内容安全（DPI和DFI解析）

内容安全前言：

防火墙的本质其实就是包过滤，我们通常所说的安全设备（如：IPS、IDS、AV、WAF）的检测重心是应用层。下一代防火墙基于传统防火墙的拓展能力，就是可以将以上的安全设备模块集成在一起，对流量进行检测。这些就体现在安全策略中的内容检测中。 注意：攻击可能只是一个点，防御需要全方面进行

华为中 IAE引擎 的运行流程：

是一种并联检测系统，类似于统一威胁网关（UTM），但是在共享部分是串联部署，之后采用的是并联部署，效率更高。而这个引擎的核心则是DPI和DFI技术。

DFI和DPI技术 --- 深度行为检测技术

DPI --- 深度包检测技术

深度包检测技术包括以下三种类型：

主要针对完整的数据包（数据包分片，分段需要重组，也就是加强检测的可靠性），之后对数据包的内容进行识别（主要用于应用层中）

• 基于"特征字"的检测技术：是最常用的识别手段，基于一些协议的字段来识别特征（可以基于一些特殊的字段来进行检测，如：Host，UA）。以下是用wireshark抓取的HTTP数据包，因为是明文传输，所以可以很清楚的看到UA字段及浏览器和平台信息
  
• 基于应用网关的检测技术：有些应用控制和数据传输是分离的，比如一些视频流。一开始需要TCP建立连接，协商参数，这一部分称为信令部分。之后，正式传输数据后，可能就通过UDP协议来传输，流量缺少可以识别的特征。所以，该技术就是基于前面信令部分的信息进行识别和控制。因为后面的UDP传输一般是纯流量传输，无法识别。
• 基于行为模式的检测技术：比如我们需要拦截一些垃圾邮件，但是从特征字中很难区分垃圾邮件和正常邮件，所以可以基于行为来进行判断。垃圾邮件可能存在高频，群发等特性，如果出现就可以将其认定为垃圾邮件，进行拦截，并对IP进行封锁。

  DFI --- 深度流检测技术

  一种基于流量行为的应用识别技术（针对数据流来检测）。这种方法比较适合判断P2P流量。 不同应用的流量本身的特点是不一样的。在企业中，一般会禁用P2P流（看视频或娱乐），因为P2P流会大量消耗带宽，影响办公。

  

  结论：

  1、DFI仅对流量进行分析，所以只能对应用类型进行笼统的分类，无法识别出具体的应用；       DPI进行检测会更加精细和精准； 2、如果数据包进行加密传输，则采用DPI方式将不能识别具体的应用，除非有解密手段；       但是，加密并不会影响数据流本身的特征，所以DFI的方式不受影响。 所以在真实环境中，两种深度检测技术一般会同时使用。