郑志彬博士 华为技术有限公司安全解决方案部部长，中国通信标准化协会无线网络安全组组长
　　宽带网络应用业务的发展必然带来对宽带资源安全管理的需求，在宽带网络中不可管理的业务就是不能运营的业务，也是不安全的业务。电信宽带网络的精细化运营和业务流量安全实质上是一个问题的两个侧面，也是宽带网络运营的必然趋势。
　　随着宽带网络承载的业务越来越多，各种预想不到的问题纷纷涌来。各种P2P应用占用了大量的电信宽带资源，在增加运维成本的同时，还引起了不少知识产权问题。此外还有非法的网络帐户共享、黑网吧、DDos攻击、蠕虫泛滥等等现象，使得宽带网络流量存在大量的资源安全问题，而所有这些问题也集中反映了宽带电信网络目前粗放运营的困境和宽带业务流量安全管理的困境。
　　宽带网络上承载业务的多样化和复杂化，使得传统基于包月方式的粗放经营模式已经难以满足电信宽带运营和业务安全的需要，适于业务发展的宽带运营模式的转型已经迫在眉睫，其实质就是要求宽带业务从不可管理到可管理，从不安全到安全。作为一个公众性质开放的网络，电信宽带网络的业务安全实质上体现了网络上承载业务的可管理性。
　　
　　宽带业务流量安全管理的本质
　　
　　要实现宽带网络业务的安全管理性，首先需要感知网上的各种应用业务，在感知和理解业务的基础上，通过对用户群和其相关流量组合分析，建立相应的“业务→用户→流量”的业务模型，在此基础上制定相应的安全管理和控制策略。除了对于业务流量的感知和理解，对于业务服务质量的保障以及非法流量进行抑制也是业务流量安全非常重要的一个方面，这就要求必须实现对于网络上的业务流量进行检测和控制。
　　宽带业务流量安全主要包括三大要素：流量分类、流量检测及流量控制。要实现对于业务流量的安全管理控制，首先进行流量的分类，流量分类包括地址分类、端口分类等，在此基础上可以对信令协议以及信息报文进行深度检测，从而了解用户的业务使用情况，继而根据不同用户的安全需求策略，实施针对用户的网络流量管控。在三大要素中，后两种要素是业务流量安全的核心。
　　深度检测（DPI）指的是对用户使用的网络业务应用协议以及信息报文进行解析并深度分析，能够比较深入理解业务流量的本质，从而提供了业务感知的能力，此外，通过应用DPI技术，还能够检测出网络中异常流量情况。例如，通过深度检测可以了解宽带用户使用VoIP电话的情况、P2P业务应用情况、网络中是否有DDOS流量以及Worm流量等，这都为业务流量的安全管理提供了资源保证。
　　流量控制指的是根据预定的策略实现对用户细粒度的流量管理，在宽带设备上的流量控制策略包括三大类：限流，指定用户可获得的流量带宽，从而进行带宽分配；重定向，把用户定向到某一站点，通常是一些提示或安全资源站点；阻断，实际上就是限制用户接入，例如通过发TCP RST报文使得用户断线。
　　
　　业务流量安全管理的实现
　　
　　通常流量分类通过单独的设备来提供，在接口匹配时，通过分光即可实施。而对于报文的深度检测和流量的管控，在实现上可以放在同一个设备上，也可以分别部署在分离的两个设备上。在部署上，这些设备既可以直接和网络设备串接运行，也可以与网络设备并联，做旁路处理。
　　由于DPI通常要求对流量的应用层做分析，业务DPI技术的应用实现就需要占用大量的系统资源，如果串接在电信网络上，在实时业务越来越多的情况下，DPI分析检测导致的时延必将会严重影响网络的服务质量，而且可能造成单点故障。基于这种考虑对于业务流量检测来说，镜像或者分光方式的旁路模式应该更适合对运营网络流量的深度检测。
　　业務流量的控制则是在串接设备上进行实施，但流量控制的策略来源于DPI的结果，通过在旁路的检测设备中制定策略，从而由流量控制设备基于管理控制的策略对于流量进行安全管控。
　　基于上面的分析，对于电信运营网络来说，最好的部署方式应该是检测和控制分离，对于检测部分采用旁路方式实现，对于控制部分，采用串路，监测和控制设备之间通过COPS或者类似的机制进行协同工作，打通业务安全管理“感知→策略→控制”的各个环节，实现对于业务和流量的管理。