防火墙DPI技术原理.ppt

防火墙DPI技术原理.ppt

《防火墙DPI技术原理.ppt》由会员分享，可在线阅读，更多相关《防火墙DPI技术原理.ppt（35页珍藏版）》请在冰豆网上搜索。

1高端交换机内置防火墙高端交换机内置防火墙/DPI模块介绍模块介绍23提提纲纲企业园区网安全解决方案企业园区网安全解决方案防火墙技术防火墙技术DPI技术技术企业园区网安全应用场景企业园区网安全应用场景秘密网络面临严峻的安全考验网络面临严峻的安全考验p非法操作威胁设备稳定p黑客入侵、DDoS攻击威胁网络安全p蠕虫、病毒、垃圾邮件影响用户体验垃圾垃圾垃圾垃圾邮邮件件件件蠕虫病毒蠕虫病毒蠕虫病毒蠕虫病毒DDoSDDoS攻攻攻攻击击黑客入侵黑客入侵黑客入侵黑客入侵IP网络Internet秘密非法流量严重影响网络安全非法流量严重影响网络安全n网络已经变得越来越不安全网络已经变得越来越不安全恶意网页蠕虫病毒间谍软件垃圾邮件网页欺骗木马软件DMZ服服务器区器区服务中端信息侵犯感染病毒InternetInternet秘密网络滥用增多非法活动泛滥应用层威胁越来越难以防御，而且将成为以后威胁的主要来源1通过网络进行传播色情、暴力以及非法的信息对企业网络存在很大的法律风险2网络滥用软件占用大量的带宽，浪费企业的网络资源、降低工作效率3非法网站色情暴力更多的应用的威胁更多的应用的威胁秘密P2P流量侵占正常业务带宽流量侵占正常业务带宽nP2P占据高带宽已成占据高带宽已成为带宽杀手。

为带宽杀手。

日常40%-60%，高峰70%-90%nP2P资源占用大影响资源占用大影响关键业务质量，侵占关键业务质量，侵占正常生产工作。

正常生产工作。

n无法正常开展无法正常开展P2P业业务，对务，对P2P业务进行业务进行监控监控P2PP2P文件共享文件共享P2PP2P视频视频P2PP2P语音语音BitTorrentBitTorrenteDonkeyeDonkeyeMuleeMuleSKYPESKYPEPPLivePPLivePPStreamPPStream带宽杀手带宽杀手带宽杀手带宽杀手无法监控无法监控无法监控无法监控无法保质无法保质无法保质无法保质秘密QoS无法保证无法保证无法细分网络中各种应用的流量无法细分网络中各种应用的流量关键业务的带宽无法保证关键业务的带宽无法保证QOSQOS不能够满足需求不能够满足需求网络大量拥塞网络大量拥塞P2PHTTPemailUncontrolledBandwidth?

病毒，攻病毒，攻病毒，攻病毒，攻击击网络大量拥塞网络大量拥塞VOIPVOIP垃圾垃圾垃圾垃圾邮邮件件件件P2PP2PP2PP2PIP网络Internet秘密互联网资源滥用对企业产生的负面影响互联网资源滥用对企业产生的负面影响n带宽资源的滥用BT下载、听歌、看电影在线游戏n组织内部机密泄漏通过邮件泄密即时通讯（透露机密）网页上传，博客等n生产力下降浏览与工作无关的网页使用即时通讯软件聊天听歌、看电影、玩游戏n法律风险发表反动言论危害国家安全机密信息泄漏秘密如何应对？

防火墙如何应对？

防火墙+DPIn防火墙提供基本的安全防护p内部网络和外部网络进行有效隔离p不同部门不同应用需要不同的部署不同的安全策略nDPI提供应用层的安全防护p日益复杂的网络应用和攻击等不安全因素，需要对数据流进行更为深入的分析和识别p日益复杂的网络应用需要不同的流量和带宽控制技术，而传统的QOS并不能够满足需求，需要保证关键业务的带宽p必须引入有效的业务识别与控制方法，在应用层对流量进行分析，并进行控制高端交换机内置防火墙高端交换机内置防火墙/DPI模块介绍模块介绍3提提纲纲企业园区网安全解决方案企业园区网安全解决方案防火墙技术防火墙技术DPI技术技术企业园区网安全应用场景企业园区网安全应用场景21秘密网络安全防护网络安全防护n网络核心交换机部署安全模块，不改变网络原来部署基础上加强园区网安全n核心交换机部署安全插板保证内网流量互访安全n主动发现诸如DDoS攻击、病毒和木马等异常流量；n具备一定的网络流量控制能力，能够阻断一些异常流量；n使用DPI系统和防火墙设备联动来提升整个网络的安全级别，提供主动的入侵检测和安全防护功能。

正常用户正常用户园区网园区网异常用户异常用户正常用户正常用户交换机交换机DPIDPI服务器群服务器群网管平台网管平台安全管理平台安全管理平台Internet交换机交换机FIREWALLFIREWALL秘密园区网统一安全部署网络图园区网统一安全部署网络图骨干网骨干网Internet无线网对外服务器机群DMZ区核心层核心层汇聚层汇聚层接入层接入层交换机集群交换机集群IPTV机顶盒ZXR1089/69/59集中部署安全防范，内外网隔离防范攻击统一安全网管，安全联动桌面管理用户准入ZSA内置DPI/防火墙，基于应用的分布安全防护ZXR10T1200/89ZXSECZXR1028/29/51功能子网交换机自身安全各种攻击防护秘密安全解决方案安全解决方案网络层次安全解决方案安全解决方案应用场景：

园区网、数据中心设备可串接、可并行核心层安全插板（核心交换机）89+M1-FW89+M1-FW89+M1-DPI89+M1-DPI独立安全设备（核心交换机和出口路由器之间部署）ZXSEC-USZXSEC-US安全插板+独立安全设备a.内网安全b.内外隔离c.易扩展a.内外隔离a.内外隔离b.内网安全汇聚层安全插板（汇聚交换机）内网安全分布部署，减轻核心安全设备压力89+M1-FW/M1-DPI89+M1-FW/M1-DPI2企业园区网安全解决方案企业园区网安全解决方案提提纲纲防火墙技术防火墙技术DPI技术技术秘密防火墙技术防火墙技术防火墙技术防火墙技术易易扩展展多功能多功能p多核架构多核架构p高背板带宽高背板带宽易管理易管理高性能高性能可靠性可靠性p虚拟防火墙虚拟防火墙pHAp负载均衡负载均衡pWeb/snmp/consolep统一网管统一网管pNATp防攻击防攻击pVPNp防病毒防病毒秘密虚拟防火墙功能虚拟防火墙功能-策略、资源完全独立分配策略、资源完全独立分配n功能灵活l部门隔离根据不同的应用分配不同的虚拟防火墙l虚拟防火墙与VPN的关联，不同的VPN分配不同的虚拟防火墙l服实现访问用户与服务器之间的单向隔离，端口访问限制l防止病毒的传播n部署灵活l业务规划改变、部门调整l降低运维成本，简化网管复杂度虚拟防火墙虚拟防火墙秘密高性能高性能正常用户正常用户园区网园区网异常用户异常用户正常用户正常用户服务器群服务器群网管平台网管平台安全管理平台安全管理平台Internet交换机交换机NN块防火墙模块块防火墙模块n内外网隔离：

防火墙模块串接，性能要求不低于出口带宽n内网防护：

通过多个防火墙模块扩展带宽n多核架构，单模块性能强，最小带宽不低于5Gn多模块，整体能够达到N单板性能秘密高可靠性高可靠性正常用户正常用户园区网园区网异常用户异常用户正常用户正常用户服务器群服务器群网管平台网管平台安全管理平台安全管理平台InternetnHA进行冗余备份n负载均衡：

支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式n两个核心设备之间形成HAn同一设备的两块单板模块也可以实现HA主备冗余/负载均衡HAHA心跳线心跳线秘密统一网管统一网管正常用户正常用户园区网园区网异常用户异常用户正常用户正常用户服务器群服务器群网管平台网管平台安全管理平台安全管理平台Internet交换机交换机FIREWALLFIREWALL阻断阻断线速线速低优先级低优先级n通过防火墙与网管中心即接入设备进行联动n支持WEB/console/telnet等多种管理方式2企业园区网安全解决方案企业园区网安全解决方案提提纲纲防火墙技术防火墙技术DPI技术技术秘密http:

/FourscoreandBADCONTENTourforefathersbroughtforthuponthiscontinentanewnation,nliberty,anddedicatedtothepropositionthatall包头（源,目的,数据类型等）包负载（内容）数据包OKOKOK不扫描OK状态检测防火墙只只检查包包头就好像只就好像只检查信封，而不看信里的内容信封，而不看信里的内容传统防火墙弱点如下：

传统防火墙弱点如下：

n没有深度包检测来发现恶意代码n每包的转发方式，不能进行包重组n恶意程序可以通过信任端口建立隧道穿过去n传统的部署方法仅仅是网络边缘，不能防御内部攻击传统防火墙的局限性传统防火墙的局限性秘密什么是什么是DPInDPI全称为“DeepPacketInspection”，称为“深度包检测”，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。

n所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。

协议源地址目的地址源端口目的端口数据/语音/视频/病毒/攻击四层及以下的感知应用层感知IPIP载荷载荷包头包头p传统网络设备基于五元组：

源、目标地址，协议类型，源、目的端口号传统网络设备基于五元组：

源、目标地址，协议类型，源、目的端口号pDPI提供七层业务层的报文深入分析，是业务层安全和控制的重要手段提供七层业务层的报文深入分析，是业务层安全和控制的重要手段秘密DPI技术原理技术原理n特征识别技术n智能协议分析技术n会话状态分析技术n异常检测技术秘密特征字识别特征字识别n端口号是可以隐藏的，但目前较难以隐藏应用层的协议特征。

n特征识别：

是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行对比，以判定数据传输的真实网络应用；n以熟知的BT为例，其Handshake的协议特征字为“BitTorrentProtocol”，如果IP包的数据区包含BT对等协议的特征“BitTorrentprotocol”，那么可以标识这是一个BT流；BT客户端端口范围贪婪贪婪ABC可以手工设置BitComet没有公开BitTorrentPlus可以手工设置BitTorrent68816889比特精灵比特精灵BitSpirit16881端口检测特征字检测秘密智能协议分析技术智能协议分析技术n某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况下，我们就需要采用智能协议分析技术n先识别出控制流，并对其进行协议解析，从协议内容中识别出相应的业务流n如SIP/H323协议通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流，只有通过检测SIP/H323的协议交互，才能得到其完整的分析。

秘密会话状态检测技术会话状态检测技术n会话检测技术：

按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上，对协议的状态和协议行为进行检测和分析，以识别会话的真实网络应用，准确率高。

ID轨迹检测HTTP包头检测连接数检测秘密行为分析技术行为分析技术n异常检测技术（AnomalyDetection）：

指根据使用者的行为或资源使用状况来判断是否发生异常行为，而不依赖于具体行为是否出现来检测；n对于网络上的攻击行为，并不是其数据报文本身具有特性，而是整个上网行为有特征；n通过异常检测技术，识别攻击、病毒和木马等异常流量。

TCPflagTCPflag值值固定固定ACKACK值值固定固定目的端口目的端口随机随机源端口源端口随机随机IPIP包长度包长度固定固定TCPTCPTCPTCPTCPTCP攻击模式攻击模式攻击模式攻击模式攻击模式攻击模式秘密DPI系统系统分析分析分析分析控制控制控制控制精细管理精细管理精细管理精细管理DPIDPIDPIDPI系统系统系统系统业务识别和检测业务控制报表和统计策略和业