DPI防护技术具备哪些四个特征
DPI防护技术具备以下四个特征:
应用层加密解密:SSL 被广泛应用于各种场合,以确保相关数据的安全性。这就对防火墙提出了新要求:必须能够处理数据加密/解密。如果不对SSL加密的数据进行解密,防火墙就不能对负载的信息进行分析,更不可能判断数据分组中是否含有应用层攻击信息。如果没有解密功能,深度检测的所有优点都无法体现出来。由于SSL加密的安全性很高,企业常使用SSL技术,以确保关键应用程序的通信数据的安全性。如果深度检测不能对企业中关键应用程序提供深度检测安全性的话,整个深度检测的优势将失去意义。
正常化:防范应用层攻击,很大程度上依赖于字符串匹配。不正常的匹配会造成安全漏洞。比如,为了探知某种请求的安全策略是否被启用,防火墙通常根据请求的URL与安全策略来进行匹配。一旦与某种策略条件完全匹配,防火墙就采用对应的安全策略。指向同一个资源的URL或许有多种不同形态,如果该URL的编码方式不同的话,二进制方式的比较就不起作用了。攻击者会利用各种技术,对输入的URL进行伪装,企图避开字符串匹配,以达到越过安全设备的目的。
协议一致性:应用层协议(如HTTP、SMTP、POP3、DNS、IMAP和FTP)在应用程序中经常用到。每个协议都由RFC(Request for Comments,请求注解)相关规范创建。深度检测防火墙必须确认应用层数据流是否与这些协议定义相一致,以防止隐藏其中的攻击。深度检测在应用层进行状态检测。协议一致性通过对协议报文的不同字段进行解密而实现,当协议中的字段被识别出来后,防火墙采用RFC定义的应用规则,来检查其合法性。
双向负载检测:深度检测具有强大功能,能够允许数据分组通过,拒绝数据分组,检查或修改第4~7层数据分组,包括分组头部或负载。HTTP深度检测能够查看到消息体中的URL、分组头部和参数等信息。深度检测防火墙能够自动进行动态配置,以便正确检测服务变量,如最大长度、隐藏字段和 Radio 按钮等。如果请求的变量不匹配、不存在或者不正确,深度检测防火墙会将请求丢弃掉,将该事件写入日志、并向管理员发出警告信息。
DPI防护技术具备以下这些功能:
业务识别:一般而言,对于业务识别有两种方法:一种是对运营商开通的合法业务,另外一种是运营商需要进行监管的业务。前者可以通过业务流的五元组来标识,如VOD业务,其业务流的地址是属于VOD服务器网段的地址,其端口是一个固定的端口。系统一般采用ACL的方式,识别出该类业务。后者需要DPI技术,通过前述的业务识别方法,对IP数据分组的内容进行分析,通过特征字的查找或者业务的行为统计,得到业务流的类型。
业务控制:通过DPI技术识别出各类业务流后,根据网络配置的组合条件,如用户、时间、带宽和历史流量等,对业务流进行控制。控制方法包括:正常转发、阻塞、限制带宽、整形和重标记优先级等。为了便于业务的运营,业务控制策略一般集中配置在策略服务器中,用户上线后动态下发。
业务统计:DPI的业务统计功能是为了直观地统计网络的业务流量分布和用户的各种业务使用情况,从而更好地发现促进业务发展和影响网络正常运营的因素,为网络和业务优化提供依据。例如发掘对用户有吸引力的业务,验证业务提供水平是否达到了用户的服务等级协议(SLA),统计分析出网络中的攻击流量占多少比例,多少用户正在使用某种游戏业务,哪几种业务最消耗网络的带宽和哪些用户使用了非法VOIP等。
双向负载检测:深度检测具有强大功能,能够允许数据分组通过,拒绝数据分组,检查或修改第4~7层数据分组,包括分组头部或负载。HTTP深度检测能够查看到消息体中的URL、分组头部和参数等信息。深度检测防火墙能够自动进行动态配置,以便正确检测服务变量,如最大长度、隐藏字段和Radio按钮等。如果请求的变量不匹配、不存在或者不正确,深度检测防火墙会将请求丢弃掉,将该事件写入日志、并向管理员发出警告信息。
行为模式识别:行为模式识别基于对终端已经实施的行为分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如,SPAM(垃圾邮件)业务流和- mail业务流从E-mail的内容上看是完全一致的,只有通过对用户行为的分析,才能够准确地识别出SPAM业务。