企業(yè)網(wǎng)D1Net 10月22日 如今人們的工作與生活一時(shí)也離不開數(shù)據(jù)中心。隨著移動互聯(lián)網(wǎng)的普及，極大地增強(qiáng)了人們對內(nèi)容的需求：網(wǎng)絡(luò)支付、手機(jī)上網(wǎng)、移動辦公、虛擬交易等一系列應(yīng)用改變了人們的生活方式，同時(shí)也帶來了新的、更為復(fù)雜的安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)隱藏在應(yīng)用的內(nèi)容之中，和應(yīng)用本身密不可分，比如WEB服務(wù)、網(wǎng)絡(luò)支出、網(wǎng)絡(luò)文件共享、軟件下載與安裝等應(yīng)用，帶來了不計(jì)其數(shù)的安全漏洞和病毒。比如采用手機(jī)支付的方式變得越來越方便，但仍有不少的人擔(dān)心不夠安全，擔(dān)心自己的信息被泄露，資金受到損失，每當(dāng)我們下載一個(gè)陌生軟件時(shí)存在顧慮，這個(gè)軟件有沒有病毒？不過自古邪不侵正，正所謂“魔高一尺，道高一丈”，早有成千上萬從事安全技術(shù)研究的人們?yōu)榇蠹业幕ヂ?lián)網(wǎng)生活保駕護(hù)航，為數(shù)據(jù)中心的安全建言獻(xiàn)策，不少的技術(shù)已經(jīng)形成產(chǎn)品應(yīng)用于各種數(shù)據(jù)中心之中，讓人們安心享用這個(gè)屬于我們的互聯(lián)網(wǎng)時(shí)代。數(shù)據(jù)中心安全技術(shù)涵蓋廣泛，遠(yuǎn)非幾言可以概觀，本文從網(wǎng)絡(luò)應(yīng)用層技術(shù)出發(fā)，對比說明當(dāng)今最熱門的兩大安全技術(shù)，拋磚引玉，讓大家有所深入了解。

基于應(yīng)用的安全技術(shù)，當(dāng)今最熱門的要屬深度包檢測技術(shù)和深度流檢測技術(shù)。深度包檢測技術(shù)（Deep Packet Inspection，即DPI），是在分析報(bào)文頭的基礎(chǔ)上，結(jié)合不同應(yīng)用協(xié)議的“指紋”綜合判斷所屬的應(yīng)用。深度流檢測技術(shù)（Deep Flow Inspection，即DFI），是一種基于流量行為的應(yīng)用識別技術(shù)。一種基于報(bào)文，一種基于流，由于實(shí)現(xiàn)機(jī)制不同，各有各的特點(diǎn)。我們將數(shù)據(jù)中心的流量做一下分類，然后再具體看一下哪種安全技術(shù)適用于哪些具體的流量。

表1：不同應(yīng)用的流量特征

表1列了常見的網(wǎng)絡(luò)流量特征，可見不同的應(yīng)用的流量表現(xiàn)并不完全相同，所以需要區(qū)別對待。早期的安全技術(shù)也是根據(jù)流量特征實(shí)現(xiàn)過濾的，比如當(dāng)收到網(wǎng)頁瀏覽的流量，發(fā)現(xiàn)其數(shù)據(jù)報(bào)文源或目的端口是80，即知道就是網(wǎng)頁流量，端口是23是telnet，端口號是22則是ssh，很多應(yīng)用都是用固定的端口號，這樣可以根據(jù)端口號的差異采用不同的安全策略。但是隨著各種應(yīng)用的逐步豐富，很多應(yīng)用可以采用非標(biāo)準(zhǔn)的端口或者隨機(jī)變化的端口號，一些對等網(wǎng)絡(luò)協(xié)議出現(xiàn)并不斷演進(jìn)，可以在協(xié)議運(yùn)行過程中采用動態(tài)協(xié)商、數(shù)據(jù)報(bào)文加密等方式，讓這種古老的技術(shù)無法再發(fā)揮優(yōu)勢，必須要對協(xié)議可以進(jìn)行自動識別，才能滿足安全性的要求。

深度包檢測技術(shù)可以精確識別具體的應(yīng)用，可以逐包檢查，將報(bào)文和特征庫里的特征一一比對，這需要大量的計(jì)算，會耗費(fèi)大量的CPU、內(nèi)存等資源才能完成。另外為何保證匹配的精確性，要及時(shí)更新特征庫。每當(dāng)出現(xiàn)一種新的病毒或者異常流量，都需要實(shí)時(shí)更新特征庫，這樣才能確保及時(shí)檢測出安全隱患。而深度流檢測技術(shù)卻無法精確識別具體應(yīng)用，只是泛泛地識別某一類應(yīng)用，所以也不需要大量的計(jì)算。深度流檢測技術(shù)是基于網(wǎng)絡(luò)層、傳輸層信息、業(yè)務(wù)流持續(xù)時(shí)間、字節(jié)長度分布等參數(shù)進(jìn)行分析，也就是表1列出的流量特征。深度流檢測技術(shù)根據(jù)流量特征，那么采取一定的安全措施。由于本身并不需要匹配報(bào)文內(nèi)容，所以也不需要特征庫，這樣就省去了升級的麻煩。深度包檢測技術(shù)可以用于需要準(zhǔn)確地識別具體應(yīng)用的系統(tǒng)中，比如各種流量計(jì)費(fèi)系統(tǒng)，用戶行為分析系統(tǒng)等；而深度流檢測技術(shù)只能識別出是哪種應(yīng)用，因此可以對具體的應(yīng)用進(jìn)行流量控制、限速、清洗等應(yīng)用。從兩種安全技術(shù)的對比說明中不難看出，深度包檢測技術(shù)善于精確打擊，而深度流檢測技術(shù)擅長集中控制，在不同的應(yīng)用中兩者可以發(fā)揮著不同的作用。

如今的安全環(huán)境惡劣，除了人為的原因，各種應(yīng)用不斷變換也暴露出多種風(fēng)險(xiǎn)。安全技術(shù)一種亡羊補(bǔ)牢的技術(shù)，無法預(yù)測將來會出現(xiàn)哪些新特征的應(yīng)用，出現(xiàn)哪些系統(tǒng)漏洞，所以只要發(fā)現(xiàn)了漏洞才去修復(fù)，因此安全技術(shù)也有一定的滯后性。正是這樣，在如今互聯(lián)網(wǎng)絡(luò)發(fā)展非常迅猛的今天，依然有不少人擔(dān)心安全問題。無論是深度包檢測技術(shù)還是深度流檢測技術(shù)，都是完全基于具體應(yīng)用來進(jìn)行安全過濾的。比如我們在數(shù)據(jù)中心的出入接口部署深度流檢測技術(shù)，控制異常流量的進(jìn)入，只允許網(wǎng)頁瀏覽、視頻訪問應(yīng)用，并對網(wǎng)絡(luò)帶寬流量進(jìn)行控制，通過這些安全技術(shù)可以讓數(shù)據(jù)中心整體流量運(yùn)行平穩(wěn)，避免帶寬的浪費(fèi)，消除垃圾流量占用數(shù)據(jù)中心網(wǎng)絡(luò)帶寬。然后在數(shù)據(jù)中心內(nèi)部各個(gè)具體應(yīng)用服務(wù)器部署深度包檢測技術(shù)，對具體應(yīng)用報(bào)文進(jìn)行檢查，不放過一個(gè)不安全的報(bào)文，避免病毒入侵，雖然深度包檢測技術(shù)要消耗大量的計(jì)算資源，但由于深度包檢測技術(shù)只關(guān)心數(shù)據(jù)中心某一類的應(yīng)用，整體而言計(jì)算體量并不會很大，這樣一個(gè)主外一個(gè)主內(nèi)可以確保整個(gè)數(shù)據(jù)中心安全無憂。

深度包檢測技術(shù)和深度流檢測技術(shù)是在數(shù)據(jù)中心面臨嚴(yán)重網(wǎng)絡(luò)安全問題的形勢下出現(xiàn)的，為數(shù)據(jù)中心提供了一套完整的安全解決方案，數(shù)據(jù)中心早已離不開這兩種技術(shù)。在大型的數(shù)據(jù)中心里，建議兩種安全技術(shù)都要部署；在一般的數(shù)據(jù)中心建議根據(jù)數(shù)據(jù)中心的實(shí)際情況，看用戶更為關(guān)注哪類安全，然后選擇適當(dāng)?shù)募夹g(shù)，確保數(shù)據(jù)中心安全。在人們越來越重視信息安全的環(huán)境背景下，這兩類安全技術(shù)必將在數(shù)據(jù)中心里獲得越來越廣泛的應(yīng)用，同時(shí)也會在實(shí)際應(yīng)用中不斷地完善自身技術(shù)。