由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
EmergingNetworking版 - 关于joke版说的那个"金盾"
相关主题
金盾工程技术分析为何下载速度会越来越慢
10G IPS Placement求教: 如何使用router 连接两台电脑共享文件
急问大牛们推荐个VPN+FIREWALL的路由器吧
2G 以上IPsec VPN 的性能如何呀?如何切断一个连入的ip?
大家聊聊华为进入北美市场的门槛是什么?救命啊! LD天天看PPLIVE!
Microsoft enters VPN market?What will be impacted when DMZ is on outage
请教:一般的 Router 有没有 Hub 或者 switch 的功能?......两台电脑接上后就是访问不了对方
[合集] heart attack在server 2003 上map network drive 的问题
相关话题的讨论汇总
话题: gwf话题: firewall话题: ips话题: 金盾话题: taping
进入EmergingNetworking版参与讨论
1 (共1页)
w*****r
发帖数: 89
1
俺理解,已经是level 7的firewall了
中国网络流量这么大,启用level 7的firewall这代价得多高啊
w****n
发帖数: 241
2
那是不是 HTTPS 的通通封掉?

【在 w*****r 的大作中提到】
: 俺理解,已经是level 7的firewall了
: 中国网络流量这么大,启用level 7的firewall这代价得多高啊
z**r
发帖数: 17771
3
金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
盾是其中一个,跟后来的GWF八竿子打不着。
GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
不能过滤UTF-8字体,现在也加上了。
不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟


【在 w*****r 的大作中提到】
: 俺理解,已经是level 7的firewall了
: 中国网络流量这么大,启用level 7的firewall这代价得多高啊
w*****r
发帖数: 89
4
我所说的代价不是说迟延的代价
而是说机器的代价
一旦启动level 7的东东,对cpu要求可就高了
我也觉得不可能是gwf






【在 z**r 的大作中提到】
: 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
: 盾是其中一个,跟后来的GWF八竿子打不着。
: GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
: 国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
: 不能过滤UTF-8字体,现在也加上了。
: 不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
: 延
z**r
发帖数: 17771
5
晕。
俺说的延迟,是指ips处理的时间的延迟,包括数据库查询,因为这个数据库很可能是一
个中央数据库,比如在国安的某个机房,各个地方的电信/网通都要远程访问这个。
至于硬件本身带来的延迟,顶多是毫秒级别不会来不来就几十秒的延迟的

【在 w*****r 的大作中提到】
: 我所说的代价不是说迟延的代价
: 而是说机器的代价
: 一旦启动level 7的东东,对cpu要求可就高了
: 我也觉得不可能是gwf
:
: 金
: 多
: 还
: 迟
w*****r
发帖数: 89
6
我所说的代价不是说迟延的代价
而是说机器的代价
一旦启动level 7的东东,对cpu要求可就高了
我也觉得不可能是gwf






【在 z**r 的大作中提到】
: 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
: 盾是其中一个,跟后来的GWF八竿子打不着。
: GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
: 国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
: 不能过滤UTF-8字体,现在也加上了。
: 不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
: 延
z**r
发帖数: 17771
7
金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
盾是其中一个,跟后来的GWF八竿子打不着。
GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
不能过滤UTF-8字体,现在也加上了。
不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟


【在 w*****r 的大作中提到】
: 俺理解,已经是level 7的firewall了
: 中国网络流量这么大,启用level 7的firewall这代价得多高啊
w*****r
发帖数: 89
8
我们说的代价是两个概念,如果所有数据都要扫描的话,需要多昂贵的设备阿
所以我也否定了这种可能性了
具体怎么做的,我也不知道了
如果真的是你说的这种办法,好像也不对,没感觉到每个网站那么慢
真要每个地方都远程访问中央数据库,数据库的代价更高吧
不知道了



【在 z**r 的大作中提到】
: 晕。
: 俺说的延迟,是指ips处理的时间的延迟,包括数据库查询,因为这个数据库很可能是一
: 个中央数据库,比如在国安的某个机房,各个地方的电信/网通都要远程访问这个。
: 至于硬件本身带来的延迟,顶多是毫秒级别不会来不来就几十秒的延迟的
z**r
发帖数: 17771
9
金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
盾是其中一个,跟后来的GWF八竿子打不着。
GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
不能过滤UTF-8字体,现在也加上了。
不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟


【在 w*****r 的大作中提到】
: 俺理解,已经是level 7的firewall了
: 中国网络流量这么大,启用level 7的firewall这代价得多高啊
o**v
发帖数: 1662
10
u2d8

【在 z**r 的大作中提到】
: 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
: 盾是其中一个,跟后来的GWF八竿子打不着。
: GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
: 国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
: 不能过滤UTF-8字体,现在也加上了。
: 不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
: 延
相关主题
Microsoft enters VPN market?为何下载速度会越来越慢
请教:一般的 Router 有没有 Hub 或者 switch 的功能?求教: 如何使用router 连接两台电脑共享文件
[合集] heart attack大牛们推荐个VPN+FIREWALL的路由器吧
进入EmergingNetworking版参与讨论
w*****r
发帖数: 89
11
现在下mp3巨快
总是140kBps
换算成bit rate,过了1m了
去年下歌还没这么快







【在 z**r 的大作中提到】
: 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
: 盾是其中一个,跟后来的GWF八竿子打不着。
: GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
: 国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
: 不能过滤UTF-8字体,现在也加上了。
: 不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
: 延
z**r
发帖数: 17771
12
来来来,你说说俺说的什么意思?

【在 w*****r 的大作中提到】
: 现在下mp3巨快
: 总是140kBps
: 换算成bit rate,过了1m了
: 去年下歌还没这么快
:
: 差
: 处
: 是
: 用
: ,
u*v
发帖数: 18
13
我觉得这和FW是两个概念。taping只是对你的内容进行监听记录的手段,美国上世纪
taping所有路过该国的电话就是出了名的,但taping只是为间谍、反恐等提供信息,对老
百姓生活并没有什么影响,据说最少taping的国家是欧洲瑞士这类的国家。而FW是为了阻
止国民不接触国外不利于本党(甚至不是本国)的声音,手段不仅是监听记录,而且是把
内容实时的挡住。Taping是为国家利益而不是政党利益,出面做的事情,而且也仅限于危
害国家安全利益的监听(非这类的私下使用,其实是非法的,也不可能做为法院的承堂证
供),它也没有对流量进行阻止或串改,如现在美国网络还是可以访问到恐怖组织的网站
。而我们的FW是对流量进行阻止或串改。所以我觉得两者的考虑出发点、采用的手段都有
本质的区别。但我也不能说Taping就是应该去做的,美国从自由角度来说,做得并不是很
好的国家,但Taping自身也受到法律的约束,不能为所欲为。总之希望国内尽快有一个达
到美国自由度的网络提供给我们的国民使用,老百姓每个月交给电信的使用费占他们总收
z**r
发帖数: 17771
14
这个great wall firewall并不是普通意义上的firewall,是一整套系统,从它的工作特
点你就应该看出,一般要被terminated的时候,总是几十秒之后,哪个实时的系统能这样

你对tap的理解是正确的,但是你不能主观臆断tap以后就只能监听不能控制。tap只是一
个技术手段(其实也没什么技术在里面),来得到一个流量的copy,监听系统对于这个
copy进行分析以后,may or may not对你真正流量进行任何控制,这基本上根IPS的道理
一样。也是俺开始为什么说,GWF应该是这么一套大规模的分布式的IPS这样的系统,而不
是一个简单的layer 7 firewall。这套系统最复杂的部分应该是两个,一个是
classification,一个是
scalability。至于去控制IP session,实在没有什么复杂的(因为它的控制相对很简单












【在 u*v 的大作中提到】
: 我觉得这和FW是两个概念。taping只是对你的内容进行监听记录的手段,美国上世纪
: taping所有路过该国的电话就是出了名的,但taping只是为间谍、反恐等提供信息,对老
: 百姓生活并没有什么影响,据说最少taping的国家是欧洲瑞士这类的国家。而FW是为了阻
: 止国民不接触国外不利于本党(甚至不是本国)的声音,手段不仅是监听记录,而且是把
: 内容实时的挡住。Taping是为国家利益而不是政党利益,出面做的事情,而且也仅限于危
: 害国家安全利益的监听(非这类的私下使用,其实是非法的,也不可能做为法院的承堂证
: 供),它也没有对流量进行阻止或串改,如现在美国网络还是可以访问到恐怖组织的网站
: 。而我们的FW是对流量进行阻止或串改。所以我觉得两者的考虑出发点、采用的手段都有
: 本质的区别。但我也不能说Taping就是应该去做的,美国从自由角度来说,做得并不是很
: 好的国家,但Taping自身也受到法律的约束,不能为所欲为。总之希望国内尽快有一个达
w*****r
发帖数: 89
15
https有没有办法控制?
似乎如果敏感网站用https的话就没办法控制了?
还是仍然有办法?








【在 z**r 的大作中提到】
: 这个great wall firewall并不是普通意义上的firewall,是一整套系统,从它的工作特
: 点你就应该看出,一般要被terminated的时候,总是几十秒之后,哪个实时的系统能这样
: ?
: 你对tap的理解是正确的,但是你不能主观臆断tap以后就只能监听不能控制。tap只是一
: 个技术手段(其实也没什么技术在里面),来得到一个流量的copy,监听系统对于这个
: copy进行分析以后,may or may not对你真正流量进行任何控制,这基本上根IPS的道理
: 一样。也是俺开始为什么说,GWF应该是这么一套大规模的分布式的IPS这样的系统,而不
: 是一个简单的layer 7 firewall。这套系统最复杂的部分应该是两个,一个是
: classification,一个是
: scalability。至于去控制IP session,实在没有什么复杂的(因为它的控制相对很简单
L******t
发帖数: 1985
16
Whisper, you have a misconception. The backbone Internet traffic are not being
handled by CPU. Assume we have constant traffic volume, the firewalls have to
be working at wire speed. Expensive ASICs are doing the job.

【在 w*****r 的大作中提到】
: 我们说的代价是两个概念,如果所有数据都要扫描的话,需要多昂贵的设备阿
: 所以我也否定了这种可能性了
: 具体怎么做的,我也不知道了
: 如果真的是你说的这种办法,好像也不对,没感觉到每个网站那么慢
: 真要每个地方都远程访问中央数据库,数据库的代价更高吧
: 不知道了
:
: 一
L******t
发帖数: 1985
17
zher, the tapping idea is your conjecture or true realization? That's a bright
idea.




【在 z**r 的大作中提到】
: 这个great wall firewall并不是普通意义上的firewall,是一整套系统,从它的工作特
: 点你就应该看出,一般要被terminated的时候,总是几十秒之后,哪个实时的系统能这样
: ?
: 你对tap的理解是正确的,但是你不能主观臆断tap以后就只能监听不能控制。tap只是一
: 个技术手段(其实也没什么技术在里面),来得到一个流量的copy,监听系统对于这个
: copy进行分析以后,may or may not对你真正流量进行任何控制,这基本上根IPS的道理
: 一样。也是俺开始为什么说,GWF应该是这么一套大规模的分布式的IPS这样的系统,而不
: 是一个简单的layer 7 firewall。这套系统最复杂的部分应该是两个,一个是
: classification,一个是
: scalability。至于去控制IP session,实在没有什么复杂的(因为它的控制相对很简单
z**r
发帖数: 17771
18
that's true for CALEA

bright

【在 L******t 的大作中提到】
: zher, the tapping idea is your conjecture or true realization? That's a bright
: idea.
:
: 处
: 是
u*v
发帖数: 18
19
不知道你们注意到没有,到中国的ping原来是400-500ms,同样的地区,如果是HK,只要
200-300ms。而现在不到一年前的时间,ping少到300-400ms。可以说是技术又进步了。这
多去的100-200ms绝对不是光钎延迟造成的。IPS的可能很大,但什么样的IPS能有处理几十G的处理能力?这好象不现实。我怀疑是对流量区别对待,先缓存后分布式扫描。总之,什么时候拆除这些东西什么时候中国才是真正进入了Internet时代。
z**r
发帖数: 17771
20
中国的出口带宽从2004年年底的70G增长到2005年底的130多G,现在又几个月过去了,差
不多应该有150G左右了现在。但是对于人均带宽肯定还不能跟HK比。
而且单纯在backbone上的延迟,单程就可以达到100多ms。
综合以上两个原因,现在到中国双向延迟300多ms几乎已经是极限了。
俺认为Great Wall Firewall本身不会带来延迟,而是把所有traffic都tap到一个特殊处
理系统。traffic不会也不应该直接穿过这套系统。这个基本的原理根美国的CALEA应该是
类似
,只不过具体技术上可能略有差别。
Internet是信息通道,自从有了电子信息交流,各个国家就从来没有放弃或者停止过对用
户的监控,不光中国政府这样,美国政府也这样。美国的CALEA项目就是专门监控IP的,
每个ISP都被强制上马,其实大家的所作所为,在美国国内都是没有隐私,只不过看是不
是被audit了。


屷>^V颿8U僡IKIY瓌驕斎璢2I蟼I[篈<&))~Rn墕┭B饻丠$邰A%2
aCQBA聬Pj楴S0%0Q垍╜"5 H鯴6陝丯C0T#039;窻/)錎

【在 u*v 的大作中提到】
: 不知道你们注意到没有,到中国的ping原来是400-500ms,同样的地区,如果是HK,只要
: 200-300ms。而现在不到一年前的时间,ping少到300-400ms。可以说是技术又进步了。这
: 多去的100-200ms绝对不是光钎延迟造成的。IPS的可能很大,但什么样的IPS能有处理几十G的处理能力?这好象不现实。我怀疑是对流量区别对待,先缓存后分布式扫描。总之,什么时候拆除这些东西什么时候中国才是真正进入了Internet时代。
相关主题
如何切断一个连入的ip?......两台电脑接上后就是访问不了对方
救命啊! LD天天看PPLIVE!在server 2003 上map network drive 的问题
What will be impacted when DMZ is on outageHELP: VPN Firewall/Router/Switch
进入EmergingNetworking版参与讨论
w*****r
发帖数: 89
21
莫名其妙
我说的是一回事
你说的是另一会师
有什么不明白的

【在 z**r 的大作中提到】
: 中国的出口带宽从2004年年底的70G增长到2005年底的130多G,现在又几个月过去了,差
: 不多应该有150G左右了现在。但是对于人均带宽肯定还不能跟HK比。
: 而且单纯在backbone上的延迟,单程就可以达到100多ms。
: 综合以上两个原因,现在到中国双向延迟300多ms几乎已经是极限了。
: 俺认为Great Wall Firewall本身不会带来延迟,而是把所有traffic都tap到一个特殊处
: 理系统。traffic不会也不应该直接穿过这套系统。这个基本的原理根美国的CALEA应该是
: 类似
: ,只不过具体技术上可能略有差别。
: Internet是信息通道,自从有了电子信息交流,各个国家就从来没有放弃或者停止过对用
: 户的监控,不光中国政府这样,美国政府也这样。美国的CALEA项目就是专门监控IP的,
z**r
发帖数: 17771
22
来来来,你说说俺说的什么意思?

【在 w*****r 的大作中提到】
: 莫名其妙
: 我说的是一回事
: 你说的是另一会师
: 有什么不明白的
w*****r
发帖数: 89
23
nod
top national security
一定有的

【在 z**r 的大作中提到】
: 来来来,你说说俺说的什么意思?
1 (共1页)
进入EmergingNetworking版参与讨论
相关主题
在server 2003 上map network drive 的问题大家聊聊华为进入北美市场的门槛是什么?
HELP: VPN Firewall/Router/SwitchMicrosoft enters VPN market?
NS700请教:一般的 Router 有没有 Hub 或者 switch 的功能?
问个简单的内网和外网的问题[合集] heart attack
金盾工程技术分析为何下载速度会越来越慢
10G IPS Placement求教: 如何使用router 连接两台电脑共享文件
急问大牛们推荐个VPN+FIREWALL的路由器吧
2G 以上IPsec VPN 的性能如何呀?如何切断一个连入的ip?
相关话题的讨论汇总
话题: gwf话题: firewall话题: ips话题: 金盾话题: taping

未名新帖统计// 7月16日

#版面帖数(主题数)
-全站4871 (796)
1Military3777 (569)
2Stock341 (51)
3Joke117 (17)
4History116 (3)
5Automobile100 (9)
6USANews55 (9)
7Midlife45 (1)
8Headline41 (41)
9Dreamer33 (13)
10FleaMarket32 (20)
11Living30 (7)

* 这里只显示发帖超过25的版面,努力灌水吧:-)

历史上的今天

  1. faintcat妹妹看进来~~ 发表于12年前.
  2. NSC, PD 1/7/2007, EB2, ... 发表于11年前.
  3. [FBA求购]MJVE2 758 MJVM2 ... 发表于6年前.
  4. 老生常谈,归与不归 发表于10年前.
  5. 【申请】Seattle西雅图 版版主——申请人... 发表于9年前.
  6. 宝宝出生,头骨骨折,求祝福 发表于9年前.
  7. 求推荐舒缓优美的古典音乐 发表于11年前.
  8. 百分之一的北京人上北大 中国网友愤怒(转载) 发表于10年前.
  9. 新人带狗狗Bailey来报道 发表于12年前.
  10. 全世界最有价值的运动队 发表于10年前.
  11. 请问大切诺基的质量如何 发表于6年前.
  12. TNND,军版全是BKC 发表于15年前.
  13. Inception 发表于12年前.
  14. 微软的有些家属可真恶心,为了卖保险脸都不要了 发表于10年前.
  15. 每周坐高铁的苦逼来说说感受吧!! 发表于9年前.
除非另有声明,本站内容采用Creative Commons BY-NC-SA 3.0协议进行许可,转载请注明来自未名观察 - 隐私政策2011-07-24 10:06:12由admin编辑