防火墙DPI技术原理

P2P
IP网络
网络大量拥塞
病毒，攻击
P2P
无法细分网络中各种应用的流量 关键业务的带宽无法保证 QOS不能够满足需求 网络大量拥塞
垃圾邮件
VOIP
秘密▲
互联网资源滥用对企业产生的负面影响

•
带宽资源的滥用

•
生产力下降
BT下载、听歌、看电影 • 在线游戏 ……
浏览与工作无关的网页 • 使用即时通讯软件聊天Байду номын сангаас• 听歌、看电影、玩游戏 ……
正常情况下的通话
加噪音控制的通话
秘密▲
抑制P2P
业务 控制 DPI系统
报表和 统计
策略和 业务管 理
分析→控制→精细管理
秘密▲
用户行为分析
ISAM 网管平台 安全管理平台 服务器 群
Internet
流量信 息 „„
交换机＋DPI
报文监控
园区网
流量行为分析

正常用户
正常用户
异常用户

通过后台分析系统的数据挖掘，能够获得包 括用户业务流量类型、用户平均上网时间、 用户主要在线时段、用户兴趣等在内的个性 化特征信息。 通过对用户的个性化信息的统计，能够及时 和准确的调整业务运营方式、业务运营内容、 或者发现新的业务增长点等。
提 纲
1 2
企业园区网安全应用场景
企业园区网安全解决方案 ——防火墙技术 ——DPI技术 高端交换机内置防火墙/DPI模块介绍
3
秘密▲
网络面临严峻的安全考验
Internet 黑客入侵
IP网络
垃圾邮件
蠕虫病毒
DDoS攻击
非法操作威 胁设备稳定 黑客入侵、 DDoS攻击 威胁网络安 全 蠕虫、病毒、 垃圾邮件影 响用户体验

OK OK OK OK
包头 (源, 目的, 数据类型等)
包负载 (内容)
不扫描
传统防火墙弱点如下： 没有深度包检测来发现恶意代码 每包的转发方式，不能进行包重组 恶意程序可以通过信任端口建立隧道穿过去 传统的部署方法仅仅是网络边缘，不能防御内部攻击
秘密▲
什么是DPI
传统网络设备基于五元组：源、目标地址，协议类型，源、目的端口号 DPI提供七层业务层的报文深入分析，是业务层安全和控制的重要手段 包头
秘密▲
智能协议分析技术
某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况 下，我们就需要采用智能协议分析技术 先识别出控制流，并对其进行协议解析，从协议内容中识别出相应的业 务流 如SIP/H323协议通过信令交互过程，协商得到其数据通道，一般是RTP 格式封装的语音流，只有通过检测SIP/H323的协议交互，才能得到其完 整的分析。

秘密▲
会话状态检测技术
ID轨迹检测
HTTP包头检测
连接数检测
☉统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户
会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连 续的会话流，在此基础上，对协议的状态和协议行为进行检测和分 析，以识别会话的真实网络应用，准确率高。
秘密▲
16881
特征字检测

端口号是可以隐藏的， 但目前较难以隐藏应 用层的协议特征。 特征识别：是指检测 引擎将数据包载荷中 的数据与预先定义的 应用层协议特征进行 对比，以判定数据传 输的真实网络应用； 以熟知的BT为例，其 Handshake的协议特 征字为“BitTorrent Protocol”，如果IP包 的数据区包含BT对等 协议的特征 “BitTorrent protocol”， 那么可以标识这是一 个BT 流；
2
通过网络进行传播色情、暴力以及非法的信息对企业网络存在很大的法律风险
3
网络滥用软件占用大量的带宽，浪费企业的网络资源、降低工作效率
秘密▲
P2P流量侵占正常业务带宽

P2P文件共享
P2P占据高带宽已成
为带宽杀手。日常 40%-60%，高峰
BitTorrent eDonkey eMule
带宽杀手
70%-90%
防火墙技术 DPI技术
秘密▲
传统防火墙的局限性
状态检测防火墙
只检查包头 – 就好像只检查 信封，而不看信里的内容 数据包
http://www.freesurf.com/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all
IP载荷
数据/语音/视频/病毒/攻击……
协议
源地址 目的地址 源端口 目的端口
四层及以下的感知
应用层感知


DPI 全称为“Deep Packet Inspection”，称为“深度包检测”，是以业务流的连接 为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为 的分析，以达到应用层网络协议识别为目的的技术。 所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP 包的层4 以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型， 而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层 （数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度 和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。
秘密▲
高性能
ISAM 网管平台 安全管理平台 服务器群
Internet
交换机＋ N块防火墙模块
园区网
正常用户
正常用户
异常用户
内外网隔离：防 火墙模块串接， 性能要求不低于 出口带宽 内网防护：通过 多个防火墙模块 扩展带宽 多核架构，单模 块性能强，最小 带宽不低于5G 多模块，整体能 够达到N×单板性 能
秘密▲
抑制未经许可的VoIP
ISAM 网管平台 安全管理平台 服务器群

Internet

中断连接 增加噪音 分时控制
交换机＋DPI

园区网
发送控制包
控制
电话网关
检测承载在UDP之上的 媒体流RTP连接数判断 是否为企业的VoIP网关 检测VOIP呼叫建立和拆 卸所使用的信令协议能 判断出是否有非法的 VoIP通话 通过部署DPI系统对对 VoIP用户的信令流量和 媒体流量进行关联检测， 对VoIP流量进行分类统 计分析，如果判断出该 用户为未经许可用户， 可对VoIP流量进行管理， 抑制未经许可的VoIP业 务
正常用户
异常用户
秘密▲
统一网管
ISAM 网管平台
安全管理平台 服务器群
Internet •阻断 •线速 •低优先级
交换机＋FIREWALL
园区网


通过防火墙与网管中 心即接入设备进行联 动 支持 WEB/console/telnet 等多种管理方式
正常用户
正常用户
异常用户
提 纲
2
企业园区网安全解决方案
功能子网
汇聚层
桌面管理 用户准入ZSA
交换机集群
无线网
ZXR10 28/29/51
接入层
IPTV机顶盒
秘密▲
安全解决方案
安全解决方案 网络层次
① ②
应用场景：园区网、数据中心 设备可串接、可并行
安全插板
（核心交换机）
89+M1-FW 89+M1-DPI
独立安全设备
（核心交换机和 出口路由器之间 部署）
秘密▲
DPI系统
用户识别 端口识别 应用协议识别 特征字识别 内容识别 异常检测 „„
转发 丢弃 限速 流量整形 带宽预留 重定义优先级 重定向 层次化QoS „„
收集流量信息 用户行为分析 业务流量分析 各种统计报表 趋势和分布 „„
业务特征定义 特征升级 服务定制 策略管理 系统维护 „„
业务识 别和检 测

P2P视频
P2P资源占用大影响 关键业务质量，侵占 正常生产工作。
PPLive PPStream
无法保质

P2P语音
无法正常开展P2P业 务，对P2P业务进行 监控
SKYPE
无法监控
秘密▲
QoS无法保证
Internet
Uncontrolled Bandwidth
P2P HTTP email ???
秘密▲
DPI技术原理
特征识别技术 智能协议分析技术 会话状态分析技术 异常检测技术

秘密▲
特征字识别
端口检测
BT客户端 贪婪ABC BitComet BitTorrent Plus BitTorrent 端口范围 可以手工设置 没有公开 可以手工设置 6881～6889


比特精灵Bit Spirit

•
组织内部机密泄漏

•
法律风险
通过邮件泄密 • 即时通讯（透露机密） • 网页上传，博客等 ……
发表反动言论 • 危害国家安全 • 机密信息泄漏 ……
秘密▲
如何应对？防火墙+DPI

防火墙提供基本的安全防护

内部网络和外部网络进行有效隔离 不同部门不同应用需要不同的部署不同的安全策略 日益复杂的网络应用和攻击等不安全因素，需要对数据 流进行更为深入的分析和识别 日益复杂的网络应用需要不同的流量和带宽控制技术， 而传统的QOS并不能够满足需求，需要保证关键业务 的带宽 必须引入有效的业务识别与控制方法，在应用层对流量 进行分析，并进行控制
行为分析技术

ACK值 固定
TCP flag值 固定
目的端口 随机

TCP攻击模式
源端口 IP包长度 固定 随机

异常检测技术(Anomaly Detection)：指根据使用 者的行为或资源使用状况 来判断是否发生异常行为， 而不依赖于具体行为是否 出现来检测； 对于网络上的攻击行为， 并不是其数据报文本身具 有特性，而是整个上网行 为有特征； 通过异常检测技术，识别 攻击、病毒和木马等异常 流量。
易扩展
虚拟防火墙
多功能
NAT 防攻击 VPN 防病毒
高性能
多核架构 高背板带宽
防火墙技术
易管理
Web/snmp/console 统一网管
可靠性
HA 负载均衡
秘密▲
虚拟防火墙功能-策略、资源完全独立分配
虚拟防火墙


功能灵活 部门隔离——根据不同的应用分配不同的虚拟防火墙 虚拟防火墙与VPN的关联，不同的VPN分配不同的虚拟防 火墙 服实现访问用户与服务器之间的单向隔离，端口访问限制 防止病毒的传播 部署灵活 业务规划改变、部门调整 降低运维成本，简化网管复杂度
ZXSEC-US
a.
安全插板+ 独立安全设备
核心层
内网安全 b. 内外隔离 c. 易扩展
a.
内外隔离
内外隔离 b. 内网安全
a.
安全插板
汇聚层
（汇聚交换机） 内网安全分布部署，减轻核心安全设备压力 89+M1-FW/M1-DPI
提 纲
2
企业园区网安全解决方案
防火墙技术 DPI技术
秘密▲
防火墙技术

DPI提供应用层的安全防护



提 纲
1 2
企业园区网安全应用场景
企业园区网安全解决方案 ——防火墙技术 ——DPI技术 高端交换机内置防火墙/DPI模块介绍
3
秘密▲
网络安全防护
ISAM 网管平台 安全管理平台 服务器群

Internet

交换机＋FIREWALL 交换机＋DPI

园区网


网络核心交换机部署安 全模块，不改变网络原 来部署基础上加强园区 网安全 核心交换机部署安全插 板保证内网流量互访安 全 主动发现诸如DDoS攻 击、病毒和木马等异常 流量； 具备一定的网络流量控 制能力，能够阻断一些 异常流量； 使用DPI系统和防火墙 设备联动来提升整个网 络的安全级别，提供主 动的入侵检测和安全防 护功能。
正常用户
正常用户
异常用户
秘密▲
园区网统一安全部署网络图
集中部署安全防范，内外网隔 离防范攻击
骨干网
DMZ区
Internet
对外服务器机群
ZXSEC
统一安全网管，安全 联动
ZXR10 T1200/89
内置DPI/防火墙，基于应 用的分布安全防护
核心层
交换机自身安全— 各种攻击防护
ZXR10 89/69/59

秘密▲
高可靠性
ISAM 网管平台 安全管理平台 服务器群

Internet
HA心跳线

园区网

HA进行冗余备份 负载均衡：支持轮询、 加权轮叫、最少连接、 加权最少链接等多种 服务器负载均衡方式 两个核心设备之间形 成HA 同一设备的两块单板 模块也可以实现 HA——主备冗余/负 载均衡
正常用户

秘密▲
非法流量严重影响网络安全
• • • • • • •

Internet
恶意网页 蠕虫病毒 间谍软件 垃圾邮件 网页欺骗 木马软件 „„
网络已经变得越来越不安全
服务中端
DMZ服务器区
感染病毒
信息侵犯
秘密▲
更多的应用的威胁
网络滥用增多 非法活动泛滥
暴力 色情
非法网站
1 应用层威胁越来越难以防御，而且将成为以后威胁的主要来源