防火墙dpi技术原理ppt课件.pptVIP

* * 业务识别和检测 是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到对真实网络应用的识别。 业务控制 业务控制是在经过业务识别后，对该业务进行策略匹配，然后，对业务进行策略实施的过程。 业务的控制策略主要包括：转发，丢弃，限速，流量整形，带宽预留，重定义优先级，重定向等。 业务的报表和统计 系统提供强大的对业务的报表和统计能力，提供各类报表、趋势和分布，能直观的统计网络的业务流量分布和用户的各种业务使用情况，为策略的配置、网络的优化、用户行为的分析、发掘新业务等提供依据。 策略和业务管理 配置管理接口是管理员操作、控制、维护DPI系统的主要途径之一，管理员可以通过命令行和图形化界面对DPI系统进行配置、管理和维护。 * * * * * * * * 抑制未经许可的VoIP 园区网 服务器群 网管平台 安全管理平台 ISAM Internet 交换机＋DPI 电话网关 发送控制包 正常情况下的通话 加噪音控制的通话 中断连接 增加噪音 分时控制 检测承载在UDP之上的媒体流RTP连接数判断是否为企业的VoIP网关 检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话 通过部署DPI系统对对VoIP用户的信令流量和媒体流量进行关联检测，对VoIP流量进行分类统计分析，如果判断出该用户为未经许可用户，可对VoIP流量进行管理，抑制未经许可的VoIP业务 控制 抑制P2P 园区网 服务器群 网管平台 安全管理平台 ISAM Internet 交换机＋DPI P2P用户 P2P用户 P2P用户 P2P用户 对P2P流量进行限制，在不影响用户使用的情况下，减少P2P对带宽的消耗 采用分级服务，对不同的客户群采用不同的P2P控制策略，发挥P2P业务的优势 P2P Traffic after DPI 阻断 限速 低优先级 阻断 线速 低优先级 高端交换机内置防火墙/DPI模块介绍 3 提 纲 企业园区网安全解决方案 ——防火墙技术 ——DPI技术 企业园区网安全应用场景 1 2 集成在设备内的防火墙模块保证网络安全 灵活部署，可以不改变原网络架构 高性能多核架构，进行安全过滤的同时不影响网络性能 统一架构集成转发模块和多种安全模块， 扩展能力强 支持虚拟防火墙、NAT等安全功能 中兴89系列高端交换机内置防火墙模块 重要数据中心的网络安全 企业园区高安全访问 企业网络出口安全防护 园区无线访问的网络安全 基于多种图形界面的网管界面 ＋ 融合了防火墙的网络设备 融合了安全的网络 集成在设备内的DPI模块保证网络安全 部署在企业网出口处和核心层的高端交换机集成了DPI模块的，完成业务识别和控制功能 中兴DPI基于流检测方式，例如可以针对P2P流量选择处理方式：丢弃、流限速或者不对流量处理等 配合服务器，感知流量中的VOIP、数据、多媒体等，动态调整带宽以及Qos，为用户提供最优化的网络资源 高性能，既能灵活扩展业务，而且性能不受影响 规则库在线升级 0101100101.. 正常上网流量：PASS P2P；流量：HOLD 非法流量：Discard 0101100101.. 0101100101.. 集成了DPI模块的网络设备 融合了安全的网络 高端89-FW/DPI安全模块亮点 防火墙模块 DPI模块 安全特性 灵活部署 企业园区核心安全——内外隔离 企业园区内网安全——内网攻击防范/可分布式部署安全 多核架构——高性能 主要功能 状态防火墙/攻击防范（防DOS/DDOS)/NAT/负载分担/虚拟防火墙 对业务流的深度识别、控制及统计分析（VoIP、P2P、HTTP、FTP） 性能 10G平台，不低于5Gbps业务转发 最大并发数100万 新建连接数5万 多条流无策略交换性能：大于等于5Gbps；多条流有策略交换性能：大于等于3Gbps； 最大并发数100万；新建连接数1万 流量控制精准度：误差小于等于1％； 特点 高性能 功能丰富/虚拟防火墙 高性能 精确识别/丰富QoS/多种统计 行业园区网安全技术亮点 行业 需求 防火墙技术亮点 DPI技术亮点 虚拟 性能 可靠 管理 功能 识别 性能 QoS 管理 统计 政府 虚拟化/ 可记录/ 精细管控 能源/电力 业务可靠 教育 安全认证/ 防攻击 大企业 多业务 安全插板技术亮点【适合所有行业】 易部署 原网络配置不受影响，不增加网络设备 易扩展 设备具备扩展安全特性能力，可以逐级部署安全特性 高性能 核心/汇聚设备带宽不受影响，多核架构保证高性能 更安全 内网安全，内外隔离 * * * * * P2P (Peer to Peer)是近年来出现的一种新的网络应用，它的出现开启了网络边缘未使用的资源。