深度数据包检测(DPI)工具主要用于服务提供商网络，而今企业网络管理员越来越多地采用这种技术，优化应用性能管理和保证更高水平的安全性。

　　基本的防火墙检测数据包头，保证HTTP请求只能通向Web服务器，而SMTP流量则转发到电子邮件服务器，但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容，根据所使用的应用层协议确定性能水平。因此使用DPI，就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包，而这是常规数据包过滤技术无法检测的。

　　DPI工具：基于流与基于代理

　　数据包检测方法可以分成两类：基于流和基于代理。

　　基于流的检测方式可以检查每一个到达数据包中的数据。如果没有发现威胁，就将数据包转到目标位置。基于代理的检测方式会缓冲一个事务的一系列数据包，在接收到所有数据包之后进行威胁扫描。基于流和基于代理的检测技术都能够将数据序列与威胁签名进行匹配，并且能够利用试探法检测零日攻击。

　　对于基于代理的DPI工具，反对者认为进入防御设备的数据量（特别是文件越来越大）使基于代码的产品无法缓冲所有到达的流量。而且，他们相信，缓冲大文件会影响应用性能，造成不可接受的延迟。

　　例如，为了解决缓冲区大小的问题，Fortinet推出了一个产品，其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说，缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外，基于代理的检测的支持者则认为，基于流和基于代理的工具性能差别只是一种错觉，实际的事务处理时间非常接近。

　　同时，对于基于流的技术，反对者认为这些工具不如基于代理的工具全面，因为如果不检查整个事务，它就无法检测威胁。而且，他们认为基于流的产品只支持一些基本的解压缩技术，如.zip，而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为，他们的软件在逐一检查数据包时，就能够发现恶意软件的特征。

　　Wedge Networks提出了另一种DPI机制：深度内容检测。Wedge的产品会收集一系列的数据包，然后执行解压缩和解码，将它们转换为应用级对象。这样，Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查，从中发现威胁。

　　将DPI整合到其他网络安全和管理设备上

　　DPI功能越来越多地整合到其他网络安全和管理设备上，用于优化网络访问控制，甚至保证服务质量（QoS）。入侵防御系统(IPS)、统一威胁管理(UTM)和数据泄漏保护(DLP)设备中的DPI功能不仅能够抵御恶意软件，还能够降低企业网络中个人设备引起的安全风险。

　　此外，DPI工具能够显示每一个应用所使用的带宽比例。所以，有一些DPI设备甚至帮助网络管理员基于这些数据控制带宽分配。DPI还可以用在网络测试设备中，帮助网络管理员诱捕和记录应用层发生的特定事件。

　　现在，DPI正被整合到其他的网络管理和安全设备上，因此有越来越多的网络技术供应商推出了这类工具。在关于DPI工具的系列文章中，我们将列举大量的DPI供应商。