交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
行业精选无线系列
无线管理与应用
1 背景
随着信息技术的飞速发展,对等网络(Peer-to-Peer,简称P2P)、流媒体、互动在线游戏和虚拟现实等新型网络业务层出不穷。在这些新兴业务中,P2P业务的流量占互联网数据流量的50%-70%,再加上其他业务流量,极大地加重了网络拥塞,影响了正常网络业务的开展和关键应用的普及。同时,P2P应用的广泛使用也给网络管理带来了极大的挑战。
为了应对新兴业务带来的带宽负载,传统的解决方案是通过简单的网络升级扩容,其弊端也是显而易见的:
● 带宽管理方面:面对不断增长的数据流量,需要不断地增加网络设备,增加硬件成本和运维成本。
● 网络运维方面:缺乏有效的技术监管手段,不能对新型业务数据进行感知和识别。
● 网络安全方面:传统的网络安全检测只能对报文进行四层检测(IP+端口),攻击者可以构造报文(将攻击信息插入到应用层)来绕开检测,从而达到攻击目的。
因此,如何深度感知互联网/移动互联网业务,提供应用级管控手段,成为运营商关注的焦点。为了解决这些问题,DPI技术应运而生。
2 DPI技术介绍
DPI(Deep Packet Inspection,深度报文检测)是一种基于报文的应用层信息对流量进行检测和控制的功能。普通报文检测只能分析报文四层以下的内容,如IP、端口、协议类型等。而DPI技术除了能对这些信息进行分析外,还增加了对应用层的分析,能够识别各种应用及其内容。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时,设备会通过深入读取报文载荷来进行重组和分析,从而识别整个应用程序的内容,然后按照设备定义的管理策略对流量进行后续处理。
正是由于其应用识别的特性,DPI技术在应用审计、应用路由、IPS、流量管理等方面获得广泛的应用,可以阻断外部攻击、审计用户上网行为,极大地提高了网络的安全性。
3 DPI工作原理
3.1 DPI检测原理
不同类型的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或Bit序列。这些指纹由专业的安全专家收集并整理,形成“特性库”,当DPI设备收到报文后,就会通过特征库中的特征规则对报文载荷进行匹配,最终识别出数据流所属的应用类型。
一个特征库中可能有上千条特征规则,匹配报文时,为了能够尽可能的提高报文匹配的效率,降低对报文转发性能的影响。DPI技术提出了快速匹配方法,其原理如下:
(1)先进行近似匹配:取出每条规则的最长特征串,进行最长特征串的多模AC算法匹配。根据最长特征串找到可能匹配的候选规则。
(2)再进行精确匹配:对候选规则进行单模算法的字符串匹配或者正则表达式字符串匹配。
特征码的距离固定,可以用特征库载荷规则选项进行精确特征描述,然后转化为单模算法的字符串匹配进行精确匹配。通常我们会采用改良的单模BM算法进行匹配。
特征码的距离不固定难以描述,可以用正则表达式文法描述,采用正则表达式算法进行匹配。
3.2 DPI检测流程
DPI深度检测流程如下:
(1)设备加载特征库文件。
(2) 当设备收到报文后,在协议和端口的识别基础上对报文载荷进行解码,然后通过特征库中的特征规则对载荷进行匹配,识别报文内容。
(3)根据匹配结果处理报文:
匹配成功,将报文转发给其他业务模块(如IPS、应用路由)进行后续处理等。
匹配失败,放行报文。
4 DPI技术优势
4.1 和传统四层检测比较
传统的四层检测只能识别报文二到四层的信息,如IP、端口号等。而DPI技术不仅能识别这些信息,还能识别应用层信息,识别更精细、更准确。
图4-1 DPI深度检测和传统四层检测对比
4.2 和DFI技术比较
与DPI进行报文应用层载荷的检测不同,DFI采用的是一种基于流量行为的应用识别技术。不同类型的应用,其会话连接或数据流的状态不同。例如,P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,通过机器学习算法建立流量特征模型,分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而鉴别应用类型。
DFI与DPI两种技术的基本目标都是为了实现应用识别,但是两者在实现的着眼点和技术细节方面又有着较大的区别,具体如表4-1所示。
技术类型 | 处理速度 | 维护成本 | 识别准确率 | 适用场景 |
DPI | 较慢(逐包) | 较高(特征库维护) | 较高 | 适用于精细和准确识别、精细管理的场景 |
DFI | 较快(逐流) | 较低 | 较低 | 适用于高效识别、粗放管理的场景 |
5 典型应用
锐捷的防火墙和出口网关系列产品已经全面支持DPI技术,本章以RG-EG3250多业务安全网关为例,介绍DPI技术在网吧场景中的使用及配置思路。
5.1 组网需求
网吧出口有1条光纤线路和多条ADSL线路,根据业务需求,要求关键应用(如游戏、网页浏览、即时通讯等)走光纤链路;抑制应用(如在线影视、P2P下载等)走ADSL线路。视频流媒体软件和HTTP视频流媒体类型等应用在午夜时间不进行抑制,可以走光纤线路。
图5-1 网吧组网需求
5.2 配置思路
● 所有的P2P应用软件、在线影视等非关键应用走ADSL线路,能够在ADSL线路充分应用带宽。
● 设置光纤线路为缺省路由,确保关键应用走光纤线路,网络流畅。
● 当出口带宽不足时,Web业务可以走ADSL线路,减少光纤的使用,为关键业务减少带宽。
相关标签:
点赞
锐捷网络推出磐石无线解决方案,突破传统无线网络的“随机性顽疾”,提供高可靠、低延时、强抗干扰的无线连接。通过无线双链路技术、零漫游技术和空口智驾技术,保障关键业务不中断,满足高密场景(如高校图书馆、智慧医院)和移动业务场景(如智能制造、仓储物流)的稳定需求。结合无线智控中心引擎(WIE)实现智能运维,降低TCO,助力企业数字化转型。磐石无线已在半导体、教育、制造等行业落地,打造“确定性无线”新时代!
#网络管控
锐捷网络2025合作伙伴大会发布创新"体验驱动网络(EDN)"解决方案,通过UNC统一网络平台实现高效运营、业务随身行安全管理和AI智能运维三大核心体验,助力企业构建新一代智慧园区网络。EDN方案融合DeepSeek AI技术,提供端到端业务保障,推动企业数智化转型,与合作伙伴共同打造以用户体验为核心的网络新生态。
#网络管控
锐捷网络在EBG核心伙伴大会发布安全云办公3.0解决方案,以VDI创新技术突破传统云桌面体验瓶颈,通过自研Flex-vGPU(成本降30%)、4K双屏协议(带宽减半)及弹性计算实现高性能图形处理,同时提供一站式数据安全(智能加密+外发审批)。方案全面适配国产化生态(UOS/麒麟/ARM),已服务中化集团、五菱新能源等标杆客户,助力金融、制造、医疗等行业实现思杰替代与3D设计上云,重新定义安全与体验并重的云桌面新标准。
#医疗
#VDI
#云桌面
#互联网
#政府
#交通
#普教
#高职教
2025锐捷网络EBG核心伙伴大会重磅发布“网络+安全一体化”超预期解决方案,直击渠道伙伴交付难、信任危机、体验黑箱三大痛点,通过EDN统一管理、AI智能运维、云+AI溯源闭环等技术,实现分钟级威胁响应与业务体验可视化。锐捷安全深耕教育、政府、金融等五大行业,服务全球35,000+客户,携手腾讯安全等生态伙伴构建协同防御体系,并创新引入AI大模型强化威胁检测,助力合作伙伴简化交付、提升客户信任,共赢数字化安全新未来。
#安全