- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-DPI深度安全概述
本章節下載: 01-DPI深度安全概述 (236.65 KB)
目 錄
DPI(Deep Packet Inspection,深度報文檢測)深度安全是一種基於應用層信息對經過設備的網絡流量進行檢測和控製的安全機製。在日益複雜的網絡安全威脅中,很多惡意行為(比如,蠕蟲病毒、垃圾郵件、漏洞等)都是隱藏在數據報文的應用層載荷中。傳統安全防護技術僅僅依靠網絡層和傳輸層的安全檢測技術已經無法滿足網絡安全要求。因此,設備必須具備DPI功能,實現對網絡應用層信息的檢測和控製,以保證數據內容的安全,提高網絡的安全性。
DPI深度安全提供如下功能:
· 業務識別
應用層檢測引擎模塊對報文傳輸層以上的內容進行分析,並與設備中的特征字符串進行匹配來識別業務流的類型。應用層檢測引擎是實現DPI深度安全功能的核心和基礎。業務識別的結果可為DPI各業務模塊對報文的處理提供判斷依據。
· 業務控製
業務識別之後,設備根據各DPI業務模塊的策略以及規則配置,實現對業務流量的靈活控製。目前,設備支持的控製方法主要包括:放行、丟棄、源阻斷、重置、捕獲和生成日誌。
· 業務統計
業務統計是指對業務流量的類型、協議解析的結果、特征報文的檢測和處理結果等進行統計。業務統計的結果可以直觀體現業務流量分布和用戶的各種業務使用情況,便於更好的發現促進業務發展和影響網絡正常運行的因素,為網絡和業務優化提供依據。
DPI深度安全功能的業務識別是對報文進行特征字符串匹配,所以設備中必須擁有業務識別所需要的特征項。DPI特征庫就是這些公共的、通用的特征項的集合,可被打包到標準的特征庫文件中供設備加載。通常情況下,管理員隻需要定期加載最新的特征庫文件到設備上即可及時更新本地的特征項。除此之外,管理員還可以根據實際網絡需求按照設備支持的語法,自定義特征,作為特殊網絡環境下的補充。
目前,設備中支持的DPI特征庫包括:IPS特征庫、URL分類特征庫、APR特征庫。
有關設備支持的DPI業務介紹,請參見表1-1。
表1-1 DPI業務詳細介紹
|
DPI業務 |
功能 |
|
IPS |
IPS通過分析流經設備的網絡流量來實時檢測入侵行為,並通過一定的響應動作來阻斷入侵行為,實現保護企業信息係統和網絡免遭攻擊的目的 |
|
URL過濾 |
URL過濾功能可對用戶訪問的URL進行控製,即允許或禁止用戶訪問的Web資源,達到規範用戶上網行為的目的 |
|
NBAR |
NBAR功能通過將報文的內容與特征庫中的特征項進行匹配來識別報文所屬的應用層協議,有關NBAR功能的詳細介紹請參見“安全配置指導”中的“APR” |
DPI深度安全功能可基於安全策略、對象策略實現。
當符合安全策略過濾條件的報文經過設備時,DPI深度安全處理流程如圖1-1所示。
圖1-1 DPI深度安全處理流程圖
DPI深度安全處理流程具體如下:
(1) 報文將與安全策略規則進行匹配。安全策略規則中定義了用來進行報文匹配的源安全域、目的安全域、源IP地址、目的IP地址和服務類型等過濾條件,僅當報文與所有過濾條件都匹配時才認為成功匹配安全策略規則。有關安全策略規則的詳細介紹,請參見“安全配置指導”中的“安全策略”。
(2) 如果報文未與任何一條安全策略規則匹配成功,則此報文將會被丟棄。
(3) 如果報文成功匹配安全策略規則,設備將執行此規則中指定的動作。
¡ 如果動作為“丟棄”,則設備將阻斷此報文;
¡ 如果動作為“允許”,且引用的DPI業務存在,則設備將對此報文進行DPI業務的一體化檢測。
¡ 如果動作為“允許”,且引用的DPI業務不存在,則設備將允許此報文通過。
當屬於某安全域間實例的報文經過設備時,DPI深度安全處理流程如圖1-2所示。
圖1-2 DPI深度安全處理流程圖
DPI深度安全處理流程具體如下:
(1) 進入安全域間實例的報文將與此安全域間實例下的對象策略規則進行匹配。每一個安全域間實例下可以關聯多個對象策略規則,且其中定義了匹配報文的源IP地址、目的IP地址和服務類型等信息。僅當報文與對象策略規則中的所有條件都匹配,才認為成功匹配對象策略規則。有關安全域間實例的詳細介紹請參見“安全配置指導”中的“安全域”。
(2) 如果報文未與對象策略規則匹配成功,則此報文將會被拒絕通過。
(3) 如果報文成功匹配對象策略規則,設備將執行此對象策略規則中指定的動作。
¡ 如果動作為“丟棄”,則設備將阻斷此報文;
¡ 如果動作為“允許”,則設備將允許此報文通過;
¡ 如果動作為“inspect”,且引用的DPI業務存在,則設備將對此報文進行DPI業務的一體化檢測。
¡ 如果動作為“inspect”,且引用的DPI業務不存在,則設備將允許此報文通過。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
支持 |
|
MSR810-LMS、MSR810-LUS |
不支持 |
|
MSR810-SI、MSR810-LM-SI |
不支持 |
|
MSR810-LMS-EA、MSR810-LME |
支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
支持 |
|
MSR2600-10-X1 |
支持 |
|
MSR2630-G-X1 |
支持 |
|
MSR 2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
不支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-IMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR 3610、MSR 3620、MSR 3620-DP、MSR 3640、MSR 3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型號 |
描述 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
支持 |
|
MSR830-4LM-WiNet |
支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
支持 |
|
MSR2600-6-WiNet |
支持 |
|
MSR2600-10-X1-WiNet |
支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
支持 |
|
MSR860-6HI-XS |
支持 |
|
MSR2630-XS |
支持 |
|
MSR3600-28-XS |
支持 |
|
MSR3610-XS |
支持 |
|
MSR3620-XS |
支持 |
|
MSR3610-I-XS |
支持 |
|
MSR3610-IE-XS |
支持 |
|
MSR3620-X1-XS |
支持 |
|
MSR3640-XS |
支持 |
|
MSR3660-XS |
支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
支持 |
|
MSR810-W-LM-GL |
支持 |
|
MSR830-6EI-GL |
支持 |
|
MSR830-10EI-GL |
支持 |
|
MSR830-6HI-GL |
支持 |
|
MSR830-10HI-GL |
支持 |
|
MSR1004S-5G-GL |
支持 |
|
MSR2600-6-X1-GL |
支持 |
|
MSR3600-28-SI-GL |
不支持 |
與對象策略相比,安全策略可以基於用戶對報文進行控製,使網絡管理更加靈活和可視。優先推薦使用基於安全策略的方式DPI深度安全功能。
DPI深度安全是一種綜合的安全機製,是多種安全業務功能的係統組合,有關DPI深度安全的常規配置流程如圖1-3、圖1-4所示。
圖1-3 DPI深度安全配置指導圖(基於安全策略實現)
圖1-4 DPI深度安全配置指導圖(基於對象策略實現)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
