通过关键字和正则表达式搜索进行应用会话过滤,提高网络安全性
挑战
根据数据包的内容查找流量需要分离流量,而这是传统的第2层-第4层过滤器无法实现的。 此应用程序需要大量的处理能力,因此负载被限制为20 Gbit / s。 第二个大挑战是必须首先对数据包进行解码,以便仅针对用户数据进行搜索,而不能针对完整数据包进行搜索来获取完整结果。
CUBRO的解决方案
借助正则表达式,可以匹配固定值,例如数据包的IP地址或端口号。 该功能允许用户在数据包的每个部分进行匹配。 正则表达式用于描述某种搜索模式。 此模式可以是复杂的搜索操作,也可以是字符串或整个句子。 例如,可以从报纸上搜索标题或过滤简单的http 获得消息。 这比传统的过滤稍微复杂 – 但可能性多。
下图显示,要求获取所有HTTP GET消息以进行分析,因为“ HTTP GET”消息提供了大量有关流量的信息。
大规模关键字搜索应用
该图简要概述了关键字搜索在大型环境中的工作方式。 根据搜索条件,有必要对所有加密流量进行解密或将其删除。 关键字和正则表达式搜索始终在CPU的帮助下完成,因为使用多个Sessionmasters是有意义的。 每个EXA都获得完整的信息,但是每个EXA都搜索不同的内容。 从长远来看,该体系结构也是最可行的解决方案,因为它具有可伸缩性。 如果将来需要更高的搜索性能,可以轻松添加更多Sessionmasters。
此解决方案中的产品
EXA40 / EXA40 D
EXA24160