防火墻DPI技術(shù)原理-課件

1高端交換機內(nèi)置防火墻/DPI模塊介紹23

提綱企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù)企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景網(wǎng)絡(luò)面臨嚴(yán)峻的安全考驗非法操作威脅設(shè)備穩(wěn)定黑客入侵、DDoS攻擊威脅網(wǎng)絡(luò)安全蠕蟲、病毒、垃圾郵件影響用戶體驗垃圾郵件蠕蟲病毒DDoS攻擊黑客入侵IP網(wǎng)絡(luò)Internet2PPT課件非法流量嚴(yán)重影響網(wǎng)絡(luò)安全網(wǎng)絡(luò)已經(jīng)變得越來越不安全

惡意網(wǎng)頁蠕蟲病毒間諜軟件垃圾郵件網(wǎng)頁欺騙木馬軟件

……DMZ服務(wù)器區(qū)服務(wù)中端信息侵犯感染病毒Internet3PPT課件網(wǎng)絡(luò)濫用增多非法活動泛濫應(yīng)用層威脅越來越難以防御，而且將成為以后威脅的主要來源1通過網(wǎng)絡(luò)進行傳播色情、暴力以及非法的信息對企業(yè)網(wǎng)絡(luò)存在很大的法律風(fēng)險2網(wǎng)絡(luò)濫用軟件占用大量的帶寬，浪費企業(yè)的網(wǎng)絡(luò)資源、降低工作效率3非法網(wǎng)站色情暴力Internet更多的應(yīng)用的威脅4PPT課件P2P流量侵占正常業(yè)務(wù)帶寬P2P占據(jù)高帶寬已成為帶寬殺手。日常40%-60%，高峰70%-90%P2P資源占用大影響關(guān)鍵業(yè)務(wù)質(zhì)量，侵占正常生產(chǎn)工作。無法正常開展P2P業(yè)務(wù)，對P2P業(yè)務(wù)進行監(jiān)控P2P文件共享P2P視頻P2P語音BitTorrenteDonkeyeMuleSKYPEPPLivePPStream帶寬殺手無法監(jiān)控?zé)o法保質(zhì)5PPT課件QoS無法保證無法細(xì)分網(wǎng)絡(luò)中各種應(yīng)用的流量關(guān)鍵業(yè)務(wù)的帶寬無法保證QOS不能夠滿足需求網(wǎng)絡(luò)大量擁塞P2PHTTPemailUncontrolledBandwidth???病毒，攻擊網(wǎng)絡(luò)大量擁塞VOIP垃圾郵件P2PP2PIP網(wǎng)絡(luò)Internet6PPT課件互聯(lián)網(wǎng)資源濫用對企業(yè)產(chǎn)生的負(fù)面影響Internet

帶寬資源的濫用

BT下載、聽歌、看電影在線游戲……

組織內(nèi)部機密泄漏通過郵件泄密即時通訊（透露機密）網(wǎng)頁上傳，博客等……

生產(chǎn)力下降瀏覽與工作無關(guān)的網(wǎng)頁使用即時通訊軟件聊天聽歌、看電影、玩游戲……

法律風(fēng)險發(fā)表反動言論危害國家安全機密信息泄漏……7PPT課件如何應(yīng)對？防火墻+DPI防火墻提供基本的安全防護內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行有效隔離不同部門不同應(yīng)用需要不同的部署不同的安全策略DPI提供應(yīng)用層的安全防護日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用和攻擊等不安全因素，需要對數(shù)據(jù)流進行更為深入的分析和識別日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用需要不同的流量和帶寬控制技術(shù)，而傳統(tǒng)的QOS并不能夠滿足需求，需要保證關(guān)鍵業(yè)務(wù)的帶寬必須引入有效的業(yè)務(wù)識別與控制方法，在應(yīng)用層對流量進行分析，并進行控制8PPT課件高端交換機內(nèi)置防火墻/DPI模塊介紹3

提綱企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù)企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景21網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)核心交換機部署安全模塊，不改變網(wǎng)絡(luò)原來部署基礎(chǔ)上加強園區(qū)網(wǎng)安全核心交換機部署安全插板保證內(nèi)網(wǎng)流量互訪安全主動發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量；具備一定的網(wǎng)絡(luò)流量控制能力，能夠阻斷一些異常流量；使用DPI系統(tǒng)和防火墻設(shè)備聯(lián)動來提升整個網(wǎng)絡(luò)的安全級別，提供主動的入侵檢測和安全防護功能。正常用戶園區(qū)網(wǎng)異常用戶正常用戶交換機＋DPI服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋FIREWALL10PPT課件園區(qū)網(wǎng)統(tǒng)一安全部署網(wǎng)絡(luò)圖骨干網(wǎng)Internet無線網(wǎng)對外服務(wù)器機群DMZ區(qū)核心層匯聚層接入層交換機集群IPTV機頂盒ZXR1089/69/59集中部署安全防范，內(nèi)外網(wǎng)隔離防范攻擊統(tǒng)一安全網(wǎng)管，安全聯(lián)動桌面管理用戶準(zhǔn)入ZSA內(nèi)置DPI/防火墻，基于應(yīng)用的分布安全防護ZXR10T1200/89ZXSECZXR1028/29/51功能子網(wǎng)交換機自身安全—

各種攻擊防護11PPT課件安全解決方案網(wǎng)絡(luò)層次安全解決方案應(yīng)用場景：園區(qū)網(wǎng)、數(shù)據(jù)中心設(shè)備可串接、可并行核心層安全插板（核心交換機）89+M1-FW89+M1-DPI獨立安全設(shè)備（核心交換機和出口路由器之間部署）

ZXSEC-US安全插板+獨立安全設(shè)備內(nèi)網(wǎng)安全內(nèi)外隔離易擴展內(nèi)外隔離內(nèi)外隔離內(nèi)網(wǎng)安全匯聚層安全插板（匯聚交換機）內(nèi)網(wǎng)安全分布部署，減輕核心安全設(shè)備壓力89+M1-FW/M1-DPI12PPT課件2企業(yè)園區(qū)網(wǎng)安全解決方案

提綱防火墻技術(shù)

DPI技術(shù)防火墻技術(shù)防火墻技術(shù)易擴展

多功能多核架構(gòu)高背板帶寬易管理

高性能可靠性虛擬防火墻HA

負(fù)載均衡Web/snmp/console統(tǒng)一網(wǎng)管NAT防攻擊VPN防病毒14PPT課件虛擬防火墻功能-策略、資源完全獨立分配功能靈活部門隔離——根據(jù)不同的應(yīng)用分配不同的虛擬防火墻虛擬防火墻與VPN的關(guān)聯(lián)，不同的VPN分配不同的虛擬防火墻服實現(xiàn)訪問用戶與服務(wù)器之間的單向隔離，端口訪問限制防止病毒的傳播部署靈活業(yè)務(wù)規(guī)劃改變、部門調(diào)整降低運維成本，簡化網(wǎng)管復(fù)雜度

虛擬防火墻15PPT課件高性能正常用戶園區(qū)網(wǎng)異常用戶正常用戶服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋N塊防火墻模塊內(nèi)外網(wǎng)隔離：防火墻模塊串接，性能要求不低于出口帶寬內(nèi)網(wǎng)防護：通過多個防火墻模塊擴展帶寬多核架構(gòu)，單模塊性能強，最小帶寬不低于5G多模塊，整體能夠達到N×單板性能16PPT課件高可靠性正常用戶園區(qū)網(wǎng)異常用戶正常用戶服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternetHA進行冗余備份負(fù)載均衡：支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負(fù)載均衡方式兩個核心設(shè)備之間形成HA同一設(shè)備的兩塊單板模塊也可以實現(xiàn)HA——主備冗余/負(fù)載均衡HA心跳線17PPT課件統(tǒng)一網(wǎng)管正常用戶園區(qū)網(wǎng)異常用戶正常用戶服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋FIREWALL阻斷線速低優(yōu)先級通過防火墻與網(wǎng)管中心即接入設(shè)備進行聯(lián)動支持WEB/console/telnet等多種管理方式18PPT課件2企業(yè)園區(qū)網(wǎng)安全解決方案

提綱防火墻技術(shù)

DPI技術(shù)

/downloads/GettysburgFourscoreandBADCONTENT

ourforefathersbroughtforthuponthiscontinentanewnation,nliberty,anddedicatedtothepropositionthatall包頭(源,目的,數(shù)據(jù)類型等)包負(fù)載(內(nèi)容)數(shù)據(jù)包OKOKOK不掃描OK狀態(tài)檢測防火墻只檢查包頭–就好像只檢查信封，而不看信里的內(nèi)容傳統(tǒng)防火墻弱點如下：沒有深度包檢測來發(fā)現(xiàn)惡意代碼每包的轉(zhuǎn)發(fā)方式，不能進行包重組惡意程序可以通過信任端口建立隧道穿過去傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊傳統(tǒng)防火墻的局限性20PPT課件什么是DPIDPI全稱為“DeepPacketInspection”，稱為“深度包檢測”，是以業(yè)務(wù)流的連接為對象，深入分析業(yè)務(wù)的高層協(xié)議內(nèi)容，結(jié)合數(shù)據(jù)包的深度特征值檢測和協(xié)議行為的分析，以達到應(yīng)用層網(wǎng)絡(luò)協(xié)議識別為目的的技術(shù)。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包的層4以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而深度包檢測除了對前面的層次分析外，還增加了應(yīng)用層分析，從原來的二到四層（數(shù)據(jù)鏈路層-傳輸層）覆蓋到了第七層，強化了傳統(tǒng)的數(shù)據(jù)包檢測技術(shù)SPI的深度和精確度，能夠識別各種應(yīng)用及其內(nèi)容，是對傳統(tǒng)數(shù)據(jù)流檢測技術(shù)的延伸和加強。協(xié)議源地址目的地址源端口目的端口數(shù)據(jù)/語音/視頻/病毒/攻擊……四層及以下的感知應(yīng)用層感知IP載荷包頭

傳統(tǒng)網(wǎng)絡(luò)設(shè)備基于五元組：源、目標(biāo)地址，協(xié)議類型，源、目的端口號

DPI提供七層業(yè)務(wù)層的報文深入分析，是業(yè)務(wù)層安全和控制的重要手段

21PPT課件DPI技術(shù)原理特征識別技術(shù)智能協(xié)議分析技術(shù)會話狀態(tài)分析技術(shù)異常檢測技術(shù)22PPT課件特征字識別端口號是可以隱藏的，但目前較難以隱藏應(yīng)用層的協(xié)議特征。特征識別：是指檢測引擎將數(shù)據(jù)包載荷中的數(shù)據(jù)與預(yù)先定義的應(yīng)用層協(xié)議特征進行對比，以判定數(shù)據(jù)傳輸?shù)恼鎸嵕W(wǎng)絡(luò)應(yīng)用；以熟知的BT為例，其Handshake的協(xié)議特征字為“BitTorrentProtocol”，如果IP包的數(shù)據(jù)區(qū)包含BT對等協(xié)議的特征“BitTorrentprotocol”，那么可以標(biāo)識這是一個BT流；BT客戶端端口范圍貪婪ABC可以手工設(shè)置BitComet沒有公開BitTorrentPlus可以手工設(shè)置BitTorrent6881～6889比特精靈BitSpirit16881端口檢測特征字檢測23PPT課件智能協(xié)議分析技術(shù)某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，業(yè)務(wù)流沒有任何特征，這種情況下，我們就需要采用智能協(xié)議分析技術(shù)先識別出控制流，并對其進行協(xié)議解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流如SIP/H323協(xié)議通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流，只有通過檢測SIP/H323的協(xié)議交互，才能得到其完整的分析。24PPT課件會話狀態(tài)檢測技術(shù)會話檢測技術(shù)：按照客戶-服務(wù)器間的通信內(nèi)容，把數(shù)據(jù)包重組為連續(xù)的會話流，在此基礎(chǔ)上，對協(xié)議的狀態(tài)和協(xié)議行為進行檢測和分析，以識別會話的真實網(wǎng)絡(luò)應(yīng)用，準(zhǔn)確率高。ID軌跡檢測HTTP包頭檢測連接數(shù)檢測☉統(tǒng)計某個IP打開的端口數(shù)或流量，超過一定閾值則認(rèn)為是共享上網(wǎng)用戶25PPT課件行為分析技術(shù)異常檢測技術(shù)(AnomalyDetection)：指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生異常行為，而不依賴于具體行為是否出現(xiàn)來檢測；對于網(wǎng)絡(luò)上的攻擊行為，并不是其數(shù)據(jù)報文本身具有特性，而是整個上網(wǎng)行為有特征；通過異常檢測技術(shù)，識別攻擊、病毒和木馬等異常流量。TCPflag值固定ACK值固定目的端口隨機源端口隨機IP包長度固定TCP攻擊模式

26PPT課件DPI系統(tǒng)分析→控制→精細(xì)管理DPI系統(tǒng)業(yè)務(wù)識別和檢測業(yè)務(wù)控制報表和統(tǒng)計策略和業(yè)務(wù)管理用戶識別端口識別應(yīng)用協(xié)議識別特征字識別內(nèi)容識別異常檢測……轉(zhuǎn)發(fā)丟棄限速流量整形帶寬預(yù)留重定義優(yōu)先級重定向?qū)哟位疩oS……收集流量信息用戶行為分析業(yè)務(wù)流量分析各種統(tǒng)計報表趨勢和分布……業(yè)務(wù)特征定義特征升級服務(wù)定制策略管理系統(tǒng)維護……27PPT課件用戶行為分析通過后臺分析系統(tǒng)的數(shù)據(jù)挖掘，能夠獲得包括用戶業(yè)務(wù)流量類型、用戶平均上網(wǎng)時間、用戶主要在線時段、用戶興趣等在內(nèi)的個性化特征信息。通過對用戶的個性化信息的統(tǒng)計，能夠及時和準(zhǔn)確的調(diào)整業(yè)務(wù)運營方式、業(yè)務(wù)運營內(nèi)容、或者發(fā)現(xiàn)新的業(yè)務(wù)增長點等。流量行為分析報文監(jiān)控正常用戶園區(qū)網(wǎng)異常用戶正常用戶服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋DPI流量信息……28PPT課件抑制未經(jīng)許可的VoIP園區(qū)網(wǎng)服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋DPI電話網(wǎng)關(guān)發(fā)送控制包正常情況下的通話加噪音控制的通話中斷連接增加噪音分時控制檢測承載在UDP之上的媒體流RTP連接數(shù)判斷是否為企業(yè)的VoIP網(wǎng)關(guān)檢測VOIP呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話通過部署DPI系統(tǒng)對對VoIP用戶的信令流量和媒體流量進行關(guān)聯(lián)檢測，對VoIP流量進行分類統(tǒng)計分析，如果判斷出該用戶為未經(jīng)許可用戶，可對VoIP流量進行管理，抑制未經(jīng)許可的VoIP業(yè)務(wù)控制29PPT課件抑制P2P園區(qū)網(wǎng)服務(wù)器群網(wǎng)管平臺安全管理平臺ISAMInternet交換機＋DPIP2P用戶P2P用戶P2P用戶P2P用戶對P2P流量進行限制，在不影響用戶使用的情況下，減少P2P對帶寬的消耗采用分級服務(wù)，對不同的客戶群采用不同的P2P控制策略，發(fā)揮P2P業(yè)務(wù)的優(yōu)勢P2PTrafficafterDPI阻斷限速低優(yōu)先級阻斷線速低優(yōu)先級30PPT課件高端交換機內(nèi)置防火墻/DPI模塊介紹3

提綱企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù)企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景12集成在設(shè)備內(nèi)的防火墻模塊保證網(wǎng)絡(luò)安全靈活部署，可以不改變原網(wǎng)絡(luò)架構(gòu)高性能多核架構(gòu)，進行安全過濾的同時不影響網(wǎng)絡(luò)性能統(tǒng)一架構(gòu)集成轉(zhuǎn)發(fā)模塊和多種安全模塊，擴展能力強支持虛擬防火墻、NAT等安全功能中興89系列高端交換機內(nèi)置防火墻模塊重要數(shù)據(jù)中心的網(wǎng)絡(luò)安全企業(yè)園區(qū)高安全訪問企業(yè)網(wǎng)絡(luò)出口安全防護園區(qū)無線訪問的網(wǎng)絡(luò)安全基于多種圖形界面的網(wǎng)管界面＋融合了防火墻的網(wǎng)絡(luò)設(shè)備融合了安全的網(wǎng)絡(luò)32PPT課件集成在設(shè)備內(nèi)的DPI模塊保證網(wǎng)絡(luò)安全部署在企業(yè)網(wǎng)出口處和核心層的高端交換機集成了DPI模塊的，完成業(yè)務(wù)識別和控制功能中興DPI基于流檢測方式，例如可以針對P2P流量選擇處理方式：丟棄、流限速或者不對流量處理等配合服務(wù)器，感知流量中的VOIP、數(shù)據(jù)、多媒體等，動態(tài)調(diào)整帶寬以及Qos，為用戶提供最優(yōu)化的網(wǎng)絡(luò)資源高性能，既能靈活擴展業(yè)務(wù)，而且性能不受影響規(guī)則庫在線升級0101100101..正常上網(wǎng)流量：PASSP2P；流量：HOLD非法流量：Discard010110