DPI深度报文检测（比如IPS）

现在网络安全威胁五花八门，基本的三层、四层安全策略已经完全不够用了，DPI深度报文检测是一种基于报文应用层信息对流量进行识别控制的安全机制，对应的有一堆安全设备，稍等盘点下这些机制和应用。

DPI最基本的还是得先检测识别出来，这类安全设备都有专门的检测模块来对传输层以上的内容进行分析识别，然后才能做控制和展示。检测模块的检测也不是完全只匹配关键字，一般先做报文的协议解析识别，看看是属于什么协议的报文，然后再去匹配下特征库的关键字以及相关策略等等。

DPI支持的各类检测也很多，比如：

IPS：通过分析经过网络设备的流量来实时检测，并通过一定动作进行响应。

URL过滤：对用户访问的URL进行控制，规范用户上网行为。

数据过滤：对应用层报文进行过滤，避免机密信息，敏感信息的传播。

文件过滤：根据文件扩展名对文件进行过滤。

防病毒：按特征库对文件进行病毒检测，防止中毒。

WAF：防止Web应用层攻击。

DPI支持的各类动作也很多，比如源地址阻断（加黑名单）、报文捕获、日志上报、重定向发送，不同动作的关系及优先级不同，有的为与的关系，有的为或的关系，需要提前了解对应厂商规则。

PS：这类功能大部分安全厂商都会涉及到授权，否则功能无法使用或者无法更新。

DPI能力选择参考

1、性能

DPI检测深度对设备性能的影响较大，所以根据网络流量情况选择对应性能的产品非常关键

2、规则库

IPS工具的签名库和规则库需要持续更新，以确保及时发现新的威胁。最好选择具有较大签名库和规则库的工具

3、集成性

IDS需要和其他安全设备和安全管理系统集成，以实现全局安全管理。最好选择具有良好集成性的产品。

4、可扩展性

选择具有可扩展性的工具，能够满足企业不断增长的安全需求。例如，能够添加新的规则或支持新的协议。

5、性价比

考虑部署带来的价值和其成本的比重，成本包括整体系统采购及运维成本

6、管理和配置友好性

对于需要长期不间断检测的系统，可维护性及友好性非常重要

7、网络组网稳定性

考虑硬件形式还是软件形式，旁挂还是串联，系统是否具备高可用特性