Jump to content

Миддлбокс

(Перенаправлено с Мидлбоксов )

Промежуточный блок это компьютерное сетевое устройство, которое преобразует, проверяет, фильтрует и манипулирует трафиком для целей, отличных от пересылки пакетов . [1] Примеры промежуточных устройств включают межсетевые экраны , трансляторы сетевых адресов (NAT), балансировщики нагрузки и глубокой проверки пакетов (DPI). устройства [2]

Калифорнийского университета в Лос-Анджелесе Профессор информатики Лися Чжан ввел термин «промежуточный ящик» в 1999 году. [1] [3]

Использование [ править ]

Миддлбоксы широко используются как в частных, так и в общедоступных сетях. Выделенное оборудование промежуточного уровня широко используется в корпоративных сетях для повышения сетевой безопасности и производительности; однако даже маршрутизаторы домашней сети часто имеют встроенный межсетевой экран, NAT или другие функции промежуточного устройства. [4] Одно исследование 2017 года насчитало более 1000 развертываний в автономных системах в обоих направлениях потоков трафика и в сетях широкого спектра, включая операторов мобильной связи и сети центров обработки данных. [2]

Примеры [ править ]

Ниже приведены примеры часто используемых промежуточных блоков:

  • Брандмауэры фильтруют трафик на основе набора предопределенных правил безопасности, определенных сетевым администратором. IP-брандмауэры отклоняют пакеты «исключительно на основании полей в заголовках IP и транспорта (например, запрещают входящий трафик на определенные номера портов , запрещают любой трафик в определенные подсети и т. д.)» [1] Другие типы межсетевых экранов могут использовать более сложные наборы правил, в том числе те, которые проверяют трафик на уровне сеанса или приложения. [5]
  • Системы обнаружения вторжений (IDS) отслеживают трафик и собирают данные для автономного анализа аномалий безопасности. В отличие от межсетевых экранов, IDS не фильтруют пакеты в режиме реального времени, поскольку они способны к более сложной проверке и должны решать, принимать или отклонять каждый пакет по мере его поступления. [6]
  • Трансляторы сетевых адресов (NAT) заменяют IP-адреса источника и/или назначения проходящих через них пакетов. Обычно NAT развертывается для того, чтобы позволить нескольким конечным хостам использовать один IP-адрес : хостам «за» NAT назначается частный IP-адрес , и их пакеты, предназначенные для общедоступного Интернета, проходят через NAT, который заменяет их внутренний частный адрес общим. публичное обращение. [7] Они широко используются провайдерами сотовых сетей для управления ограниченными ресурсами. [8]
  • Оптимизаторы WAN улучшают потребление полосы пропускания и ощутимую задержку между конечными точками. Оптимизаторы WAN, обычно используемые на крупных предприятиях, размещаются рядом как с отправляющими, так и с принимающими конечными точками связи; Затем устройства координируют свои действия для кэширования и сжатия трафика, проходящего через Интернет. [9]
  • Балансировщики нагрузки предоставляют одну точку входа в службу, но перенаправляют потоки трафика на один или несколько хостов, которые фактически предоставляют услугу.
  • В сотовых сетях используются промежуточные модули для обеспечения эффективного использования ограниченных сетевых ресурсов, а также для защиты клиентских устройств.

и проблемы Критика

Миддлбоксы создали технические проблемы при разработке приложений и вызвали «презрение» и «тревогу» в сообществе сетевых архитектур. [10] за нарушение сквозного принципа проектирования компьютерных систем. [11]

Вмешательство приложений [ править ]

Некоторые промежуточные модули мешают работе приложений, ограничивая или препятствуя правильной работе приложений конечного узла.

В частности, трансляторы сетевых адресов (NAT) представляют собой проблему, поскольку устройства NAT делят трафик, направляемый на общедоступный IP-адрес, между несколькими приемниками. Когда соединения между хостом в Интернете и хостом за NAT инициируются хостом за NAT, NAT узнает, что трафик для этого соединения принадлежит локальному хосту. Таким образом, когда трафик, поступающий из Интернета, направляется на общедоступный (общий) адрес определенного порта , NAT может направить трафик на соответствующий хост. Однако соединения, инициированные хостом в Интернете, не дают NAT никакой возможности «узнать», какому внутреннему хосту принадлежит соединение. Более того, сам внутренний хост может даже не знать своего собственного общедоступного IP-адреса, чтобы объявить потенциальным клиентам, к какому адресу подключаться. Для решения этой проблемы было предложено несколько новых протоколов. [12] [13] [14]

Кроме того, поскольку развертывание промежуточных устройств операторами сотовой связи, такими как AT&T и T-Mobile , непрозрачно, разработчики приложений часто «не знают о политиках промежуточного устройства, применяемых операторами», в то время как операторам не хватает полных знаний о поведении приложений и требованиях. Например, один оператор связи установил «агрессивное значение тайм-аута для быстрого повторного использования ресурсов, удерживаемых неактивными TCP- соединениями в брандмауэре, что неожиданно вызывало частые сбои в работе долгоживущих, а иногда и простаивающих соединений, поддерживаемых такими приложениями, как электронная почта на основе push-уведомлений и обмен мгновенными сообщениями ». . [8]

Другие распространенные проблемы приложений, вызванные промежуточным программным обеспечением, включают веб-прокси, обслуживающие «устаревший» или устаревший контент, [15] и брандмауэры, отклоняющие трафик на нужные порты. [16]

Интернета Расширяемость дизайн и

Одним из критических замечаний в отношении промежуточных блоков является то, что они могут ограничивать выбор транспортных протоколов, тем самым ограничивая дизайн приложений или сервисов. Промежуточные ящики могут фильтровать или отбрасывать трафик, который не соответствует ожидаемому поведению, поэтому могут быть отфильтрованы новые или необычные протоколы или расширения протоколов. [17] В частности, поскольку промежуточные ящики делают хосты в областях частных адресов неспособными «передавать дескрипторы, позволяющие другим хостам взаимодействовать с ними», они препятствуют распространению новых протоколов, таких как протокол инициации сеанса (SIP), а также различных одноранговых систем. . [10] [18] Это постепенное снижение гибкости было описано как окостенение протокола . [19] [20]

И наоборот, некоторые промежуточные устройства могут помочь в развертывании протоколов, обеспечивая преобразование между новыми и старыми протоколами. Например, IPv6 можно развернуть на общедоступных конечных точках, таких как балансировщики нагрузки , прокси-серверы или другие формы NAT, при этом внутренний трафик будет маршрутизироваться через IPv4 или IPv6 .

См. также [ править ]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б с Брайан Карпентер (2002). «Средние ящики: таксономия и проблемы» . Ietf Datatracker . дои : 10.17487/RFC3234 . РФК   3234 .
  2. Перейти обратно: Перейти обратно: а б Шань Хуан; Стив Улиг; Феликс Куадрадо (2017). «Мидлбоксы в Интернете: взгляд на HTTP». Конференция по измерению и анализу сетевого трафика (TMA) 2017 . стр. 1–9. дои : 10.23919/TMA.2017.8002906 . ISBN  978-3-901882-95-1 . S2CID   34925433 .
  3. ^ Кромхаут, Вилин Вонг (2 февраля 2012 г.), «Ликсия Чжан назначена на кафедру компьютерных наук Джонатана Б. Постела Калифорнийского университета в Лос-Анджелесе» , отдел новостей UCLA , заархивировано из оригинала 25 апреля 2019 г. , получено 14 июня 2015 г.
  4. ^ Идо Дубравски и Уэс Нунан. «Широкополосные маршрутизаторы и межсетевые экраны» . СИСКО Пресс . Проверено 15 июля 2012 г.
  5. ^ Магальяйнс, Рикки. «Разница между межсетевыми экранами прикладного и сеансового уровня» . Проверено 17 июля 2012 г.
  6. ^ «Понимание систем обнаружения вторжений» . Проверено 17 июля 2012 г.
  7. ^ К. Эгеванг и П. Фрэнсис (2001). «Транслятор IP-адресов (NAT)» . Ietf Datatracker . дои : 10.17487/RFC3022 . РФК   1631 .
  8. Перейти обратно: Перейти обратно: а б Чжаогуан Ван, Чжиюнь Цянь, Цян Сюй, З. Морли Мао , Мин Чжан (август 2011 г.). «Нерассказанная история промежуточных блоков в сотовых сетях» (PDF) . Обзор компьютерных коммуникаций ACM SIGCOMM . 41 (4). Ассоциация вычислительной техники: 374–385. дои : 10.1145/2043164.2018479 . {{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
  9. ^ По, Роберт. «Что такое оптимизация WAN и как она может вам помочь?» . Проверено 17 июля 2012 г.
  10. Перейти обратно: Перейти обратно: а б Майкл Уолфиш, Джереми Стриблинг, Максвелл Крон, Хари Балакришнан, Роберт Моррис и Скотт Шенкер (2004). «Средние ящики больше не считаются вредными» (PDF) . 6-й симпозиум по проектированию и внедрению операционных систем . Ассоциация USENIX: 215–230. {{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
  11. ^ Уолфиш; и др. (2004). «Средние ящики больше не считаются вредными» (PDF) . ОСДИ . Проверено 17 июля 2012 г.
  12. ^ Дж. Розенберг; и др. (2008). «Утилиты обхода сеанса для NAT (STUN)» . Ietf Datatracker . дои : 10.17487/RFC5389 . РФК   5389 . S2CID   6777753 .
  13. ^ «НАТ-ПМП» . Ietf Datatracker . Проверено 17 июля 2012 г.
  14. ^ «Рабочая группа по протоколу управления портами» . Проверено 17 июля 2012 г.
  15. ^ «База знаний BlueCoat: прокси-сервер отображает устаревший контент» . Проверено 17 июля 2012 г.
  16. ^ «Использование FaceTime и iMessage за брандмауэром» . Проверено 17 июля 2012 г.
  17. ^ Хонда; и др. (2011). «Можно ли еще расширить TCP?» (PDF) . Интернет-конференция по измерениям .
  18. ^ Брайан Форд; Пида Шрисуреш; Дэн Кегель (2005). «Одноранговая связь через переводчики сетевых адресов» (PDF) . 2005 Ежегодная техническая конференция USENIX . Ассоциация USENIX: 179–192. arXiv : cs/0603074 . Бибкод : 2006cs........3074F .
  19. ^ Папастергиу, Гиоргос; Фэрхерст, Горри; Рос, Дэвид; Брунстрем, Анна; Гриннемо, Карл-Йохан; Хуртиг, Пер; Хадеми, Наим; Таксен, Майкл; Вельцль, Майкл; Дамьянович, Драгана; Манджианте, Симона (2017). «Де-окостенение транспортного уровня Интернета: обзор и перспективы на будущее» . Опросы и учебные пособия IEEE по коммуникациям . 19 (1): 619–639. дои : 10.1109/COMST.2016.2626780 . hdl : 2164/8317 . ISSN   1553-877X . S2CID   1846371 . Архивировано (PDF) из оригинала 22 сентября 2021 г.
  20. ^ Корбет, Джонатан (29 января 2018 г.). «QUIC как решение проблемы закостенения протоколов» . lwn.net . Проверено 14 марта 2020 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Middlebox&oldid=1219733499"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: bfe979c8618ead4f6da35795cae659f6__1713525600
URL1:https://arc.ask3.ru/arc/aa/bf/f6/bfe979c8618ead4f6da35795cae659f6.html
Заголовок, (Title) документа по адресу, URL1:
Middlebox - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)