數(shù)據(jù)包分類與檢查一步到位

數(shù)據(jù)包分類與檢查，也就是將數(shù)據(jù)包分類到不同的流中，通過檢查包頭，確定如何處理數(shù)據(jù)塊，這一步對于服務處理至關重要。傳統(tǒng)的路由器通過對照訪問控制表（ACL）檢查包頭，對數(shù)據(jù)包進行分類，從而確定數(shù)據(jù)包下一個要去的地方。然而，由于不同的服務缺少統(tǒng)一的ACL，一個數(shù)據(jù)包必須被分類和檢查多次，這無疑降低了處理效率。

今天，廠商正在將多個服務整合到一臺設備上，但是這些設備仍按照原來的多次分類的方式對數(shù)據(jù)包進行處理，使得上述的矛盾進一步突出：整合的設備每增加一個服務，處理效率就進一步下降，開銷也進一步增加。人們希望可以通過一次檢查對所有服務的數(shù)據(jù)包進行分類，來克服這些問題，實現(xiàn)一步到位的高效處理。

一次通過的數(shù)據(jù)包分類若想行之有效，數(shù)據(jù)包必須按一定順序通過一個多功能服務網(wǎng)關，以確保所有的服務在正確的點上得到處理。在多次分類中，服務網(wǎng)關首先將數(shù)據(jù)包傳送到一臺路由器上，在這臺路由器上進行第一次分類，一旦數(shù)據(jù)包離開這臺路由器，進入防火墻后，就再次進行分類。

在采用一次通過的數(shù)據(jù)包分類時，數(shù)據(jù)包首先進入防火墻，因此保護了網(wǎng)關中所有其他服務。在防火墻中，IPSec服務對數(shù)據(jù)包進行解密和分類——使用公共分類僅進行一次，然后給數(shù)據(jù)包加上一個標簽。標簽包含哪些服務需要處理這個數(shù)據(jù)包的說明。數(shù)據(jù)包然后傳送給服務網(wǎng)關中的一個過濾器，過濾器根據(jù)標簽上的信息接收或拒絕這個數(shù)據(jù)包。

離開過濾器后，數(shù)據(jù)包接受拒絕服務檢查，之后進入入侵防御/入侵檢測系統(tǒng)(IPS/IDS)。后者不僅檢查數(shù)據(jù)包的內(nèi)容，查找入侵跡象，而且還提取、規(guī)范化和處理有關內(nèi)容的信息，并將信息保存在一個中央內(nèi)容管理信息庫中。

當數(shù)據(jù)包傳送給網(wǎng)絡地址轉(zhuǎn)換（NAT）服務時，這個內(nèi)容信息庫尤其有用，因為NAT應用需要深層次的數(shù)據(jù)包檢查，以搜索內(nèi)容，查找非法語句。只有在數(shù)據(jù)包經(jīng)過分類、檢查并確認安全后，網(wǎng)關才將它轉(zhuǎn)發(fā)給路由器，最后進入內(nèi)部網(wǎng)絡。

一次通過的分類和內(nèi)容檢查，減少了發(fā)生錯誤的風險，將延時減少到最低程度。（美國《Network World》供本報專稿）

來源：CCW