DPI 防護技術具備哪些四個特征

DPI防護技術具備以下四個特征：

• 應用層加密解密：SSL 被廣泛應用于各種場合，以確保相關數據的安全性。這就對防火墻提出了新要求：必須能夠處理數據加密/解密。如果不對SSL加密的數據進行解密，防火墻就不能對負載的信息進行分析，更不可能判斷數據分組中是否含有應用層攻擊信息。如果沒有解密功能，深度檢測的所有優點都無法體現出來。由于SSL加密的安全性很高，企業常使用SSL技術，以確保關鍵應用程序的通信數據的安全性。如果深度檢測不能對企業中關鍵應用程序提供深度檢測安全性的話，整個深度檢測的優勢將失去意義。

• 正常化：防范應用層攻擊，很大程度上依賴于字符串匹配。不正常的匹配會造成安全漏洞。比如，為了探知某種請求的安全策略是否被啟用，防火墻通常根據請求的URL與安全策略來進行匹配。一旦與某種策略條件完全匹配，防火墻就采用對應的安全策略。指向同一個資源的URL或許有多種不同形態，如果該URL的編碼方式不同的話，二進制方式的比較就不起作用了。攻擊者會利用各種技術，對輸入的URL進行偽裝，企圖避開字符串匹配，以達到越過安全設備的目的。

• 協議一致性：應用層協議（如HTTP、SMTP、POP3、DNS、IMAP和FTP）在應用程序中經常用到。每個協議都由RFC（Request for Comments，請求注解）相關規范創建。深度檢測防火墻必須確認應用層數據流是否與這些協議定義相一致，以防止隱藏其中的攻擊。深度檢測在應用層進行狀態檢測。協議一致性通過對協議報文的不同字段進行解密而實現，當協議中的字段被識別出來后，防火墻采用RFC定義的應用規則，來檢查其合法性。

• 雙向負載檢測：深度檢測具有強大功能，能夠允許數據分組通過，拒絕數據分組，檢查或修改第4～7層數據分組，包括分組頭部或負載。HTTP深度檢測能夠查看到消息體中的URL、分組頭部和參數等信息。深度檢測防火墻能夠自動進行動態配置，以便正確檢測服務變量，如最大長度、隱藏字段和 Radio 按鈕等。如果請求的變量不匹配、不存在或者不正確，深度檢測防火墻會將請求丟棄掉，將該事件寫入日志、并向管理員發出警告信息。

DPI防護技術具備以下這些功能：

• 業務識別：一般而言，對于業務識別有兩種方法：一種是對運營商開通的合法業務，另外一種是運營商需要進行監管的業務。前者可以通過業務流的五元組來標識，如VOD業務，其業務流的地址是屬于VOD服務器網段的地址，其端口是一個固定的端口。系統一般采用ACL的方式，識別出該類業務。后者需要DPI技術，通過前述的業務識別方法，對IP數據分組的內容進行分析，通過特征字的查找或者業務的行為統計，得到業務流的類型。

• 業務控制：通過DPI技術識別出各類業務流后，根據網絡配置的組合條件，如用戶、時間、帶寬和歷史流量等，對業務流進行控制。控制方法包括：正常轉發、阻塞、限制帶寬、整形和重標記優先級等。為了便于業務的運營，業務控制策略一般集中配置在策略服務器中，用戶上線后動態下發。

• 業務統計：DPI的業務統計功能是為了直觀地統計網絡的業務流量分布和用戶的各種業務使用情況，從而更好地發現促進業務發展和影響網絡正常運營的因素，為網絡和業務優化提供依據。例如發掘對用戶有吸引力的業務，驗證業務提供水平是否達到了用戶的服務等級協議（SLA），統計分析出網絡中的攻擊流量占多少比例，多少用戶正在使用某種游戲業務，哪幾種業務最消耗網絡的帶寬和哪些用戶使用了非法VOIP等。

• 雙向負載檢測：深度檢測具有強大功能，能夠允許數據分組通過，拒絕數據分組，檢查或修改第4～7層數據分組，包括分組頭部或負載。HTTP深度檢測能夠查看到消息體中的URL、分組頭部和參數等信息。深度檢測防火墻能夠自動進行動態配置，以便正確檢測服務變量，如最大長度、隱藏字段和Radio按鈕等。如果請求的變量不匹配、不存在或者不正確，深度檢測防火墻會將請求丟棄掉，將該事件寫入日志、并向管理員發出警告信息。

• 行為模式識別：行為模式識別基于對終端已經實施的行為分析，判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術通常用于無法根據協議判斷的業務的識別。例如，SPAM（垃圾郵件）業務流和- mail業務流從E-mail的內容上看是完全一致的，只有通過對用戶行為的分析，才能夠準確地識別出SPAM業務。

回答所涉及的環境：聯想天逸510S、Windows 10。