防火墙DPI技术原理

1高端交换机内置防火墙/DPI模块介绍23提纲企业园区网安全解决方案——防火墙技术——DPI技术企业园区网安全应用场景秘密▲网络面临严峻的安全考验非法操作威胁设备稳定黑客入侵、DDoS攻击威胁网络安全蠕虫、病毒、垃圾邮件影响用户体验垃圾邮件蠕虫病毒DDoS攻击黑客入侵IP网络Internet秘密▲非法流量严重影响网络安全网络已经变得越来越不安全•恶意网页•蠕虫病毒•间谍软件•垃圾邮件•网页欺骗•木马软件•……DMZ服务器区服务中端信息侵犯感染病毒Internet秘密▲网络滥用增多非法活动泛滥应用层威胁越来越难以防御，而且将成为以后威胁的主要来源1通过网络进行传播色情、暴力以及非法的信息对企业网络存在很大的法律风险2网络滥用软件占用大量的带宽，浪费企业的网络资源、降低工作效率3非法网站色情暴力更多的应用的威胁秘密▲P2P流量侵占正常业务带宽P2P占据高带宽已成为带宽杀手。日常40%-60%，高峰70%-90%P2P资源占用大影响关键业务质量，侵占正常生产工作。无法正常开展P2P业务，对P2P业务进行监控P2P文件共享P2P视频P2P语音BitTorrenteDonkeyeMuleSKYPEPPLivePPStream带宽杀手无法监控无法保质秘密▲QoS无法保证无法细分网络中各种应用的流量关键业务的带宽无法保证QOS不能够满足需求网络大量拥塞P2PHTTPemailUncontrolledBandwidth???病毒，攻击网络大量拥塞VOIP垃圾邮件P2PP2PIP网络Internet秘密▲互联网资源滥用对企业产生的负面影响带宽资源的滥用•BT下载、听歌、看电影•在线游戏……组织内部机密泄漏•通过邮件泄密•即时通讯（透露机密）•网页上传，博客等……生产力下降•浏览与工作无关的网页•使用即时通讯软件聊天•听歌、看电影、玩游戏……法律风险•发表反动言论•危害国家安全•机密信息泄漏……秘密▲如何应对？防火墙+DPI防火墙提供基本的安全防护内部网络和外部网络进行有效隔离不同部门不同应用需要不同的部署不同的安全策略DPI提供应用层的安全防护日益复杂的网络应用和攻击等不安全因素，需要对数据流进行更为深入的分析和识别日益复杂的网络应用需要不同的流量和带宽控制技术，而传统的QOS并不能够满足需求，需要保证关键业务的带宽必须引入有效的业务识别与控制方法，在应用层对流量进行分析，并进行控制高端交换机内置防火墙/DPI模块介绍3提纲企业园区网安全解决方案——防火墙技术——DPI技术企业园区网安全应用场景21秘密▲网络安全防护网络核心交换机部署安全模块，不改变网络原来部署基础上加强园区网安全核心交换机部署安全插板保证内网流量互访安全主动发现诸如DDoS攻击、病毒和木马等异常流量；具备一定的网络流量控制能力，能够阻断一些异常流量；使用DPI系统和防火墙设备联动来提升整个网络的安全级别，提供主动的入侵检测和安全防护功能。正常用户园区网异常用户正常用户交换机＋DPI服务器群网管平台安全管理平台ISAMInternet交换机＋FIREWALL秘密▲园区网统一安全部署网络图骨干网Internet无线网对外服务器机群DMZ区核心层汇聚层接入层交换机集群IPTV机顶盒ZXR1089/69/59集中部署安全防范，内外网隔离防范攻击统一安全网管，安全联动桌面管理用户准入ZSA内置DPI/防火墙，基于应用的分布安全防护ZXR10T1200/89ZXSECZXR1028/29/51功能子网交换机自身安全—各种攻击防护秘密▲安全解决方案网络层次安全解决方案①应用场景：园区网、数据中心②设备可串接、可并行核心层安全插板（核心交换机）89+M1-FW89+M1-DPI独立安全设备（核心交换机和出口路由器之间部署）ZXSEC-US安全插板+独立安全设备a.内网安全b.内外隔离c.易扩展a.内外隔离a.内外隔离b.内网安全汇聚层安全插板（汇聚交换机）内网安全分布部署，减轻核心安全设备压力89+M1-FW/M1-DPI2企业园区网安全解决方案提纲防火墙技术DPI技术秘密▲防火墙技术防火墙技术易扩展多功能多核架构高背板带宽易管理高性能可靠性虚拟防火墙HA负载均衡Web/snmp/console统一网管NAT防攻击VPN防病毒秘密▲虚拟防火墙功能-策略、资源完全独立分配功能灵活部门隔离——根据不同的应用分配不同的虚拟防火墙虚拟防火墙与VPN的关联，不同的VPN分配不同的虚拟防火墙服实现访问用户与服务器之间的单向隔离，端口访问限制防止病毒的传播部署灵活业务规划改变、部门调整降低运维成本，简化网管复杂度虚拟防火墙秘密▲高性能正常用户园区网异常用户正常用户服务器群网管平台安全管理平台ISAMInternet交换机＋N块防火墙模块内外网隔离：防火墙模块串接，性能要求不低于出口带宽内网防护：通过多个防火墙模块扩展带宽多核架构，单模块性能强，最小带宽不低于5G多模块，整体能够达到N×单板性能秘密▲高可靠性正常用户园区网异常用户正常用户服务器群网管平台安全管理平台ISAMInternetHA进行冗余备份负载均衡：支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式两个核心设备之间形成HA同一设备的两块单板模块也可以实现HA——主备冗余/负载均衡HA心跳线秘密▲统一网管正常用户园区网异常用户正常用户服务器群网管平台安全管理平台ISAMInternet交换机＋FIREWALL•阻断•线速•低优先级通过防火墙与网管中心即接入设备进行联动支持WEB/console/telnet等多种管理方式2企业园区网安全解决方案提纲防火墙技术DPI技术秘密▲包头(源,目的,数据类型等)包负载(内容)数据包OKOKOK不扫描OK状态检测防火墙只检查包头–就好像只检查信封，而不看信里的内容传统防火墙弱点如下：没有深度包检测来发现恶意代码每包的转发方式，不能进行包重组恶意程序可以通过信任端口建立隧道穿过去传统的部署方法仅仅是网络边缘，不能防御内部攻击传统防火墙的局限性秘密▲什么是DPIDPI全称为“DeepPacketInspection”，称为“深度包检测”，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。协议源地址目的地址源端口目的端口数据/语音/视频/病毒/攻击……四层及以下的感知应用层感知IP载荷包头传统网络设备基于五元组：源、目标地址，协议类型，源、目的端口号DPI提供七层业务层的报文深入分析，是业务层安全和控制的重要手段秘密▲DPI技术原理特征识别技术智能协议分析技术会话状态分析技术异常检测技术秘密▲特征字识别端口号是可以隐藏的，但目前较难以隐藏应用层的协议特征。特征识别：是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行对比，以判定数据传输的真实网络应用；以熟知的BT为例，其Handshake的协议特征字为“BitTorrentProtocol”，如果IP包的数据区包含BT对等协议的特征“BitTorrentprotocol”，那么可以标识这是一个BT流；BT客户端端口范围贪婪ABC可以手工设置BitComet没有公开BitTorrentPlus可以手工设置BitTorrent6881～6889比特精灵BitSpirit16881端口检测特征字检测秘密▲智能协议分析技术某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况下，我们就需要采用智能协议分析技术先识别出控制流，并对其进行协议解析，从协议内容中识别出相应的业务流如SIP/H323协议通过信令交互过程，协商得到其数据通道，一般是RTP格式封装的语音流，只有通过检测SIP/H323的协议交互，才能得到其完整的分析。秘密▲会话状态检测技术会话检测技术：按照客户-服务器间的通信内容，把数据包重组为连续的会话流，在此基础上，对协议的状态和协议行为进行检测和分析，以识别会话的真实网络应用，准确率高。ID轨迹检测HTTP包头检测连接数检测☉统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户秘密▲行为分析技术异常检测技术(AnomalyDetection)：指根据使用者的行为或资源使用状况来判断是否发生异常行为，而不依赖于具体行为是否出现来检测；对于网络上的攻击行为，并不是其数据报文本身具有特性，而是整个上网行为有特征；通过异常检测技术，识别攻击、病毒和木马等异常流量。TCPflag值固定ACK值固定目的端口随机源端口随机IP包长度固定TCP攻击模式秘密▲DPI系统分析→控制→精细管理DPI系统业务识别和检测业务控制报表和统计策略和业务管理用户识别端口识别应用协议识别特征字识别内容识别异常检测……转发丢弃限速流量整形带宽预留重定义优先级重定向层次化QoS……收集流量信息用户行为分析业务流量分析各种统计报表趋势和分布……业务特征定义特征升级服务定制策略管理系统维护……秘密▲用户行为分析通过后台分析系统的数据挖掘，能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的个性化特征信息。通过对用户的个性化信息的统计，能够及时和准确的调整业务运营方式、业务运营内容、或者发现新的业务增长点等。流量行为分析报文监控正常用户园区网异常用户正常用户服务器群网管平台安全管理平台ISAMInternet交换机＋DPI流量信息……秘密▲抑制未经许可的VoIP园区网服务器群网管平台安全管理平台ISAMInternet交换机＋DPI电话网关发送控制包正常情况下的通话加噪音控制的通话中断连接增加噪音分时控制检测承载在UDP之上的媒体流RTP连接数判断是否为企业的VoIP网关检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话通过部署DPI系统对对VoIP用户的信令流量和媒体流量进行关联检测，对VoIP流量进行分类统计分析，如果判断出该用户为未经许可用户，可对VoIP流量进行管理，抑制未经许可的VoIP业务控制秘密▲抑制P2P园区网服务器群网管平台安全管理平台ISAMInternet交换机＋DPIP2P用户P2P用户P2P用户P2P用户对P2P流量进行限制，在不影响用户使用的情况下，减少P2P对带宽的消耗采用分级服务，对不同的客户群采用不同的P2P控制策略，发挥P2P业务的优势P2PTrafficafterDPI•阻断•限速•低优先级•阻断•线速•低优先级高端交换机内置防火墙/DPI模块介绍3提纲企业园区网安全解决方案——防火墙技术——DPI技术企业园区网安全应用场景12秘密▲集成在设备内的防火墙模块保证网络安全灵活部署，可以不改变原网络架构高性能多核架构，进行安全过滤的同时不影响网络性能统一架构集成转发模块和多种安全模块，扩展能力强支持虚拟防火墙、NAT等安全功能中兴89系列高端交换机内置防火墙模块重要数据中心的网络安全企业园区高安全访问企业网络出口安全防护园区无线访问的网络安全基于多种图形界面的网管界面＋融合了防火墙的网络设备