固网前端解决方案

1、引言

随着互联网络在文化领域的运用,互联网上的文化扩张和文化霸权将会成为一个新的问题。如何在网络时代保持传统文化,维护本国文化的个性,将会具有越来越重要的意义。在国内,伴随着网络信息总量的不断攀升,网上出现大量以声、图、文形式传播的暴力、反动、迷信、赌博、毒品等不良内容,这些都对人们的日常生活产生了很大的影响,尤其对青少年的健康成长造成很大的伤害。但这些有害的信息仅仅依靠法律的手段来约束是不够的,需要我们从技术上来克服这些内容对社会造成的影响。由此,必须进一步加强信息内容安全技术的研究与应用。

与此同时,移动通信网、广播电视网、互联网三网融合后,新的信息技术还将带来新的信息安全问题,如多媒体内容安全问题、超宽带无线自组网安全问题、移动智能终端安全防范问题等等。综上所述,信息安全面临的威胁日益严重,信息社会为网络与信息安全提出了更高挑战。

2、整体解决方案

当前,电信骨干网络大量采用40G POS及100G以太网技术,对这类链路的数据取证工作必然需要采取集群方式,因此需要解决链路协议转换、负载均衡,并尽可能减少后端分析系统的负载。

固网取证整体解决方案如图1所示,由前端和后端两部分组成,前后端之间通过流量分析接口将疑似非法流量导入后端分析平台,通过动态控制接口“远程控制协议(RCP)”进行一体化控制。


图1 固网取证整体解决方案

后端系统根据不同的需求可以采用不同的结构,但整体上由流恢复层、定向应用层、分析挖掘层和数据库层共四部分组成。无论面向何种应用,在当前互联网流量急剧增加的情况下,都需要前端设备有效衰减流量,降低后端服务器的计算和能耗。


图2 固网后端推荐方案
3、戎腾固网前端解决方案

戎腾网络固网前端解决方案,从降低用户整体成本为出发点,满足用户各种需求为核心,推出了以下四种解决方案:

(1) 核心网络ATCA架构方案

采用ATCA-NTW1280机箱或ATCA-NTW6401机箱,流量通过分光进入PFC802(40G POS卡)、HFC602线卡(100G以太网卡)、CNT8PE(10G POS卡)、CNT16(10G POS卡)进入设备,通过多元组过滤,分组分流输出。根据目前各后端系统的技术状态及商用万兆以太网的价位,所有输出均采用10G以太网。

戎腾网络研制的各种输入线卡,自身就带有输出功能,如PFC802有8个万兆以太网输出接口,HFC602有6个万兆以太网输出接口,CNT8PE和CNT16PE每对链路都支持输入为POS,输出为以太网。PFC802、CNT8PE和CNT16PE都按照输入输出1:1设计,输入板卡本身输出可以满足需要全流量输出的应用场合。HFC602按照输入输出10:3设计,满足网监领域10%至20%的输出比例要求,若用户需要更多流量的输出,可以采用CNT16或CNT8实现更多流量的输出。

戎腾网络所研设备的处理能力:

  1. 单机箱100G以太网最大输入能力为2.4T(共12对100G以太网链路);

  2. 单机箱40G POS最大输入能力为960G(共12对40G POS链路);

  3. 单机箱10G POS/WAN/LAN最大输入能力1.92T(共96对万兆链路);

  4. 最大交换能力1.28T;

  5. 单板卡支持多元组规则256K;

  6. 最多支持1024台后端分析计算机。


图1 固网前端系统基本结构

(2) 核心网络ATCA架构DPI方案

该方案在固定域过滤方案的基础上增加DPI板卡(CDP2000),适用于需要前端设备使用深度报文检测过滤部分流量的应用场合,如某些分析仅关注HTTP POST,另一些分析仅关注邮件,通过DPI板卡的有效流量衰减,配合多元组过滤,可以有效降低后端分析系统的负载。采用CDP2000作为DPI加速板卡时,实现流管理、DPI加速和应用层流量识别。CDP2000最大流量转发能力80Gbps,最大正则表达式处理能力44Gbps。

(3) 汇聚网络ATCA架构方案

汇聚层网络与骨干网络的主要差别在于Radius信息是完整的,报文通过前端设备时,前端设备可以识别认证信息,并从中提取出IP地址与用户名,从而在报文输出时将用户名与报文绑定输出,使得后端还原系统自身就能够溯源到用户,不需要电信提供Radius库,从而具备更好的实用性。


基于ATCA的汇聚层解决方案

(4) 独立机箱解决方案

独立机箱系统PET是一种高性价比的10G以太网LAN、10G以太网WAN和10G POS流量采集解决方案。PET的系统设计采用核心功能和接口相分离的方式,为满足不同数目链路提供多种选择。PET的最小配置为PET160与1块EC4子卡,支持2对链路(上下行共4个接口),最大配置为PET320与4块EC8子卡,支持16对链路(上下行共16个接口)。