Linuxでレイヤー7フィルタリングを行う方法はありますか？

2.4および2.6カーネル用のパッチとして実装された（以前の）プロジェクト Linuxのアプリケーション層パケット分類子 について話している必要があります。

このプロジェクトの主な問題は、制御することを提案したテクノロジーが、実装の有用性と有効性をすぐに上回ったことです。

プロジェクトのメンバーも、私が覚えている限りでは、テクノロジーの進歩を追い越すためにさらに投資する時間（およびお金）がなく、実装の権利を売却したため、すでに問題のあるプロジェクトを完全に殺しました。

このプロジェクト/テクノロジーが長年にわたって直面している課題は、特定の順序ではありません。

• パッチを3.x/4.xカーネルバージョンに適合させる。
• 処理能力の不足-いくつかの国では、今日、国内のギガビットブロードの速度でさえ、ASICに効率的なレイヤー7トラフィックシェーピングを要求するでしょう。
• bittorrentは非常に難読化し始めました。
• HTTPSは、いくつかのプロトコルをカプセル化したり、検出を回避したりするために頻繁に使用され始めました。
• ピアツーピアプロトコルは、固定ポートの使用を停止し、anyオープン/許可されたポートによる方法を試み始めました。
• ユビキタスなvoIPとビデオのリアルタイムでの増加により、トラフィックはわずかな時間遅延でも非常に敏感になります。
• vPN接続の普及。

重いR＆Dは、プロのトラフィックシェーピング製品に多額の投資が行われました。

10年前の最新技術は、暗号化された/難読化されたトラフィックを検出するために、すでに特定のASICと（大量の）ヒューリスティックを使用していました。

現在、グローバルブロードバンド、トラフィックシェーピング（およびファイアウォール）ベンダーの進歩に伴う高度なヒューリスティックスでの10年以上の経験に加えて、リアルタイムでグローバルデータのピア2ピア共有を使用しています。彼らのソリューションの有効性を高めるために。

彼らは、高度なヒューリスティックスを組み合わせて、リアルタイムのプロファイリング/世界中の何千もの場所からのデータを共有しています。

Allot NetEnforcerと同じくらい効率的に機能するオープンソース製品をまとめることは非常に困難です。

インフラストラクチャの帯域幅の健全性を目的としたオープンソースソリューションを使用して、IPアドレスがネットワークレベル。

今日、一般的なトラフィック制御とインフラストラクチャの帯域幅容量を保護するための通常の戦略は、ファイアウォールを除いて、高度なトラフィックシェーピングハードウェアを使用せずに、IPアドレスごとに帯域幅の一部を割り当てることです。