01-DPI深度安全概述
本章节下载: 01-DPI深度安全概述 (203.08 KB)
目 录
DPI(Deep Packet Inspection,深度报文检测)深度安全是一种基于应用层信息对经过设备的网络流量进行检测和控制的安全机制。在日益复杂的网络安全威胁中,很多恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。传统安全防护技术仅仅依靠网络层和传输层的安全检测技术已经无法满足网络安全要求。因此,设备必须具备DPI功能,实现对网络应用层信息的检测和控制,以保证数据内容的安全,提高网络的安全性。
DPI深度安全提供如下功能:
· 业务识别
应用层检测引擎模块对报文传输层以上的内容进行分析,并与设备中的特征字符串进行匹配来识别业务流的类型。应用层检测引擎是实现DPI深度安全功能的核心和基础。业务识别的结果可为DPI各业务模块对报文的处理提供判断依据。
· 业务控制
业务识别之后,设备根据各DPI业务模块的策略以及规则配置,实现对业务流量的灵活控制。目前,设备支持的控制方法主要包括:放行、丢弃、源阻断、重置、捕获和生成日志。
· 业务统计
业务统计是指对业务流量的类型、协议解析的结果、特征报文的检测和处理结果等进行统计。业务统计的结果可以直观体现业务流量分布和用户的各种业务使用情况,便于更好的发现促进业务发展和影响网络正常运行的因素,为网络和业务优化提供依据。
DPI深度安全功能的业务识别是对报文进行特征字符串匹配,所以设备中必须拥有业务识别所需要的特征项。DPI特征库就是这些公共的、通用的特征项的集合,可被打包到标准的特征库文件中供设备加载。通常情况下,管理员只需要定期加载最新的特征库文件到设备上即可及时更新本地的特征项。除此之外,管理员还可以根据实际网络需求按照设备支持的语法,自定义特征,作为特殊网络环境下的补充。
有关设备支持的DPI业务介绍,请参见表1-1。
表1-1 DPI业务详细介绍
DPI业务 |
功能 |
IPS |
IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的 |
NBAR |
NBAR功能通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议,有关NBAR功能的详细介绍请参见“DPI深度安全配置指导”中的“APR” |
DPI深度安全功能基于安全策略实现。
当符合安全策略过滤条件的报文经过设备时,DPI深度安全处理流程如图1-1所示。
图1-1 DPI深度安全处理流程图
DPI深度安全处理流程具体如下:
(1) 报文将与安全策略规则进行匹配。安全策略规则中定义了用来进行报文匹配的源IP地址、目的IP地址和服务类型等过滤条件,仅当报文与所有过滤条件都匹配时才认为成功匹配安全策略规则。有关安全策略规则的详细介绍,请参见“安全配置指导”中的“安全策略”。
(2) 如果报文未与任何一条安全策略规则匹配成功,则此报文将会被丢弃。
(3) 如果报文成功匹配安全策略规则,设备将执行此规则中指定的动作。
¡ 如果动作为“丢弃”,则设备将阻断此报文;
¡ 如果动作为“允许”,且引用的DPI业务存在,则设备将对此报文进行DPI业务的一体化检测。
¡ 如果动作为“允许”,且引用的DPI业务不存在,则设备将允许此报文通过。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
产品代码 |
说明 |
WX3500X系列 |
· WX3510X · WX3520X · WX3540X |
· EWP-WX3510X · EWP-WX3520X · EWP-WX3540X |
支持 |
WX3500X-E系列 |
WX3508X-E |
EWP-WX3508X-E |
支持 |
WCG380系列 |
WCG382 |
EWP-WCG382 |
不支持 |
产品系列 |
产品型号 |
产品代码 |
说明 |
WX3800X系列 |
· WX3820X · WX3840X |
· EWP-WX3820X · EWP-WX3840X |
支持 |
DPI深度安全是一种综合的安全机制,是多种安全业务功能的系统组合,有关DPI深度安全的常规配置流程如图1-2所示。
图1-2 DPI深度安全配置指导图
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!