DPl深度安全概述
一 DPl
1 DPl深度安全简介
DPI(Deep Packet Inspection,深度报文检测)深度安全是一种基于应用层信息对经过设备的网络流量进行检测和控制的安全机制。在日益复杂的网络安全威胁中,很多恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。传统安全防护技术仅仅依靠网络层和传输层的安全检测技术已经无法满足网络安全要求。因此,设备必须具备DPI功能,实现对网络应用层信息的检测和控制,以保证数据内容的安全,提高网络的安全性
2 DPl 功能
- 业务识别:应用层检测引擎模块对报文传输层以上的内容进行分析,并与设备中的特征字符串进行匹配来识别业务流的类型。应用层检测引擎是实现DPI深度安全功能的核心和基础。业务识别的结果可为DPI各业务模块对报文的处理提供判断依据。
- 业务控制:业务识别之后,设备根据各DPI业务模块的策略以及规则配置,实现对业务流量的灵活控制。目前,设备支持的控制方法主要包括:放行、丢弃、源阻断、重置、捕获和生成日志。
- 业务统计:业务统计是指对业务流量的类型、协议解析的结果、特征报文的检测和处理结果等进行统计。业务统计的结果可以直观体现业务流量分布和用户的各种业务使用情况,便于更好的发现促进业务发展和影响网络正常运行的因素,为网络和业务优化提供依据。
3 DPl 特征库
DPI深度安全功能的业务识别是对报文进行特征字符串匹配,所以设备中必须拥有业务识别所需要的特征项。DPI特征库就是这些公共的、通用的特征项的集合,可被打包到标准的特征库文件中供设备加载。通常情况下,管理员只需要定期加载最新的特征库文件到设备上即可及时更新本地的特征项。除此之外,管理员还可以根据实际网络需求按照设备支持的语法,自定义特征,作为特殊网络环境下的补充。
4 DPl 业务
表1-1 DPI业务详细介绍
| DPI业务 | 功能 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
目前,设备中支持的DPI特征库包括:IPS特征库、URL分类特征库、APR特征库、防病毒特征库和WAF特征库。
5 DPI深度安全的处理流程
5.1. 基于安全策略实现DPI深度安全功能
DPI深度安全处理流程具体如下:
- 报文将与安全策略规则进行匹配。安全策略规则中定义了用来进行报文匹配的源安全域、目的安全域、源IP地址、目的IP地址和服务类型等过滤条件,仅当报文与所有过滤条件都匹配时才认为成功匹配安全策略规则。有关安全策略规则的详细介绍,请参见“安全配置指导”中的“安全策略”。
- 如果报文未与任何一条安全策略规则匹配成功,则此报文将会被丢弃。
- 如果报文成功匹配安全策略规则,设备将执行此规则中指定的动作。
- ? 如果动作为“丢弃”,则设备将阻断此报文;
- ? 如果动作为“允许”,且引用的DPI业务存在,则设备将对此报文进行DPI业务的一体化检测。
- ? 如果动作为“允许”,且引用的DPI业务不存在,则设备将允许此报文通过。
5.2. 基于对象策略实现DPI深度安全功能
DPI深度安全处理流程具体如下:
(1) 进入安全域间实例的报文将与此安全域间实例下的对象策略规则进行匹配。每一个安全域间实例下可以关联多个对象策略规则,且其中定义了匹配报文的源IP地址、目的IP地址和服务类型等信息。仅当报文与对象策略规则中的所有条件都匹配,才认为成功匹配对象策略规则。有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。
(2) 如果报文未与对象策略规则匹配成功,则此报文将会被拒绝通过。
(3) 如果报文成功匹配对象策略规则,设备将执行此对象策略规则中指定的动作。
- ? 如果动作为“丢弃”,则设备将阻断此报文;
- ? 如果动作为“允许”,则设备将允许此报文通过;
- ? 如果动作为“inspect”,且引用的DPI业务存在,则设备将对此报文进行DPI业务的一体化检测。
- ? 如果动作为“inspect”,且引用的DPI业务不存在,则设备将允许此报文通过。
二 IPS 入侵防御特征库
1 IPS 简介
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。
2 IPS 功能
IPS具有以下功能:
深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。
实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。
全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。
内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。
3 IPS 策略
设备基于IPS策略对报文进行IPS处理。IPS策略中定义了匹配报文的IPS特征和处理报文的IPS动作。
3.1 IPS特征
IPS特征用来描述网络中的攻击行为的特征,设备通过将报文与IPS特征进行比较来检测和防御攻击。IPS特征包含多种属性,例如攻击分类、动作、保护对象、严重级别和方向。这些属性可作为过滤条件来筛选IPS特征。
设备支持以下两种类型的IPS特征:
- 预定义IPS特征:系统中的IPS特征库自动生成。设备不支持对预定义IPS特征的内容进行创建、修改和删除。
- 自定义IPS特征:管理员在设备上手工创建。通常新的网络攻击出现后,与其对应的攻击特征会出现的比较晚一些。如果管理员已经掌握了新网络攻击行为的特点,可以通过自定义方式创建IPS特征,及时阻止网络攻击,否则,不建议用户自定义IPS特征。
IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型:
- 重置:通过发送TCP的reset报文断开TCP连接。
- 重定向:把符合特征的报文重定向到指定的Web页面上。
- 源阻断:阻断符合特征的报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能(由blacklist global enable开启),则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“安全配置指导”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
- 丢弃:丢弃符合特征的报文。
- 放行:允许符合特征的报文通过。
- 捕获:捕获符合特征的报文。
- 生成日志:对符合特征的报文生成日志信息
4 IPS 实现流程
IPS功能是通过在DPI应用profile中引用IPS策略,并在安全策略或对象策略中引用DPI应用profile来实现的,IPS处理的具体实现流程如下:
(1) 设备识别应用层报文协议,并提取报文特征。
(2) 设备将提取的报文特征与IPS特征进行匹配,并进行如下处理:
- ? 如果报文未与任何IPS特征匹配成功,则设备对报文执行允许动作。
- ? 如果报文只与一个IPS特征匹配成功,则根据此特征中指定的动作进行处理。
- ? 如果报文同时与多个IPS特征匹配成功,则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为:重置 > 重定向 >丢弃 > 允许。但是,对于源阻断、生成日志和捕获三个动作只要匹配成功的特征中存在就会执行。
5 IPS特征库升级与回滚
IPS特征库是用来对经过设备的应用层流量进行病毒检测和防御的资源库。随着网络攻击不断的变化和发展,需要及时升级设备中的IPS特征库,同时设备也支持IPS特征库回滚功能。
1. IPS特征库升级
IPS特征库的升级包括如下几种方式:
- 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的IPS特征库。
- 立即自动在线升级:管理员手工触发设备立即更新本地的IPS特征库。
- 手动离线升级:当设备无法自动获取IPS特征库时,需要管理员先手动获取最新的IPS特征库,再更新设备本地的IPS特征库。
2. IPS特征库回滚
如果管理员发现设备当前IPS特征库对报文进行检测和防御网络攻击时,误报率较高或出现异常情况,则可以将其进行回滚到出厂版本和上一版本。
三 URL 分类特征库
1 URL 过滤简介
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。目前,仅支持对基于HTTP协议的URL进行过滤。
2 URL 简介
URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如图1-1所示:
URL各字段含义如表1-1所示:
表1-1 URL各字段含义表
| 字段 | 描述 |
| protocol | 表示使用的传输协议,例如HTTP |
| host | 表示存放资源的服务器的主机名或IP地址 |
| [:port] | (可选)传输协议的端口号,各种传输协议都有默认的端口号 |
| /path/ | 是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
| [parameters] | (可选)用于指定特殊参数 |
| [?query] | (可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开 |
| URI | URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符 |
3 URL 过滤规则
URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中主机名字段和URI字段的方法来识别URL。
1. URL过滤规则类型
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:
- 预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的主机名或URI。预定义规则能满足多数情况下的URL过滤需求。
- 自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式配置规则中主机名或URI的内容。
2. URL过滤规则匹配方式
URL过滤规则支持两种匹配方式:
文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
? 匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
? 匹配URI字段时,和主机名字段匹配规则一致。
正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
4 URL 过滤分类
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
预定义分类:根据设备中的URL过滤特征库自动生成,其名称、内容和严重级别不可被修改。名称以Pre-开头。设备为预定义URL过滤分类保留的严重级别为最低,取值范围为1~999。URL过滤支持两级分类,包含父分类和子分类。仅支持预定义父分类,且父分类下仅包含预定义子分类。
自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。自定义分类严重级别的取值范围为1000~65535。
5 URL 过滤策略
一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。URL过滤支持的处理动作包括:丢弃、允许、阻断、重置、重定向和生成日志。
6 URL 过滤黑/白规则
可通过URL过滤黑/白名单规则快速筛选出不需要进行URL过滤的报文。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
7 URL 过滤实现过
URL过滤功能是通过在DPI应用profile中引用URL过滤策略,并在安全策略或对象策略中引用DPI应用profile来实现的,URL过滤实现流程如下:
- 设备对报文进行规则(即安全策略规则或对象策略规则)匹配:
- 如果规则引用了URL过滤业务,设备将对匹配了规则的报文进行URL过滤业务处理。设备将提取报文的URL字段,并与URL过滤规则进行匹配。
- 有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略的详细介绍请参见“安全配置指导”中的“对象策略”。
- 设备将报文与URL过滤策略中的过滤规则进行匹配,如果匹配成功,则进行下一步处理;如果匹配失败,则进入步骤(5)的处理。
- 首先判断此URL过滤规则是否属于URL过滤的黑/白名单规则,如果属于URL过滤白名单规则,设备将直接允许此报文通过;如果属于URL过滤的黑名单规则,设备将直接阻断此报文。其中,如果开启仅支持白名单功能,则设备仅对白名单规则进行匹配。如果匹配,则允许此报文通过;如果不匹配,则将此报文阻断。不再进行后续流程的匹配。
- 如果此URL过滤规则既不属于URL过滤白名单规则也不属于URL过滤黑名单规则,则设备将进一步判断该规则是否同时属于多个URL过滤分类。
- ? 如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。
- ? 如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。
- 如果分类云端查询功能已开启,则将报文中的URL发向云端服务器进行查询,否则进入步骤(7)的处理。
- 如果URL云端查询成功,云端服务器将向设备端返回查询结果(该结果中包含了URL过滤规则及其所属的分类名称),并进入步骤(4)的处理,否则进入步骤(7)的处理。
- 如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
8 URL 升级回滚
URL过滤特征库是用来对经过设备的用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库,同时设备也支持URL过滤特征库回滚功能。
1. URL过滤特征库升级
URL过滤特征库的升级包括如下几种方式:
定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的URL过滤特征库。
立即自动在线升级:管理员手工触发设备立即更新本地的URL过滤特征库。
手动离线升级:当设备无法自动获取URL过滤特征库时,需要管理员先手动获取最新的URL过滤特征库,再更新本地的URL过滤特征库。
2. URL过滤特征库回滚
如果管理员发现设备当前URL过滤特征库对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以将其回滚到出厂版本和上一版本。
特征库汇总
应用ARP
IPS 特征库
URL 过滤
AV 病毒库
