數(shù)據(jù)包分類(lèi)與檢查一步到位

數(shù)據(jù)包分類(lèi)與檢查，也就是將數(shù)據(jù)包分類(lèi)到不同的流中，通過(guò)檢查包頭，確定如何處理數(shù)據(jù)塊，這一步對(duì)于服務(wù)處理至關(guān)重要。傳統(tǒng)的路由器通過(guò)對(duì)照訪問(wèn)控制表（ACL）檢查包頭，對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，從而確定數(shù)據(jù)包下一個(gè)要去的地方。然而，由于不同的服務(wù)缺少統(tǒng)一的ACL，一個(gè)數(shù)據(jù)包必須被分類(lèi)和檢查多次，這無(wú)疑降低了處理效率。

今天，廠商正在將多個(gè)服務(wù)整合到一臺(tái)設(shè)備上，但是這些設(shè)備仍按照原來(lái)的多次分類(lèi)的方式對(duì)數(shù)據(jù)包進(jìn)行處理，使得上述的矛盾進(jìn)一步突出：整合的設(shè)備每增加一個(gè)服務(wù)，處理效率就進(jìn)一步下降，開(kāi)銷(xiāo)也進(jìn)一步增加。人們希望可以通過(guò)一次檢查對(duì)所有服務(wù)的數(shù)據(jù)包進(jìn)行分類(lèi)，來(lái)克服這些問(wèn)題，實(shí)現(xiàn)一步到位的高效處理。

一次通過(guò)的數(shù)據(jù)包分類(lèi)若想行之有效，數(shù)據(jù)包必須按一定順序通過(guò)一個(gè)多功能服務(wù)網(wǎng)關(guān)，以確保所有的服務(wù)在正確的點(diǎn)上得到處理。在多次分類(lèi)中，服務(wù)網(wǎng)關(guān)首先將數(shù)據(jù)包傳送到一臺(tái)路由器上，在這臺(tái)路由器上進(jìn)行第一次分類(lèi)，一旦數(shù)據(jù)包離開(kāi)這臺(tái)路由器，進(jìn)入防火墻后，就再次進(jìn)行分類(lèi)。

在采用一次通過(guò)的數(shù)據(jù)包分類(lèi)時(shí)，數(shù)據(jù)包首先進(jìn)入防火墻，因此保護(hù)了網(wǎng)關(guān)中所有其他服務(wù)。在防火墻中，IPSec服務(wù)對(duì)數(shù)據(jù)包進(jìn)行解密和分類(lèi)——使用公共分類(lèi)僅進(jìn)行一次，然后給數(shù)據(jù)包加上一個(gè)標(biāo)簽。標(biāo)簽包含哪些服務(wù)需要處理這個(gè)數(shù)據(jù)包的說(shuō)明。數(shù)據(jù)包然后傳送給服務(wù)網(wǎng)關(guān)中的一個(gè)過(guò)濾器，過(guò)濾器根據(jù)標(biāo)簽上的信息接收或拒絕這個(gè)數(shù)據(jù)包。

離開(kāi)過(guò)濾器后，數(shù)據(jù)包接受拒絕服務(wù)檢查，之后進(jìn)入入侵防御/入侵檢測(cè)系統(tǒng)(IPS/IDS)。后者不僅檢查數(shù)據(jù)包的內(nèi)容，查找入侵跡象，而且還提取、規(guī)范化和處理有關(guān)內(nèi)容的信息，并將信息保存在一個(gè)中央內(nèi)容管理信息庫(kù)中。

當(dāng)數(shù)據(jù)包傳送給網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)時(shí)，這個(gè)內(nèi)容信息庫(kù)尤其有用，因?yàn)镹AT應(yīng)用需要深層次的數(shù)據(jù)包檢查，以搜索內(nèi)容，查找非法語(yǔ)句。只有在數(shù)據(jù)包經(jīng)過(guò)分類(lèi)、檢查并確認(rèn)安全后，網(wǎng)關(guān)才將它轉(zhuǎn)發(fā)給路由器，最后進(jìn)入內(nèi)部網(wǎng)絡(luò)。

一次通過(guò)的分類(lèi)和內(nèi)容檢查，減少了發(fā)生錯(cuò)誤的風(fēng)險(xiǎn)，將延時(shí)減少到最低程度。（美國(guó)《Network World》供本報(bào)專(zhuān)稿）

來(lái)源：CCW