သတင်းအချက်အလက်လုံခြုံရေးစနစ်များတည်ဆောက်ခြင်းအတွက် ခေတ်မီဖြေရှင်းနည်းများ - ကွန်ရက်ပက်ကတ်ပွဲစားများ (Network Packet Broker)

သတင်းအချက်အလက်လုံခြုံရေးသည် တယ်လီဖုန်းဆက်သွယ်ရေးမှ၎င်း၏ကိုယ်ပိုင်အသေးစိတ်အချက်များနှင့်၎င်း၏ကိုယ်ပိုင်စက်ကိရိယာများဖြင့်လွတ်လပ်သောစက်မှုလုပ်ငန်းအဖြစ်သို့ခွဲခြားထားသည်။ ဒါပေမယ့် တယ်လီကွန်းနဲ့ infobez လမ်းဆုံမှာ လူသိနည်းတဲ့ စက်ပစ္စည်းအမျိုးအစားတစ်ခုရှိပါတယ်။ network packet ပွဲစားများ (Network Packet Broker)၊ ၎င်းတို့သည် load balancers၊ အထူးပြု/စောင့်ကြည့်ရေးခလုတ်များ၊ traffic aggregators၊ Security Delivery Platform၊ Network Visibility စသည်တို့ဖြစ်သည်။ ထိုကဲ့သို့သော စက်ပစ္စည်းများကို ရုရှား developer နှင့် ထုတ်လုပ်သူအနေဖြင့် ကျွန်ုပ်တို့သည် ၎င်းတို့အကြောင်း သင့်ကို အမှန်တကယ် ပြောပြလိုပါသည်။

ဖြေရှင်းရမည့် နယ်ပယ်နှင့် အလုပ်များ

ကွန်ရက်ပက်ကတ်ပွဲစားများသည် သတင်းအချက်အလက်လုံခြုံရေးစနစ်များတွင် အကြီးကျယ်ဆုံးအသုံးပြုမှုကို တွေ့ရှိခဲ့သည့် အထူးပြုစက်ပစ္စည်းများဖြစ်သည်။ ထို့ကြောင့်၊ စက်အမျိုးအစားသည် အတော်လေးအသစ်ဖြစ်ပြီး ခလုတ်များ၊ router များနှင့် အခြားအရာများနှင့် နှိုင်းယှဉ်ပါက ဘုံကွန်ရက်အခြေခံအဆောက်အအုံတွင် အနည်းငယ်သာရှိသည်။ ဤစက်ပစ္စည်းအမျိုးအစားကို တီထွင်ရာတွင် ရှေ့ဆောင်မှာ အမေရိကန်ကုမ္ပဏီ Gigamon ဖြစ်သည်။ လောလောဆယ်တွင်၊ ဤစျေးကွက်တွင် (လူသိများသောစမ်းသပ်မှုစနစ်များထုတ်လုပ်သူ - IXIA မှအလားတူဖြေရှင်းနည်းများအပါအဝင်)၊ ဤစျေးကွက်တွင်သိသိသာသာကစားသမားများပိုများလာသော်လည်း၊ ကျဉ်းမြောင်းသောစက်ဝိုင်းမှပညာရှင်များသာလျှင်ထိုကဲ့သို့သောကိရိယာများတည်ရှိမှုကိုသိနေသေးသည်။ အထက်တွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ ဝေါဟာရပညာဖြင့်ပင်လျှင် တိကျသေချာမှု မရှိပါ- အမည်များသည် "ကွန်ရက်ပွင့်လင်းမြင်သာမှုစနစ်များ" မှ ရိုးရှင်းသော "ချိန်ခွင်လျှာများ" အထိ ကွဲပြားသည်။

ကွန်ရက်ပက်ကတ်ပွဲစားများကို တီထွင်နေစဉ်တွင်၊ ဓာတ်ခွဲခန်း/စမ်းသပ်ဇုန်များတွင် လုပ်ဆောင်နိုင်စွမ်းနှင့် စမ်းသပ်ခြင်းဆိုင်ရာ လမ်းညွှန်ချက်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းအပြင်၊ ဤပစ္စည်းအမျိုးအစား၏ တည်ရှိမှုနှင့်ပတ်သက်၍ ဖြစ်နိုင်ခြေရှိသော စားသုံးသူများအား တစ်ပြိုင်နက် ရှင်းပြရန် လိုအပ်သည်ဟူသောအချက်ကို ကျွန်ုပ်တို့ ရင်ဆိုင်ခဲ့ရသည်။ အကြောင်းကတော့ လူတိုင်းမသိပါဘူး။

လွန်ခဲ့သော 15-20 နှစ်များကပင်၊ ကွန်ရက်ပေါ်တွင်အသွားအလာအနည်းငယ်သာရှိခဲ့ပြီးအများစုမှာအရေးကြီးသောဒေတာဖြစ်သည်။ ဒါပေမယ့် Nielsen ၏ ဥပဒေ လက်တွေ့ကျကျ ပြန်လုပ်တယ်။ Moore ၏ဥပဒေ- အင်တာနက်ချိတ်ဆက်မှုအမြန်နှုန်းသည် နှစ်စဉ် 50% တိုးလာသည်။ အသွားအလာ ပမာဏသည်လည်း တဖြည်းဖြည်း ကြီးထွားလာသည် (ဂရပ်သည် Cisco မှ 2017 ခုနှစ် ခန့်မှန်းချက်၊ အရင်းအမြစ် Cisco Visual Networking Index- ခန့်မှန်းချက်နှင့် လမ်းကြောင်းများ၊ 2017-2022))။

အရှိန်နှင့်အတူ၊ သတင်းအချက်အလက်ဖြန့်ဝေခြင်း၏အရေးပါမှု (၎င်းသည် ကုန်သွယ်မှုလျှို့ဝှက်ချက်နှင့် နာမည်ဆိုးဖြင့်ကျော်ကြားသော ကိုယ်ရေးကိုယ်တာအချက်အလက်များ) နှင့် အခြေခံအဆောက်အအုံ၏ အလုံးစုံစွမ်းဆောင်ရည် တိုးမြင့်လာပါသည်။

သို့ဖြစ်ရာ သတင်းအချက်အလက် လုံခြုံရေး လုပ်ငန်း ပေါ်ပေါက်လာခဲ့သည်။ စက်မှုလုပ်ငန်းသည် ၎င်းကို DDOS တိုက်ခိုက်မှုကာကွယ်ရေးစနစ်များမှ IDS၊ IPS၊ DLP၊ NBA၊ SIEM၊ Antimailware စသည်တို့အပါအဝင် သတင်းအချက်အလက်လုံခြုံရေးဖြစ်ရပ်စီမံခန့်ခွဲမှုစနစ်များအထိ အသွားအလာခွဲခြမ်းစိတ်ဖြာမှု (DPI) ကိရိယာအစုံအလင်ဖြင့် တုံ့ပြန်ခဲ့သည်။ ပုံမှန်အားဖြင့်၊ ဤကိရိယာတစ်ခုစီသည် ဆာဗာပလပ်ဖောင်းပေါ်တွင် ထည့်သွင်းထားသည့် ဆော့ဖ်ဝဲဖြစ်သည်။ ထို့အပြင်၊ ပရိုဂရမ်တစ်ခုစီ (ခွဲခြမ်းစိတ်ဖြာခြင်းကိရိယာ) ကို ၎င်း၏ကိုယ်ပိုင်ဆာဗာပလပ်ဖောင်းပေါ်တွင် ထည့်သွင်းထားသည်- ဆော့ဖ်ဝဲလ်ထုတ်လုပ်သူများမှာ ကွဲပြားကြပြီး L7 တွင် ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ကွန်ပျူတာအရင်းအမြစ်များစွာ လိုအပ်ပါသည်။

သတင်းအချက်အလက်လုံခြုံရေးစနစ်တစ်ခုတည်ဆောက်သောအခါ၊ အခြေခံတာဝန်များစွာကိုဖြေရှင်းရန် လိုအပ်သည်-

• အခြေခံအဆောက်အအုံမှ ခွဲခြမ်းစိတ်ဖြာမှုစနစ်သို့ လမ်းကြောင်းကို မည်သို့လွှဲပြောင်းမည်နည်း။ (ခေတ်သစ်အခြေခံအဆောက်အအုံအတွက် မူလတီထွင်ထားသည့် SPAN ဆိပ်ကမ်းများသည် အရေအတွက် သို့မဟုတ် စွမ်းဆောင်ရည်တွင် မလုံလောက်ပါ)
• မတူညီသော ခွဲခြမ်းစိတ်ဖြာမှုစနစ်များကြား လမ်းကြောင်းကို မည်သို့ဖြန့်ဝေမည်နည်း။
• ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခု၏ လုံလောက်သောစွမ်းဆောင်ရည်မရှိသောအခါ ၎င်းသို့ဝင်ရောက်သွားသော လမ်းကြောင်းတစ်ခုလုံးကို လုပ်ဆောင်ရန် စနစ်များကို မည်သို့တိုင်းတာမည်နည်း။
• ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများသည် လက်ရှိတွင် 40G/100G/200G အင်တာဖေ့စ်များကိုသာ ပံ့ပိုးပေးသောကြောင့် 400G/1G အင်တာဖေ့စ်များကို မည်သို့စောင့်ကြည့်ရမည်နည်း။

အောက်ဖော်ပြပါ ဆက်စပ်အလုပ်များ

• လုပ်ဆောင်ရန်မလိုအပ်သော်လည်း ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများထံရောက်ရှိပြီး ၎င်းတို့၏အရင်းအမြစ်များကို စားသုံးရန်မလိုအပ်သော မသင့်လျော်သောအသွားအလာများကို မည်သို့လျှော့ချနိုင်မည်နည်း။
• ဟာ့ဒ်ဝဲဝန်ဆောင်မှုအမှတ်အသားများဖြင့် ထုပ်ပိုးထားသော ပက်ကတ်များနှင့် ပက်ကေ့ခ်ျများကို မည်သို့လုပ်ဆောင်ရမည်နည်း။
• လုံခြုံရေးမူဝါဒ (ဥပမာ၊ လမ်းကြောင်းအသွားအလာ) ၏ ခွဲခြမ်းစိတ်ဖြာမှုအပိုင်းမှ မည်သို့ဖယ်ထုတ်မည်နည်း။

လူတိုင်းသိသည့်အတိုင်း၊ ဝယ်လိုအားသည် ထောက်ပံ့မှုကို ဖန်တီးပေးသည်၊ ဤလိုအပ်ချက်များကို တုံ့ပြန်ရန်အတွက် ကွန်ရက် ပက်ကတ်ပွဲစားများ စတင်ဖွံ့ဖြိုးလာသည်။

Network Packet Brokers ၏ အထွေထွေဖော်ပြချက်

Network packet ပွဲစားများသည် packet အဆင့်တွင် အလုပ်လုပ်ကြပြီး ၎င်းတို့သည် သာမန် switches များနှင့် ဆင်တူသည်။ ခလုတ်များမှ အဓိကကွာခြားချက်မှာ network packet ပွဲစားများတွင် ဖြန့်ကျက်ခြင်းနှင့် စုစည်းခြင်းအတွက် စည်းမျဉ်းများကို ဆက်တင်များမှ လုံးဝဆုံးဖြတ်ထားခြင်းဖြစ်ပါသည်။ ကွန်ရက်ပက်ကတ်ပွဲစားများသည် ထပ်ဆင့်ပို့ခြင်းဇယားများ (MAC ဇယားများ) တည်ဆောက်ရန်နှင့် ပရိုတိုကောများကို အခြားခလုတ်များ (STP ကဲ့သို့သော) နှင့် လဲလှယ်ရန်အတွက် စံနှုန်းများမရှိသောကြောင့် ၎င်းတို့ရှိ ဖြစ်နိုင်သည့်ဆက်တင်များနှင့် နားလည်နိုင်သောအကွက်များ၏ အကွာအဝေးသည် ပိုမိုကျယ်ပြန့်ပါသည်။ ပွဲစားတစ်ခုသည် တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော အဝင်ပေါက်များမှ အဝင်အထွက်ပေါက်များကို ထုတ်ပေးသည့်ဝန်ချိန်ခွင်လျှာညှိသည့်အင်္ဂါရပ်ဖြင့် ပေးထားသော အထွက်ပေါက်များဆီသို့ အသွားအလာကို အညီအမျှ ဖြန့်ဝေနိုင်သည်။ ကူးယူခြင်း၊ စစ်ထုတ်ခြင်း၊ အမျိုးအစားခွဲခြင်း၊ ထပ်ပွားခြင်းနှင့် အသွားအလာကို ပြင်ဆင်ခြင်းအတွက် စည်းမျဉ်းများ သတ်မှတ်နိုင်သည်။ ဤစည်းမျဉ်းများကို network packet ပွဲစား၏ input ports ၏ မတူညီသောအုပ်စုများတွင် အသုံးပြုနိုင်သည့်အပြင် စက်တွင် တစ်ခုပြီးတစ်ခု ဆက်တိုက်အသုံးပြုနိုင်သည်။ packet ပွဲစား၏ အရေးကြီးသော အားသာချက်တစ်ခုမှာ အသွားအလာ အပြည့်အ၀ စီးဆင်းမှုနှုန်းဖြင့် လုပ်ဆောင်နိုင်စွမ်းရှိပြီး session များ၏ ခိုင်မာမှုကို ထိန်းသိမ်းထားနိုင်သည် (အမျိုးအစားတူ DPI စနစ်များစွာသို့ အသွားအလာကို ဟန်ချက်ညီစေသည့် ကိစ္စတွင်)။

Session များ၏ ခိုင်မာမှုကို ထိန်းသိမ်းခြင်းသည် သယ်ယူပို့ဆောင်ရေး အလွှာ (TCP/UDP/SCTP) ၏ session ၏ packet အားလုံးကို port တစ်ခုသို့ လွှဲပြောင်းရန် ဖြစ်သည်။ DPI စနစ်များ (များသောအားဖြင့် ပက်ကတ်ပွဲစား၏ အထွက်ပေါက်ပေါက်နှင့် ချိတ်ဆက်ထားသော ဆာဗာပေါ်တွင် လုပ်ဆောင်နေသည့် ဆော့ဖ်ဝဲ) သည် အက်ပ်ပလီကေးရှင်းအဆင့်ရှိ အသွားအလာ၏ အကြောင်းအရာကို ပိုင်းခြားစိတ်ဖြာကာ အက်ပလီကေးရှင်းတစ်ခုမှ ပေးပို့/လက်ခံသည့် ပက်ကေ့ခ်ျအားလုံးသည် တူညီသော စံနမူနာတစ်ခုသို့ ရောက်ရှိရမည်ဖြစ်သောကြောင့်၊ ခွဲခြမ်းစိတ်ဖြာသူ။ အကယ်၍ စက်ရှင်တစ်ခု၏ အစုံလိုက်များသည် မတူညီသော DPI စက်များကြားတွင် ပျောက်ဆုံးသွားပါက သို့မဟုတ် ဖြန့်ဝေပါက၊ DPI စက်တစ်ခုစီသည် စာသားတစ်ခုလုံးကို ဖတ်ရှုခြင်းမဟုတ်ဘဲ ၎င်းမှ စကားလုံးတစ်လုံးချင်းစီ၏ တူညီသောအခြေအနေတွင် ရှိနေမည်ဖြစ်သည်။ ဖြစ်နိုင်ချေများသောအားဖြင့် စာသားကို နားမလည်နိုင်ပါ။

ထို့ကြောင့် သတင်းအချက်အလက် လုံခြုံရေးစနစ်များကို အာရုံစိုက်ထားခြင်းကြောင့် ကွန်ရက် ပက်ကက်ပွဲစားများသည် DPI ဆော့ဖ်ဝဲစနစ်များကို မြန်နှုန်းမြင့် ဆက်သွယ်ရေးကွန်ရက်များသို့ ချိတ်ဆက်ကာ ၎င်းတို့တွင် ဝန်ကို လျှော့ချပေးသည့် လုပ်ဆောင်နိုင်စွမ်းများ ရှိသည်- ၎င်းတို့သည် ကြိုတင်စစ်ထုတ်ခြင်း၊ အမျိုးအစားခွဲခြင်းနှင့် ပြင်ဆင်ခြင်းများ ပြုလုပ်ကြသည်။

ထို့အပြင်၊ network packet ပွဲစားများသည် များပြားလှသော စာရင်းအင်းများကို ပေးဆောင်ကြပြီး ကွန်ရက်အတွင်းရှိ အချက်များစွာနှင့် မကြာခဏ ချိတ်ဆက်ထားသောကြောင့် ကွန်ရက်အခြေခံအဆောက်အအုံကိုယ်တိုင်၏ ကျန်းမာရေးပြဿနာများကို ရှာဖွေဖော်ထုတ်ရာတွင်လည်း ၎င်းတို့၏နေရာကို ရှာဖွေကြသည်။

Network Packet ပွဲစားများ၏ အခြေခံလုပ်ဆောင်ချက်များ

"ဆက်ကပ်ထားသော/စောင့်ကြည့်ရေးခလုတ်များ" ဟူသောအမည်သည် အခြေခံရည်ရွယ်ချက်မှ ဆင်းသက်လာပါသည်- အခြေခံအဆောက်အဦများ (အများအားဖြင့် passive optical TAP တို့နှင့် / သို့မဟုတ် SPAN ports များကို အသုံးပြုသည်) နှင့် အခြေခံအဆောက်အဦများမှ လမ်းကြောင်းများကို စုဆောင်းရန်နှင့် ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများအကြား ဖြန့်ဝေရန်။ ယာဉ်အသွားအလာကို မတူညီသောအမျိုးအစားစနစ်များကြားတွင် ပုံတူကူးချထားပြီး အမျိုးအစားတူစနစ်များကြား ဟန်ချက်ညီသည်။ အခြေခံလုပ်ဆောင်ချက်များတွင် များသောအားဖြင့် L4 (MAC၊ IP၊ TCP/UDP port စသည်ဖြင့်) အထိ နယ်ပယ်အလိုက် စစ်ထုတ်ခြင်းနှင့် ပေါ့ပေါ့ပါးပါး တင်ထားသော ချန်နယ်များစွာကို တစ်ခုထဲသို့ ပေါင်းစည်းခြင်း (ဥပမာ၊ DPI စနစ်တစ်ခုတွင် လုပ်ဆောင်ခြင်းအတွက်) ပါဝင်သည်။

ဤလုပ်ဆောင်ချက်သည် အခြေခံလုပ်ငန်းဆောင်တာအတွက် အဖြေတစ်ခုပေးသည် - DPI စနစ်များကို ကွန်ရက်အခြေခံအဆောက်အအုံသို့ ချိတ်ဆက်ခြင်း။ အခြေခံလုပ်ဆောင်နိုင်စွမ်းကိုကန့်သတ်ထားသည့် အမျိုးမျိုးသောထုတ်လုပ်သူမှပွဲစားများသည် 32U လျှင် 100G အင်တာဖေ့စ် 1 ခုအထိလုပ်ဆောင်ပေးသည် (နောက်ထပ်အင်တာဖေ့စ်များသည် 1U ရှေ့ panel တွင်ရုပ်ပိုင်းဆိုင်ရာအရမကိုက်ညီပါ)။ သို့ရာတွင်၊ ၎င်းတို့သည် ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများပေါ်တွင် ဝန်အားလျှော့ချခြင်းကို ခွင့်မပြုသည့်အပြင် ရှုပ်ထွေးသောအခြေခံအဆောက်အအုံအတွက် အခြေခံလုပ်ဆောင်ချက်တစ်ခုအတွက် လိုအပ်ချက်များကိုပင် မပေးနိုင်ပါ- ဥမင်လှိုင်ခေါင်းအများအပြားတွင် ဖြန့်ဝေထားသော ဆက်ရှင်တစ်ခု (သို့မဟုတ် MPLS တဂ်များတပ်ဆင်ထားသော) သည် မတူညီသောအခြေအနေများအတွက် ဟန်ချက်မညီနိုင်ပါ။ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ယေဘုယျအားဖြင့် ခွဲခြမ်းစိတ်ဖြာခြင်းမှ ပြုတ်ကျသည်။

40/100G အင်တာဖေ့စ်များကို ပေါင်းထည့်ခြင်းအပြင် ရလဒ်အနေဖြင့် စွမ်းဆောင်ရည် ပိုမိုကောင်းမွန်လာစေရန်၊ ကွန်ရက် ပက်ကတ်ပွဲစားများသည် အခြေခံကျသော အင်္ဂါရပ်အသစ်များကို ပေးဆောင်ခြင်း- nested tunnel headers များကို ချိန်ညှိခြင်းမှ traffic decryption အထိ တက်ကြွစွာ ဖွံ့ဖြိုးလာပါသည်။ ကံမကောင်းစွာဖြင့်၊ ထိုသို့သောမော်ဒယ်များသည် terabits ဖြင့် စွမ်းဆောင်ရည်ကို မကြွားနိုင်သော်လည်း၊ ၎င်းတို့သည် အမှန်တကယ် အရည်အသွေးမြင့်ပြီး နည်းပညာပိုင်းဆိုင်ရာ “လှပသော” သတင်းအချက်အလက် လုံခြုံရေးစနစ်တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာသည့်ကိရိယာတစ်ခုစီတွင် အသင့်လျော်ဆုံးပုံစံဖြင့် လိုအပ်သည့် အချက်အလက်များကိုသာ ရရှိရန် အာမခံချက်ပေးထားသည့် အမှန်တကယ် အရည်အသွေးမြင့်ပြီး နည်းပညာပိုင်းဆိုင်ရာ “လှပသော” သတင်းအချက်အလက်လုံခြုံရေးစနစ်ကို တည်ဆောက်နိုင်စေပါသည်။ ခွဲခြမ်းစိတ်ဖြာဘို့။

ကွန်ရက်ပက်ကတ်ပွဲစားများ၏ အဆင့်မြင့်လုပ်ဆောင်ချက်များ

1. အထက်တွင်ဖော်ပြခဲ့သည် ဥမင်လိုဏ်ခေါင်းလမ်းကြောင်းတွင် nested header ချိန်ညှိခြင်း။

အဘယ်ကြောင့် အရေးကြီးသနည်း။ တညီတညွတ်တည်း သို့မဟုတ် သီးခြားစီ ဝေဖန်နိုင်သည့် ရှုထောင့် ၃ ခုကို သုံးသပ်ကြည့်ပါ-

• ဥမင်အနည်းစု၏ရှေ့မှောက်တွင် ယူနီဖောင်းဟန်ချက်ညီမှုရှိစေရန်။ သတင်းအချက်အလက်လုံခြုံရေးစနစ်များချိတ်ဆက်သည့်နေရာတွင် ဥမင်လိုဏ်ခေါင်း 2 ခုသာရှိလျှင် session ကိုထိန်းသိမ်းထားစဉ် ဆာဗာပလပ်ဖောင်း 3 ခုရှိ ပြင်ပခေါင်းစီးများဖြင့် ၎င်းတို့အား ချိန်ခွင်လျှာညှိရန် မဖြစ်နိုင်ပါ။ တစ်ချိန်တည်းမှာပင်၊ ကွန်ရက်အတွင်းရှိ အသွားအလာများကို မညီမညာ ထုတ်လွှင့်နေပြီး သီးခြားလုပ်ဆောင်နေသည့် စက်ရုံတစ်ခုသို့ ဥမင်တစ်ခုစီ၏ ဦးတည်ချက်သည် နောက်ပိုင်းတွင် အလွန်အကျွံ စွမ်းဆောင်ရည် လိုအပ်မည်ဖြစ်သည်။
• Multisession protocols (ဥပမာ၊ FTP နှင့် VoIP) ၏ session များနှင့် streams များ၏ ခိုင်မာမှုကို သေချာစေရန် packets များသည် မတူညီသော tunnels များတွင် အဆုံးသတ်ပါသည်။ ကွန်ရက်အခြေခံအဆောက်အအုံ၏ ရှုပ်ထွေးမှုသည် အဆက်မပြတ်တိုးလာနေသည်- မလိုအပ်တော့ခြင်း၊ virtualization၊ စီမံအုပ်ချုပ်မှုလွယ်ကူစေခြင်းစသည်ဖြင့်။ တစ်ဖက်တွင်၊ ၎င်းသည် ဒေတာပေးပို့ခြင်းဆိုင်ရာ ယုံကြည်စိတ်ချရမှုကို တိုးမြင့်စေသည်၊ အခြားတစ်ဖက်တွင်၊ ၎င်းသည် သတင်းအချက်အလက်လုံခြုံရေးစနစ်များ၏ အလုပ်များကို ရှုပ်ထွေးစေသည်။ ဥမင်လိုဏ်ခေါင်းများဖြင့် သီးခြားချန်နယ်တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာသူ၏ လုံလောက်သော စွမ်းဆောင်ရည်ဖြင့်ပင်၊ အသုံးပြုသူ စက်ရှင် ပက်ကေ့ဂျ်အချို့ကို အခြားချန်နယ်တစ်ခုမှ ထုတ်လွှင့်သွားသောကြောင့် ပြဿနာသည် ဖြေရှင်း၍မရဖြစ်သွားပါသည်။ ထို့အပြင်၊ အချို့သောအခြေခံအဆောက်အဦများတွင် sessions များ၏ခိုင်မာမှုကိုဂရုစိုက်ရန်ကြိုးစားနေပါက၊ Multisession protocol များသည်လုံးဝကွဲပြားခြားနားသောနည်းလမ်းများအတိုင်းသွားနိုင်သည်။
• MPLS၊ VLAN၊ တစ်ဦးချင်း စက်ကိရိယာ တဂ်များ စသည်တို့၏ ရှေ့မှောက်တွင် ဟန်ချက်ညီခြင်း။ အမှန်တကယ်တော့ ဥမင်လိုဏ်ခေါင်းများမဟုတ်သော်လည်း၊ မည်သို့ပင်ဆိုစေကာမူ အခြေခံလုပ်ဆောင်နိုင်စွမ်းရှိသည့် စက်ပစ္စည်းများသည် ဤလမ်းကြောင်းကို MAC လိပ်စာများမှ IP နှင့် ချိန်ခွင်လျှာအဖြစ် နားလည်နိုင်မည်မဟုတ်သည့်အပြင် ချိန်ခွင်လျှာညီညွှတ်မှု (သို့) ဆက်ရှင်သမာဓိ၏တူညီမှုကို ထပ်မံချိုးဖောက်ခြင်းဖြစ်သည်။

ကွန်ရက်ပက်ကတ်ပွဲစားသည် ပြင်ပခေါင်းစီးများကို ခွဲခြမ်းစိတ်ဖြာပြီး အစုအဝေး IP ခေါင်းစီးအထိ ညွှန်ပြချက်များကို ဆက်တိုက်လုပ်ဆောင်ပြီး ၎င်းတွင်ရှိပြီးသား ချိန်ခွင်လျှာများဖြစ်သည်။ ရလဒ်အနေဖြင့်၊ သိသိသာသာပိုမိုသောစီးကြောင်းများရှိသည် (အသီးသီး၊ ၎င်းကို ပို၍အညီအမျှနှင့် ပိုမိုများပြားသော platform များတွင် ဟန်ချက်မညီနိုင်)၊ DPI စနစ်သည် session packet များအားလုံးနှင့် multisession protocols များ၏ ဆက်စပ်ဆက်ရှင်များအားလုံးကို လက်ခံရရှိပါသည်။

2. လမ်းစည်းကမ်း ပြုပြင်မွမ်းမံခြင်း။
၎င်း၏စွမ်းဆောင်ရည်သတ်မှတ်ချက်များနှင့် ပတ်သက်၍ အကျယ်ပြန့်ဆုံးလုပ်ဆောင်ချက်များထဲမှ တစ်ခု၊ ၎င်းတို့အသုံးပြုမှုအတွက် လုပ်ဆောင်ချက်ခွဲများနှင့် ရွေးချယ်စရာများ အများအပြားရှိသည်။

• payload ကို ဖယ်ရှားခြင်း ၊ ထိုအခြေအနေတွင် packet headers များကို parser သို့ ပေးပို့ပါသည်။ ၎င်းသည် ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများအတွက် သို့မဟုတ် ပက်ကတ်များ၏ အကြောင်းအရာများကို အခန်းကဏ္ဍတစ်ခုမှမလုပ်ဆောင်ဘဲ သို့မဟုတ် ခွဲခြမ်းစိတ်ဖြာ၍မရသော အသွားအလာအမျိုးအစားများအတွက် သက်ဆိုင်သည်။ ဥပမာအားဖြင့်၊ ကုဒ်ဝှက်ထားသောအသွားအလာအတွက်၊ parametric ဖလှယ်မှုဒေတာ (ဘယ်သူ၊ ဘယ်သူ၊ ဘယ်အချိန်၊ မည်မျှ) စိတ်ဝင်စားဖွယ်ရှိနိုင်ပြီး payload သည် အမှန်တကယ်တွင် ခွဲခြမ်းစိတ်ဖြာသူ၏ ချန်နယ်နှင့် တွက်ချက်ခြင်းဆိုင်ရာ အရင်းအမြစ်များကို ရယူထားသည့် အမှိုက်ဖြစ်သည်။ ပေးထားသော အော့ဖ်ဆက်တစ်ခုမှ စတင်၍ payload ကို ဖြတ်တောက်လိုက်သောအခါတွင် ကွဲလွဲမှုများ ဖြစ်နိုင်သည် - ၎င်းသည် ခွဲခြမ်းစိတ်ဖြာမှုဆိုင်ရာ ကိရိယာများအတွက် ထပ်လောင်း နယ်ပယ်ကို ပံ့ပိုးပေးပါသည်။
• ဥမင်တူးခြင်း ၊ ဆိုလိုသည်မှာ ဥမင်များကို သတ်မှတ်ခြင်းနှင့် ခွဲခြားသတ်မှတ်သည့် ခေါင်းစီးများကို ဖယ်ရှားခြင်း ဖြစ်သည်။ ရည်မှန်းချက်မှာ ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများပေါ်တွင် ဝန်ကိုလျှော့ချရန်နှင့် ၎င်းတို့၏စွမ်းဆောင်ရည်ကို မြှင့်တင်ရန်ဖြစ်သည်။ Detunneling သည် packet တစ်ခုစီအတွက် ပုံသေ offset သို့မဟုတ် dynamic header ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် offset ဆုံးဖြတ်ချက်အပေါ် အခြေခံနိုင်သည်။
• အချို့သော packet ခေါင်းစီးများကို ဖယ်ရှားခြင်း- MPLS တဂ်များ၊ VLAN၊ ပြင်ပပစ္စည်းကိရိယာများ၏ သီးခြားနယ်ပယ်များ၊
• ဥပမာအားဖြင့်၊ ယာဉ်အသွားအလာအမည်ဝှက်ခြင်းကိုသေချာစေရန် IP လိပ်စာများကိုဖုံးကွယ်ထားခြင်း၊
• packet တွင် ဝန်ဆောင်မှုအချက်အလက်ကို ပေါင်းထည့်ခြင်း- အချိန်တံဆိပ်တုံးများ၊ အဝင်ပေါက်၊ အသွားအလာ အတန်းအစား အညွှန်းများ စသည်တို့။

3. ပုံဖျက်ခြင်း။ - ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများသို့ပို့သော ထပ်တလဲလဲယာဉ်အသွားအလာ packet များကို သန့်ရှင်းရေးလုပ်ပါ။ အခြေခံအဆောက်အအုံနှင့် ချိတ်ဆက်ခြင်း၏ ထူးခြားချက်များကြောင့် ပွားနေသော ပက်ကေ့ဂျ်များ အများစုမှာ မကြာခဏ ဖြစ်ပွားတတ်သည် - လမ်းကြောင်းသည် ခွဲခြမ်းစိတ်ဖြာမှု၏ အချက်များစွာကို ဖြတ်သန်းနိုင်ပြီး ၎င်းတို့တစ်ခုစီမှ ပြန်လည်ကူးယူနိုင်ပါသည်။ မပြည့်စုံသော TCP ပက်ကေ့ခ်ျများကို ပြန်လည်ပေးပို့ခြင်းလည်း ရှိသည်၊ သို့သော် ၎င်းတို့အများအပြားရှိနေပါက၊ ၎င်းတို့သည် ကွန်ရက်၏အရည်အသွေးကို စောင့်ကြည့်ရန် မေးခွန်းများဖြစ်ပြီး ၎င်းတွင် သတင်းအချက်အလက်လုံခြုံရေးအတွက်မဟုတ်ဘဲ ကွန်ရက်အရည်အသွေးကို စောင့်ကြည့်ရန် ပိုများသည်။

4. အဆင့်မြင့် စစ်ထုတ်ခြင်း အင်္ဂါရပ်များ - ပေးထားသည့် offset တွင် သီးခြားတန်ဖိုးများကို ရှာဖွေခြင်းမှ ပက်ကေ့ခ်ျတစ်ခုလုံးတွင် လက်မှတ်ခွဲခြမ်းစိတ်ဖြာခြင်းအထိ။

5. NetFlow/IPFIX မျိုးဆက် - ဖြတ်သန်းသွားလာမှုဆိုင်ရာ များပြားလှသော စာရင်းဇယားများကို စုဆောင်းခြင်းနှင့် ၎င်း၏ ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများသို့ လွှဲပြောင်းခြင်း။

6. SSL အသွားအလာကို ကုဒ်ဝှက်ခြင်း၊ လက်မှတ်နှင့် သော့များကို network packet ပွဲစားသို့ ဦးစွာထည့်သွင်းပေးခြင်းဖြင့် အလုပ်လုပ်ပါသည်။ မည်သို့ပင်ဆိုစေကာမူ၊ ၎င်းသည် သင့်အား ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများကို သိသိသာသာ ဖြုတ်ချနိုင်စေပါသည်။

အသုံးဝင်သော နှင့် စျေးကွက်ချဲ့ထွင်ခြင်း လုပ်ဆောင်ချက်များစွာ ရှိပါသည်၊ သို့သော် အဓိက လုပ်ဆောင်ချက်များကို ဖော်ပြထားပါသည်။

ထောက်လှမ်းမှုစနစ်များ (ကျူးကျော်ဝင်ရောက်မှုများ၊ DDOS တိုက်ခိုက်မှု) များကို ၎င်းတို့၏ကြိုတင်ကာကွယ်မှုစနစ်များအဖြစ် ဖွံ့ဖြိုးတိုးတက်စေသည့်အပြင် တက်ကြွသော DPI ကိရိယာများကို မိတ်ဆက်ရာတွင်လည်း passive (TAP သို့မဟုတ် SPAN ports များမှတဆင့်) သို့ active ("in break" သို့ ပြောင်းလဲခြင်းအစီအစဉ်ကို ပြောင်းလဲရန် လိုအပ်ပါသည်။ ) ဤအခြေအနေသည် ယုံကြည်စိတ်ချရမှုအတွက် လိုအပ်ချက်များကို တိုးမြင့်လာစေသည် (ဤကိစ္စတွင် ပျက်ကွက်မှုသည် ကွန်ရက်တစ်ခုလုံးကို အနှောင့်အယှက်ဖြစ်စေပြီး သတင်းအချက်အလက်လုံခြုံရေးအပေါ် ထိန်းချုပ်မှုဆုံးရှုံးသွားရုံသာမက) နှင့် optical couplers များကို optical bypasses များဖြင့် အစားထိုးခြင်းဆီသို့ ဦးတည်သွားသည် (အလို့ငှာ၊ စနစ်များ သတင်းအချက်အလက် လုံခြုံရေးအပေါ် ကွန်ရက်၏ စွမ်းဆောင်ရည်အပေါ် မှီခိုနေရမှု ပြဿနာကို ဖြေရှင်းနိုင်သည်)၊ သို့သော် ၎င်းအတွက် အဓိက လုပ်ဆောင်နိုင်စွမ်းနှင့် လိုအပ်ချက်များမှာ အတူတူပင်ဖြစ်သည်။

ကျွန်ုပ်တို့သည် ဒီဇိုင်းနှင့် circuitry မှ embedded software အထိ 100G၊ 40G နှင့် 10G အင်တာဖေ့စ်များဖြင့် DS Integrity Network Packet ပွဲစားများကို တီထွင်ထားပါသည်။ ထို့အပြင် အခြားသော packet ပွဲစားများနှင့်မတူဘဲ၊ nested tunnel headers အတွက် ပြုပြင်မွမ်းမံခြင်းနှင့် ချိန်ခွင်လျှာညှိခြင်းများကို ကျွန်ုပ်တို့၏ hardware တွင် port speed အပြည့်ဖြင့် လုပ်ဆောင်ပါသည်။

source: www.habr.com