防火墻dpi技術(shù)原理課件

1、,,1,,,高端交換機內(nèi)置防火墻/DPI模塊介紹,2,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景,網(wǎng)絡(luò)面臨嚴(yán)峻的安全考驗,非法操作威脅設(shè)備穩(wěn)定黑客入侵、DDoS攻擊威脅網(wǎng)絡(luò)安全蠕蟲、病毒、垃圾郵件影響用戶體驗,非法流量嚴(yán)重影響網(wǎng)絡(luò)安全,網(wǎng)絡(luò)已經(jīng)變得越來越不安全,,,,,,惡意網(wǎng)頁 蠕蟲病毒 間諜軟件 垃圾郵件 網(wǎng)頁欺騙 木馬軟件 ……,,,,DMZ服務(wù)

2、器區(qū),,,,,,,服務(wù)中端,信息侵犯,感染病毒,Internet,網(wǎng)絡(luò)濫用增多,,,,,非法活動泛濫,,,應(yīng)用層威脅越來越難以防御，而且將成為以后威脅的主要來源,1,,,通過網(wǎng)絡(luò)進(jìn)行傳播色情、暴力以及非法的信息對企業(yè)網(wǎng)絡(luò)存在很大的法律風(fēng)險,2,,,網(wǎng)絡(luò)濫用軟件占用大量的帶寬，浪費企業(yè)的網(wǎng)絡(luò)資源、降低工作效率,3,非法網(wǎng)站,,,色情,,,暴力,,,Internet,,更多的應(yīng)用的威脅,P2P流量侵占正常業(yè)務(wù)帶寬,P2P占據(jù)高帶寬已成為帶寬

3、殺手。日常40%-60%，高峰70%-90%P2P資源占用大影響關(guān)鍵業(yè)務(wù)質(zhì)量，侵占正常生產(chǎn)工作。無法正常開展P2P業(yè)務(wù)，對P2P業(yè)務(wù)進(jìn)行監(jiān)控,BitTorrenteDonkeyeMule,SKYPE,PPLivePPStream,帶寬殺手,無法監(jiān)控,無法保質(zhì),,,,,QoS無法保證,,無法細(xì)分網(wǎng)絡(luò)中各種應(yīng)用的流量關(guān)鍵業(yè)務(wù)的帶寬無法保證QOS不能夠滿足需求網(wǎng)絡(luò)大量擁塞,P2P,HTTP,email,Uncontrolled

4、Bandwidth,???,病毒，攻擊,網(wǎng)絡(luò)大量擁塞,VOIP,垃圾郵件,,,,,,,P2P,P2P,,,IP網(wǎng)絡(luò),Internet,,,,,互聯(lián)網(wǎng)資源濫用對企業(yè)產(chǎn)生的負(fù)面影響,Internet,帶寬資源的濫用 BT下載、聽歌、看電影 在線游戲……,組織內(nèi)部機密泄漏 通過郵件泄密 即時通訊（透露機密） 網(wǎng)頁上傳，博客等……,生產(chǎn)力下降 瀏覽與工作無關(guān)的網(wǎng)頁 使用即時通訊軟件聊天 聽歌、看電影、玩游戲

5、……,法律風(fēng)險 發(fā)表反動言論 危害國家安全 機密信息泄漏……,如何應(yīng)對？防火墻+DPI,防火墻提供基本的安全防護(hù)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行有效隔離不同部門不同應(yīng)用需要不同的部署不同的安全策略DPI提供應(yīng)用層的安全防護(hù)日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用和攻擊等不安全因素，需要對數(shù)據(jù)流進(jìn)行更為深入的分析和識別日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用需要不同的流量和帶寬控制技術(shù)，而傳統(tǒng)的QOS并不能夠滿足需求，需要保證關(guān)鍵業(yè)務(wù)的帶寬必須引入有效的業(yè)務(wù)識別與

6、控制方法，在應(yīng)用層對流量進(jìn)行分析，并進(jìn)行控制,,,高端交換機內(nèi)置防火墻/DPI模塊介紹,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景,,2,,1,,網(wǎng)絡(luò)安全防護(hù),網(wǎng)絡(luò)核心交換機部署安全模塊，不改變網(wǎng)絡(luò)原來部署基礎(chǔ)上加強園區(qū)網(wǎng)安全核心交換機部署安全插板保證內(nèi)網(wǎng)流量互訪安全主動發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量；具備一定的網(wǎng)絡(luò)流量控制能力，能夠阻斷一些異常流量；使用DPI

7、系統(tǒng)和防火墻設(shè)備聯(lián)動來提升整個網(wǎng)絡(luò)的安全級別，提供主動的入侵檢測和安全防護(hù)功能。,,,正常用戶,園區(qū)網(wǎng),,異常用戶,正常用戶,交換機＋DPI,Internet,,交換機＋FIREWALL,園區(qū)網(wǎng)統(tǒng)一安全部署網(wǎng)絡(luò)圖,,,,,,,,,,,骨干網(wǎng),Internet,無線網(wǎng),,,對外服務(wù)器機群,DMZ區(qū),,,核心層,匯聚層,接入層,,,,,,交換機集群,,,,IPTV機頂盒,,,,,,,,,,ZXR10 89/69/59,集中部署安全防范，內(nèi)外

8、網(wǎng)隔離防范攻擊,統(tǒng)一安全網(wǎng)管，安全聯(lián)動,桌面管理用戶準(zhǔn)入ZSA,內(nèi)置DPI/防火墻，基于應(yīng)用的分布安全防護(hù),ZXR10 T1200/89,ZXSEC,ZXR10 28/29/51,功能子網(wǎng),交換機自身安全— 各種攻擊防護(hù),安全解決方案,,,2,,企業(yè)園區(qū)網(wǎng)安全解決方案,提 綱,,防火墻技術(shù),DPI技術(shù),,防火墻技術(shù),,,,易擴(kuò)展,多功能,多核架構(gòu) 高背板帶寬,易管理,高性能,可靠性,虛擬防火墻,HA 負(fù)載均衡,We

9、b/snmp/console統(tǒng)一網(wǎng)管,NAT防攻擊VPN防病毒,虛擬防火墻功能-策略、資源完全獨立分配,功能靈活部門隔離——根據(jù)不同的應(yīng)用分配不同的虛擬防火墻虛擬防火墻與VPN的關(guān)聯(lián)，不同的VPN分配不同的虛擬防火墻服實現(xiàn)訪問用戶與服務(wù)器之間的單向隔離，端口訪問限制防止病毒的傳播部署靈活業(yè)務(wù)規(guī)劃改變、部門調(diào)整降低運維成本，簡化網(wǎng)管復(fù)雜度,高性能,,,,正常用戶,園區(qū)網(wǎng),,異常用戶,正常用戶,Internet,,交換

10、機＋N塊防火墻模塊,內(nèi)外網(wǎng)隔離：防火墻模塊串接，性能要求不低于出口帶寬內(nèi)網(wǎng)防護(hù)：通過多個防火墻模塊擴(kuò)展帶寬多核架構(gòu)，單模塊性能強，最小帶寬不低于5G多模塊，整體能夠達(dá)到N×單板性能,,,,,高可靠性,,HA進(jìn)行冗余備份負(fù)載均衡：支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負(fù)載均衡方式兩個核心設(shè)備之間形成HA同一設(shè)備的兩塊單板模塊也可以實現(xiàn) HA——主備冗余/負(fù)載均衡,HA心跳線,統(tǒng)一網(wǎng)管,通過防火墻與網(wǎng)

11、管中心即接入設(shè)備進(jìn)行聯(lián)動支持WEB/console/telnet等多種管理方式,,,2,,企業(yè)園區(qū)網(wǎng)安全解決方案,提 綱,,防火墻技術(shù),DPI技術(shù),,,,http://www.freesurf.com/downloads/Gettysburg,,,Four score and BAD CONTENT our forefathers brou,,,,ght forth upon this continent a new nation

12、,,n liberty, and dedicated to the proposition that all,,,,,包頭(源, 目的, 數(shù)據(jù)類型等),,包負(fù)載 (內(nèi)容),數(shù)據(jù)包,,,,,OK,OK,OK,,不掃描,,,OK,狀態(tài)檢測防火墻,只檢查包頭 – 就好像只檢查信封，而不看信里的內(nèi)容,,傳統(tǒng)防火墻弱點如下：沒有深度包檢測來發(fā)現(xiàn)惡意代碼每包的轉(zhuǎn)發(fā)方式，不能進(jìn)行包重組惡意程序可以通過信任端口建立隧道穿過去傳統(tǒng)的部署方法僅僅

13、是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊,傳統(tǒng)防火墻的局限性,什么是DPI,DPI 全稱為“Deep Packet Inspection”，稱為“深度包檢測”，是以業(yè)務(wù)流的連接為對象，深入分析業(yè)務(wù)的高層協(xié)議內(nèi)容，結(jié)合數(shù)據(jù)包的深度特征值檢測和協(xié)議行為的分析，以達(dá)到應(yīng)用層網(wǎng)絡(luò)協(xié)議識別為目的的技術(shù)。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包的層4 以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而深度包

14、檢測除了對前面的層次分析外，還增加了應(yīng)用層分析，從原來的二到四層（數(shù)據(jù)鏈路層-傳輸層）覆蓋到了第七層，強化了傳統(tǒng)的數(shù)據(jù)包檢測技術(shù)SPI的深度和精確度，能夠識別各種應(yīng)用及其內(nèi)容，是對傳統(tǒng)數(shù)據(jù)流檢測技術(shù)的延伸和加強。,傳統(tǒng)網(wǎng)絡(luò)設(shè)備基于五元組：源、目標(biāo)地址，協(xié)議類型，源、目的端口號 DPI提供七層業(yè)務(wù)層的報文深入分析，是業(yè)務(wù)層安全和控制的重要手段,DPI技術(shù)原理,特征識別技術(shù)智能協(xié)議分析技術(shù)會話狀態(tài)分析技術(shù)異常檢測技術(shù),特征字識別,端

15、口號是可以隱藏的，但目前較難以隱藏應(yīng)用層的協(xié)議特征。 特征識別：是指檢測引擎將數(shù)據(jù)包載荷中的數(shù)據(jù)與預(yù)先定義的應(yīng)用層協(xié)議特征進(jìn)行對比，以判定數(shù)據(jù)傳輸?shù)恼鎸嵕W(wǎng)絡(luò)應(yīng)用；以熟知的BT為例，其Handshake的協(xié)議特征字為“BitTorrent Protocol”，如果IP包的數(shù)據(jù)區(qū)包含BT對等協(xié)議的特征“BitTorrent protocol”，那么可以標(biāo)識這是一個BT 流；,,端口檢測,特征字檢測,智能協(xié)議分析技術(shù),某些業(yè)務(wù)的控制流和業(yè)

16、務(wù)流是分離的，業(yè)務(wù)流沒有任何特征，這種情況下，我們就需要采用智能協(xié)議分析技術(shù)先識別出控制流，并對其進(jìn)行協(xié)議解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流如SIP/H323協(xié)議通過信令交互過程，協(xié)商得到其數(shù)據(jù)通道，一般是RTP格式封裝的語音流，只有通過檢測SIP/H323的協(xié)議交互，才能得到其完整的分析。,,,會話狀態(tài)檢測技術(shù),會話檢測技術(shù)：按照客戶-服務(wù)器間的通信內(nèi)容，把數(shù)據(jù)包重組為連續(xù)的會話流，在此基礎(chǔ)上，對協(xié)議的狀態(tài)和協(xié)議行為進(jìn)行檢測和分

17、析，以識別會話的真實網(wǎng)絡(luò)應(yīng)用，準(zhǔn)確率高。,ID軌跡檢測,HTTP包頭檢測,連接數(shù)檢測,☉統(tǒng)計某個IP打開的端口數(shù)或流量，超過一定閾值則認(rèn)為是共享上網(wǎng)用戶,行為分析技術(shù),異常檢測技術(shù)(Anomaly Detection)：指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生異常行為，而不依賴于具體行為是否出現(xiàn)來檢測；對于網(wǎng)絡(luò)上的攻擊行為，并不是其數(shù)據(jù)報文本身具有特性，而是整個上網(wǎng)行為有特征；通過異常檢測技術(shù)，識別攻擊、病毒和木馬等異常流量。

18、,,TCP攻擊模式,DPI系統(tǒng),分析→控制→精細(xì)管理,業(yè)務(wù)識別和檢測,業(yè)務(wù)控制,報表和統(tǒng)計,策略和業(yè)務(wù)管理,,用戶識別端口識別應(yīng)用協(xié)議識別特征字識別內(nèi)容識別異常檢測……,,轉(zhuǎn)發(fā)丟棄限速流量整形帶寬預(yù)留重定義優(yōu)先級重定向?qū)哟位疩oS……,,收集流量信息用戶行為分析業(yè)務(wù)流量分析各種統(tǒng)計報表趨勢和分布……,,業(yè)務(wù)特征定義特征升級服務(wù)定制策略管理系統(tǒng)維護(hù)……,用戶行為分析,通過后臺分析系統(tǒng)的數(shù)據(jù)挖

19、掘，能夠獲得包括用戶業(yè)務(wù)流量類型、用戶平均上網(wǎng)時間、用戶主要在線時段、用戶興趣等在內(nèi)的個性化特征信息。通過對用戶的個性化信息的統(tǒng)計，能夠及時和準(zhǔn)確的調(diào)整業(yè)務(wù)運營方式、業(yè)務(wù)運營內(nèi)容、或者發(fā)現(xiàn)新的業(yè)務(wù)增長點等。,,流量行為分析,報文監(jiān)控,,抑制未經(jīng)許可的VoIP,,,園區(qū)網(wǎng),,Internet,,交換機＋DPI,電話網(wǎng)關(guān),發(fā)送控制包,正常情況下的通話,加噪音控制的通話,中斷連接增加噪音分時控制,檢測承載在UDP之上的媒體流RTP連接數(shù)

20、判斷是否為企業(yè)的VoIP網(wǎng)關(guān)檢測VOIP呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話通過部署DPI系統(tǒng)對對VoIP用戶的信令流量和媒體流量進(jìn)行關(guān)聯(lián)檢測，對VoIP流量進(jìn)行分類統(tǒng)計分析，如果判斷出該用戶為未經(jīng)許可用戶，可對VoIP流量進(jìn)行管理，抑制未經(jīng)許可的VoIP業(yè)務(wù),控制,,抑制P2P,,,園區(qū)網(wǎng),,Internet,,交換機＋DPI,P2P用戶,P2P用戶,P2P用戶,P2P用戶,,,對P2P流量進(jìn)行限制，在不

21、影響用戶使用的情況下，減少P2P對帶寬的消耗采用分級服務(wù)，對不同的客戶群采用不同的P2P控制策略，發(fā)揮P2P業(yè)務(wù)的優(yōu)勢,P2P Traffic after DPI,阻斷限速低優(yōu)先級,阻斷線速低優(yōu)先級,,,,高端交換機內(nèi)置防火墻/DPI模塊介紹,,,3,提 綱,企業(yè)園區(qū)網(wǎng)安全解決方案——防火墻技術(shù)——DPI技術(shù),企業(yè)園區(qū)網(wǎng)安全應(yīng)用場景,,1,,2,集成在設(shè)備內(nèi)的防火墻模塊保證網(wǎng)絡(luò)安全,靈活部署，可以不改變原網(wǎng)絡(luò)架構(gòu)高性

22、能多核架構(gòu)，進(jìn)行安全過濾的同時不影響網(wǎng)絡(luò)性能統(tǒng)一架構(gòu)集成轉(zhuǎn)發(fā)模塊和多種安全模塊， 擴(kuò)展能力強支持虛擬防火墻、NAT等安全功能中興89系列高端交換機內(nèi)置防火墻模塊重要數(shù)據(jù)中心的網(wǎng)絡(luò)安全企業(yè)園區(qū)高安全訪問企業(yè)網(wǎng)絡(luò)出口安全防護(hù)園區(qū)無線訪問的網(wǎng)絡(luò)安全基于多種圖形界面的網(wǎng)管界面,融合了防火墻的網(wǎng)絡(luò)設(shè)備融合了安全的網(wǎng)絡(luò),集成在設(shè)備內(nèi)的DPI模塊保證網(wǎng)絡(luò)安全,部署在企業(yè)網(wǎng)出口處和核心層的高端交換機集成了DPI模塊的，完成業(yè)務(wù)識別和控

23、制功能中興DPI基于流檢測方式，例如可以針對P2P流量選擇處理方式：丟棄、流限速或者不對流量處理等配合服務(wù)器，感知流量中的VOIP、數(shù)據(jù)、多媒體等，動態(tài)調(diào)整帶寬以及Qos，為用戶提供最優(yōu)化的網(wǎng)絡(luò)資源高性能，既能靈活擴(kuò)展業(yè)務(wù)，而且性能不受影響規(guī)則庫在線升級,,0101100101..,,正常上網(wǎng)流量：PASS,P2P；流量：HOLD,非法流量：Discard,0101100101..,0101100101..,集成了DPI模塊的網(wǎng)