04-DPI深度安全配置指导

01-DPI深度安全概述

本章节下载  (217.13 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_CG(V7)(R9323_R9320_R9514_R8219)-6W206/04/201912/1249171_30005_0.htm

01-DPI深度安全概述


1 DPI深度安全概述

1.1  DPI深度安全简介

DPI(Deep Packet Inspection,深度报文检测)深度安全是一种基于应用层信息对经过设备的网络流量进行检测和控制的安全机制。

1.1.1  DPI深度安全的应用背景

随着信息技术的日新月异和网络信息系统应用的快速发展,网络技术应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展,网络所承载的数据应用日益增加,呈现复杂化、多元化趋势。网络在使得我们的工作和生活快捷、方便的同时也带来了许多安全问题,比如,信息泄露和计算机感染病毒等。

虽然防火墙技术在网络中的应用极大提高了网络的安全性。但是日益复杂的网络安全威胁中,很多恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。因此,在网络应用和网络威胁都不断高速增长的今天,仅仅依靠网络层和传输层的安全检测技术,已经无法满足日益增长的网络安全要求。

因此,设备必须具备DPI深度安全功能,实现对网络应用层信息的检测和控制,以保证数据内容的安全。

1.1.2  DPI深度安全的功能

DPI深度安全提供了一种对数据报文进行一体化检测和多DPI业务(如IPS、防病毒等)处理相结合的安全机制,提高了设备的安全检测以及DPI业务处理性能,简化了多DPI业务策略配置的复杂度。

具体来说,DPI深度安全功能可以实现业务识别、业务控制和业务统计。

·            业务识别

业务识别是指对报文传输层以上的内容进行分析,并与设备中的特征字符串进行匹配来识别业务流的类型。业务识别功能由应用层检测引擎模块来完成,应用层检测引擎是实现DPI深度安全功能的核心和基础。业务识别的结果可为DPI各业务模块对报文的处理提供判断依据。

·            业务控制

业务识别之后,设备根据各DPI业务模块的策略以及规则配置,实现对业务流量的灵活控制。目前,设备支持的控制方法主要包括:放行、丢弃、源阻断、重置、捕获和生成日志。

·            业务统计

业务统计是指对业务流量的类型、协议解析的结果、特征报文的检测和处理结果等进行统计。业务统计的结果可以直观体现业务流量分布和用户的各种业务使用情况,便于更好的发现促进业务发展和影响网络正常运行的因素,为网络和业务优化提供依据。

1.1.3  DPI特征库

DPI深度安全功能的业务识别是对报文进行特征字符串匹配,所以设备中必须拥有业务识别所需要的特征项。DPI特征库就是这些公共的、通用的特征项的集合,可被打包到标准的特征库文件中供设备加载。通常情况下,管理员只需要定期加载最新的特征库文件到设备上即可及时更新本地的特征项。除此之外,管理员还可以根据实际网络需求按照设备支持的语法,自定义特征,作为特殊网络环境下的补充。

目前,设备中的DPI特征库包括:IPS特征库、URL分类特征库、APR特征库和防病毒特征库。

1.1.4  DPI业务

目前,设备支持的DPI业务主要包括:IPS(Intrusion Prevention System,入侵防御系统)、URL过滤、数据过滤、文件过滤、防病毒和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别),有关DPI业务的详细介绍请参见表1-1

表1-1 DPI业务详细介绍

DPI业务

功能

IPS

IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的

URL过滤

URL过滤功能可对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的

数据过滤

数据过滤功能可对应用层协议报文中携带的内容进行过滤,阻止企业机密信息泄露和违法、敏感信息的传播

文件过滤

文件过滤功能可根据文件扩展名信息对经设备传输的文件进行过滤

防病毒

防病毒功能可经过设备的文件进行病毒检测和处理,确保内部网络安全

NBAR

NBAR功能通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议,有关NBAR功能的详细介绍请参见“安全配置指导”中的“APR”

 

1.1.5  DPI深度安全的处理流程

DPI深度安全功能可基于安全策略和对象策略两种方式实现,优先推荐使用基于安全策略的方式。

1. 基于安全策略实现DPI深度安全功能

在此方式下,当符合安全策略过滤条件的报文经过设备时,DPI深度安全处理流程如图1-1所示。

图1-1 DPI深度安全处理流程图

 

DPI深度安全处理流程具体如下:

(1)       报文将与安全策略进行匹配。安全策略规则中定义了用来进行报文匹配的源安全域、目的安全域、源IP地址、目的IP地址和服务类型等过滤条件。

(2)       如果报文与安全策略中的所有条件都匹配,则此报文成功匹配安全策略。如果报文未与安全策略匹配成功,则此报文将会被丢弃。

(3)       如果报文成功匹配安全策略,设备将执行此安全策略中指定的动作。如果动作为“丢弃”,则设备将阻断此报文;如果动作为“允许”,则继续进行步骤4的处理。

(4)       如果安全策略中的动作“允许”且引用的DPI业务存在,则设备将对此报文进行DPI业务的一体化检测。如果安全策略中引用的DPI业务不存在,则设备将允许此报文通过。

2. 基于对象策略实现DPI深度安全功能

在此方式下,当属于某安全域间实例的报文经过设备时,DPI深度安全处理流程如图1-2所示。

图1-2 DPI深度安全处理流程图

 

DPI深度安全处理流程具体如下:

(1)       进入安全域间实例的报文将与此安全域间实例下的对象策略规则进行匹配。每一个安全域间实例下可以关联多个对象策略规则,且其中定义了匹配报文的源IP地址、目的IP地址和服务类型等信息。有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。

(2)       如果报文与对象策略规则中的所有条件都匹配,则此报文成功匹配对象策略规则。如果报文未与对象策略规则匹配成功,则此报文将会被拒绝通过。

(3)       如果报文成功匹配对象策略规则,设备将执行此对象策略规则中指定的动作。如果动作为“丢弃”,则设备将阻断此报文;如果动作为“允许”,则设备将允许此报文通过;如果动作为“inspect”,则继续进行步骤4的处理。

(4)       如果对象策略规则中的动作为“inspect”且引用的DPI业务存在,则设备将对此报文进行DPI业务的一体化检测。如果对象策略规则中引用的DPI业务不存在,则设备将允许此报文通过。

1.2  DPI深度安全配置指导

DPI深度安全是一种综合的安全机制,是多种安全业务功能的系统组合,有关DPI深度安全的常规配置流程如图1-3图1-4所示。

图1-3 DPI深度安全配置指导图(基于安全策略实现)

 

图1-4 DPI深度安全配置指导图(基于对象策略实现)

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们