1 布景
随着信息技术的飞速发展，，，，，，，，对等网络（Peer-to-Peer，，，，，，，，简称P2P）、流媒体、互动在线游戏和虚构现实等新型网络业务层出不穷。。。。。。。。在这些新兴业务中，，，，，，，，P2P业务的流量占互联网数据流量的50%-70%，，，，，，，，再加上其他业务流量，，，，，，，，极大地加沉了网络拥塞，，，，，，，，影响了正常网络业务的发展和关键利用的遍及。。。。。。。。同时，，，，，，，，P2P利用的宽泛使用也给网络治理带来了极大的挑战。。。。。。。。
为了应对新兴业务带来的带宽负载，，，，，，，，传统的解决规划是通过单一的网络升级扩容，，，，，，，，其短处也是不言而喻的：

● 带宽治理方面：面对不休增长的数据流量，，，，，，，，必要不休地增长网络设备，，，，，，，，增长硬件成本和运维成本。。。。。。。。

● 网络运维方面：不足有效的技术监管伎俩，，，，，，，，不能对新型业务数据进行感知和鉴别。。。。。。。。

● 网络安全方面：传统的网络安全检测只能对报文进行四层检测（IP+端口），，，，，，，，攻击者能够机关报文（将攻击信息插入到利用层）来绕开检测，，，，，，，，从而达到攻击主张。。。。。。。。

因而，，，，，，，，若何深度感知互联网/移动互联网业务，，，，，，，，提供给用级管控伎俩，，，，，，，，成为运营商关注的焦点。。。。。。。。为相识决这些问题，，，，，，，，DPI技术应运而生。。。。。。。。

2 DPI技术介绍

DPI（Deep Packet Inspection，，，，，，，，深度报文检测）是一种基于报文的利用层信息对流量进行检测和节造的职能。。。。。。。。通常报文检测只能分析报文四层以下的内容，，，，，，，，如IP、端口、和谈类型等。。。。。。。。而DPI技术除了能对这些信息进行分析表，，，，，，，，还增长了对利用层的分析，，，，，，，，可能鉴别各类利用及其内容。。。。。。。。当IP数据包、TCP或UDP数据流通过支持DPI技术的设备时，，，，，，，，设备会通过深刻读取报文载荷来进行沉组和分析，，，，，，，，从而鉴别整个利用法式的内容，，，，，，，，而后依照设备界说的治理战术对流量进行后续处置。。。。。。。。

正是由于其利用识此外个性，，，，，，，，DPI技术在利用审计、利用路由、IPS、流量治理等方面获得宽泛的利用，，，，，，，，能够阻断表部攻击、审计用户上网行为，，，，，，，，极大地提高了网络的安全性。。。。。。。。

3 DPI工作道理

3.1   DPI检测道理

分歧类型的利用通常依赖于分歧的和谈，，，，，，，，而分歧的和谈都有其特殊的指纹，，，，，，，，这些指纹可能是特定的端口、特定的字符串或Bit序列。。。。。。。。这些指纹由专业的安全专家网络并整顿，，，，，，，，形成“个性库”，，，，，，，，当DPI设备收到报文后，，，，，，，，就会通过特点库中的特点规定对报文载荷进行匹配，，，，，，，，最终鉴别出数据流所属的利用类型。。。。。。。。

一个特点库中可能有上千条特点规定，，，，，，，，匹配报文时，，，，，，，，为了可能尽可能的提高报文匹配的效能，，，，，，，，降低对报文转发机能的影响。。。。。。。。DPI技术提出了急剧匹配步骤，，，，，，，，其道理如下：

(1)先进行近似匹配：取出每条文则的最长特点串，，，，，，，，进行最长特点串的多模AC算法匹配。。。。。。。。凭据最长特点串找到可能匹配的候选规定。。。。。。。。

(2)再进行精确匹配：对候选规定进行单模算法的字符串匹配或者正则表白式字符串匹配。。。。。。。。

特点码的距离固定，，，，，，，，能够用特点库载荷规定选项进行精确特点描述，，，，，，，，而后转化为单模算法的字符串匹配进行精确匹配。。。。。。。。通常我们会选取改进的单模BM算法进行匹配。。。。。。。。

特点码的距离不固定难以描述，，，，，，，，能够用正则表白式文法描述，，，，，，，，选取正则表白式算法进行匹配。。。。。。。。

3.2   DPI检测流程

DPI深度检测流程如下：

(1)设备加载特点库文件。。。。。。。。

(2) 当设备收到报文后，，，，，，，，在和谈和端口的鉴别基础上对报文载荷进行解码，，，，，，，，而后通过特点库中的特点规定对载荷进行匹配，，，，，，，，鉴别报文内容。。。。。。。。

(3)凭据匹配了局处置报文：

匹配成功，，，，，，，，将报文转发给其他业务模？？？？？椋ㄈ鏘PS、利用路由）进行后续处置等。。。。。。。。

匹配失败，，，，，，，，放行报文。。。。。。。。

4 DPI技术优势

4.1   和传统四层检测比力

传统的四层检测只能鉴别报文二到四层的信息，，，，，，，，如IP、端标语等。。。。。。。。而DPI技术不仅能鉴别这些信息，，，，，，，，还能鉴别利用层信息，，，，，，，，鉴别更精密、更正确。。。。。。。。

图4-1    DPI深度检测和传统四层检测对比

4.2   和DFI技术比力

与DPI进行报文利用层载荷的检测分歧，，，，，，，，DFI选取的是一种基于流量行为的利用鉴别技术。。。。。。。。分歧类型的利用，，，，，，，，其会话衔接或数据流的状态分歧。。。。。。。。例如，，，，，，，，P2P下载利用的流量模型的特点为均匀包长都在450byte以上、下载功夫长、衔接速度高、首选传输层和谈为TCP等。。。。。。。。DFI技术正是基于这一系列流量的行为特点，，，，，，，，通过机械进建算法成立流量特点模型，，，，，，，，分析会话衔接流的包长、衔接速度、传输字节量、包与包之间的距离等信息来与流量模型对比，，，，，，，，从而甄别利用类型。。。。。。。。

DFI与DPI两种技术的根基指标都是为了实现利用鉴别，，，，，，，，但是两者在实现的着眼点和技术细节方面又有着较大的区别，，，，，，，，具体如表4-1所示。。。。。。。。

5 典型利用

全发国际的防火墙和出口网关系列产品已经全面支持DPI技术，，，，，，，，本章以RG-EG3250多业务安全网关为例，，，，，，，，介绍DPI技术在网吧场景中的使用及配置思路。。。。。。。。

5.1   组网需要

网吧出口有1条光纤线路和多条ADSL线路，，，，，，，，凭据业务需要，，，，，，，，要求关键利用（如游戏、网页浏览、即时通讯等）走光纤链路；；；；；抑造利用（如在线影视、P2P下载等）走ADSL线路。。。。。。。。视频流媒体软件和HTTP视频流媒体类型蹬爪用在午夜功夫不进行抑造，，，，，，，，能够走光纤线路。。。。。。。。

图5-1    网吧组网需要

5.2   配置思路

● 所有的P2P利用软件、在线影视等非关键利用走ADSL线路，，，，，，，，可能在ADSL线路充分利用带宽。。。。。。。。

● 设置光纤线路为缺省路由，，，，，，，，确保关键利用走光纤线路，，，，，，，，网络流畅。。。。。。。。

● 当出口带宽不实时，，，，，，，，Web业务能够走ADSL线路，，，，，，，，削减光纤的使用，，，，，，，，为关键业务削减带宽。。。。。。。。