思科：灵活包匹配技术是网络安全的关键

　　思科举办了一次题为《以256或者更少的字节定义你的路由器》的网络讲座，这个讲座的主题是：“网络安全产品精确性和性能的提升迫使黑客们在代码的前256个字节成功实施攻击，从而轻松地在不被发觉的情况下侵入网络”。结果是思科开发出一种名为灵活数据包匹配(Flexible Packet Management，FPM)的技术，比被广泛采用的深度包检测(Deep Packet Inspection )方法更有效地阻挡黑客攻击。

　　我并不是专家，但是我想到了相关的一些问题。的确，思科举办这次网络讲座的目的很含蓄，而且现在有很多包检测技术，包检测领域也有厂商的激烈竞争。黑客们变得越来越聪明，逐渐升级他们的网络攻击，厂商也加紧了对路由器和防火墙应用的保护。

　　如果原始的数据包遭受最成功的攻击，这就意味着网络没有时间将这些动作集合起来，这种情况下不允许进行繁冗的分析，只能立即进行追踪和保护。

　　那么，让我们来简要地看一下现有的两项技术吧。Thomas Porter博士在2005撰写的一篇题为《SecurityFocus》的文章中简要地描述了深度包检测技术。他指出，深度包检测是在防火墙应用中进行的：

　　“DPI引擎对每个经过穿过防火墙的数据包(包括有效载荷)进行检测，基于防火墙管理员制定的一套规则来拒绝或者允许数据包的通过。深度包检测引擎基于签名对比、试探的、数据的或者不规则技术执行这些规则集。”

　　以下是思科对灵活包匹配的解释：

　　“灵活包匹配(FPM)是下一代读取控制名单模式匹配工具，是更加全面和定制化的包过滤器……FPM的用处很大，因为它能够让用户创建他们自己的无状态包分类标准，根据多个动作定义规则以快速阻拦最新的病毒、木马和攻击。”

　　最后我想指出的是，不管你使用的哪种方法，包检测都是一个变化速度很快的领域。另一方面，没有哪一种技术可以保护所有数据。同时，你所做的检测和分析越多，那么你就向网络中增加了更多的复杂性能。遗憾的是，这些严格的保护限制被那些图谋不轨的人所利用，也就是说，未来在安全性方面的挑战将越来越严峻。