Технически подкованные люди, вероятно, слышали термин Deep Packet Inspection или DPI, но не могут точно знать, что он влечет за собой. На базовом уровне DPI - это идентификация различных типов трафика, проходящего по сети. «Deep» объясняется тем, что для определения фактического типа приложения в каждом пакете необходимо глубоко исследовать данные (то есть на уровне приложения) в пакете, а не только информацию заголовка TCP или UDP.

DPI может использоваться для многих целей, включая безопасность (блокирование известных вредоносных приложений), законное наблюдение, управление трафиком или даже цензуру в Интернете. В результате, как только приложение или тип трафика были идентифицированы, почти всегда следует решение заблокировать, перенаправить, зарегистрировать или пропустить идентифицированный трафик. Выполнение определенных действий после идентификации - явная цель DPI.

Как работает Deep Packet Inspection

Глубокая проверка пакетов проверяет содержимое пакетов, проходящих через брандмауэр, и в режиме реального времени принимает решение разрешить или запретить прохождение на основе правил, назначенных в брандмауэре. Эти правила написаны бизнес-менеджером, домовладельцем, поставщиком интернет-услуг (ISP) или администратором сети.

Брандмауэры, созданные за последние несколько лет, обладают достаточной мощностью ЦП для выполнения DPI каждого пакета, проходящего через брандмауэр. Благодаря объединению многоядерных процессоров с технологией межсетевых экранов большинство производителей межсетевых экранов теперь могут использовать DPI для объявленной полосы пропускания.

Текущий DPI может проверять содержимое сообщений, веб-сайт, с которого поступила информация, приложение, которое создало данные, или другое проверять данные для других приложений, которые могут быть использованы. Фильтрация трафика в брандмауэре может быть использована для перенаправления или блокировки трафика из определенных приложений (ботов для обмена сообщениями, чата, электронной почты) и веб-сайтов.

Зачем вам нужен DPI?

DPI - инструмент сетевой безопасности. Это инструмент, основанный на намерениях, поэтому он идеально подходит для обнаружения и перехвата вирусов и других форм вредоносного трафика. Следы большинства вирусных программ и вредоносных программ хорошо известны. Исследование пакета на наличие этих следов позволяет сетевому менеджеру отсеять плохие пакеты от хороших.

Хорошая установка для глубокой проверки пакетов может использоваться для ускорения потока сетевого трафика. Например, сообщение с высоким приоритетом может быть направлено по назначению раньше других менее важных пакетов. Голосовые вызовы могут иметь приоритет перед обычным просмотром. DPI также можно использовать для ограничения передачи данных, чтобы сотрудники не использовали время компании для общения в сети, просмотра непродуктивных веб-сайтов или использования своего доступа в Интернет непродуктивным образом.

Поскольку DPI отлично предотвращает и обнаруживает вторжения, он может быть очень эффективным против переполнения буфера и DDoS-атак (распределенного отказа в обслуживании). DPI помогает предотвратить распространение вирусов и вредоносных программ по всей сети компании.

Поскольку DPI - это комплексный процесс проверки пакетов, он отслеживает пакеты, входящие и исходящие из сети. Таким образом, глубокая проверка пакетов используется для законного перехвата и применения политик.

Наконец, глубокая проверка пакетов помогает вашему бизнесу предотвратить преднамеренную или случайную утечку некоторыми формами информации сотрудниками. Сетевой менеджер может писать правила DPI, которые блокируют любые прикрепленные файлы с определенными словами внутри него. Конечному пользователю может быть предложено уведомление о том, как получить разрешение на отправку такого файла.

Ограничения глубокой проверки пакетов

Глубокая проверка пакетов VAS Experts имеет три существенных ограничения для корпоративных или домашних межсетевых экранов.

Несмотря на то, что это эффективный инструмент против атак переполнения буфера, атак типа «отказ в обслуживании» (DoS) и определенных типов вредоносных программ, поскольку DPI настолько интенсивно использует ЦП, хакер может перегрузить брандмауэр, создавая атаки очень большого объема, которые брандмауэр не может преодолеть.

Управление DPI усложняет управление межсетевым экраном. OEM-производители межсетевого экрана (производители оригинального оборудования) создали сложные интерфейсы для управления всеми параметрами DPI. Брандмауэры необходимо периодически обновлять с помощью службы, чтобы они оставались эффективными из-за необходимости видеть и понимать следы всех известных типов вирусов и другого вредоносного программного обеспечения.