Средний ящик - Middlebox

А средний ящик это компьютерная сеть устройство, которое преобразует, проверяет, фильтрует и управляет трафиком для целей, отличных от пересылка пакетов.[1] Эти посторонние функции мешают производительности приложений и критикуются за нарушение «важных архитектурных принципов», таких как сквозной принцип. Примеры промежуточных ящиков включают брандмауэры, трансляторы сетевых адресов (NAT), балансировщики нагрузки, и глубокая проверка пакетов (DPI) коробки.[2]

UCLA профессор информатики Ликсия Чжан ввел термин средний ящик в 1999 году.[1][3]

Применение

Мидлбоксы широко используются как в частных, так и в публичных сетях. Выделенное промежуточное оборудование широко используется в корпоративных сетях для улучшения работы сети. безопасность и производительность, однако даже домашние сетевые маршрутизаторы часто имеют встроенный межсетевой экран, NAT или другие функции промежуточного ящика.[4] Одно исследование 2017 года, насчитывающее более 1000 развертываний в автономные системы, в обоих направлениях потоков трафика и в широком диапазоне сетей, включая сети мобильных операторов и сети центров обработки данных.[2]

Примеры

Ниже приведены примеры часто используемых промежуточных ящиков:

  • Межсетевые экраны фильтровать трафик на основе набора предопределенных правил безопасности, определенных администратором сети. Межсетевые экраны IP отклоняют пакеты "исключительно на основе полей в заголовках IP и транспорта (например, запрещают входящий трафик для определенных номера портов, запретить любой трафик для определенных подсети так далее.)"[1] Брандмауэры других типов могут использовать более сложные наборы правил, в том числе те, которые проверяют трафик на уровне сеанса или приложения.[5]
  • Системы обнаружения вторжений (IDS) отслеживают трафик и собирают данные для автономный анализ для аномалий безопасности. В отличие от брандмауэров, IDS не фильтруют пакеты в реальном времени, поскольку они способны к более сложной проверке и должны решать, принимать или отклонять каждый пакет по мере его поступления.[6]
  • Трансляторы сетевых адресов (NAT) заменяют исходный и / или целевой IP-адреса пакетов, которые их пересекают. Обычно NAT развертываются, чтобы позволить нескольким конечным хостам совместно использовать один айпи адрес: хостам "за" NAT назначается частный IP-адрес а их пакеты, предназначенные для общедоступного Интернета, проходят через NAT, который заменяет их внутренний частный адрес общим общедоступным адресом.[7] Они широко используются операторами сотовой связи для управления ограниченными ресурсами.[8]
  • Оптимизаторы WAN улучшить потребление полосы пропускания и воспринимаемую задержку между конечными точками. Обычно оптимизаторы WAN развертываются на крупных предприятиях рядом с конечными точками передачи и приема сообщений; затем устройства координируются для кэширования и сжатия трафика, проходящего через Интернет.[9]
  • Балансировщики нагрузки предоставляют одну точку входа в службу, но перенаправляют потоки трафика на один или несколько хостов, которые фактически предоставляют службу.
  • В сотовых сетях используются промежуточные ящики для обеспечения эффективного использования ограниченных сетевых ресурсов, а также для защиты клиентских устройств.

Критика и вызовы

Мидлбоксы породили технические проблемы при разработке приложений и вызвали "презрение" и "беспокойство" в сообществе сетевой архитектуры.[10] за нарушение сквозной принцип проектирования компьютерных систем.[11]

Вмешательство приложений

Некоторые промежуточные ящики мешают работе приложений, ограничивая или препятствуя правильной работе приложений конечного хоста.

В частности, преобразователи сетевых адресов (NAT) представляют проблему, поскольку устройства NAT разделяют трафик, предназначенный для общедоступного IP-адреса, между несколькими приемниками. Когда соединения между хостом в Интернете и хостом за NAT инициируются хостом за NAT, NAT узнает, что трафик для этого соединения принадлежит локальному хосту. Таким образом, когда трафик, исходящий из Интернета, направляется на публичный (общий) адрес на определенном порт, NAT может направить трафик на соответствующий хост. Однако соединения, инициированные хостом в Интернете, не предоставляют NAT никакой возможности «узнать», к какому внутреннему хосту принадлежит соединение. Более того, сам внутренний хост может даже не знать свой собственный публичный IP-адрес, чтобы сообщать потенциальным клиентам, к какому адресу подключаться. Для решения этой проблемы было предложено несколько новых протоколов.[12][13][14]

Кроме того, поскольку развертывание промежуточных ящиков операторами сотовой связи, такими как AT&T и T-Mobile непрозрачны, разработчики приложений часто «не знают о политиках промежуточного ящика, применяемых операторами», в то время как операторы не имеют полной информации о поведении и требованиях приложения. Например, один оператор установил "агрессивный" тайм-аут значение для быстрой переработки ресурсов, удерживаемых неактивными TCP соединения в брандмауэре, неожиданно вызывая частые сбои в долгоживущих и иногда бездействующих соединениях, поддерживаемых такими приложениями, электронная почта на основе push и мгновенное сообщение ".[8]

Другие общие проблемы приложений, вызванные промежуточным ящиком, включают: веб-прокси обслуживает "устаревший" или устаревший контент,[15] и межсетевые экраны, отклоняющие трафик на желаемых портах.[16]

Расширяемость и дизайн Интернета

Одна из критических замечаний по поводу промежуточных ящиков заключается в том, что они могут ограничивать выбор транспортных протоколов, тем самым ограничивая дизайн приложений или услуг. Мидлбоксы могут фильтровать или отбрасывать трафик, не соответствующий ожидаемому поведению, поэтому новые или необычные протоколы или расширения протоколов могут быть отфильтрованы.[17] В частности, поскольку промежуточные ящики делают хосты в областях частных адресов неспособными «передавать дескрипторы, позволяющие другим хостам связываться с ними», это препятствовало распространению новых протоколов, таких как Протокол инициирования сеанса (SIP), а также различные одноранговые системы.[10][18] Это постепенное снижение гибкости было описано как окостенение протокола.[19][20]

И наоборот, некоторые промежуточные ящики могут помочь в развертывании протокола, обеспечивая перевод между новыми и старыми протоколами. Например, IPv6 могут быть развернуты на общедоступных конечных точках, таких как балансировщики нагрузки, прокси или другие формы NAT с маршрутизацией внутреннего трафика через IPv4 или IPv6.

Смотрите также

использованная литература

  1. ^ а б c Брайан Карпентер. «Мидлбоксы: таксономия и проблемы». RFC  3234.
  2. ^ а б Шань Хуанг; Стив Улиг; Феликс Куадрадо (2017). «Мидлбоксы в Интернете: перспектива HTTP». Конференция по измерению и анализу сетевого трафика (TMA) 2017 г.. С. 1–9. Дои:10.23919 / TMA.2017.8002906. ISBN  978-3-901882-95-1.
  3. ^ Кромхаут, Уилин Вонг (2 февраля 2012 г.), «Ликсия Чжан названа в честь Джонатана Б. Постела, заведующего кафедрой компьютерных наук Калифорнийского университета в Лос-Анджелесе», Новости UCLA, заархивировано из оригинал 25 апреля 2019 г., получено 2015-06-14
  4. ^ Идо Дубравски и Уэс Нунан. «Широкополосные маршрутизаторы и межсетевые экраны». CISCO Press. Получено 15 июля 2012.
  5. ^ Magalhaes, Рики. «Разница между межсетевыми экранами прикладного и сеансового уровня». Получено 17 июля 2012.
  6. ^ «Понимание систем обнаружения вторжений». Получено 17 июля 2012.
  7. ^ К. Егеванг и П. Фрэнсис. "Транслятор сетевых IP-адресов (NAT)". RFC  1631.
  8. ^ а б Чжаогуан Ван, Чжиюнь Цянь, Цян Сюй, З. Морли Мао, Мин Чжан (август 2011 г.). «Нерассказанная история мидлбоксов в сотовых сетях» (PDF). Обзор компьютерных коммуникаций ACM SIGCOMM. Ассоциация вычислительной техники. 41 (4): 374. Дои:10.1145/2043164.2018479.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  9. ^ По, Роберт. «Что такое оптимизация WAN и чем она может вам помочь?». Получено 17 июля 2012.
  10. ^ а б Майкл Уолфиш, Джереми Стриблинг, Максвелл Крон, Хари Балакришнан, Роберт Моррис и Скотт Шенкер (2004). «Мидлбоксы больше не считаются вредными» (PDF). 6-й симпозиум по разработке и внедрению операционных систем. Ассоциация USENIX: 215–230.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  11. ^ Уолфиш; и другие. (2004). «Мидлбоксы больше не считаются вредными» (PDF). OSDI. Получено 17 июля 2012.
  12. ^ Дж. Розенберг; и другие. «Утилиты обхода сеанса для NAT (STUN)». RFC  5389.
  13. ^ «НАТ-ПМП». Получено 17 июля 2012.
  14. ^ «Рабочая группа по протоколу управления портами». Получено 17 июля 2012.
  15. ^ «База знаний BlueCoat: прокси-сервер отображает устаревшее содержимое». Получено 17 июля 2012.
  16. ^ «Использование FaceTime и iMessage за брандмауэром». Получено 17 июля 2012.
  17. ^ Хонда; и другие. (2011). "Можно ли еще расширить TCP?" (PDF). Конференция по Интернет-измерениям.
  18. ^ Брайан Форд; Пайда Срисуреш; Дэн Кегель (2005). «Одноранговая связь через преобразователи сетевых адресов» (PDF). Ежегодная техническая конференция USENIX 2005 г.. Ассоциация USENIX: 179–192. arXiv:cs / 0603074. Bibcode:2006cs ........ 3074F.
  19. ^ Папастержиу, Гиоргос; Фэрхерст, Горри; Рос, Дэвид; Брунстрем, Анна; Гриннемо, Карл-Йохан; Хуртиг, Пер; Хадеми, Наим; Таксен, Майкл; Вельцль, Майкл; Дамьянович, Драгана; Мангианте, Симона (2017). «Де-оссификация транспортного уровня Интернета: обзор и перспективы на будущее». Обзоры и учебные пособия по коммуникациям IEEE. 19 (1): 619–639. Дои:10.1109 / COMST.2016.2626780. HDL:2164/8317. ISSN  1553-877X. В архиве (PDF) с оригинала 2017 года.
  20. ^ Корбет, Джонатан (29 января 2018 г.). «QUIC как решение проблемы закостенения протокола». lwn.net. Получено 2020-03-14.