Есть ли способ сделать фильтрацию 7 уровня в Linux?

Проекту L7-фильтра, как представляется, 15 лет, требуются патчи для ядра без поддержки ядер более ранней версии 2.6, и большинство файлов шаблонов, которые, по-видимому, были написаны в 2003 году.

Обычно, когда есть такой старый и популярный проект, появляются новые проекты, чтобы заменить его, но я не могу найти ничего более нового для Linux, который выполняет фильтрацию на уровне 7.

Я не смотрю в нужных местах? Была ли идея фильтрации слоя 7 по какой-то причине полностью заброшена? Я думаю, что в наши дни, с более мощным оборудованием, это будет даже более практичным, чем раньше.

One Solution collect form web for “Есть ли способ сделать фильтрацию 7 уровня в Linux?”

Вы должны говорить о (первом) проекте Application Layer Packet Classifier для Linux , который был реализован в виде патчей для ядер 2.4 и 2.6.

Основная проблема этого проекта заключается в том, что технология, которую он предложил контролировать, быстро опередила полезность и эффективность реализации.

Участники проекта также не имели времени (и денег) на дальнейшие инвестиции, чтобы опередить некоторые достижения технологии, насколько я помню, а затем продали права на реализацию, что навсегда убило и без того проблемный проект.

Проблемы, с которыми этот проект / технология сталкивались на протяжении многих лет, не имеют определенного порядка:

  • адаптация патчей к версиям ядра 3.x / 4.x;
  • дефицит вычислительной мощности – в настоящее время в некоторых странах скорость даже внутри гигабитной сети потребует от ASIC эффективного распределения трафика на уровне 7;
  • битторрент начал использовать сильное запутывание;
  • HTTPS начал интенсивно использоваться для инкапсуляции нескольких протоколов и / или во избежание обнаружения;
  • одноранговые протоколы перестали использовать фиксированные порты и начали пытаться пробиться через любой открытый / разрешенный порт;
  • рост повсеместного распространения VoIP и видео в реальном времени, что делает трафик очень чувствительным даже к небольшим задержкам:
  • Широкое использование VPN-соединений.

Тяжелые исследования и разработки были затем вложены в профессиональную продукцию для формирования трафика.

Уровень техники десять лет назад включал уже определенные ASIC и (интенсивное использование) эвристики для обнаружения зашифрованного / запутанного трафика.

В настоящее время, помимо более чем десятилетнего опыта работы в области расширенной эвристики с развитием глобальных поставщиков услуг широкополосной связи, распределения трафика (и межсетевого экрана), также используется одноранговое совместное использование глобальных данных в режиме реального времени, повысить эффективность своих решений.

Они сочетают в себе передовую эвристику с профилированием / обменом данными в реальном времени из тысяч мест в мире.

Было бы очень сложно собрать продукт с открытым исходным кодом, который будет работать так же эффективно, как Allot NetEnforcer.

При использовании решений с открытым исходным кодом для обеспечения работоспособности пропускной способности инфраструктуры уже не принято пытаться формировать трафик в зависимости от типа / характера трафика, который IP-адрес использует на сетевом уровне .

В настоящее время, для общего управления трафиком и защиты пропускной способности инфраструктуры, обычной страtagsей является (помимо межсетевого экрана), без использования передового оборудования для формирования трафика, выделение небольшой части полосы пропускания на IP-адрес.

Interesting Posts
Linux и Unix - лучшая ОС в мире.