向,采集各個(gè)層面的流量瞬時(shí)值、流量統(tǒng)計(jì)值、業(yè)務(wù)延時(shí)、抖動(dòng)、開銷、錯(cuò)誤、原始報(bào)文等信息,提供給NPM/APM等各類性能管理產(chǎn)品;另一個(gè)方向是安全方向,通過(guò)采集流量中的IP地址、URL、文件HASH、HTTP協(xié)議詳細(xì)內(nèi)容等信息,實(shí)現(xiàn)入侵行為、病毒查殺、威脅情報(bào)、文件沙箱等安全產(chǎn)品。不論是性能方向還是安全方向,NPBs產(chǎn)品都需要與下游產(chǎn)品進(jìn)行深度融合,按照不同下游產(chǎn)品的要求進(jìn)行數(shù)據(jù)接口對(duì)接,完成從流量到業(yè)務(wù)的銜接。

4 SDN 集中控制 能力

對(duì)于業(yè)務(wù)節(jié)點(diǎn)較為分散、不同節(jié)點(diǎn)間業(yè)務(wù)差異較大、節(jié)點(diǎn)上的業(yè)務(wù)按需變更的場(chǎng)景,SDN驅(qū)動(dòng)是通用的解決方案,NPBs產(chǎn)品的部署與上述場(chǎng)景符合度很高。對(duì)于流量分析業(yè)務(wù),除了按照固定的規(guī)律將不需要的流量前級(jí)過(guò)濾掉之外,也需要按照業(yè)務(wù)需求實(shí)時(shí)變更下發(fā)分析策略,一旦將方案從全流量分析變?yōu)榘葱璺治觯瑔吸c(diǎn)NPBs產(chǎn)品的性能要求即可降低,從而降低整體方案的成本。

、 Big Switch 提出的 S DN 驅(qū)動(dòng) 下一代 NPBs 集群 部署 方案

針對(duì)上述問(wèn)題,筆者關(guān)注到NPBs領(lǐng)域的廠商Big Switch Networks提出了針對(duì)企業(yè)私有云場(chǎng)景的Big Monitoring Fabric解決方案,該方案的核心為SDN驅(qū)動(dòng)的下一代NPBs集群,主要內(nèi)容包括:

1 、 NPBs 產(chǎn)品集群 部署

與機(jī)框式路由器和交換機(jī)的設(shè)計(jì)類似,除了背板外,機(jī)框式NPBs產(chǎn)品也會(huì)提供過(guò)濾接口板(Filter Ports)、分發(fā)接口板(Delivery Ports)和業(yè)務(wù)接口板(Service Ports),分別實(shí)現(xiàn)前級(jí)過(guò)濾、復(fù)制分發(fā)和業(yè)務(wù)處理,如圖所示。

機(jī)框式NPBs產(chǎn)品拆分示意圖

當(dāng)我們把每一部分拆分為獨(dú)立NPBs產(chǎn)品,并使用SDN控制器進(jìn)行整體管理時(shí),就得到了一張跨廣域網(wǎng)的NPBs產(chǎn)品集群網(wǎng)絡(luò):

SDN驅(qū)動(dòng)下一代NPBs產(chǎn)品集群部署方案示意圖

在這張網(wǎng)絡(luò)中,進(jìn)一步將端口細(xì)化為如下角色:

Tunnel Ports

跨廣域網(wǎng)傳輸時(shí),在NPBs產(chǎn)品間一般使用隧道互連,例如L2-GRE Tunnel,這些隧道上的端口被歸類為Tunnel Ports,可見下一代NPBs產(chǎn)品也應(yīng)當(dāng)考慮支持常見的隧道技術(shù)。

Filter Ports

用于流量分析前的前級(jí)過(guò)濾,進(jìn)行報(bào)文去重、解封裝等操作,根據(jù)實(shí)際業(yè)務(wù)要求將不需要的流量先去除,這部分其實(shí)是融合了傳統(tǒng)分流器產(chǎn)品的特性。

Delivery Ports & Service Ports

完成流量識(shí)別和數(shù)據(jù)分析后,將信息以數(shù)據(jù)接口的形式上送到各類分析服務(wù)系統(tǒng),或者將過(guò)濾出的流量發(fā)送給高性能NPBs產(chǎn)品進(jìn)行匯聚。另外,對(duì)于性能分析和流量回溯業(yè)務(wù),在Deliver Ports和Service Ports上還需要上傳NetStream/Netflow甚至原始報(bào)文等信息,這也對(duì)NPBs產(chǎn)品提出了更高的要求。

2 、 SDN 控制器總體調(diào)度

在多臺(tái)NPBs產(chǎn)品使用獨(dú)立方式部署的情況下,為了將所有NPBs產(chǎn)品進(jìn)行統(tǒng)一納管協(xié)作,需要引入SDN控制器進(jìn)行總體調(diào)度,從而將多臺(tái)產(chǎn)品組成一臺(tái)邏輯上的大NPBs產(chǎn)品(Big Monitoring Fabric ),這種模式具備以下優(yōu)勢(shì):

流量按需調(diào)度

通過(guò)SDN控制器下發(fā)策略,可以實(shí)時(shí)控制流量調(diào)度的范圍,提前將不關(guān)心流量過(guò)濾,盡量保持只處理需要的流量,避免被動(dòng)的全流量分析。通過(guò)按需調(diào)度,單臺(tái)NPBs產(chǎn)品處理性能要求降低,從而實(shí)現(xiàn)成本降低。

面向意圖的北向接口(Intent NBI)

在私有云環(huán)境下,業(yè)務(wù)上下線變更頻繁,催生了不少NPBs產(chǎn)品的分析需求,例如對(duì)于新上線業(yè)務(wù)的及時(shí)發(fā)現(xiàn),以及快速應(yīng)用識(shí)別和應(yīng)用歸類。當(dāng)前,SDN控制器已經(jīng)逐漸實(shí)現(xiàn)了系統(tǒng)能力的開放,力圖實(shí)現(xiàn)面向用戶網(wǎng)絡(luò)操作意圖的北向接口(Intent NBI)。SDN控制器通過(guò)北向接口與用戶的業(yè)務(wù)系統(tǒng)對(duì)接后,將用戶高層次的業(yè)務(wù)意圖轉(zhuǎn)化為NPBs產(chǎn)品部署策略進(jìn)行下發(fā),實(shí)現(xiàn)自動(dòng)化管理。

業(yè)務(wù)平滑擴(kuò)展

在SDN驅(qū)動(dòng)模式下,不論是NPBs產(chǎn)品或是業(yè)務(wù)分析工具鏈需要部署變更,都可以在現(xiàn)有架構(gòu)下平滑變動(dòng),無(wú)需改變底層配置。相比高端機(jī)框式的NPBs產(chǎn)品,集群內(nèi)的NPBs產(chǎn)品部署更加分散,單點(diǎn)的變更更加靈活,可以實(shí)現(xiàn)業(yè)務(wù)平滑升級(jí)擴(kuò)展。

3 、 下一代 N PBs 優(yōu)勢(shì)

在方案中,下一代NPBs產(chǎn)品充分發(fā)揮了相對(duì)傳統(tǒng)產(chǎn)品的優(yōu)勢(shì),通過(guò)融合TAP功能在Filter Ports進(jìn)行早期過(guò)濾,并通過(guò)Openflow協(xié)議等方式實(shí)現(xiàn)SDN控制器統(tǒng)一管控,解決了按需部署和平滑變更等問(wèn)題。在后端,下一代NPBs提供豐富的融合方式,如NetStream/Netflow、Syslog、文件上傳等,與多種業(yè)務(wù)分析工具鏈進(jìn)行有機(jī)融合。

五、 業(yè)界觀察

作為老牌SDN玩家廠商,Big Switch Networks早在2012年就發(fā)布了業(yè)界著名的完全開源SDN控制器Floodlight,憑借強(qiáng)大的穩(wěn)定性和易用性,以及對(duì)Openflow協(xié)議的良好支持,F(xiàn)loodlight已經(jīng)成為業(yè)界主流的SDN控制器之一。Big Switch Networks基于自己強(qiáng)大的SDN能力,在各個(gè)領(lǐng)域推出了SDN驅(qū)動(dòng)的解決方案,而在網(wǎng)絡(luò)流量領(lǐng)域,Big Switch Networks首先推出了分流器TAP產(chǎn)品,然后又引領(lǐng)了下一代NPBs產(chǎn)品發(fā)展,充分發(fā)揮了其Cloud-First Networking (CFN) 方向上的技術(shù)特長(zhǎng)。

Big Switch Networks公司解決方案

在國(guó)內(nèi),與Big Switch Networks發(fā)展路線相似,同樣具備強(qiáng)大SDN基因的盛科網(wǎng)絡(luò),也推出了SDN驅(qū)動(dòng)的分流器TAP 產(chǎn)品以及SDN安全服務(wù)鏈產(chǎn)品。

、 結(jié)語(yǔ)

觀察由分流負(fù)載+提取分析+數(shù)據(jù)應(yīng)用組成的1+1+1>3整體方案,三個(gè)組成產(chǎn)品之間的邊界正在逐漸模糊,存在進(jìn)一步深度融合的趨勢(shì)。

隨著SDN產(chǎn)業(yè)成熟,各類SDN應(yīng)用方向已經(jīng)進(jìn)入落地應(yīng)用階段,比如近期在國(guó)內(nèi)大火的SD-WAN方向就是一個(gè)例子。對(duì)于國(guó)內(nèi)眾多的流量分析方向產(chǎn)品來(lái)說(shuō),不論是分流器產(chǎn)品或是NPBs產(chǎn)品,引入SDN相關(guān)技術(shù)驅(qū)動(dòng)都不失為一個(gè)可以考慮的技術(shù)方向。

關(guān)于安博通

北京安博通科技股份有限公司(簡(jiǎn)稱“安博通”),成立于2011年,以“看透安全,體驗(yàn)價(jià)值”理念為核心,是國(guó)內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái),是國(guó)內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)來(lái)源。

更多詳情,敬請(qǐng)查閱:www.abtnetworks.com

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦