DPI深度安全技术之概述介绍-6W101-整本手册.pdf

李华

120

1页

1次

2022-06-26

免费下载

DPI深度安全

概述

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

什么是DPI深度安全

DPI（Deep Packet Inspection，深度报文检测）是一种基于应用层信息对流量进行检测和控制的安全功能。

DPI支持丰富的业务类型（如防病毒、应用审计与管理等），可以阻断外部攻击、防止内部数据泄漏、规范用户

上网行为，极大地提高了网络的安全性。

病毒文件

Device

（具备DPI功能）

Internet

内部服务器

内部主机

内部文件

木马文件

蠕虫

宣传材料

SQL注入

机密文件

放行报文

丢弃报文

外网访问内网流量

内网访问外网流量

深度检测“深”在哪里

普通四层检测，仅对报文的二层到四层内容进行识别。DPI深度检测不仅可以检测二层到四层信息，还可以对应

用层信息（如HTTP数据）进行检测。DPI深度检测的结果更加具体、精确，更能满足用户需求。

DPI深度检测

普通四层检测

无法识别应用层信息

IP报文

首部

TCP报文

首部

数据

可以识别应用层信息

IP报文

首部

TCP报文

首部

HTTP报

文首部

XXXbaidu.comXXXX

XXXXwd=XX网页游戏

DPI业务有哪些

应用识别

应用识别是DPI的基础业务，可基于不同应用的特征

信息，识别出具体的应用。其他业务可使用应用识别

结果做进一步处理。

应用审计与管理是在应用识别的基础上进一步识别

出应用的具体行为和行为内容，据此对用户的上网

行为进行审计和记录。

应用审计与管理

行为：搜索

行为内容：游戏如何通关

应用：百度

数据过滤功能可对应用层协议报文中携带的内容进行

过滤，以防止企业机密信息泄露、阻止非法和敏感信

息的传播。

文件过滤

文件过滤功能是一种根据文件类型对设备传输的文件

进行过滤的安全防护机制。采用文件过滤功能可以对

指定类型的文件进行批量过滤。

数据过滤

IPS

IPS（Intrusion Prevention System，入侵防御系

统）是一种对应用层攻击进行检测并防御的安全防御

技术。IPS通过分析网络流量来实时检测入侵行为，

并通过响应动作来阻断入侵行为，确保企业信息系统

和网络免受攻击。

WAF（Web application firewall，Web应用防火

墙）用于对Web攻击进行防御。当设备收到Web访

问请求后，会对请求内容的安全性和合法性进行检测

和验证，实时阻断非法的请求，实现对Web服务器

的有效防护。

WAF

防病毒功能是一种通过对报文应用层信息进行检测来

识别和处理病毒报文的安全机制。防病毒功能凭借庞

大且不断更新的病毒特征库可有效保护网络安全，防

止病毒在网络中的传播。

防病毒

URL过滤功能可对用户访问的URL进行识别和限制，

即允许或禁止访问某个URL，达到规范用户上网行

为的目的。

URL过滤

检测出访问的URL：

http://news.abc.com/do?param=FAC-001

带宽管理可基于安全域、用户、应用（通过应用识别

业务检测出的应用）和时间段等限制条件，对通过设

备的流量进行精细化的带宽管理和控制。

带宽管理

上行带宽< 125Mbps

限制内容：

限制应用：

限制时间段：

18:00-22:00

内部服务器

攻击者

Web攻击

攻击者

企业内网

蠕虫

木马

病毒文件

企业内网

攻击者

外部人员

C格式机密文件（xx.C）

内部员工

携带“仅内部可见”信息

内网访问内网流量

技术介绍

DPI通过应用层检测引擎对报文进行特征匹配，来实现深度检测。

• 应用层检测引擎是DPI功能的核心处理单元。它用来对报文进行协议解析、特征匹配，以及向各DPI业务模块

通知检测结果。

• 特征是由专业的攻防团队对各类业务报文进行分析而归纳出的、具有特定格式的业务特征数据。

• 特征库是各业务的特征集合。从官方路径获取各业务特征库后，将其加载到设备，以便应用层检测引擎调用。

如何实现深度检测

DPI深度检测流程如下：

① 设备加载各个业务的特征库文件（例如防病毒特征库、IPS特征库等），为引擎提供丰富的特征资源。

② 引擎通过将报文与特征匹配，对报文内容进行识别。

③ 引擎对检测结果进行处理：如果报文与特征匹配成功，设备会将检测结果发送给相应的DPI业务模块；如果

报文与特征匹配失败，则直接允许报文通过，不进行任何DPI业务处理。

④ 各业务模块根据引擎检测结果对报文进行相应的处理。

数据流N 数据流1 数据流2

应用层检测引擎

报文进入引擎

报文与业务特征匹配

检测结果下发各业务模块

特征库

报文

IPS 带宽管理

应用审计

与管理

防病毒 WAF

… …

业务模块执行动作

… …

丢弃放行源阻断

业务模块

DPI深度安全

概述

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

什么是DPI深度安全

DPI（Deep Packet Inspection，深度报文检测）是一种基于应用层信息对流量进行检测和控制的安全功能。

DPI支持丰富的业务类型（如防病毒、应用审计与管理等），可以阻断外部攻击、防止内部数据泄漏、规范用户

上网行为，极大地提高了网络的安全性。

病毒文件

Device

（具备DPI功能）

Internet

内部服务器

内部主机

内部文件

木马文件

蠕虫

宣传材料

SQL注入

机密文件

放行报文

丢弃报文

外网访问内网流量

内网访问外网流量

深度检测“深”在哪里

普通四层检测，仅对报文的二层到四层内容进行识别。DPI深度检测不仅可以检测二层到四层信息，还可以对应

用层信息（如HTTP数据）进行检测。DPI深度检测的结果更加具体、精确，更能满足用户需求。

DPI深度检测

普通四层检测

无法识别应用层信息

IP报文

首部

TCP报文

首部

数据

可以识别应用层信息

IP报文

首部

TCP报文

首部

HTTP报

文首部

XXXbaidu.comXXXX

XXXXwd=XX网页游戏

DPI业务有哪些

应用识别

应用识别是DPI的基础业务，可基于不同应用的特征

信息，识别出具体的应用。其他业务可使用应用识别

结果做进一步处理。

应用审计与管理是在应用识别的基础上进一步识别

出应用的具体行为和行为内容，据此对用户的上网

行为进行审计和记录。

应用审计与管理

行为：搜索

行为内容：游戏如何通关

应用：百度

数据过滤功能可对应用层协议报文中携带的内容进行

过滤，以防止企业机密信息泄露、阻止非法和敏感信

息的传播。

文件过滤

文件过滤功能是一种根据文件类型对设备传输的文件

进行过滤的安全防护机制。采用文件过滤功能可以对

指定类型的文件进行批量过滤。

数据过滤

IPS

IPS（Intrusion Prevention System，入侵防御系

统）是一种对应用层攻击进行检测并防御的安全防御

技术。IPS通过分析网络流量来实时检测入侵行为，

并通过响应动作来阻断入侵行为，确保企业信息系统

和网络免受攻击。

WAF（Web application firewall，Web应用防火

墙）用于对Web攻击进行防御。当设备收到Web访

问请求后，会对请求内容的安全性和合法性进行检测

和验证，实时阻断非法的请求，实现对Web服务器

的有效防护。

WAF

防病毒功能是一种通过对报文应用层信息进行检测来

识别和处理病毒报文的安全机制。防病毒功能凭借庞

大且不断更新的病毒特征库可有效保护网络安全，防

止病毒在网络中的传播。

防病毒

URL过滤功能可对用户访问的URL进行识别和限制，

即允许或禁止访问某个URL，达到规范用户上网行

为的目的。

URL过滤

检测出访问的URL：

http://news.abc.com/do?param=FAC-001

带宽管理可基于安全域、用户、应用（通过应用识别

业务检测出的应用）和时间段等限制条件，对通过设

备的流量进行精细化的带宽管理和控制。

带宽管理

上行带宽< 125Mbps

限制内容：

限制应用：

限制时间段：

18:00-22:00

内部服务器

攻击者

Web攻击

攻击者

企业内网

蠕虫

木马

病毒文件

企业内网

攻击者

外部人员

C格式机密文件（xx.C）

内部员工

携带“仅内部可见”信息

内网访问内网流量

技术介绍

DPI通过应用层检测引擎对报文进行特征匹配，来实现深度检测。

• 应用层检测引擎是DPI功能的核心处理单元。它用来对报文进行协议解析、特征匹配，以及向各DPI业务模块

通知检测结果。

• 特征是由专业的攻防团队对各类业务报文进行分析而归纳出的、具有特定格式的业务特征数据。

• 特征库是各业务的特征集合。从官方路径获取各业务特征库后，将其加载到设备，以便应用层检测引擎调用。

如何实现深度检测

DPI深度检测流程如下：

① 设备加载各个业务的特征库文件（例如防病毒特征库、IPS特征库等），为引擎提供丰富的特征资源。

② 引擎通过将报文与特征匹配，对报文内容进行识别。

③ 引擎对检测结果进行处理：如果报文与特征匹配成功，设备会将检测结果发送给相应的DPI业务模块；如果

报文与特征匹配失败，则直接允许报文通过，不进行任何DPI业务处理。

④ 各业务模块根据引擎检测结果对报文进行相应的处理。

数据流N 数据流1 数据流2

应用层检测引擎

报文进入引擎

报文与业务特征匹配

检测结果下发各业务模块

特征库

报文

IPS 带宽管理

应用审计

与管理

防病毒 WAF

… …

业务模块执行动作

… …

丢弃放行源阻断

业务模块

of 1

免费下载

h3c 数据安全

关注

评论