NetQuestL7 레벨 세션 필터링 및 패턴 매칭 (식별, 분류, 추출)

L7 레벨 세션 필터링 및 패턴 매칭  (식별, 분류, 추출) 



1. "Pattern Matcher" 

  Connection을 구성하는  전체 패킷들을 식별, 분류 및 추출 (Filter, Forward & Extract).

      - Layer 7 레벨 까지 패킷/세션 inspection 

      - 특정 문자열이나 패턴이 포함된 패킷만이 아닌, 해당 Connection 패킷 전체를 대상으로 함

      - 접속/연결 과정부터 (3-way handshake) ~ 연결 종료까지, Connection 을 구성하는 모든 패킷을 식별, 분류 및 추출.

      - 패킷 내 문자열 형태의 모든 메타데이터를 (Host/SNI, Domain, URL, 이메일 계정, 등) 조건으로 사용.

      - 패턴 길이와 개수 제한 없음. 원하는 크기의 문자열 혹은 정규 표현식으로 설정 및 추가.

      - Customizing 지원




* 구성/설정: 예) 패턴 매칭된 세션의 전체 패킷 우회 및 미러


* 구성/설정: 예)Mataching 세션과 Non-matching 세션 트래픽 분리




2. "Match-Action": 실시간 Pattern matched Session full-Packet 추출

 사용자 접속 사이트 정보(Host Name, Server Name, FQDN, URL/URI, 등)을 이용해 식별, 분류 (Filter, Forward & Extract)

     - 사이트 정보가 포함된 패킷만 선별, 특정 모니터링 Tool 로 전달, 해당 Tool 은 패킷 내 사이트 정보 이용 접속 차단/허용 Action.

     - FQDN 목록만 (접속 사이트 리스트) 자동 생성, 추출.

     - Match-Action 기능과 Pattern Matcher 기능 혼합 활용.

     - Customizing 지원




3. FSN-series  Network Visibility Appliance







4. Flow Service Node (FSN) Deployment Modes

 
     가. FSN & NPB 연동 구성 운용

      


     나. FSN 단독 구성 운용

      




5. FSN-series 주요 기능 및 규격 사양

주요 기능 및 규격 사양

패턴매칭

§ 패킷 입력 인터페이스
   - 10G/1G Fiber, Copper
   - 양방향 세션 패킷 inbound/outbound 세션 별 포트구분 없이 미러 방식 입력

§ 패턴 매칭 기능
   - 문자열 혹은 정규식 형태의 패턴 (최대 길이 64Byte x 50,000개)
   - 패턴 매칭 성능 최대 25Gbps 지원
   - 입력 패킷 중 Layer 7에서 패턴 매칭되는 패킷이 포함된 세션

§ 패킷 출력 인터페이스
   - 10G/1G Fiber, Copper
   - 패킷 내부의 헤더 및 페이로드는 변경 없이 출력 인터페이스로 송신
   - 패턴 매칭된 세션의 패킷 우회(미러) 기능 커스터마이징 개발
   - 포트 여러 개 세션 간 로드밸런싱(hash기반으로 충분) 지원
   - 동일 세션의 in/out 패킷은 동일 출력 포트로 송신되어야 함.

§ 이 메일 (SMTP/POP3/IMAP) 패킷의 경우
   - 세션 정의: 동일 TCP 세션에 여러 eml이 있는 경우 각 eml을 한 세션으로 취급
   - 스캔 범위: eml header 혹은 세션 전체 중에 설정 가능해야 함

§ 그 외 프로토콜 패킷의 경우
   - 세션 정의: TCP세션(SYN ~ FIN/RST)을 하나의 세션으로 취급
   - 스캔 범위: 세션 전체

§ 기타 매칭 요구 사항
   - 성능 위해 스캔 범위를 세션 초기 8KB로 제한, 단, 범위는 설정 가능해야 함
   - 입력 패킷 중 일부(SYN/FIN포함) 혹은 한 방향 전체가 누락된 경우도 매칭 필요
   - SYN/ACK/RST/FIN 등 데이터가 없는 제어 패킷은 포워딩 하지 않아도 무관
   - 패턴이 패킷 사이에 걸쳐있더라도 매칭 되어야 함

통합관리

§ 관리 페이지
   - 조회 전용 계정, 관리자(패턴목록파일 추가) 계정
   - Web 사용자 인터페이스 지원
   - 1(통합관리모듈) : N(패턴매칭 모듈) Scale Out 지원

§ 패턴 추가
   - 패턴목록파일로 일괄 추가
   - 패턴목록파일내의 패턴은 동일한 유효 기간 적용, 유효 기간 내에서만 패턴 매칭 적용
     (새 목록파일 추가 시 현 목록 파일의 유효기간과 겹칠 일은 없다고 가정)
   - 패턴목록파일은 csv 형식 : 첫 줄에 유효기간(시작일, 종료일), 둘째 줄부터 패턴, 패턴설명,                                           출력포트번호(생략 시 전체 출력포트로 hash기반 로드밸런싱)

§ 패턴 조회
   - 현재 패턴 별/전체 매칭 통계
   - 과거 패턴목록파일 조회 : 파일내용, 추가시점, 전체 매칭 횟수

 §  패턴 매칭 세부사항 설정    (예 : 패턴 매칭 범위 등 성능 옵션)




6. Ingress port, Packet Processing


1) Ingress Traffic Port Component

  • Packet Timestamp

  • Packet Slice

  • Insert or strip packet VLAN tag

  • Strip packet MPLS Tag

  • Strip Cisco Fabric Path Tag

  • Strip VxLAN protocol layer

  • Strip GTP protocol layer

  • Offset length based header stripping

  • Hardware accelerated filters (Module dependent)


2) Egress Traffic Port Component

  • Packet Slice

  • Insert or strip packet VLAN tag


3) Filter Component

  • Large scale filter support up to 4 Million rules

  • High performance bit masked based match

  • Range match support for the port fields

  • Rich protocol support with comprehensive fields

     - Ethernet, VLAN, MPLS, IPv4 and IPv6, TCP/UDP, GTP, GRE

  • Available actions when filter match

     - Pass through up to 32 selected egress connector

     - Drop

     - Insert or strip VLAN tag

  • Filter template support

  • Support filter priority

  • Enable/Disable individual filters



4) Aggregator

  •Aggregate traffic from up to 32 ingress connector


5) Replicator

  • Replicate packet to up to 32 egress connector


6) Mux

  • Select traffic from one or more of ingress connector

  • Aggregate traffic to the egress connector

  • Support real-time changing of the settings


7) Link Protector

  • Monitor the link state of the ingress ports

  • Master slave ports

  • Promote/demote ports to take master role


8) Load Balancer

  • Load balance the incoming traffic to up to 32 egress connectors

  • Load balance the incoming traffic to up to 32 egress ports

  • Load balance hash method

     - S/D MAC+VLAN+ETHERTYPE

     - Source IPv4/6 + Destination IPv4/6

     - S/DIP + TCP/UDP S/D Port

     - Inner SIPv4/6+DIPv4/6

     - Inner S/DIP + Protocol

     - Inner S/DIP + TCP/UDP S/D Port

     - Inner S/DIP + Protocol + TCP/UDP S/D Port

     - User Defined Fields

     - Inner SIPv4/v6 Only

     - Inner DIPv4/v6 Only

     - SIPv4/v6 Only

     - DIPv4/v6 Only

     - Round Robin


  • Tunnel Stack Support

     - No Tunnel

     - IP/UDP/GTP + Inner Packet

     - IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet

     - IP/UDP/VxLAN/Eth/Inner Packet


  • Two User Defined Fields

     - By offset, length and mask


  • Available Egress Link Monitor Methods

     - By link status

     - By ICMP packet

     - By user defined heart beat packet (Flexible egress/ingress port)


9) Packet Capture Component (Optional)

  • High performance packet capture engine

  • Packet slicing feature

  • Scalable file system and file system overlay to provide raw packet data as well as meta-data storage

  • Scale to Zeta byte of storage devices

  • Support up to 10,000 drives in a single system

  • Intelligent drive defect detection and steering

  • Intelligent data compression

  • Detailed capture performance metrics

  • Native indexer over popular fields such as SIP, DIP, Source Port, Destination Port and Protocol fields

  • Packet Viewer

     - Realtime and retrospective decoded view over captured packets

     - Time range based packet selection

     - Full wireshark display filter support over the captured traffic

     - Transaction (Ladder) View over high level summarized packet flow

     - Export displayed traces to PCAP


10) NetFlow Record Export Component

  • Support NetFlow V5/V9 & V10/IPFIX

  • Support configurable collector ports

  • High report interval support

  • Bi-directional or Uni-direction flow record generation


11) Field Mask and Privacy Controller Component

  • High performance design to mask fields in single pass

  • Individually configurable source IP, destination IP, ports and protocol map method

  • Store maps to memory or on disk

  • Query interface to recover the original value

  • Export map to CSV for long term offline storage


12) Realtime Display Filter Component

  • Support full wireshark display filter syntax

  • Up to 112 parallel instance to achieve high performance filtering

  • Real-time configurable filter

  • Pass through mode


13) Deduplication Component

  • Wide deduplication time window from 1 milli-second to 1 second

  • Rich finger print methods

     - L2, L3, L4 headers or combination

     - Ability to include 16 or 64 bytes payload as finger print input

     - Ability to use full packet as finger print input

     - Operable under tunnel packets

     - The following field can be configured to be masked out from finger print process

       (IP TTL field, IPv4 ToS field, IPv6 TC field)


14) Tunnel Stripper Component

  • Rich tunnel protocol support

     - Packet with GRE tunnel

     - Packet with IP-IP tunnel

     - Packet with L2TP tunnel

     - IP/UDP/GTP + Inner Packet

     - IP/UDP/VxLAN/Eth/IP/UDP/GTP + Inner Packet

     - IP/UDP/VxLAN/Eth/Inner Packet


15) L2 Ethernet Switch Component

  • Up to 32 ports

  • Support up to 10 Million MAC addresses

  • Static MAC support and programmable MAC time out

  • Advanced mode to learn IPv4 address binding in addition to the MAC port binding


16) Microburst Controller Component

  • Smooth up to 100Gb incoming burst

  • Provide up to 2TB high speed burst buffer

  • Controlled egress bandwidth starting from 1Mb/s to 100Gbps at the step of 1Mbps

  • Accurately control egress packet rate from 1K PPS to 28Mpps at the step of 1K PPS


17) Match-Action Component

  • Up to 4M addresses and FQDN based rules

  • Automatically track the DNS response to map FQDN to IP address and apply the action

  • Large scale batch add/delete/update the rules

  • Programmable API to add/delete/update the rules

  • Capability to download the rules as a file

  • Permit and drop action with log to one or more Syslog servers

  • Support up to 32 Syslog servers


18) Pattern Matcher

  • Cache session for prespecified size up to 128MB

  • Use binary pattern match to match against provided regular expression rules

  • Output the entire buffered session when match is found



#L7-필터링 #패턴매칭 #Layer7-Pattern-Match #세션-필터링 #FQDN-리스트-자동생성-추출 #접속차단-허용