防火墙DPI技术原理.ppt

提 纲 网络面临严峻的安全考验 非法操作威胁设备稳定 黑客入侵、DDoS攻击威胁网络安全 蠕虫、病毒、垃圾邮件影响用户体验 非法流量严重影响网络安全 网络已经变得越来越不安全 更多的应用的威胁 P2P流量侵占正常业务带宽 P2P占据高带宽已成为带宽杀手。日常40%-60%，高峰70%-90% P2P资源占用大影响关键业务质量，侵占正常生产工作。 无法正常开展P2P业务，对P2P业务进行监控 QoS无法保证 互联网资源滥用对企业产生的负面影响 如何应对？防火墙+DPI 防火墙提供基本的安全防护 内部网络和外部网络进行有效隔离 不同部门不同应用需要不同的部署不同的安全策略 DPI提供应用层的安全防护 日益复杂的网络应用和攻击等不安全因素，需要对数据流进行更为深入的分析和识别 日益复杂的网络应用需要不同的流量和带宽控制技术，而传统的QOS并不能够满足需求，需要保证关键业务的带宽 必须引入有效的业务识别与控制方法，在应用层对流量进行分析，并进行控制 提 纲 网络安全防护 网络核心交换机部署安全模块，不改变网络原来部署基础上加强园区网安全 核心交换机部署安全插板保证内网流量互访安全 主动发现诸如DDoS攻击、病毒和木马等异常流量； 具备一定的网络流量控制能力，能够阻断一些异常流量； 使用DPI系统和防火墙设备联动来提升整个网络的安全级别，提供主动的入侵检测和安全防护功能。 园区网统一安全部署网络图 安全解决方案 防火墙技术 虚拟防火墙功能-策略、资源完全独立分配 功能灵活 部门隔离——根据不同的应用分配不同的虚拟防火墙 虚拟防火墙与VPN的关联，不同的VPN分配不同的虚拟防火墙 服实现访问用户与服务器之间的单向隔离，端口访问限制 防止病毒的传播 部署灵活 业务规划改变、部门调整 降低运维成本，简化网管复杂度 高性能 高可靠性 统一网管 传统防火墙的局限性 什么是DPI DPI 全称为“Deep Packet Inspection”，称为“深度包检测”，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。 所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4 以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。 DPI技术原理 特征识别技术 智能协议分析技术 会话状态分析技术 异常检测技术 特征字识别 端口号是可以隐藏的，但目前较难以隐藏应用层的协议特征。 特征识别：是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行对比，以判定数据传输的真实网络应用； 以熟知的BT为例，其Handshake的协议特征字为“BitTorrent Protocol”，如果IP包的数据区包含BT对等协议的特征“BitTorrent protocol”，那么可以标识这是一个BT 流； 智能协议分析技术 某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况下，我们就需要采用智能协议分析技术 先识别出控制流，并对其进行协议解析，从协议内容中识别出相应的业务流 如SIP/H323协议通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流，只有通过检测SIP/H323的协议交互，才能得到其完整的分析。 会话状态检测技术 会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上，对协议的状态和协议行为进行检测和分析，以识别会话的真实网络应用，准确率高。 行为分析技术 异常检测技术(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否发生异常行为，而不依赖于具体行为是否出现来检测； 对于网络上的攻击行为，并不是其数据报文本身具有特性，而是整个上网行为有特征； 通过异常检测技术，识别攻击、病毒和木马等异常流量。 DPI系统 用户行为分析 抑制未经许可的VoIP 抑制P2P 提 纲 集成在设备内的防火墙模块保证网络安全 灵活部署，可以不改变原网络架构 高性能多核架构，进行安全过滤的同时不影响网络性能 统一架构集成转发模块和多种安全模块， 扩展能力强 支持虚拟防火墙、NAT等安全功能 中兴89系列高端交换机内置防火墙模块 重要数据中心的网络安全 企业园区高安全访问 企业网络出口安全防护 园区无线访问的网络安全 基于多种图形界面的网管界面 集成在设备内的DPI模块保证网络安全 部署在企业网出口处和核心层的高端交换