L7 레벨 세션 필터링 및 패턴 매칭 (식별, 분류, 추출)
1. "Pattern Matcher"
Connection을 구성하는 전체 패킷들을 식별, 분류 및 추출 (Filter, Forward & Extract).
- Layer 7 레벨 까지 패킷/세션 inspection
- 특정 문자열이나 패턴이 포함된 패킷만이 아닌, 해당 Connection 패킷 전체를 대상으로 함
- 접속/연결 과정부터 (3-way handshake) ~ 연결 종료까지, Connection 을 구성하는 모든 패킷을 식별, 분류 및 추출.
- 패킷 내 문자열 형태의 모든 메타데이터를 (Host/SNI, Domain, URL, 이메일 계정, 등) 조건으로 사용.
- 패턴 길이와 개수 제한 없음. 원하는 크기의 문자열 혹은 정규 표현식으로 설정 및 추가.
- Customizing 지원
* 구성/설정: 예) 패턴 매칭된 세션의 전체 패킷 우회 및 미러
* 구성/설정: 예)Mataching 세션과 Non-matching 세션 트래픽 분리
2. "Match-Action": 실시간 Pattern matched Session full-Packet 추출
사용자 접속 사이트 정보(Host Name, Server Name, FQDN, URL/URI, 등)을 이용해 식별, 분류 (Filter, Forward & Extract)
- 사이트 정보가 포함된 패킷만 선별, 특정 모니터링 Tool 로 전달, 해당 Tool 은 패킷 내 사이트 정보 이용 접속 차단/허용 Action.
- FQDN 목록만 (접속 사이트 리스트) 자동 생성, 추출.
- Match-Action 기능과 Pattern Matcher 기능 혼합 활용.
- Customizing 지원
3. FSN-series Network Visibility Appliance
4. Flow Service Node (FSN) Deployment Modes
가. FSN & NPB 연동 구성 운용
나. FSN 단독 구성 운용
5. FSN-series 주요 기능 및 규격 사양
주요 기능 및 규격 사양 |
패턴매칭 | § 패킷 입력 인터페이스 - 10G/1G Fiber, Copper - 양방향 세션 패킷 inbound/outbound 세션 별 포트구분 없이 미러 방식 입력 |
§ 패턴 매칭 기능 - 문자열 혹은 정규식 형태의 패턴 (최대 길이 64Byte x 50,000개) - 패턴 매칭 성능 최대 25Gbps 지원 - 입력 패킷 중 Layer 7에서 패턴 매칭되는 패킷이 포함된 세션 |
§ 패킷 출력 인터페이스 - 10G/1G Fiber, Copper - 패킷 내부의 헤더 및 페이로드는 변경 없이 출력 인터페이스로 송신 - 패턴 매칭된 세션의 패킷 우회(미러) 기능 커스터마이징 개발 - 포트 여러 개 세션 간 로드밸런싱(hash기반으로 충분) 지원 - 동일 세션의 in/out 패킷은 동일 출력 포트로 송신되어야 함. |
§ 이 메일 (SMTP/POP3/IMAP) 패킷의 경우 - 세션 정의: 동일 TCP 세션에 여러 eml이 있는 경우 각 eml을 한 세션으로 취급 - 스캔 범위: eml header 혹은 세션 전체 중에 설정 가능해야 함 |
§ 그 외 프로토콜 패킷의 경우 - 세션 정의: TCP세션(SYN ~ FIN/RST)을 하나의 세션으로 취급 - 스캔 범위: 세션 전체 |
§ 기타 매칭 요구 사항 - 성능 위해 스캔 범위를 세션 초기 8KB로 제한, 단, 범위는 설정 가능해야 함 - 입력 패킷 중 일부(SYN/FIN포함) 혹은 한 방향 전체가 누락된 경우도 매칭 필요 - SYN/ACK/RST/FIN 등 데이터가 없는 제어 패킷은 포워딩 하지 않아도 무관 - 패턴이 패킷 사이에 걸쳐있더라도 매칭 되어야 함 |
통합관리 | § 관리 페이지 - 조회 전용 계정, 관리자(패턴목록파일 추가) 계정 - Web 사용자 인터페이스 지원 - 1(통합관리모듈) : N(패턴매칭 모듈) Scale Out 지원 |
§ 패턴 추가 - 패턴목록파일로 일괄 추가 - 패턴목록파일내의 패턴은 동일한 유효 기간 적용, 유효 기간 내에서만 패턴 매칭 적용 (새 목록파일 추가 시 현 목록 파일의 유효기간과 겹칠 일은 없다고 가정) - 패턴목록파일은 csv 형식 : 첫 줄에 유효기간(시작일, 종료일), 둘째 줄부터 패턴, 패턴설명, 출력포트번호(생략 시 전체 출력포트로 hash기반 로드밸런싱) |
§ 패턴 조회 - 현재 패턴 별/전체 매칭 통계 - 과거 패턴목록파일 조회 : 파일내용, 추가시점, 전체 매칭 횟수 |
§ 패턴 매칭 세부사항 설정 (예 : 패턴 매칭 범위 등 성능 옵션) |
6. Ingress port, Packet Processing
1) Ingress Traffic Port Component
• Packet Timestamp
• Packet Slice
• Insert or strip packet VLAN tag
• Strip packet MPLS Tag
• Strip Cisco Fabric Path Tag
• Strip VxLAN protocol layer
• Strip GTP protocol layer
• Offset length based header stripping
• Hardware accelerated filters (Module dependent)
2) Egress Traffic Port Component
• Packet Slice
• Insert or strip packet VLAN tag
3) Filter Component
• Large scale filter support up to 4 Million rules
• High performance bit masked based match
• Range match support for the port fields
• Rich protocol support with comprehensive fields
- Ethernet, VLAN, MPLS, IPv4 and IPv6, TCP/UDP, GTP, GRE
• Available actions when filter match
- Pass through up to 32 selected egress connector
- Drop
- Insert or strip VLAN tag
• Filter template support
• Support filter priority
• Enable/Disable individual filters
4) Aggregator
•Aggregate traffic from up to 32 ingress connector
5) Replicator
• Replicate packet to up to 32 egress connector
6) Mux
• Select traffic from one or more of ingress connector
• Aggregate traffic to the egress connector
• Support real-time changing of the settings
7) Link Protector
• Monitor the link state of the ingress ports
• Master slave ports
• Promote/demote ports to take master role
8) Load Balancer
• Load balance the incoming traffic to up to 32 egress connectors
• Load balance the incoming traffic to up to 32 egress ports
• Load balance hash method
- S/D MAC+VLAN+ETHERTYPE
- Source IPv4/6 + Destination IPv4/6
- S/DIP + TCP/UDP S/D Port
- Inner SIPv4/6+DIPv4/6
- Inner S/DIP + Protocol
- Inner S/DIP + TCP/UDP S/D Port
- Inner S/DIP + Protocol + TCP/UDP S/D Port
- User Defined Fields
- Inner SIPv4/v6 Only
- Inner DIPv4/v6 Only
- SIPv4/v6 Only
- DIPv4/v6 Only
- Round Robin
• Tunnel Stack Support
- No Tunnel
- IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/Inner Packet
• Two User Defined Fields
- By offset, length and mask
• Available Egress Link Monitor Methods
- By link status
- By ICMP packet
- By user defined heart beat packet (Flexible egress/ingress port)
9) Packet Capture Component (Optional)
• High performance packet capture engine
• Packet slicing feature
• Scalable file system and file system overlay to provide raw packet data as well as meta-data storage
• Scale to Zeta byte of storage devices
• Support up to 10,000 drives in a single system
• Intelligent drive defect detection and steering
• Intelligent data compression
• Detailed capture performance metrics
• Native indexer over popular fields such as SIP, DIP, Source Port, Destination Port and Protocol fields
• Packet Viewer
- Realtime and retrospective decoded view over captured packets
- Time range based packet selection
- Full wireshark display filter support over the captured traffic
- Transaction (Ladder) View over high level summarized packet flow
- Export displayed traces to PCAP
10) NetFlow Record Export Component
• Support NetFlow V5/V9 & V10/IPFIX
• Support configurable collector ports
• High report interval support
• Bi-directional or Uni-direction flow record generation
11) Field Mask and Privacy Controller Component
• High performance design to mask fields in single pass
• Individually configurable source IP, destination IP, ports and protocol map method
• Store maps to memory or on disk
• Query interface to recover the original value
• Export map to CSV for long term offline storage
12) Realtime Display Filter Component
• Support full wireshark display filter syntax
• Up to 112 parallel instance to achieve high performance filtering
• Real-time configurable filter
• Pass through mode
13) Deduplication Component
• Wide deduplication time window from 1 milli-second to 1 second
• Rich finger print methods
- L2, L3, L4 headers or combination
- Ability to include 16 or 64 bytes payload as finger print input
- Ability to use full packet as finger print input
- Operable under tunnel packets
- The following field can be configured to be masked out from finger print process
(IP TTL field, IPv4 ToS field, IPv6 TC field)
14) Tunnel Stripper Component
• Rich tunnel protocol support
- Packet with GRE tunnel
- Packet with IP-IP tunnel
- Packet with L2TP tunnel
- IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/Inner Packet
15) L2 Ethernet Switch Component
• Up to 32 ports
• Support up to 10 Million MAC addresses
• Static MAC support and programmable MAC time out
• Advanced mode to learn IPv4 address binding in addition to the MAC port binding
16) Microburst Controller Component
• Smooth up to 100Gb incoming burst
• Provide up to 2TB high speed burst buffer
• Controlled egress bandwidth starting from 1Mb/s to 100Gbps at the step of 1Mbps
• Accurately control egress packet rate from 1K PPS to 28Mpps at the step of 1K PPS
17) Match-Action Component
• Up to 4M addresses and FQDN based rules
• Automatically track the DNS response to map FQDN to IP address and apply the action
• Large scale batch add/delete/update the rules
• Programmable API to add/delete/update the rules
• Capability to download the rules as a file
• Permit and drop action with log to one or more Syslog servers
• Support up to 32 Syslog servers
18) Pattern Matcher
• Cache session for prespecified size up to 128MB
• Use binary pattern match to match against provided regular expression rules
• Output the entire buffered session when match is found
#L7-필터링 #패턴매칭 #Layer7-Pattern-Match #세션-필터링 #FQDN-리스트-자동생성-추출 #접속차단-허용
L7 레벨 세션 필터링 및 패턴 매칭 (식별, 분류, 추출)
1. "Pattern Matcher"
Connection을 구성하는 전체 패킷들을 식별, 분류 및 추출 (Filter, Forward & Extract).
- Layer 7 레벨 까지 패킷/세션 inspection
- 특정 문자열이나 패턴이 포함된 패킷만이 아닌, 해당 Connection 패킷 전체를 대상으로 함
- 접속/연결 과정부터 (3-way handshake) ~ 연결 종료까지, Connection 을 구성하는 모든 패킷을 식별, 분류 및 추출.
- 패킷 내 문자열 형태의 모든 메타데이터를 (Host/SNI, Domain, URL, 이메일 계정, 등) 조건으로 사용.
- 패턴 길이와 개수 제한 없음. 원하는 크기의 문자열 혹은 정규 표현식으로 설정 및 추가.
- Customizing 지원
* 구성/설정: 예) 패턴 매칭된 세션의 전체 패킷 우회 및 미러
* 구성/설정: 예)Mataching 세션과 Non-matching 세션 트래픽 분리
2. "Match-Action": 실시간 Pattern matched Session full-Packet 추출
사용자 접속 사이트 정보(Host Name, Server Name, FQDN, URL/URI, 등)을 이용해 식별, 분류 (Filter, Forward & Extract)
- 사이트 정보가 포함된 패킷만 선별, 특정 모니터링 Tool 로 전달, 해당 Tool 은 패킷 내 사이트 정보 이용 접속 차단/허용 Action.
- FQDN 목록만 (접속 사이트 리스트) 자동 생성, 추출.
- Match-Action 기능과 Pattern Matcher 기능 혼합 활용.
- Customizing 지원
3. FSN-series Network Visibility Appliance
4. Flow Service Node (FSN) Deployment Modes
가. FSN & NPB 연동 구성 운용
나. FSN 단독 구성 운용
5. FSN-series 주요 기능 및 규격 사양
주요 기능 및 규격 사양
패턴매칭
§ 패킷 입력 인터페이스
- 10G/1G Fiber, Copper
- 양방향 세션 패킷 inbound/outbound 세션 별 포트구분 없이 미러 방식 입력
§ 패턴 매칭 기능
- 문자열 혹은 정규식 형태의 패턴 (최대 길이 64Byte x 50,000개)
- 패턴 매칭 성능 최대 25Gbps 지원
- 입력 패킷 중 Layer 7에서 패턴 매칭되는 패킷이 포함된 세션
§ 패킷 출력 인터페이스
- 10G/1G Fiber, Copper
- 패킷 내부의 헤더 및 페이로드는 변경 없이 출력 인터페이스로 송신
- 패턴 매칭된 세션의 패킷 우회(미러) 기능 커스터마이징 개발
- 포트 여러 개 세션 간 로드밸런싱(hash기반으로 충분) 지원
- 동일 세션의 in/out 패킷은 동일 출력 포트로 송신되어야 함.
§ 이 메일 (SMTP/POP3/IMAP) 패킷의 경우
- 세션 정의: 동일 TCP 세션에 여러 eml이 있는 경우 각 eml을 한 세션으로 취급
- 스캔 범위: eml header 혹은 세션 전체 중에 설정 가능해야 함
§ 그 외 프로토콜 패킷의 경우
- 세션 정의: TCP세션(SYN ~ FIN/RST)을 하나의 세션으로 취급
- 스캔 범위: 세션 전체
§ 기타 매칭 요구 사항
- 성능 위해 스캔 범위를 세션 초기 8KB로 제한, 단, 범위는 설정 가능해야 함
- 입력 패킷 중 일부(SYN/FIN포함) 혹은 한 방향 전체가 누락된 경우도 매칭 필요
- SYN/ACK/RST/FIN 등 데이터가 없는 제어 패킷은 포워딩 하지 않아도 무관
- 패턴이 패킷 사이에 걸쳐있더라도 매칭 되어야 함
통합관리
§ 관리 페이지
- 조회 전용 계정, 관리자(패턴목록파일 추가) 계정
- Web 사용자 인터페이스 지원
- 1(통합관리모듈) : N(패턴매칭 모듈) Scale Out 지원
§ 패턴 추가
- 패턴목록파일로 일괄 추가
- 패턴목록파일내의 패턴은 동일한 유효 기간 적용, 유효 기간 내에서만 패턴 매칭 적용
(새 목록파일 추가 시 현 목록 파일의 유효기간과 겹칠 일은 없다고 가정)
- 패턴목록파일은 csv 형식 : 첫 줄에 유효기간(시작일, 종료일), 둘째 줄부터 패턴, 패턴설명, 출력포트번호(생략 시 전체 출력포트로 hash기반 로드밸런싱)
§ 패턴 조회
- 현재 패턴 별/전체 매칭 통계
- 과거 패턴목록파일 조회 : 파일내용, 추가시점, 전체 매칭 횟수
§ 패턴 매칭 세부사항 설정 (예 : 패턴 매칭 범위 등 성능 옵션)
6. Ingress port, Packet Processing
1) Ingress Traffic Port Component
• Packet Timestamp
• Packet Slice
• Insert or strip packet VLAN tag
• Strip packet MPLS Tag
• Strip Cisco Fabric Path Tag
• Strip VxLAN protocol layer
• Strip GTP protocol layer
• Offset length based header stripping
• Hardware accelerated filters (Module dependent)
2) Egress Traffic Port Component
• Packet Slice
• Insert or strip packet VLAN tag
3) Filter Component
• Large scale filter support up to 4 Million rules
• High performance bit masked based match
• Range match support for the port fields
• Rich protocol support with comprehensive fields
- Ethernet, VLAN, MPLS, IPv4 and IPv6, TCP/UDP, GTP, GRE
• Available actions when filter match
- Pass through up to 32 selected egress connector
- Drop
- Insert or strip VLAN tag
• Filter template support
• Support filter priority
• Enable/Disable individual filters
4) Aggregator
•Aggregate traffic from up to 32 ingress connector
5) Replicator
• Replicate packet to up to 32 egress connector
6) Mux
• Select traffic from one or more of ingress connector
• Aggregate traffic to the egress connector
• Support real-time changing of the settings
7) Link Protector
• Monitor the link state of the ingress ports
• Master slave ports
• Promote/demote ports to take master role
8) Load Balancer
• Load balance the incoming traffic to up to 32 egress connectors
• Load balance the incoming traffic to up to 32 egress ports
• Load balance hash method
- S/D MAC+VLAN+ETHERTYPE
- Source IPv4/6 + Destination IPv4/6
- S/DIP + TCP/UDP S/D Port
- Inner SIPv4/6+DIPv4/6
- Inner S/DIP + Protocol
- Inner S/DIP + TCP/UDP S/D Port
- Inner S/DIP + Protocol + TCP/UDP S/D Port
- User Defined Fields
- Inner SIPv4/v6 Only
- Inner DIPv4/v6 Only
- SIPv4/v6 Only
- DIPv4/v6 Only
- Round Robin
• Tunnel Stack Support
- No Tunnel
- IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/Inner Packet
• Two User Defined Fields
- By offset, length and mask
• Available Egress Link Monitor Methods
- By link status
- By ICMP packet
- By user defined heart beat packet (Flexible egress/ingress port)
9) Packet Capture Component (Optional)
• High performance packet capture engine
• Packet slicing feature
• Scalable file system and file system overlay to provide raw packet data as well as meta-data storage
• Scale to Zeta byte of storage devices
• Support up to 10,000 drives in a single system
• Intelligent drive defect detection and steering
• Intelligent data compression
• Detailed capture performance metrics
• Native indexer over popular fields such as SIP, DIP, Source Port, Destination Port and Protocol fields
• Packet Viewer
- Realtime and retrospective decoded view over captured packets
- Time range based packet selection
- Full wireshark display filter support over the captured traffic
- Transaction (Ladder) View over high level summarized packet flow
- Export displayed traces to PCAP
10) NetFlow Record Export Component
• Support NetFlow V5/V9 & V10/IPFIX
• Support configurable collector ports
• High report interval support
• Bi-directional or Uni-direction flow record generation
11) Field Mask and Privacy Controller Component
• High performance design to mask fields in single pass
• Individually configurable source IP, destination IP, ports and protocol map method
• Store maps to memory or on disk
• Query interface to recover the original value
• Export map to CSV for long term offline storage
12) Realtime Display Filter Component
• Support full wireshark display filter syntax
• Up to 112 parallel instance to achieve high performance filtering
• Real-time configurable filter
• Pass through mode
13) Deduplication Component
• Wide deduplication time window from 1 milli-second to 1 second
• Rich finger print methods
- L2, L3, L4 headers or combination
- Ability to include 16 or 64 bytes payload as finger print input
- Ability to use full packet as finger print input
- Operable under tunnel packets
- The following field can be configured to be masked out from finger print process
(IP TTL field, IPv4 ToS field, IPv6 TC field)
14) Tunnel Stripper Component
• Rich tunnel protocol support
- Packet with GRE tunnel
- Packet with IP-IP tunnel
- Packet with L2TP tunnel
- IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet
- IP/UDP/VxLAN/Eth/Inner Packet
15) L2 Ethernet Switch Component
• Up to 32 ports
• Support up to 10 Million MAC addresses
• Static MAC support and programmable MAC time out
• Advanced mode to learn IPv4 address binding in addition to the MAC port binding
16) Microburst Controller Component
• Smooth up to 100Gb incoming burst
• Provide up to 2TB high speed burst buffer
• Controlled egress bandwidth starting from 1Mb/s to 100Gbps at the step of 1Mbps
• Accurately control egress packet rate from 1K PPS to 28Mpps at the step of 1K PPS
17) Match-Action Component
• Up to 4M addresses and FQDN based rules
• Automatically track the DNS response to map FQDN to IP address and apply the action
• Large scale batch add/delete/update the rules
• Programmable API to add/delete/update the rules
• Capability to download the rules as a file
• Permit and drop action with log to one or more Syslog servers
• Support up to 32 Syslog servers
18) Pattern Matcher
• Cache session for prespecified size up to 128MB
• Use binary pattern match to match against provided regular expression rules
• Output the entire buffered session when match is found
#L7-필터링 #패턴매칭 #Layer7-Pattern-Match #세션-필터링 #FQDN-리스트-자동생성-추출 #접속차단-허용