На предыдущую страницу
DPI
#DPI

Что такое фильтрация трафика и зачем она нужна операторам связи

По статистике, количество пользователей интернета продолжает расти. Поэтому для улучшения качества связи провайдеры должны контролировать сетевой трафик. Для этого существуют различные DPI-решения (Deep Packet Inspection, «глубокая проверка пакетов»). По прогнозам, к 2024 году глобальный рынок DPI вырастет до 12,5 млрд долл.

Задачи фильтрация трафика

В общих чертах, каждая такая система одновременно решает несколько задач — анализирует трафик, блокирует нежелательные сайты и ограничивает использование сетевых протоколов. Она должна придерживаться «золотой середины». С одной стороны, не допустить ошибочного блокирования безопасного трафика, а с другой, не пропустить к пользователю откровенно нежелательное содержимое. Параметры фильтрации системы должны быть четкими, чтобы безопасность пользователей была главным приоритетом.

Фильтрация трафика для оператора связи

Кроме того, DPI-системы умеют собирать данные, которые затем можно использовать для маркетинговых акций. Причем делают это достаточно точно — могут получить информацию об используемых приложениях, устройствах, операционных системах, тарифных планах, геолокации и другом.

При выборе конкретного решения очень важно смотреть на такой показатель, как скорость обработки трафика. Некоторые решения до сих пор предлагают 160 Гб/сек, в то время, как сегодня на одном процессоре качественные решения могут обрабатывать до 200 Гб/сек.

Как работает фильтрация трафика

DPI-системы работают на более глубоком уровне, чем обычные межсетевые экраны. Они анализируют не только заголовки пакетов, но и их содержимое. Таким образом, они могут качественно обнаруживать и блокировать нежелательный контент. У некоторых из них есть и функция защиты от DDoS-атак. Кроме того, они постоянно анализируют косвенные симптомы, по которым обнаруживаются нежелательные протоколы и программы — например, пакеты, характерные для торрентов. При этом DPI распределяет нагрузку так, чтобы общая пропускная способность сети не снижалась.

DPI-систему можно установить тремя способами:

  • В разрыв. В этом случае она находится после пограничного маршрутизатора, на границе сети оператора. Благодаря этому все пакеты идут через DPI.
  • С зеркалированием трафика через SPAN порты или оптические сплиттеры. Здесь в сеть вносятся минимальные изменения.
  • Ассиметрично. В этом случае трафик обрабатывается на основе заданных политик. Из плюсов — система будет работать даже на слабом оборудовании, но будет недоступна аналитика.

Состав DPI-системы

Как правило, такие решения состоят из сервера и программной части — самой DPI-системы. Например, в СКАТ DPI используются серверы на базе Intel Xeon, благодаря чему ее пользователи не зависят от конкретных поставщиков оборудования.

Российские DPI-решения

СКАТ DPI

Программно-аппаратное решение может обрабатывать трафик со скоростью до 200 Гбит/сек на одном процессоре. Кроме того, СКАТ DPI может:

  • глубоко анализировать трафик, управлять им на уровне протоколов и приложений в режиме реального времени;
  • фильтровать ресурсы по «белым» и «черным» перечням;
  • приоритизировать трафик;
  • блокировать конкретные ресурсы (в том числе, в соответствии со списками регуляторов);
  • делать поведенческий анализ пакетов;
  • кэшировать видео и аудио-контент;
  • использовать CG-NAT для решения проблемы ограниченности адресного пространства — есть возможность задать один единый публичный IPv4 нескольким пользователям. Благодаря этому, переход с IPv4 на IPv6 пройдет для вас легко;
  • предотвращать DoS/DDoS-атаки.

Протей

Еще одна российская разработка, среди заявленных преимуществ которой:

  • эффективное использование полосы пропускания;
  • использование сигнатурного и статистического анализа для обнаружения трафика конкретных приложений;
  • возможность перенаправления трафика абонентов на партнерские ресурсы;
  • сбор статистической информации о предпочтениях абонентов;
  • обнаружение и удаление нежелательных программ;
  • блокирование DDoS-атак.

Из недостатков можно назвать достаточно высокую цену и частично аппаратную реализацию.

Carbon Reductor DPI X

Это решение имеет следующие преимущества:

  • закрывает доступ к запрещенным ресурсам, в том числе из федеральных списков;
  • экономно использует аппаратные ресурсы;
  • удобный веб-интерфейс.

Зарубежные DPI-решения

Allot Secure Service Gateway

Популярная DPI-система, разработанная в Израиле. Это семейство мультисервисных платформ, которые оптимизируют и защищают сеть, снижая расходы на обслуживание. Вот особенности решения:

  • оно интегрируется в сеть бесшовно и анализирует пакеты в реальном времени;
  • есть возможность интегрировать Allot Secure Service Gateway с решениями от других производителей;
  • есть возможность собирать данные о загрузке сети для анализа производительности.

Из минусов можно отметить достаточно высокую стоимость и необходимость лицензирования дополнительных функций.

Cisco ASR9001

Популярный вариант, который используют на рынке многие операторы. Среди его преимуществ: хорошая масштабируемость, совместимость с транспортными сетями Carrier Ethernet и гибкость сервисов. Но есть и минус — не самая высокая пропускная способность, всего 120 Гб/с.

Ericsson SmartEdge 1200

Популярное решение, но работающее только в IPv4-сетях. Но в современных реалиях повсеместного перехода на IPv6 оно теряет актуальность. Вы можете его использовать в составе небольших сетей, которые точно не будут масштабироваться, но во всех остальных случаях лучше найти что-то более современное.

Итог

Системы фильтрации трафика — хороший способ оптимизировать свою сеть. Можно настроить приоритеты так, чтобы сеть не была забита, например, торрент-трафиком и скорость у всех абонентов была высокой. Благодаря DPI снижаются расходы на обслуживание инфраструктуры. Поэтому, системы фильтрации трафика можно считать обязательным к использованию инструментом, когда необходимо оптимизировать использование сети без дополнительных издержек.

Кроме того, есть возможность всегда знать, какой вид трафика проходит через каналы прямо сейчас и точно анализировать пакеты данных — это залог стабильной работы практически в любых условиях. Из этого логично вытекает удовлетворенность абонентов качеством работы сети. Вам остается только выбрать то решение, которое подойдет конкретно под ваши задачи и точно не устареет через несколько лет.

Оцените данную статью

Узнавайте о выходе новых статей в блоге первыми!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies