1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

防火墙dpi技术原理课件.pptVIP

防火墙dpi技术原理课件.ppt

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    1

    2

    3

    提纲

    企业园区网平安应用场景

    网络面临严峻的平安考验

    非法操作威胁设备稳定

    黑客入侵、DDoS攻击威胁网络平安

    蠕虫、病毒、垃圾邮件影响用户体验

    非法流量严重影响网络平安

    网络已经变得越来越不平安

    恶意网页

    蠕虫病毒

    间谍软件

    垃圾邮件

    网页欺骗

    木马软件

    ……

    DMZ效劳器区

    效劳中端

    感染病毒

    网络滥用增多

    非法活动泛滥

    应用层威胁越来越难以防御,而且将成为以后威胁的主要来源

    1

    2

    网络滥用软件占用大量的带宽,浪费企业的网络资源、降低工作效率

    3

    非法网站

    暴力

    更多的应用的威胁

    P2P流量侵占正常业务带宽

    P2P占据高带宽已成为带宽杀手。日常40%-60%,顶峰70%-90%

    P2P资源占用大影响关键业务质量,侵占正常生产工作。

    无法正常开展P2P业务,对P2P业务进行监控

    BitTorrent

    eDonkey

    eMule

    SKYPE

    PPLive

    PPStream

    带宽杀手

    无法监控

    无法保质

    QoS无法保证

    无法细分网络中各种应用的流量

    关键业务的带宽无法保证

    QOS不能够满足需求

    网络大量拥塞

    P2P

    HTTP

    email

    Uncontrolled

    Bandwidth

    ???

    病毒,攻击

    网络大量拥塞

    VOIP

    垃圾邮件

    P2P

    P2P

    IP网络

    Internet

    互联网资源滥用对企业产生的负面影响

    带宽资源的滥用

    BT下载、听歌、看电影

    在线游戏

    ……

    生产力下降

    浏览与工作无关的网页

    使用即时通讯软件聊天

    听歌、看电影、玩游戏

    ……

    3

    提纲

    企业园区网平安应用场景

    2

    1

    网络平安防护

    正常用户

    园区网

    异常用户

    正常用户

    交换机+DPI

    交换机+FIREWALL

    园区网统一平安部署网络图

    骨干网

    Internet

    无线网

    对外效劳器机群

    DMZ区

    核心层

    会聚层

    接入层

    交换机集群

    IPTV机顶盒

    ZXR1089/69/59

    集中部署平安防范,内外网隔离防范攻击

    统一平安网管,平安联动

    桌面管理

    用户准入ZSA

    ZXR10T1200/89

    ZXSEC

    ZXR1028/29/51

    功能子网

    交换机自身平安—各种攻击防护

    平安解决方案

    网络层次

    安全解决方案

    应用场景:园区网、数据中心

    设备可串接、可并行

    核心层

    安全插板

    (核心交换机)

    89+M1-FW

    89+M1-DPI

    独立安全设备

    (核心交换机和

    出口路由器之间部署)

    ZXSEC-US

    安全插板+

    独立安全设备

    内网安全

    内外隔离

    易扩展

    内外隔离

    内外隔离

    内网安全

    汇聚层

    安全插板

    (汇聚交换机)

    内网安全分布部署,减轻核心安全设备压力

    89+M1-FW/M1-DPI

    2

    企业园区网平安解决方案

    提纲

    易扩展

    多核架构

    高背板带宽

    HA

    负载均衡

    Web/snmp/console

    统一网管

    NAT

    防攻击

    VPN

    防病毒

    高性能

    正常用户

    园区网

    异常用户

    正常用户

    高可靠性

    HA进行冗余备份

    负载均衡:支持轮询、加权轮叫、最少连接、加权最少链接等多种效劳器负载均衡方式

    两个核心设备之间形成HA

    同一设备的两块单板模块也可以实现HA——主备冗余/负载均衡

    HA心跳线

    统一网管

    2

    企业园区网平安解决方案

    提纲

    FourscoreandBADCONTENTourforefathersbrou

    ghtforthuponthiscontinentanewnation,

    nliberty,anddedicatedtothepropositionthatall

    包头

    (源,目的,数据类型等)

    包负载(内容)

    数据包

    OK

    OK

    OK

    不扫描

    OK

    只检查包头–就好似只检查信封,而不看信里的内容

    什么是DPI

    传统网络设备基于五元组:源、目标地址,协议类型,源、目的端口号

    DPI提供七层业务层的报文深入分析,是业务层平安和控制的重要手段

    特征字识别

    端口号是可以隐藏的,但目前较难以隐藏应用层的协议特征。

    特征识别:是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行比照,以判定数据传输的真实网络应用;

    以熟知的BT为例,其Handshake的协议特征字为“BitTorrentProtocol〞,如果IP包的数据区包含BT对等协议的特征“BitTorrentprotocol〞,那么可以标识这是一个BT流;

    BT客户端

    端口范围

    贪婪ABC

    可以手工设置

    BitComet

    没有公开

    BitTorrentPlus

    可以手工设置

    BitTorrent

    6881~6889

    比特精灵B

    您可能关注的文档

    最近下载

    文档评论(0)

    ranfand + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >