Задачи фильтрация трафика
В общих чертах, каждая такая система одновременно решает несколько задач — анализирует трафик, блокирует нежелательные сайты и ограничивает использование сетевых протоколов. Она должна придерживаться «золотой середины». С одной стороны, не допустить ошибочного блокирования безопасного трафика, а с другой, не пропустить к пользователю откровенно нежелательное содержимое. Параметры фильтрации системы должны быть четкими, чтобы безопасность пользователей была главным приоритетом.
Кроме того, DPI-системы умеют собирать данные, которые затем можно использовать для маркетинговых акций. Причем делают это достаточно точно — могут получить информацию об используемых приложениях, устройствах, операционных системах, тарифных планах, геолокации и другом.
При выборе конкретного решения очень важно смотреть на такой показатель, как скорость обработки трафика. Некоторые решения до сих пор предлагают 160 Гб/сек, в то время, как сегодня на одном процессоре качественные решения могут обрабатывать до 200 Гб/сек.
Как работает фильтрация трафика
DPI-системы работают на более глубоком уровне, чем обычные межсетевые экраны. Они анализируют не только заголовки пакетов, но и их содержимое. Таким образом, они могут качественно обнаруживать и блокировать нежелательный контент. У некоторых из них есть и функция защиты от DDoS-атак. Кроме того, они постоянно анализируют косвенные симптомы, по которым обнаруживаются нежелательные протоколы и программы — например, пакеты, характерные для торрентов. При этом DPI распределяет нагрузку так, чтобы общая пропускная способность сети не снижалась.
DPI-систему можно установить тремя способами:
- В разрыв. В этом случае она находится после пограничного маршрутизатора, на границе сети оператора. Благодаря этому все пакеты идут через DPI.
- С зеркалированием трафика через SPAN порты или оптические сплиттеры. Здесь в сеть вносятся минимальные изменения.
- Ассиметрично. В этом случае трафик обрабатывается на основе заданных политик. Из плюсов — система будет работать даже на слабом оборудовании, но будет недоступна аналитика.
Состав DPI-системы
Как правило, такие решения состоят из сервера и программной части — самой DPI-системы. Например, в СКАТ DPI используются серверы на базе Intel Xeon, благодаря чему ее пользователи не зависят от конкретных поставщиков оборудования.
Российские DPI-решения
СКАТ DPI
Программно-аппаратное решение может обрабатывать трафик со скоростью до 200 Гбит/сек на одном процессоре. Кроме того, СКАТ DPI может:
- глубоко анализировать трафик, управлять им на уровне протоколов и приложений в режиме реального времени;
- фильтровать ресурсы по «белым» и «черным» перечням;
- приоритизировать трафик;
- блокировать конкретные ресурсы (в том числе, в соответствии со списками регуляторов);
- делать поведенческий анализ пакетов;
- кэшировать видео и аудио-контент;
- использовать CG-NAT для решения проблемы ограниченности адресного пространства — есть возможность задать один единый публичный IPv4 нескольким пользователям. Благодаря этому, переход с IPv4 на IPv6 пройдет для вас легко;
- предотвращать DoS/DDoS-атаки.
Протей
Еще одна российская разработка, среди заявленных преимуществ которой:
- эффективное использование полосы пропускания;
- использование сигнатурного и статистического анализа для обнаружения трафика конкретных приложений;
- возможность перенаправления трафика абонентов на партнерские ресурсы;
- сбор статистической информации о предпочтениях абонентов;
- обнаружение и удаление нежелательных программ;
- блокирование DDoS-атак.
Из недостатков можно назвать достаточно высокую цену и частично аппаратную реализацию.
Carbon Reductor DPI X
Это решение имеет следующие преимущества:
- закрывает доступ к запрещенным ресурсам, в том числе из федеральных списков;
- экономно использует аппаратные ресурсы;
- удобный веб-интерфейс.
Зарубежные DPI-решения
Allot Secure Service Gateway
Популярная DPI-система, разработанная в Израиле. Это семейство мультисервисных платформ, которые оптимизируют и защищают сеть, снижая расходы на обслуживание. Вот особенности решения:
- оно интегрируется в сеть бесшовно и анализирует пакеты в реальном времени;
- есть возможность интегрировать Allot Secure Service Gateway с решениями от других производителей;
- есть возможность собирать данные о загрузке сети для анализа производительности.
Из минусов можно отметить достаточно высокую стоимость и необходимость лицензирования дополнительных функций.
Cisco ASR9001
Популярный вариант, который используют на рынке многие операторы. Среди его преимуществ: хорошая масштабируемость, совместимость с транспортными сетями Carrier Ethernet и гибкость сервисов. Но есть и минус — не самая высокая пропускная способность, всего 120 Гб/с.
Ericsson SmartEdge 1200
Популярное решение, но работающее только в IPv4-сетях. Но в современных реалиях повсеместного перехода на IPv6 оно теряет актуальность. Вы можете его использовать в составе небольших сетей, которые точно не будут масштабироваться, но во всех остальных случаях лучше найти что-то более современное.
Итог
Системы фильтрации трафика — хороший способ оптимизировать свою сеть. Можно настроить приоритеты так, чтобы сеть не была забита, например, торрент-трафиком и скорость у всех абонентов была высокой. Благодаря DPI снижаются расходы на обслуживание инфраструктуры. Поэтому, системы фильтрации трафика можно считать обязательным к использованию инструментом, когда необходимо оптимизировать использование сети без дополнительных издержек.
Кроме того, есть возможность всегда знать, какой вид трафика проходит через каналы прямо сейчас и точно анализировать пакеты данных — это залог стабильной работы практически в любых условиях. Из этого логично вытекает удовлетворенность абонентов качеством работы сети. Вам остается только выбрать то решение, которое подойдет конкретно под ваши задачи и точно не устареет через несколько лет.