深度數(shù)據(jù)包檢測(DPI)工具主要用于服務提供商網(wǎng)絡，而今企業(yè)網(wǎng)絡管理員越來越多地采用這種技術(shù)，優(yōu)化應用程序性能管理和保證更高水平的安全性。

基本的防火墻檢測數(shù)據(jù)包頭，保證HTTP請求只能通向Web服務器，而SMTP流量則轉(zhuǎn)發(fā)到電子郵件服務器，但是這無法防御Web攻擊或通過電子郵件傳播的惡意軟件。而DPI工具會檢測數(shù)據(jù)包的所有內(nèi)容，根據(jù)所使用的應用層協(xié)議確定性能水平。因此使用DPI，就可以查找、識別、分類、重新確定路由或阻擋帶有特定數(shù)據(jù)或代碼的數(shù)據(jù)包，而這是常規(guī)數(shù)據(jù)包過濾技術(shù)無法檢測的。

DPI工具：基于流與基于代理

數(shù)據(jù)包檢測方法可以分成兩類：基于流和基于代理。

基于流的檢測方式可以檢查每一個到達數(shù)據(jù)包中的數(shù)據(jù)。如果沒有發(fā)現(xiàn)威脅，就將數(shù)據(jù)包轉(zhuǎn)到目標位置�；�于代理的檢測方式會緩沖構(gòu)成一個事務的一系列數(shù)據(jù)包，在接收到所有數(shù)據(jù)包之后進行威脅掃描�；�于流和基于代理的檢測技術(shù)都能夠?qū)��?shù)據(jù)序列與威脅簽名進行匹配，并且能夠利用試探法檢測零日攻擊。

對于基于代理的DPI工具，反對者認為進入防御設備的數(shù)據(jù)量(特別是文件越來越大)使基于代碼的產(chǎn)品無法緩沖所有到達的流量。而且，他們相信，緩沖大文件會影響應用程序性能，造成不可接受的延遲。

例如，為了解決緩沖區(qū)大小的問題，F(xiàn)ortinet推出了一個產(chǎn)品，其中有一個限制緩沖區(qū)大小的配置參數(shù)。該公司的相關(guān)文檔解釋說，緩沖區(qū)大小與漏過攻擊的可能性之間需要進行權(quán)衡。此外，基于代理的檢測的支持者則認為，基于流和基于代理的工具性能差別只是一種錯覺，實際的事務處理時間非常接近。

同時，對于基于流的技術(shù)，反對者認為這些工具不如基于代理的工具全面，因為如果不檢查整個事務，它就無法檢測威脅。而且，他們認為基于流的產(chǎn)品只支持一些基本的解壓縮技術(shù)，如.zip，而基于代理的產(chǎn)品則支持更多的解壓縮技術(shù)�；�于流的產(chǎn)品供應商則認為，他們的軟件在逐一檢查數(shù)據(jù)包時，就能夠發(fā)現(xiàn)惡意軟件的特征。

Wedge Networks提出了另一種DPI機制：深度內(nèi)容檢測。Wedge的產(chǎn)品會收集一系列的數(shù)據(jù)包，然后執(zhí)行解壓縮和解碼，將它們轉(zhuǎn)換為應用程序級對象。這樣，Wedge的反垃圾、反病毒和Web監(jiān)控產(chǎn)品就可以對整個對象進行檢查，從中發(fā)現(xiàn)威脅。

將DPI整合到其他網(wǎng)絡安全和管理設備上

DPI功能越來越多地整合到其他網(wǎng)絡安全和管理設備上，用于優(yōu)化網(wǎng)絡訪問控制，甚至保證服務質(zhì)量(QoS)。入侵防御系統(tǒng)(IPS)、統(tǒng)一威脅管理 (UTM)和數(shù)據(jù)泄漏保護(DLP)設備中的DPI功能不僅能夠抵御惡意軟件，還能夠降低企業(yè)網(wǎng)絡中個人設備引起的安全風險。

此外，DPI工具能夠顯示每一個應用程序所使用的帶寬比例。所以，有一些DPI設備甚至幫助網(wǎng)絡管理員基于這些數(shù)據(jù)控制帶寬分配。DPI還可以用在網(wǎng)絡測試設備中，幫助網(wǎng)絡管理員誘捕和記錄應用層發(fā)生的特定事件。

現(xiàn)在，DPI正被整合到其他的網(wǎng)絡管理和安全設備上，因此有越來越多的網(wǎng)絡技術(shù)供應商推出了這類工具。在關(guān)于DPI工具的系列文章中，我們將列舉大量的DPI供應商。