กล่องกลาง

อุปกรณ์มิดเดิลบ็อกซ์คือ อุปกรณ์ เครือข่ายคอมพิวเตอร์ที่แปลง ตรวจสอบ กรอง และจัดการทราฟฟิกเพื่อวัตถุประสงค์อื่นนอกเหนือจากการส่งต่อแพ็กเก็ต [ ^{1 ] ตัวอย่าง}ของอุปกรณ์มิดเดิลบ็อกซ์ ได้แก่ไฟร์วอลล์ตัว แปลงที่อยู่เครือข่าย (NAT) ตัวกระจายโหลดและอุปกรณ์ตรวจสอบแพ็กเก็ตเชิงลึก (DPI) ^{[ 2 ]}

คำว่าmiddleboxถูกบัญญัติขึ้นในปี 1999 โดยLixia Zhangศาสตราจารย์ด้านวิทยาศาสตร์คอมพิวเตอร์ของ UCLA ^[¹^]^[³^]

การใช้งาน

มิดเดิลบ็อกซ์มีการใช้งานอย่างแพร่หลายทั้งในเครือข่ายส่วนตัวและเครือข่ายสาธารณะ ฮาร์ดแวร์มิดเดิลบ็อกซ์เฉพาะมีการใช้งานอย่างแพร่หลายในเครือข่ายองค์กรเพื่อปรับปรุงความปลอดภัยและประสิทธิภาพของเครือข่าย อย่างไรก็ตาม แม้แต่เราเตอร์เครือข่ายบ้านก็มักจะมีไฟร์วอลล์ NAT หรือฟังก์ชันมิดเดิลบ็อกซ์อื่นๆ ในตัว ^{[ 4 ]}การศึกษาในปี 2017 พบว่ามีการใช้งานมากกว่า 1,000 ครั้งในระบบอัตโนมัติทั้งในทิศทางการไหลของทราฟฟิกและในเครือข่ายที่หลากหลาย รวมถึงเครือข่ายของผู้ให้บริการโทรศัพท์มือถือและศูนย์ข้อมูล^{[ 2 ]}

ตัวอย่าง

ต่อไปนี้เป็นตัวอย่างของอุปกรณ์กลาง (middlebox) ที่ใช้งานกันทั่วไป:

ไฟร์วอลล์จะกรองทราฟฟิกตามชุดกฎความปลอดภัยที่กำหนดไว้ล่วงหน้าซึ่งกำหนดโดยผู้ดูแลระบบเครือข่าย ไฟร์วอลล์ IP จะปฏิเสธแพ็กเก็ต "โดยพิจารณาจากฟิลด์ในส่วนหัว IP และส่วนหัวการขนส่งเท่านั้น (เช่น ไม่อนุญาตให้ทราฟฟิกขาเข้าไปยังหมายเลขพอร์ต บางหมายเลข ไม่อนุญาตให้ทราฟฟิกใดๆ ไปยังซับเน็ตบางซับเน็ตเป็นต้น)" ^{[ 1 ]}ไฟร์วอลล์ประเภทอื่นๆ อาจใช้ชุดกฎที่ซับซ้อนกว่า รวมถึงไฟร์วอลล์ที่ตรวจสอบทราฟฟิกที่เลเยอร์เซสชันหรือเลเยอร์แอปพลิเคชัน^{[ 5 ]}
ระบบตรวจจับการบุกรุก (IDS) ตรวจสอบการรับส่งข้อมูลและรวบรวมข้อมูลเพื่อวิเคราะห์แบบออฟไลน์สำหรับความผิดปกติด้านความปลอดภัย แตกต่างจากไฟร์วอลล์ IDS ไม่ได้กรองแพ็กเก็ตแบบเรียลไทม์ เนื่องจากสามารถตรวจสอบได้ซับซ้อนกว่าและต้องตัดสินใจว่าจะยอมรับหรือปฏิเสธแต่ละแพ็กเก็ตเมื่อมาถึง^{[ 6 ]}
ตัวแปลที่อยู่เครือข่าย (NAT) จะแทนที่ที่อยู่ IP ต้นทางและ/หรือปลายทางของแพ็กเก็ตที่ผ่านเข้ามา โดยทั่วไป NAT จะถูกใช้งานเพื่อให้โฮสต์ปลายทางหลายตัวสามารถใช้ที่อยู่IP เดียวกัน ได้ โฮสต์ที่อยู่ "เบื้องหลัง" NAT จะได้รับที่อยู่ IP ส่วนตัวและแพ็กเก็ตที่ส่งไปยังอินเทอร์เน็ตสาธารณะจะผ่าน NAT ซึ่งจะแทนที่ที่อยู่ส่วนตัวภายในด้วยที่อยู่สาธารณะที่ใช้ร่วมกัน^{[ 7 ]}ผู้ให้บริการเครือข่ายโทรศัพท์มือถือใช้ NAT กันอย่างแพร่หลายเพื่อจัดการทรัพยากรที่มีจำกัด^{[ 8 ]}
ตัวเพิ่มประสิทธิภาพ WANช่วยปรับปรุงการใช้แบนด์วิดท์และความหน่วงแฝงที่รับรู้ได้ระหว่างปลายทาง โดยทั่วไปแล้ว ตัวเพิ่มประสิทธิภาพ WAN จะถูกนำไปใช้ในองค์กรขนาดใหญ่ โดยจะถูกติดตั้งไว้ใกล้กับปลายทางการส่งและรับของการสื่อสาร จากนั้นอุปกรณ์จะประสานงานกันเพื่อแคชและบีบอัดทราฟฟิกที่ส่งผ่านอินเทอร์เน็ต^{[ 9 ]}
อุปกรณ์กระจายโหลด (Load balancer)ทำหน้าที่เป็นจุดเข้าใช้งานบริการเพียงจุดเดียว แต่จะส่งต่อการรับส่งข้อมูลไปยังโฮสต์หนึ่งหรือหลายโฮสต์ที่ให้บริการนั้นจริง ๆ
เครือข่ายโทรศัพท์มือถือใช้อุปกรณ์กลาง (middlebox) เพื่อให้มั่นใจว่าทรัพยากรเครือข่ายที่มีจำกัดถูกใช้งานอย่างมีประสิทธิภาพ รวมถึงเพื่อปกป้องอุปกรณ์ของลูกค้าด้วย

คำวิจารณ์และความท้าทาย

มิดเดิลบ็อกซ์ก่อให้เกิดความท้าทายทางเทคนิคในการพัฒนาแอปพลิเคชันและได้รับ "การดูถูก" และ "ความผิดหวัง" ในชุมชนสถาปัตยกรรมเครือข่าย^{[ 10 ]}เนื่องจากละเมิดหลักการ end-to-endของการออกแบบระบบคอมพิวเตอร์^{[ 11 ]}

การรบกวนแอปพลิเคชัน

อุปกรณ์ตัวกลางบางตัวอาจรบกวนการทำงานของแอปพลิเคชัน ทำให้แอปพลิเคชันบนเครื่องปลายทางทำงานได้อย่างไม่ถูกต้องหรือถูกจำกัด

โดยเฉพาะอย่างยิ่ง ตัวแปลงที่อยู่เครือข่าย (NAT) ก่อให้เกิดความท้าทาย เนื่องจากอุปกรณ์ NAT จะแบ่งทราฟฟิกที่มุ่งไปยังที่อยู่ IP สาธารณะไปยังผู้รับหลายราย เมื่อโฮสต์ที่อยู่เบื้องหลัง NAT เริ่มต้นการเชื่อมต่อระหว่างโฮสต์บนอินเทอร์เน็ตและโฮสต์ที่อยู่เบื้องหลัง NAT นั้น NAT จะเรียนรู้ว่าทราฟฟิกสำหรับการเชื่อมต่อดังกล่าวเป็นของโฮสต์ภายใน ดังนั้น เมื่อทราฟฟิกที่มาจากอินเทอร์เน็ตมุ่งไปยังที่อยู่สาธารณะ (ที่ใช้ร่วมกัน) บนพอร์ต เฉพาะ NAT สามารถกำหนดทิศทางทราฟฟิกไปยังโฮสต์ที่เหมาะสมได้ อย่างไรก็ตาม การเชื่อมต่อที่เริ่มต้นโดยโฮสต์บนอินเทอร์เน็ตไม่ได้เปิดโอกาสให้ NAT "เรียนรู้" ว่าการเชื่อมต่อเป็นของโฮสต์ภายในใด ยิ่งไปกว่านั้น โฮสต์ภายในเองอาจไม่ทราบที่อยู่ IP สาธารณะของตนเองเพื่อประกาศให้ไคลเอ็นต์ที่อาจเป็นไปได้ทราบว่าควรเชื่อมต่อกับที่อยู่ใด เพื่อแก้ไขปัญหานี้ จึงมีการเสนอโปรโตคอลใหม่หลายตัว^{[ 12 ]}^{[ 13 ]}^{[ 14 ]}

นอกจากนี้ เนื่องจากการติดตั้งมิดเดิลบ็อกซ์โดยผู้ให้บริการโทรศัพท์มือถือ เช่นAT&TและT-Mobileนั้นไม่โปร่งใส นักพัฒนาแอปพลิเคชันจึงมัก "ไม่ทราบถึงนโยบายมิดเดิลบ็อกซ์ที่ผู้ให้บริการบังคับใช้" ในขณะที่ผู้ให้บริการก็ขาดความรู้ที่ครบถ้วนเกี่ยวกับพฤติกรรมและข้อกำหนดของแอปพลิเคชัน ตัวอย่างเช่น ผู้ให้บริการรายหนึ่งได้ตั้งค่า " ค่า หมดเวลาที่ รุนแรง เพื่อรีไซเคิลทรัพยากรที่ถือครองโดย การเชื่อมต่อ TCP ที่ไม่ได้ใช้งาน ในไฟร์วอลล์อย่างรวดเร็ว ซึ่งทำให้เกิดการหยุดชะงักบ่อยครั้งโดยไม่คาดคิดกับการเชื่อมต่อที่มีอายุการใช้งานยาวนานและบางครั้งก็ไม่ได้ใช้งานซึ่งดูแลโดยแอปพลิเคชันต่างๆ เช่นอีเมลแบบพุชและการส่งข้อความโต้ตอบแบบทันที " ^{[ 8 ]}

ความท้าทายในการใช้งานอื่นๆ ที่เกิดจากมิดเดิลบ็อกซ์ ได้แก่เว็บพร็อกซีที่ให้บริการเนื้อหาที่ "ล้าสมัย" หรือไม่ทันเวลา^{[ 15 ]}และไฟร์วอลล์ที่ปฏิเสธการรับส่งข้อมูลบนพอร์ตที่ต้องการ^{[ 16 ]}

ความสามารถในการขยายและการออกแบบอินเทอร์เน็ต

ข้อวิจารณ์หนึ่งเกี่ยวกับมิดเดิลบ็อกซ์คือ พวกมันอาจจำกัดตัวเลือกของโปรโตคอลการขนส่ง ซึ่งอาจจำกัดการออกแบบแอปพลิเคชันหรือบริการ มิดเดิลบ็อกซ์อาจกรองหรือทิ้งทราฟฟิกที่ไม่สอดคล้องกับพฤติกรรมที่คาดหวัง ดังนั้นโปรโตคอลใหม่หรือโปรโตคอลที่ไม่ธรรมดา หรือส่วนขยายของโปรโตคอลอาจถูกกรองออกไป^{[ 17 ]}โดยเฉพาะอย่างยิ่ง เนื่องจากมิดเดิลบ็อกซ์ทำให้โฮสต์ในโดเมนที่อยู่ส่วนตัวไม่สามารถ "ส่งแฮนเดิลที่อนุญาตให้โฮสต์อื่นสื่อสารกับพวกมันได้" จึงขัดขวางการแพร่กระจายของโปรโตคอลใหม่ๆ เช่นSession Initiation Protocol (SIP) รวมถึงระบบแบบเพียร์ทูเพียร์ต่างๆ^{[ 10 ]}^{[ 18 ]}การลดความยืดหยุ่นลงอย่างต่อเนื่องนี้ได้รับการอธิบายว่าเป็นภาวะแข็งตัวของโปรโตคอล^{[ 19 ]}^{[ 20 ]}

ในทางกลับกัน อุปกรณ์ตัวกลางบางชนิดสามารถช่วยในการใช้งานโปรโตคอลได้โดยการแปลงระหว่างโปรโตคอลใหม่และเก่า ตัวอย่างเช่นIPv6สามารถใช้งานบนอุปกรณ์ปลายทางสาธารณะ เช่นโหลดบาลานเซอร์พร็อกซี หรือ NAT รูปแบบอื่นๆ โดยที่ทราฟฟิกแบ็กเอนด์จะถูกส่งผ่าน IPv4หรือIPv6

ดูเพิ่มเติม

1 ] ตัวอย่าง

[ 2 ]

[

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]