應用技術

內容管理五步驟:       生產力/安全性最大化, 威脅/總持有成本最小化       現今許多網際網路使用者已經安裝了即時通訊(IM)與點對點傳輸(P2P)應用軟體。這些軟體會自動隨機跳埠，或把自己偽裝在HTTP的地道裡，以規避管理者的檢查。為了讓管理者克服這個問題，「內容管理五步驟」可用來最大化生產力/安全性，並最小化威脅性與總持有成本。 第一步 — 隨差及用即時流量偵測/學習：為了幫助管理者解決上述問題，InstantScan提供了隨差及用流量偵測來當作第一步。只需要把網路線接起來，InstantScan就回現場把網路流量展現在你面前。您可以看到有多少MSN是用HTTP地道來偽裝的，也可以看到有多少IM正在聊天。聊天的過程會被自動記錄，以方便管理者匯入到設定中。 第二步 — 將第七層流量打回第四層：在流量偵測過後，若開始決定要管理流量了，你可以開使用第七層防火牆來檔掉某些應用。在此圖中，InstantScan會把在第七層亂竄的流量過濾，讓其乖乖地以第四層流量方式運行，幫助你原有的第四層防火牆得以用埠號作最基本的控制。非但如此，InstantScan可幫助你阻擋非標準的IM連線。例如MSN會自動偵測防火牆設定，若MSN無法從標準的1860埠號連出去登入，則會開始用HTTP代理伺服器連線出去。更有甚者，任何人都可以手動設定他要連到哪一台HTTP/SOCKS4/SOCKS5代理伺服器（包括你公司裡的HTTP代理伺服器）。最慘的是，員工還可以使用瀏覽器連到各種不同提供MSN服務的網頁，繼續跟外面的人聊天。這些InstantScan都可以幫助你解決。 第三步 — 互動式行為管理：接下來，網管人員可能會開始想作個人化的政策。既然InstantScan可以認得應用程式的各種細部行為，網管人員可以針對每個使用者給予不同的行為權限。使用者的資訊可以整合企業現有的使用者資料庫，例如LDAP、Active Directory、POP3(S)、IMAP(S)、RADIUS。 第四步 — 深度內容檢測：網管人員接下來可能想要開始設定進階的內容過濾功能。在此圖中，InstantScan可偵測/阻擋「壓縮檔裡的病毒」或「散佈在MSN視窗裡的URL或傳檔蠕蟲」。若要做到極端的安全性，所有的對話都可以被側錄，來預防內部資訊洩漏。若使用者違反了政策，說了些不該說的話，InstantScan能夠直接在「IM視窗內」警告使用者公司的IM使用政策。 第五步 — 詳細報表分析：最後，報表分析可以幫網管人員找出問題。數十種的圖形報表，包括每天/每週/每月/每季/每年的頻寬報表、IM使用行為、以公司部門顯示聊天側錄、違反政策情況。報表可以客製化、搜尋，且得以用PDF/HTML的格式，在設定的時間週期下以附加檔寄出。 三層式架構：       效能、可用性、功能最大化       第七層網路設備通常要做「非常多的計算功夫」和「較好的分散架構」，以最大化效能、可用性、功能性。InstantScan採用了業界最先進的三層式架構來增加效能，讓各層各司其職，完成每一個目的。 第一層 — 第七層設備：第七層設備應該要專注的是「快速地」與「準確地」執行內容檢測。如此，第七層設備裝在網路進出口線上，才不會影響到網路的效能。 第二層 — 管理伺服器：管理伺服器要負責的是中央集中控管第七層設備，並接收來自於不同第七層設備的事件，整理於資料庫中更進一步製作報表分析。在管理伺服器上製作報表，不會影響第七層設備的效能。 第三層 — 管理用戶端：管理用戶端可用任何具備JAVA功能的瀏覽器連到管理伺服器。只要他連得到管理伺服器，他就可以連得到任何架設於管理伺服器之下的第七層設備。 軟晶片加速®第七層封包分類器：       Classify Once Switch Many (COSM)加速       因為當今的網路應用除了固定埠號外，常使用「亂跳埠號」或「偽裝於HTTP/HTTPS/SOCKS等代理伺服器地道」裡面，第四層分類器早已不堪使用。L7 Networks的專利軟晶片®加速器，配備於InstantScan上時，可以在兩個步驟內： 第一步 — 固定步數的連線特徵碼比對:既然第四層封包表頭已經不敷使用，第七層的封包分類當然應該著重在網路應用的協定與內容裡。軟晶片®可以在固定步數內分類出每一條連線。理論上最慘的情況是12個封包，但通常只要在兩個封包以內就可以比對出特徵碼。最慘的情況通常是出現在InstantScan不認識該連線的情況下，如此一來，軟晶片®就得在每個連線的第12個封包時才停止判斷。這比對的過程是以狀態更新器，於全域DFA (Deterministic Finite Automata)中移動。全域DFA是在InstantScan開機時編譯好的執行碼，得以一次比對所有的特徵碼，而非線性比對（一個特徵碼一個特徵碼順序比對）。 第二步 — 分一次轉送多次 (Classify Once Switch Many)：在第一步分類出來以後，後來的該連線的所有封包都會無條件被轉送，不需要再被檢查特徵碼。他們都會被轉送到對的網路，並且享受到應得的服務。例如，在某一連線已經被認出來是KaZaA偽裝成埠號80的HTTP後，剩下的所有該連線的封包都會被直接認成KaZaA，並且被放到對的佇列中作進階的頻寬管理，不會需要更進一步的特徵碼比對那些後來的封包，達成加速的目的。 無IP地址®互動式內容檢測：       真正達到透明化的隨插即用 為達成真正的透明化以順利隨插即用，專利的「無IP地址®」隱形技術可以滿足下列幾個條件： 沒有任何IP地址設定於進出口網路介面，已達成完全的隱形，就像第二層交換器一樣。 立即回應給使用者，通知違反政策的理由以及公司政策。直接於IM視窗內與使用者互動，以減少員工的抱怨，是一個必要的條件。InstantScan配備了「無IP地址®」的隱形技術以後，雖然沒有任何IP地址，卻能在與MSN / Yahoo! / ICQ / AOL / Google Talk / Internet Explorer / Outlook Express / Outlook / ...等應用程式直接互動。 無IP地址®隱形技術，配合SSL掃瞄®技術，能在SSL的環境中過濾HTTPS與SMTPS等的內容。所以，InstantScan是全球唯一能夠在不具備IP地址的隱形狀態下，對加密的SSL地道的內容進行內容的過濾動作。 SSL掃瞄®內容過濾：       透明化分析SSL加密內容       SSL的環境中，像是 HTTTPS / SMTPS / POP3S / IMAPS，都是終端點對終端點的加密地道。這些地道中，當然可能藏有病毒，或者員工洩密的可能。因為他們已經把自己加密起來，所以沒有任何人可以在網路中間把他解開，並過濾內容。因此，病毒在HTTPS加密的WebMail系統中，就會非常輕易地被員工打開而中毒。具有技術的員工，也能夠輕易的使用加密的SMTPS/HTTPS方式，把公司的機密資料送出到外面，規避公司的內容控管。為了達到完全透明的SSL內容過濾，專利的SSL掃瞄®技術，結合了無IP地址®的隱形技術，能夠輕易的安裝在網路上，掃瞄經過的SSL流量： InstantScan搭載的「匿蹤式SSL內容檢測引擎」，能將HTTPS/SMTPS/POP3S/IMAPS等SSL加密流量，在沒有IP地址設定在對內/對外的網路介面情況下，透明地插在任意網路上，檢測HTTPS/SMTPS/...等SSL通道中的內容。 無IP地址設定在網路介面下，InstantScan可像一般第二層交換器一樣容易安裝。 雖說是如此容易安裝，InstantScan仍然具備互動式的交談能力，得即時直接在應用程式裡（MSN / Yahoo / AOL / ICQ / GoogleTalk / Outlook / IE / ...視窗中）與員工互動，告知任何不法的舉動。這是非常重要的一個技術，因為他可以減輕很多MIS的負擔，避免被員工抱怨資訊系統有問題。結合了「無IP地址$reg」技術後，兼顧好安裝以及強大的互動功能，為InstantScan添備了最具特色的技術 後知悉®頻寬控制器       準確的第七層頻寬管理技術       當管理網路流量時，除了具備第七層的封包分類引擎外，能準確地控制頻寬更是最核心必備條件。當管理TCP流量時，經過的TCP連線可能造成巨大的緩衝空間負荷，以致造成大的延遲時間、經常性的緩衝區溢位、，甚至是連線間的頻寬享用不公平（在搶同一緩衝區時）。所以，如何控制TCP的頻寬並避免以上的缺點，是非常重要的問題點。已獲得專利的「後知悉®」控制技術，是一項創新的方法，可同時解決TCP頻寬準確性與以上缺點。相較之下，許多公司採用（或侵權使用）Packeteer公司的專利技術(TCR®)，已被發現有以下缺點： 在封包漏失環境下，效能易受損害(達10%損失) 不容易相容於某些作業系統的TCP協定堆疊   相較之下，後知悉®控制技術可以保有TCR®的好處，卻避免了他造成的壞處。後知悉®技術利用模擬per-flow queuing技術的行為，但將排隊的資料封包搬移到反方向的知悉封包，因此達成縮小緩衝區（達96%）的任務。由於不更改TCP封包的Window Size，後知悉®技術在封包漏失的環境下，能勝過TCR®技術達10%的效能。經進一步地與CBQ整合，利用CBQ的觸發事件驅動後知悉®引擎時，可用Pentium 4的機器達到750Mbps的效能。這些數據都可以經由公開的交換式實驗環境（搭載RTT/loss/jitter人工變因）達成，並獲國際電機電子期刊登載。   L7 Networks已經在IEEE的雜誌上登載了多篇有關於頻寬管理的技術論文，並實際應用於InstantBlock與InstantScan的頻寬功能中: