Есть ли способ сделать фильтрацию 7 уровня в Linux?

Проекту L7-фильтра, как представляется, 15 лет, требуются патчи для ядра без поддержки ядер более ранней версии 2.6, и большинство файлов шаблонов, которые, по-видимому, были написаны в 2003 году.

Обычно, когда есть такой старый и популярный проект, появляются новые проекты, чтобы заменить его, но я не могу найти ничего более нового для Linux, который выполняет фильтрацию на уровне 7.

Я не смотрю в нужных местах? Была ли идея фильтрации слоя 7 по какой-то причине полностью заброшена? Я думаю, что в наши дни, с более мощным оборудованием, это будет даже более практичным, чем раньше.

One Solution collect form web for “Есть ли способ сделать фильтрацию 7 уровня в Linux?”

Вы должны говорить о (первом) проекте Application Layer Packet Classifier для Linux , который был реализован в виде патчей для ядер 2.4 и 2.6.

Основная проблема этого проекта заключается в том, что технология, которую он предложил контролировать, быстро опередила полезность и эффективность реализации.

Участники проекта также не имели времени (и денег) на дальнейшие инвестиции, чтобы опередить некоторые достижения технологии, насколько я помню, а затем продали права на реализацию, что навсегда убило и без того проблемный проект.

Проблемы, с которыми этот проект / технология сталкивались на протяжении многих лет, не имеют определенного порядка:

  • адаптация патчей к версиям ядра 3.x / 4.x;
  • дефицит вычислительной мощности – в настоящее время в некоторых странах скорость даже внутри гигабитной сети потребует от ASIC эффективного распределения трафика на уровне 7;
  • битторрент начал использовать сильное запутывание;
  • HTTPS начал интенсивно использоваться для инкапсуляции нескольких протоколов и / или во избежание обнаружения;
  • одноранговые протоколы перестали использовать фиксированные порты и начали пытаться пробиться через любой открытый / разрешенный порт;
  • рост повсеместного распространения VoIP и видео в реальном времени, что делает трафик очень чувствительным даже к небольшим задержкам:
  • Широкое использование VPN-соединений.

Тяжелые исследования и разработки были затем вложены в профессиональную продукцию для формирования трафика.

Уровень техники десять лет назад включал уже определенные ASIC и (интенсивное использование) эвристики для обнаружения зашифрованного / запутанного трафика.

В настоящее время, помимо более чем десятилетнего опыта работы в области расширенной эвристики с развитием глобальных поставщиков услуг широкополосной связи, распределения трафика (и межсетевого экрана), также используется одноранговое совместное использование глобальных данных в режиме реального времени, повысить эффективность своих решений.

Они сочетают в себе передовую эвристику с профилированием / обменом данными в реальном времени из тысяч мест в мире.

Было бы очень сложно собрать продукт с открытым исходным кодом, который будет работать так же эффективно, как Allot NetEnforcer.

При использовании решений с открытым исходным кодом для обеспечения работоспособности пропускной способности инфраструктуры уже не принято пытаться формировать трафик в зависимости от типа / характера трафика, который IP-адрес использует на сетевом уровне .

В настоящее время, для общего управления трафиком и защиты пропускной способности инфраструктуры, обычной страtagsей является (помимо межсетевого экрана), без использования передового оборудования для формирования трафика, выделение небольшой части полосы пропускания на IP-адрес.

  • Сетевая адресация для многопроцессорных систем
  • Сетевой менеджер, который скрывает прокси от приложений
  • Какая связь между результатами теста ping и telnet?
  • OpenWRT добавляет постоянный виртуальный интерфейс
  • Как найти причину TCP RST в Linux (Ubuntu Server)
  • Избегайте тайм-аута запуска сети при поднятии моста при загрузке
  • Сетевой интерфейс не работает
  • Как использовать ISC KEA DHCP для информирования моих клиентов DHCPv4 «DNS» и «GATEWAY»?
  • Как направить трафик из Ethernet на устройство Tun (создать порт Ethernet с VPN-соединением)
  • Автоматически перемещать физические сетевые интерфейсы в пространство имен
  • Как соединить 2 виртуальных моста, чтобы трафик шел от одного к другому?
  • Interesting Posts

    Больше свободных блоков, чем зарезервированных, но все же я получаю «свободное место на устройстве»,

    Ranger, какая программа открывает файл?

    вернуть первый экземпляр символов из списка

    Команда dd указывает на недостаточное дисковое пространство – пытается отформатировать SD-карту для малины pi

    Запускать скрипт как root во время загрузки и отображения в терминале linux по умолчанию?

    Файл asound.conf поврежден, не позволяет воспроизвести правильную звуковую карту, в результате она продолжает терпеть неудачу

    Подскажите пароль sudo и программно повысите привилегию в скрипте bash?

    Как я могу определить, выполняется ли арифметика с плавающей запятой в аппаратном или программном обеспечении?

    Xrdp XFCE сессия удаляется при первом входе в систему

    Как мне изменить адрес FROM с помощью mailx на FreeBSD из командной строки?

    Как перенести настройки брандмауэра с одного веб-сервера Debian Squeeze на другой?

    Невозможно выполнить двойную загрузку Windows 7 и Linux Kali

    Понимание того, что означает git-ветвь, в этом контексте

    Принудительно отобразить файл в виде текста

    Проверьте, работает ли процесс в привилегированном режиме

    Linux и Unix - лучшая ОС в мире.