深度封包檢測(Deep Packet Inspection,DPI)是現代 NGFW 的核心技術。不同於傳統防火牆僅檢查封包的 IP 位址與連接埠號,DPI 能夠深入分析封包的應用層內容,識別隱藏在合法流量中的惡意行為。本文詳細解析 DPI 技術原理與其在企業資安中的實際應用。
什麼是 DPI?
傳統的封包過濾(Packet Filtering)只檢查第 3、4 層(網路層、傳輸層)的資訊,例如來源 IP、目的 IP 與連接埠號。這種方式雖然快速,但無法識別透過 HTTP/HTTPS 等標準連接埠傳輸的惡意內容。
DPI 則更進一步,能夠解析封包的第 7 層(應用層)內容,理解流量的真實用途。這意味著 DPI 引擎可以識別出某個封包究竟是正常的網頁瀏覽,還是透過 HTTP 隧道傳輸的惡意指令,或是加密通道中隱藏的資料外洩行為。
技術要點:LIONIC DPI 引擎採用多層次特徵比對技術,能在毫秒級別完成流量分類,在不影響網路效能的前提下實現精準威脅識別。
DPI 的核心能力
- 應用識別:識別超過 1,000 種以上的應用程式協議,包括加密流量與隧道協議
- 惡意程式偵測:比對病毒特徵碼資料庫,即時攔截惡意程式傳輸
- 入侵防禦(IPS):識別漏洞利用攻擊模式,防止零日攻擊橫向擴散
- URL 過濾:根據 URL 分類資料庫阻斷惡意網站與不當內容
- 資料外洩防護(DLP):監控敏感資料的傳輸行為,防止機密外洩
DPI 在 OT/IT 融合環境的挑戰
工業控制系統(ICS)採用 Modbus、DNP3、EtherNet/IP 等專有協議,傳統 DPI 引擎往往無法識別這些工業協議的異常行為。針對 OT 環境優化的 DPI 引擎需要額外支援這些工業協議的解析能力,才能在不中斷生產的前提下提供有效防護。
SSL/TLS 加密流量的 DPI 挑戰
隨著 HTTPS 的普及,超過 90% 的網路流量已採用 SSL/TLS 加密。傳統 DPI 無法直接檢查加密流量,攻擊者因此轉而利用 HTTPS 傳輸惡意內容。現代 DPI 引擎需要支援 SSL/TLS 解密(SSL Inspection)功能,在合規框架下解密、檢查後重新加密流量。
效能考量:線速 DPI 的技術要求
DPI 的計算複雜度遠高於傳統封包過濾,實現線速(Wire-speed)DPI 需要高度優化的引擎架構。關鍵技術包括:FPGA 加速、多核心平行處理、正規表達式引擎優化,以及智慧流量分類避免對低風險流量進行深度檢查。
在選擇 NGFW 解決方案時,應特別要求廠商提供開啟全功能 DPI 後的實際吞吐量數據,而非單純防火牆的 throughput 規格。