QUIC 与 防火墙
QUIC 几乎把防火墙半废了,特别是基于五元组的防火墙:
- 无法分析 payload,因为加密了。
- 无法阻断特定元组,因为元组可变。
除非把特定两台主机的 TCP/UDP 通信完全禁止,否则完全可以通过更改端口重试的方式绕开防火墙。这并不复杂。
接收端很容易实现 “侦听所有 UDP 端口” 的逻辑,学着 iptables REDIRECT 的样子就行,将收到的无主 UDP 报文交给 QUIC 解析,QUIC 本身即端口无关,QUIC 通过 Connection ID 来识别流。
即使禁掉所有 UDP,刚刚我不是展示如何将 socket(AF_INET, SOCK_DGRAM, 0) 传输给 socket(AF_INET, SOCK_STREAM, 0) 么。
传输层协议本身即运载协议,端口号本不应该和应用进程耦合,端口号的存在仅增加了复用率,在 1970~1980 年代,端口号只是不经意间让人觉得 “它真的代表特定服务,比如 80 就是 HTTP”。难道不该让服务自己识别自己吗?QUIC 着实解除了端口号和服务之间的耦合。
为防止协议僵化,QUIC 要求无条件加密,端与网络解耦,各自独立发展,网络不能再对传输协议进行任何假设,当然也就无法禁止特定流,传统防火墙依赖传输协议 IP 和端口进行流量阻滞, 便无法再发挥作用。
QUIC 传输本身甚至是可序列化的,虽然 TCP Repair 也做过类似尝试,但终究还是没能力尽力。
我曾经以为 QUIC 的部署会促使防火墙进行一波升级,但现在看来,事情并不是升级能解决的,传统的安全防火墙面对 QUIC 是无能为力的,无论怎么升级都不行。
看起来 QUIC 周边的配套还很苍凉。除了防火墙,可能还有 QoS,流量工程。仅存的 Connection ID 不变量能做什么?但仔细推敲,这个字段也是可以协商变更的,而协商的内容在 encrypted payload 里 …
但这就是 QUIC,真正的传输协议该展现出的样子。
浙江温州皮鞋湿,下雨进水不会胖。
QUIC 与 防火墙相关推荐
- 技术实践 | 网易云信 QUIC 加速服务架构与实践
导读:网易云信作为音视频服务提供商的领导者,一直致力于提供顶级的音视频通话服务体验,为用户在各种恶劣环境下提供可靠的音视频服务. 文|纪松 网易云信资深音视频服务端开发工程师 如何在极端弱网条件下仍然 ...
- [翻译]QUIC 与 HTTP/3:太过庞大而致失败?-- 论导致 QUIC 失败的因素
新的 QUIC 和 HTTP/3 协议即将到来,这是可谓是网络发展的精华所在. 结合过去30年来网络实践中的经验和教训,新一代的协议栈针对性能.隐私.安全和灵活性方面,均有大幅的提升.改进. 当前,关 ...
- Facebook如何将QUIC应用于数十亿流量传输
随着IETF很快完成QUIC标准定稿,越来越多的企业和开发者投入到QUIC开发实现与部署中.阿里巴巴实现了XQUIC:B站.快手在2019年就公开了QUIC的应用实践:Akamai等CDN服务商则很早 ...
- RTMP之后,SRT与QUIC
RTMP协议存在累计延迟与加密方面的问题,为适应互联网视频低延时,高质量的要求,以UDP为核心,具有创造性的SRT,QUIC等流媒体视频方式将成为新的选择.本文来自NGCodec官方博客,由LiveV ...
- 让子弹飞,零成本让你的网站更快一点,boxopened http/3 (QUIC) 协议实战
最近HTTP-over-QUIC 协议被正式命名为 HTTP/3,协议带来的最大改变是协议底层将采用UDP协议,而不再是TCP协议,这样的好处吗,就是更低时延,更好的拥塞控制,更精确的RTT时间,更高 ...
- 还在死守TCP吗,来看看即将成为HTTP3.0标准协议的QUIC
文章目录 背景 为什么需要QUIC 为什么QUIC能撼动TCP的霸主地位 QUIC 缺点 展望未来 参考 背景 一段时间以来被称为 HTTP-over-QUIC 的协议现在已经改变了名称,将正式成为 ...
- QUIC 协议的简单分析
看到google 提交了http3 over QUIC 的标准化草案, 才发现2012年我在 UDP可靠传输那些事 https://blog.csdn.net/danscort2000/article ...
- UDP可靠性传输协议(QUIC)
目录 UDP与TCP对比 可靠性机制 ACK机制 重传机制 流控控制 序号机制 重排机制 窗口机制 UDP可靠性设计 UDP窗口流控 KCP(出于实时性考虑) QUIC 简述 优点 缺点 报文格式 建 ...
- 科普:QUIC协议原理分析
作者介绍:lancelot,腾讯资深研发工程师.目前主要负责腾讯 stgw(腾讯安全云网关)的相关工作,整体推进腾讯内部及腾讯公有云,混合云的七层负载均衡及全站 HTTPS 接入.对 HTTPS,SP ...
最新文章
- python流程控制-Python流程控制常用工具详解
- 浅谈C#中的异步编程
- C# 获取鼠标相对当前窗口坐标的方法
- 备份数据库的expdp语句_Oracle中利用expdp/impdp备份数据库的使用说明
- sql server数据库实现保留指定位数小数的函数
- 利用anaconda prompt打开jupyter notebook
- 谷歌虚拟服务器申请,【美国podserver.info】免费300M虚拟主机空间申请使用教程
- C/C++混淆点-逗号运算符
- 利用Python实现定时发送邮件,实现一款营销工具
- spss选择主要特征_SPSS统计作图教程:一维箱线图
- PCL 显示一只小白兔和Eigen矩阵
- 如何部署EDI系统?
- Hyperledge Fabric-身份与角色认证
- 改善睡眠的简单方法,几个小技巧不妨一试
- 如何启动一个ATX电源
- Ant [BOOK]
- 《索罗斯的行动智慧:人性如狗,要牵着走-雾满拦江》
- 第21课 微信小程序视频标签显示弹幕
- 知识图谱构建(入门)
- 泡泡一分钟:FMD Stereo SLAM: Fusing MVG and Direct Formulation Towards Accurate and Fast Stereo SLAM...