内容安全(DPI和DFI解析)
内容安全前言:
防火墙的本质其实就是包过滤,我们通常所说的安全设备(如:IPS、IDS、AV、WAF)的检测重心是应用层。下一代防火墙基于传统防火墙的拓展能力,就是可以将以上的安全设备模块集成在一起,对流量进行检测。这些就体现在安全策略中的内容检测中。
注意:攻击可能只是一个点,防御需要全方面进行
华为中 IAE引擎 的运行流程:
是一种并联检测系统,类似于统一威胁网关(UTM),但是在共享部分是串联部署,之后采用的是并联部署,效率更高。而这个引擎的核心则是DPI和DFI技术。
DFI和DPI技术 --- 深度行为检测技术
DPI --- 深度包检测技术
深度包检测技术包括以下三种类型:
主要针对完整的数据包(数据包分片,分段需要重组,也就是加强检测的可靠性),之后对数据包的内容进行识别(主要用于应用层中)
- 基于"特征字"的检测技术:是最常用的识别手段,基于一些协议的字段来识别特征(可以基于一些特殊的字段来进行检测,如:Host,UA)。以下是用wireshark抓取的HTTP数据包,因为是明文传输,所以可以很清楚的看到UA字段及浏览器和平台信息
- 基于应用网关的检测技术:有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺少可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。因为后面的UDP传输一般是纯流量传输,无法识别。
- 基于行为模式的检测技术:比如我们需要拦截一些垃圾邮件,但是从特征字中很难区分垃圾邮件和正常邮件,所以可以基于行为来进行判断。垃圾邮件可能存在高频,群发等特性,如果出现就可以将其认定为垃圾邮件,进行拦截,并对IP进行封锁。
DFI --- 深度流检测技术
一种基于流量行为的应用识别技术(针对数据流来检测)。这种方法比较适合判断P2P流量。
不同应用的流量本身的特点是不一样的。在企业中,一般会禁用P2P流(看视频或娱乐),因为P2P流会大量消耗带宽,影响办公。
结论:
1、DFI仅对流量进行分析,所以只能对应用类型进行笼统的分类,无法识别出具体的应用;
DPI进行检测会更加精细和精准;
2、如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密手段;
但是,加密并不会影响数据流本身的特征,所以DFI的方式不受影响。
所以在真实环境中,两种深度检测技术一般会同时使用。