防火墙DPI技术原理
•
组织内部机密泄漏
•
法律风险
通过邮件泄密 • 即时通讯(透露机密) • 网页上传,博客等 ……
发表反动言论 • 危害国家安全 • 机密信息泄漏 ……
秘密▲
如何应对?防火墙+DPI
防火墙提供基本的安全防护
内部网络和外部网络进行有效隔离 不同部门不同应用需要不同的部署不同的安全策略 日益复杂的网络应用和攻击等不安全因素,需要对数据 流进行更为深入的分析和识别 日益复杂的网络应用需要不同的流量和带宽控制技术, 而传统的QOS并不能够满足需求,需要保证关键业务 的带宽 必须引入有效的业务识别与控制方法,在应用层对流量 进行分析,并进行控制
16881
特征字检测
端口号是可以隐藏的, 但目前较难以隐藏应 用层的协议特征。 特征识别:是指检测 引擎将数据包载荷中 的数据与预先定义的 应用层协议特征进行 对比,以判定数据传 输的真实网络应用; 以熟知的BT为例,其 Handshake的协议特 征字为“BitTorrent Protocol”,如果IP包 的数据区包含BT对等 协议的特征 “BitTorrent protocol”, 那么可以标识这是一 个BT 流;
P2P视频
P2P资源占用大影响 关键业务质量,侵占 正常生产工作。
PPLive PPStream
无法保质
P2P语音
无法正常开展P2P业 务,对P2P业务进行 监控
SKYPE
无法监控
秘密▲
QoS无法保证
Internet
Uncontrolled Bandwidth
P2P HTTP email ???
业务 控制 DPI系统
报表和 统计
策略和 业务管 理
分析→控制→精细管理
秘密▲
用户行为分析
ISAM 网管平台 安全管理平台 服务器 群
Internet
流量信 息 „„
交换量行为分析
正常用户
正常用户
异常用户
通过后台分析系统的数据挖掘,能够获得包 括用户业务流量类型、用户平均上网时间、 用户主要在线时段、用户兴趣等在内的个性 化特征信息。 通过对用户的个性化信息的统计,能够及时 和准确的调整业务运营方式、业务运营内容、 或者发现新的业务增长点等。
正常用户
正常用户
异常用户
秘密▲
园区网统一安全部署网络图
集中部署安全防范,内外网隔 离防范攻击
骨干网
DMZ区
Internet
对外服务器机群
ZXSEC
统一安全网管,安全 联动
ZXR10 T1200/89
内置DPI/防火墙,基于应 用的分布安全防护
核心层
交换机自身安全— 各种攻击防护
ZXR10 89/69/59
DPI提供应用层的安全防护
提 纲
1 2
企业园区网安全应用场景
企业园区网安全解决方案 ——防火墙技术 ——DPI技术 高端交换机内置防火墙/DPI模块介绍
3
秘密▲
网络安全防护
ISAM 网管平台 安全管理平台 服务器群
Internet
交换机+FIREWALL 交换机+DPI
园区网
网络核心交换机部署安 全模块,不改变网络原 来部署基础上加强园区 网安全 核心交换机部署安全插 板保证内网流量互访安 全 主动发现诸如DDoS攻 击、病毒和木马等异常 流量; 具备一定的网络流量控 制能力,能够阻断一些 异常流量; 使用DPI系统和防火墙 设备联动来提升整个网 络的安全级别,提供主 动的入侵检测和安全防 护功能。
防火墙技术 DPI技术
秘密▲
传统防火墙的局限性
状态检测防火墙
只检查包头 – 就好像只检查 信封,而不看信里的内容 数据包
/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all
秘密▲
高可靠性
ISAM 网管平台 安全管理平台 服务器群
Internet
HA心跳线
园区网
HA进行冗余备份 负载均衡:支持轮询、 加权轮叫、最少连接、 加权最少链接等多种 服务器负载均衡方式 两个核心设备之间形 成HA 同一设备的两块单板 模块也可以实现 HA——主备冗余/负 载均衡
正常用户
IP载荷
数据/语音/视频/病毒/攻击……
协议
源地址 目的地址 源端口 目的端口
四层及以下的感知
应用层感知
DPI 全称为“Deep Packet Inspection”,称为“深度包检测”,是以业务流的连接 为对象,深入分析业务的高层协议内容,结合数据包的深度特征值检测和协议行为 的分析,以达到应用层网络协议识别为目的的技术。 所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP 包的层4 以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型, 而深度包检测除了对前面的层次分析外,还增加了应用层分析,从原来的二到四层 (数据链路层-传输层)覆盖到了第七层,强化了传统的数据包检测技术SPI的深度 和精确度,能够识别各种应用及其内容,是对传统数据流检测技术的延伸和加强。
OK OK OK OK
包头 (源, 目的, 数据类型等)
包负载 (内容)
不扫描
传统防火墙弱点如下: 没有深度包检测来发现恶意代码 每包的转发方式,不能进行包重组 恶意程序可以通过信任端口建立隧道穿过去 传统的部署方法仅仅是网络边缘,不能防御内部攻击
秘密▲
什么是DPI
传统网络设备基于五元组:源、目标地址,协议类型,源、目的端口号 DPI提供七层业务层的报文深入分析,是业务层安全和控制的重要手段 包头
秘密▲
会话状态检测技术
ID轨迹检测
HTTP包头检测
连接数检测
☉统计某个IP打开的端口数或流量,超过一定阈值则认为是共享上网用户
会话检测技术:按照客户-服务器间的通信内容,把数据包重组为连 续的会话流,在此基础上,对协议的状态和协议行为进行检测和分 析,以识别会话的真实网络应用,准确率高。
秘密▲
正常情况下的通话
加噪音控制的通话
秘密▲
抑制P2P
秘密▲
智能协议分析技术
某些业务的控制流和业务流是分离的,业务流没有任何特征,这种情况 下,我们就需要采用智能协议分析技术 先识别出控制流,并对其进行协议解析,从协议内容中识别出相应的业 务流 如SIP/H323协议通过信令交互过程,协商得到其数据通道,一般是RTP 格式封装的语音流,只有通过检测SIP/H323的协议交互,才能得到其完 整的分析。
秘密▲
高性能
ISAM 网管平台 安全管理平台 服务器群
Internet
交换机+ N块防火墙模块
园区网
正常用户
正常用户
异常用户
内外网隔离:防 火墙模块串接, 性能要求不低于 出口带宽 内网防护:通过 多个防火墙模块 扩展带宽 多核架构,单模 块性能强,最小 带宽不低于5G 多模块,整体能 够达到N×单板性 能
ZXSEC-US
a.
安全插板+ 独立安全设备
核心层
内网安全 b. 内外隔离 c. 易扩展
a.
内外隔离
内外隔离 b. 内网安全
a.
安全插板
汇聚层
(汇聚交换机) 内网安全分布部署,减轻核心安全设备压力 89+M1-FW/M1-DPI
提 纲
2
企业园区网安全解决方案
防火墙技术 DPI技术
秘密▲
防火墙技术
行为分析技术
ACK值 固定
TCP flag值 固定
目的端口 随机
TCP攻击模式
源端口 IP包长度 固定 随机
异常检测技术(Anomaly Detection):指根据使用 者的行为或资源使用状况 来判断是否发生异常行为, 而不依赖于具体行为是否 出现来检测; 对于网络上的攻击行为, 并不是其数据报文本身具 有特性,而是整个上网行 为有特征; 通过异常检测技术,识别 攻击、病毒和木马等异常 流量。
P2P
IP网络
网络大量拥塞
病毒,攻击
P2P
无法细分网络中各种应用的流量 关键业务的带宽无法保证 QOS不能够满足需求 网络大量拥塞
垃圾邮件
VOIP
秘密▲
互联网资源滥用对企业产生的负面影响
•
带宽资源的滥用
•
生产力下降
BT下载、听歌、看电影 • 在线游戏 ……
浏览与工作无关的网页 • 使用即时通讯软件聊天 • 听歌、看电影、玩游戏 ……
提 纲
1 2
企业园区网安全应用场景
企业园区网安全解决方案 ——防火墙技术 ——DPI技术 高端交换机内置防火墙/DPI模块介绍
3
秘密▲
网络面临严峻的安全考验
Internet 黑客入侵
IP网络
垃圾邮件
蠕虫病毒
DDoS攻击
非法操作威 胁设备稳定 黑客入侵、 DDoS攻击 威胁网络安 全 蠕虫、病毒、 垃圾邮件影 响用户体验
2
通过网络进行传播色情、暴力以及非法的信息对企业网络存在很大的法律风险
3
网络滥用软件占用大量的带宽,浪费企业的网络资源、降低工作效率
秘密▲
P2P流量侵占正常业务带宽
