防火墙DPI技术原理

,1,高端交换机内置防火墙/DPI模块介绍,2,3,提 纲,企业园区网安全解决方案防火墙技术DPI技术,企业园区网安全应用场景,网络面临严峻的安全考验,非法操作威胁设备稳定黑客入侵、DDoS攻击威胁网络安全蠕虫、病毒、垃圾邮件影响用户体验,非法流量严重影响网络安全,网络已经变得越来越不安全,恶意网页 蠕虫病毒 间谍软件 垃圾邮件 网页欺骗 木马软件 ,DMZ服务器区,服务中端,信息侵犯,感染病毒,Internet,网络滥用增多,非法活动泛滥,应用层威胁越来越难以防御，而且将成为以后威胁的主要来源,1,通过网络进行传播色情、暴力以及非法的信息对企业网络存在很大的法律风险,2,网络滥用软件占用大量的带宽，浪费企业的网络资源、降低工作效率,3,非法网站,色情,暴力,Internet,更多的应用的威胁,P2P流量侵占正常业务带宽,P2P占据高带宽已成为带宽杀手。日常40%-60%，高峰70%-90%P2P资源占用大影响关键业务质量，侵占正常生产工作。无法正常开展P2P业务，对P2P业务进行监控,BitTorrenteDonkeyeMule,SKYPE,PPLivePPStream,带宽杀手,无法监控,无法保质,QoS无法保证,无法细分网络中各种应用的流量关键业务的带宽无法保证QOS不能够满足需求网络大量拥塞,P2P,HTTP,email,UncontrolledBandwidth,?,病毒，攻击,网络大量拥塞,VOIP,垃圾邮件,P2P,P2P,IP网络,Internet,互联网资源滥用对企业产生的负面影响,Internet,带宽资源的滥用 BT下载、听歌、看电影 在线游戏,组织内部机密泄漏 通过邮件泄密 即时通讯（透露机密） 网页上传，博客等,生产力下降 浏览与工作无关的网页 使用即时通讯软件聊天 听歌、看电影、玩游戏,法律风险 发表反动言论 危害国家安全 机密信息泄漏,如何应对？防火墙+DPI,防火墙提供基本的安全防护内部网络和外部网络进行有效隔离不同部门不同应用需要不同的部署不同的安全策略DPI提供应用层的安全防护日益复杂的网络应用和攻击等不安全因素，需要对数据流进行更为深入的分析和识别日益复杂的网络应用需要不同的流量和带宽控制技术，而传统的QOS并不能够满足需求，需要保证关键业务的带宽必须引入有效的业务识别与控制方法，在应用层对流量进行分析，并进行控制,高端交换机内置防火墙/DPI模块介绍,3,提 纲,企业园区网安全解决方案防火墙技术DPI技术,企业园区网安全应用场景,2,1,网络安全防护,网络核心交换机部署安全模块，不改变网络原来部署基础上加强园区网安全核心交换机部署安全插板保证内网流量互访安全主动发现诸如DDoS攻击、病毒和木马等异常流量；具备一定的网络流量控制能力，能够阻断一些异常流量；使用DPI系统和防火墙设备联动来提升整个网络的安全级别，提供主动的入侵检测和安全防护功能。,正常用户,园区网,异常用户,正常用户,交换机DPI,Internet,交换机FIREWALL,园区网统一安全部署网络图,骨干网,Internet,无线网,对外服务器机群,DMZ区,核心层,汇聚层,接入层,交换机集群,IPTV机顶盒,ZXR10 89/69/59,集中部署安全防范，内外网隔离防范攻击,统一安全网管，安全联动,桌面管理用户准入ZSA,内置DPI/防火墙，基于应用的分布安全防护,ZXR10 T1200/89,ZXSEC,ZXR10 28/29/51,功能子网,交换机自身安全 各种攻击防护,安全解决方案,2,企业园区网安全解决方案,提 纲,防火墙技术,DPI技术,防火墙技术,易扩展,多功能,多核架构 高背板带宽,易管理,高性能,可靠性,虚拟防火墙,HA 负载均衡,Web/snmp/console统一网管,NAT防攻击VPN防病毒,虚拟防火墙功能-策略、资源完全独立分配,功能灵活部门隔离根据不同的应用分配不同的虚拟防火墙虚拟防火墙与VPN的关联，不同的VPN分配不同的虚拟防火墙服实现访问用户与服务器之间的单向隔离，端口访问限制防止病毒的传播部署灵活业务规划改变、部门调整降低运维成本，简化网管复杂度,高性能,正常用户,园区网,异常用户,正常用户,Internet,交换机N块防火墙模块,内外网隔离：防火墙模块串接，性能要求不低于出口带宽内网防护：通过多个防火墙模块扩展带宽多核架构，单模块性能强，最小带宽不低于5G多模块，整体能够达到N单板性能,高可靠性,HA进行冗余备份负载均衡：支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式两个核心设备之间形成HA同一设备的两块单板模块也可以实现 HA主备冗余/负载均衡,HA心跳线,统一网管,通过防火墙与网管中心即接入设备进行联动支持WEB/console/telnet等多种管理方式,2,企业园区网安全解决方案,提 纲,防火墙技术,DPI技术,/downloads/Gettysburg,Four score and BAD CONTENT our forefathers brou,ght forth upon this continent a new nation,n liberty, and dedicated to the proposition that all,包头(源, 目的, 数据类型等),包负载 (内容),数据包,OK,OK,OK,不扫描,OK,状态检测防火墙,只检查包头 就好像只检查信封，而不看信里的内容,传统防火墙弱点如下：没有深度包检测来发现恶意代码每包的转发方式，不能进行包重组恶意程序可以通过信任端口建立隧道穿过去传统的部署方法仅仅是网络边缘，不能防御内部攻击,传统防火墙的局限性,什么是DPI,DPI 全称为“Deep Packet Inspection”，称为“深度包检测”，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4 以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。,传统网络设备基于五元组：源、目标地址，协议类型，源、目的端口号 DPI提供七层业务层的报文深入分析，是业务层安全和控制的重要手段,DPI技术原理,特征识别技术智能协议分析技术会话状态分析技术异常检测技术,特征字识别,端口号是可以隐藏的，但目前较难以隐藏应用层的协议特征。 特征识别：是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行对比，以判定数据传输的真实网络应用；以熟知的BT为例，其Handshake的协议特征字为“BitTorrent Protocol”，如果IP包的数据区包含BT对等协议的特征“BitTorrent protocol”，那么可以标识这是一个BT 流；,端口检测,特征字检测,智能协议分析技术,某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况下，我们就需要采用智能协议分析技术先识别出控制流，并对其进行协议解析，从协议内容中识别出相应的业务流如SIP/H323协议通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流，只有通过检测SIP/H323的协议交互，才能得到其完整的分析。,会话状态检测技术,会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上，对协议的状态和协议行为进行检测和分析，以识别会话的真实网络应用，准确率高。,ID轨迹检测,HTTP包头检测,连接数检测,统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户,行为分析技术,异常检测技术(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否发生异常行为，而不依赖于具体行为是否出现来检测；对于网络上的攻击行为，并不是其数据报文本身具有特性，而是整个上网行为有特征；通过异常检测技术，识别攻击、病毒和木马等异常流量。,TCP攻击模式,DPI系统,分析控制精细管理,业务识别和检测,业务控制,报表和统计,策略和业务管理,用户识别端口识别应用协议识别特征字识别内容识别异常检测,转发丢弃限速流量整形带宽预留重定义优先级重定向层次化QoS,收集流量信息用户行为分析业务流量分析各种统计报表趋势和分布,业务特征定义特征升级服务定制策略管理系统维护,用户行为分析,通过后台分析系统的数据挖掘，能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的个性化特征信息。通过对用户的个性化信息的统计，能够及时和准确的调整业务运营方式、业务运营内容、或者发现新的业务增长点等。,流量行为分析,报文监控,抑制未经许可的VoIP,园区网,Internet,交换机DPI,电话网关,发送控制包,正常情况下的通话,加噪音控制的通话,中断连接增加噪音分时控制,检测承载在UDP之上的媒体流RTP连接数判断是否为企业的VoIP网关检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话通过部署DPI系统对对VoIP用户的信令流量和媒体流量进行关联检测，对VoIP流量进行分类统计分析，如果判断出该用户为未经许可用户，可对VoIP流量进行管理，抑制未经许可的VoIP业务,控制,抑制P2P,园区网,Internet,交换机DPI,P2P用户,P2P用户,P2P用户,P2P用户,对P2P流量进行限制，在不影响用户使用的情况下，减少P2P对带宽的消耗采用分级服务，对不同的客户群采用不同的P2P控制策略，发挥P2P业务的优势,P2P Traffic after DPI,阻断限速低优先级,阻断线速低优先级,高端交换机内置防火墙/DPI模块介绍,3,提 纲,企业园区网安全解决方案防火墙技术DPI技术,企业园区网安全应用场景,1,2,集成在设备内的防火墙模块保证网络安全,灵活部署，可以不改变原网络架构高性能多核架构，进行安全过滤的同时不影响网络性能统一架构集成转发模块和多种安全模块， 扩展能力强支持虚拟防火墙、NAT等安全功能中兴89系列高端交换机内置防火墙模块重要数据中心的网络安全企业园区高安全访问企业网络出口安全防护园区无线访问的网络安全基于多种图形界面的网管界面,融合了防火墙的网络设备融合了安全的网络,集成在设备内的DPI模块保证网络安全,部署在企业网出口处和核心层的高端交换机集成了DPI模块的，完成业务识别和控制功能中兴DPI基于流检测方式，例如