做安全项目时,我们经常会遇到这样的困惑:随着用户部署的安全设备越来越多,一个尴尬的局面就出现了——如果把设备全部串进去,势必会影响网络性能,影响用户体验;但旁路部署,交换机的镜像端口又往往捉襟见肘。很多时候,我们不得不在安全和性能之间做出艰难的抉择。
在用户网络规模不断扩大,安全需求日益增长的背景下,TAP(Test Access Point)分流器成为了解决这一问题的利器。
TAP分流器是一种网络设备,可以在不影响网络性能的情况下,将流经它的数据复制并传送给其他网络监控设备。基于这些特性,TAP分流器正逐渐成为安全解决方案中的常客,成为网络安全的第一跳。
TAP分流器的种类
从本质上来说,TAP是一种为各类网络监控设备提供流量副本的产品。根据其工作原理和功能,我们可以将TAP分为以下不同类型。
1. “原始型”TAP
要说最简单的TAP,可能就是下图中的这个设备了。
它的全名叫做Throwing Star LAN TAP,这种设备十分小巧,共有4个RJ45接口,使用也非常简单:把两个接口串接到需要抓包的网络中,另外两个接口分别复制流入和流出两个方向的数据,连接抓包的设备即可。这种TAP甚至不需要通电就能工作。
这类TAP直接从物理层对数据进行了复制,操作简单又便宜。但它就是太简单了,没有什么其他操作空间。另外,像分光器也可以归为这个类别。
2. “通用型”TAP
这种类型就是市面上常见的TAP分流器,如下图:
这类TAP要比上面的“原始型”TAP智能得多,通用型TAP工作在L2-L4层。虽然看上去它和普通交换机很像,但相较于镜像功能单一的交换机来说,通用型TAP可以根据自定义的策略,实现数据镜像、流量过滤、负载输出等功能,同时不影响网络性能。
通用型TAP通常架设在主干网络和安全分析服务器之间,通过引入TAP分流器,能够实现流量的汇聚与按需分流,并根据相连的安全设备的需求,为相应的安全设备过滤掉无用的流量,减轻安全设备压力。
传统TAP的局限
传统的TAP在捕获和复制流量方面表现很好,但在处理和分析流量方面存在一定局限。L4级别(可能有少量但不完整的L7级别)的复制分流策略仍然较为粗放,在有精细化需求的场景中,流量的复制与分流能力往往还需要进一步提升。
另一方面,绝大多数的政企网络已经完成或正在经历从单一园区网,向移动化、多分支化和云化的迈进。在此趋势下,面对日渐萌生的跨区域远程镜像需求(如分支流量镜像至总部),传统TAP分流器也往往无能为力。
对于上述局限,究其原因,根本在于传统TAP所采用的技术架构。目前主流的TAP分流器,通常采用以下两种架构:
● 管理CPU+交换芯片:管理CPU用于实现简单的管理界面,交换芯片则负责数据包镜像与多端口负载。
● 管理CPU+FPGA:管理CPU同样用于实现简单的管理界面,FPGA(Field-Programmable Gate Array,现场可编程门阵列)负责数据包镜像和多端口负载。
交换芯片架构的优势在于成本较低,但其功能受限,只能实现L2-L4级别简单条件的镜像和端口负载,缺乏应用层分析处理能力。而FPGA架构的成本较高,虽然具备一定的7层应用识别和分析能力,但由于FPGA逻辑数量有限,难以实现复杂的DPI功能,而且迭代和后续扩展能力也受到较大的限制。
传统TAP采用的技术架构限制了其在流量处理和分析方面的进一步发展,面对网络安全日益复杂的挑战和多样化的需求,一种全新的TAP架构呼之欲出。
NG-TAP:全新架构的分流器
为解决传统TAP的局限性,北京派网软件有限公司自主研发的下一代TAP分流器(NG-TAP)应运而生。NG-TAP在传统TAP的基础上融合了深度包检测技术和交换复制能力,实现应用级别的流量镜像与分流。此外,NG-TAP内置的网络流量、性能可视化模块,使其在网络管理、性能优化和安全防护方面更加全面且智能。
NG-TAP之所以叫“下一代”(Next Generation),最主要的原因,在于NG-TAP所采用的技术架构。NG-TAP采用了基于通用CPU+交换芯片的技术方案,与传统的TAP架构相比具有明显的优势。
首先,NG-TAP的CPU不同于传统TAP的CPU,它不仅用于管理,更重要的是用于处理流量数据,通用CPU架构,使其能够内置深度包检测(DPI)模块,使得NG-TAP在数据处理和应用层分析方面具备了更强大的能力;而交换芯片则用于提供数据包在多个端口之间复制的能力,确保流量处理的效率和速度。
另一方面,通用型CPU架构具备强大的可扩展性。传统架构的TAP,网卡要么无法扩展,要么扩展的难度与成本太高。NG-TAP架构则更为灵活,能够实现模块化设计,可以根据不同场景下的需求进行相应的扩展。而在软件层面,与Panabit的大部分产品类似,基于PanaOS的NG-TAP也能够不断进行升级迭代。这种软硬件层面的灵活设计,使得NG-TAP成为了一种Future-proof的产品,可以长期满足用户不断变化的需求。
NG-TAP的能力
与传统TAP不同,NG-TAP工作在应用层,也就是说,它比一般的TAP看得更细更深。NG-TAP融合了深度包检测(DPI)技术和交换复制能力,在上述通用型TAP功能的基础上,还能够基于应用进行流量的按需复制或负载输出。
NG-TAP原生具备DPI筛选能力
此外,NG-TAP的底层使用Panabit同款的派网自研数据面操作系统PanaOS,与生俱来的组网能力,使其能够实现流量的跨三层远程镜像,即遥测(Telemetry)。由于NG-TAP工作在应用层,NG-TAP在实现远端分支流量按需采集回传的基础上,同时基于对流量应用级的精细复制分流,按需将流量与所有安全设备进行合理分配。
NG-TAP可作为遥测探针服务端,实现远程流量镜像
NG-TAP的特点
总的来说,派网自研的NG-TAP,具备如下特点:
应用级流量镜像分流
NG-TAP在通用型TAP能力的基础上,根据应用级别的需求,对流量进行细粒度的筛选与分发,实现按需的流量分配和处理。
流量远程采集与镜像
NG-TAP具备流量远程采集和镜像的能力,无论流量来源于本地网络还是远程分支机构,NG-TAP都能够将流量采集并镜像到指定位置,为远程监控和管理提供便利。
应用级别的流量分析
通过内嵌的DPI模块,NG-TAP能够实现流量的可视化监测分析,用户可以更加精确地了解自身网络活动和流量模式,及时发现潜在的安全威胁或异常行为。
灵活性与可扩展性
基于PanaOS强大的灵活性与可扩展性,在持续的更新迭代过程中,NG-TAP还将实现更多高级功能扩展,以适应不断变化的网络环境与用户需求。
NG-TAP的应用场景
#
本地镜像——m:n流量复制
与通用型TAP类似,NG-TAP能够接收多源流量输入,并对这些流量进行复制,实现同源同宿,负载输出。
#
本地筛选——应用级流量筛选
通过内置DPI模块,对经过的流量进行深入分析,并根据不同分析设备的需求,筛选相关应用流量进行输出,提高资源使用效率。
#
远程镜像——流量远程采集
在跨区域网络管理中,通过遥测探针(如Panabit网关),将远程分支的网络流量实时采集并镜像回总部或数据中心的NG-TAP,从而对整个组织的网络状况进行实时的监控分析。
#
远程筛选——按需采集回传
基于应用级的筛选能力,遥测探针能根据预定的策略和需求对这些流量进行筛选,选择回传最相关的应用数据,从而显著减少需要传输和分析的数据量,优化带宽使用,再加上NG-TAP的应用级筛选能力,确保关键信息的快速处理。
结语
流量复制技术,从最初的物理层复制(如分光,仅复制流量,不过滤),到交换机镜像(引入了二层过滤但不支持负载),再到传统TAP(增加了IP和三层要素过滤,支持负载),直至加入了应用层过滤负载与远程遥测的NG-TAP的出现,每一次进步不仅是技术的迭代,更在于如何更智能地对流量进行处理和过滤。
深入考察当前的TAP设备所采用的不同架构——纯交换架构、FPGA架构以及CPU+交换架构,不难发现它们各自的优势与局限:纯交换架构以简洁高效著称,但在处理复杂数据流和实现高级过滤功能方面存在局限;FPGA架构虽然具备一定的灵活性,但成本较高,编程难度大;而CPU+交换架构则兼具灵活性和可扩展性,能够快速适应新的安全需求和技术更新。
这不禁让人回想起当初DPI(流控)设备的架构之争,通用CPU(如x86架构),因其能够快速适应新技术和需求的能力而最终胜出。相信在未来,拥有快速迭代能力的NG-TAP也能够在不断演进的网络空间中大放异彩!
作为我们年后的首款新产品,NG-TAP现已上线开售,如果您对NG-TAP产品感兴趣,欢迎大家拨打我们的销售热线400-773-3996,联系选购吧~
附上NG-TAP规格参数:
感谢阅读,我们期待与您的合作!