深度數(shù)據(jù)包檢測(DPI)工具主要用于服務(wù)提供商網(wǎng)絡(luò),而今企業(yè)網(wǎng)絡(luò)管理員越來越多地采用這種技術(shù),優(yōu)化應(yīng)用程序性能管理和保證更高水平的安全性。
基本的防火墻檢測數(shù)據(jù)包頭,保證HTTP請求只能通向Web服務(wù)器,而SMTP流量則轉(zhuǎn)發(fā)到電子郵件服務(wù)器,但是這無法防御Web攻擊或通過電子郵件傳播的惡意軟件。而DPI工具會(huì)檢測數(shù)據(jù)包的所有內(nèi)容,根據(jù)所使用的應(yīng)用層協(xié)議確定性能水平。因此使用DPI,就可以查找、識(shí)別、分類、重新確定路由或阻擋帶有特定數(shù)據(jù)或代碼的數(shù)據(jù)包,而這是常規(guī)數(shù)據(jù)包過濾技術(shù)無法檢測的。
DPI工具:基于流與基于代理
數(shù)據(jù)包檢測方法可以分成兩類:基于流和基于代理。
基于流的檢測方式可以檢查每一個(gè)到達(dá)數(shù)據(jù)包中的數(shù)據(jù)。如果沒有發(fā)現(xiàn)威脅,就將數(shù)據(jù)包轉(zhuǎn)到目標(biāo)位置;诖淼臋z測方式會(huì)緩沖構(gòu)成一個(gè)事務(wù)的一系列數(shù)據(jù)包,在接收到所有數(shù)據(jù)包之后進(jìn)行威脅掃描。基于流和基于代理的檢測技術(shù)都能夠?qū)?shù)據(jù)序列與威脅簽名進(jìn)行匹配,并且能夠利用試探法檢測零日攻擊。
對于基于代理的DPI工具,反對者認(rèn)為進(jìn)入防御設(shè)備的數(shù)據(jù)量(特別是文件越來越大)使基于代碼的產(chǎn)品無法緩沖所有到達(dá)的流量。而且,他們相信,緩沖大文件會(huì)影響應(yīng)用程序性能,造成不可接受的延遲。
例如,為了解決緩沖區(qū)大小的問題,F(xiàn)ortinet推出了一個(gè)產(chǎn)品,其中有一個(gè)限制緩沖區(qū)大小的配置參數(shù)。該公司的相關(guān)文檔解釋說,緩沖區(qū)大小與漏過攻擊的可能性之間需要進(jìn)行權(quán)衡。此外,基于代理的檢測的支持者則認(rèn)為,基于流和基于代理的工具性能差別只是一種錯(cuò)覺,實(shí)際的事務(wù)處理時(shí)間非常接近。
同時(shí),對于基于流的技術(shù),反對者認(rèn)為這些工具不如基于代理的工具全面,因?yàn)槿绻粰z查整個(gè)事務(wù),它就無法檢測威脅。而且,他們認(rèn)為基于流的產(chǎn)品只支持一些基本的解壓縮技術(shù),如.zip,而基于代理的產(chǎn)品則支持更多的解壓縮技術(shù);诹鞯漠a(chǎn)品供應(yīng)商則認(rèn)為,他們的軟件在逐一檢查數(shù)據(jù)包時(shí),就能夠發(fā)現(xiàn)惡意軟件的特征。
Wedge Networks提出了另一種DPI機(jī)制:深度內(nèi)容檢測。Wedge的產(chǎn)品會(huì)收集一系列的數(shù)據(jù)包,然后執(zhí)行解壓縮和解碼,將它們轉(zhuǎn)換為應(yīng)用程序級對象。這樣,Wedge的反垃圾、反病毒和Web監(jiān)控產(chǎn)品就可以對整個(gè)對象進(jìn)行檢查,從中發(fā)現(xiàn)威脅。
將DPI整合到其他網(wǎng)絡(luò)安全和管理設(shè)備上
DPI功能越來越多地整合到其他網(wǎng)絡(luò)安全和管理設(shè)備上,用于優(yōu)化網(wǎng)絡(luò)訪問控制,甚至保證服務(wù)質(zhì)量(QoS)。入侵防御系統(tǒng)(IPS)、統(tǒng)一威脅管理 (UTM)和數(shù)據(jù)泄漏保護(hù)(DLP)設(shè)備中的DPI功能不僅能夠抵御惡意軟件,還能夠降低企業(yè)網(wǎng)絡(luò)中個(gè)人設(shè)備引起的安全風(fēng)險(xiǎn)。
此外,DPI工具能夠顯示每一個(gè)應(yīng)用程序所使用的帶寬比例。所以,有一些DPI設(shè)備甚至幫助網(wǎng)絡(luò)管理員基于這些數(shù)據(jù)控制帶寬分配。DPI還可以用在網(wǎng)絡(luò)測試設(shè)備中,幫助網(wǎng)絡(luò)管理員誘捕和記錄應(yīng)用層發(fā)生的特定事件。
現(xiàn)在,DPI正被整合到其他的網(wǎng)絡(luò)管理和安全設(shè)備上,因此有越來越多的網(wǎng)絡(luò)技術(shù)供應(yīng)商推出了這類工具。在關(guān)于DPI工具的系列文章中,我們將列舉大量的DPI供應(yīng)商。