深度數據包檢測(DPI)工具主要用于服務提供商網絡，而今企業網絡管理員越來越多地采用這種技術，優化應用程序性能管理和保證更高水平的安全性。

基本的防火墻檢測數據包頭，保證HTTP請求只能通向Web服務器，而SMTP流量則轉發到電子郵件服務器，但是這無法防御Web攻擊或通過電子郵件傳播的惡意軟件。而DPI工具會檢測數據包的所有內容，根據所使用的應用層協議確定性能水平。因此使用DPI，就可以查找、識別、分類、重新確定路由或阻擋帶有特定數據或代碼的數據包，而這是常規數據包過濾技術無法檢測的。

DPI工具：基于流與基于代理

數據包檢測方法可以分成兩類：基于流和基于代理。

基于流的檢測方式可以檢查每一個到達數據包中的數據。如果沒有發現威脅，就將數據包轉到目標位置。基于代理的檢測方式會緩沖構成一個事務的一系列數據包，在接收到所有數據包之后進行威脅掃描。基于流和基于代理的檢測技術都能夠將數據序列與威脅簽名進行匹配，并且能夠利用試探法檢測零日攻擊。

對于基于代理的DPI工具，反對者認為進入防御設備的數據量(特別是文件越來越大)使基于代碼的產品無法緩沖所有到達的流量。而且，他們相信，緩沖大文件會影響應用程序性能，造成不可接受的延遲。

例如，為了解決緩沖區大小的問題，Fortinet推出了一個產品，其中有一個限制緩沖區大小的配置參數。該公司的相關文檔解釋說，緩沖區大小與漏過攻擊的可能性之間需要進行權衡。此外，基于代理的檢測的支持者則認為，基于流和基于代理的工具性能差別只是一種錯覺，實際的事務處理時間非常接近。

同時，對于基于流的技術，反對者認為這些工具不如基于代理的工具全面，因為如果不檢查整個事務，它就無法檢測威脅。而且，他們認為基于流的產品只支持一些基本的解壓縮技術，如.zip，而基于代理的產品則支持更多的解壓縮技術。基于流的產品供應商則認為，他們的軟件在逐一檢查數據包時，就能夠發現惡意軟件的特征。

Wedge Networks提出了另一種DPI機制：深度內容檢測。Wedge的產品會收集一系列的數據包，然后執行解壓縮和解碼，將它們轉換為應用程序級對象。這樣，Wedge的反垃圾、反病毒和Web監控產品就可以對整個對象進行檢查，從中發現威脅。

將DPI整合到其他網絡安全和管理設備上

DPI功能越來越多地整合到其他網絡安全和管理設備上，用于優化網絡訪問控制，甚至保證服務質量(QoS)。入侵防御系統(IPS)、統一威脅管理 (UTM)和數據泄漏保護(DLP)設備中的DPI功能不僅能夠抵御惡意軟件，還能夠降低企業網絡中個人設備引起的安全風險。

此外，DPI工具能夠顯示每一個應用程序所使用的帶寬比例。所以，有一些DPI設備甚至幫助網絡管理員基于這些數據控制帶寬分配。DPI還可以用在網絡測試設備中，幫助網絡管理員誘捕和記錄應用層發生的特定事件。

現在，DPI正被整合到其他的網絡管理和安全設備上，因此有越來越多的網絡技術供應商推出了這類工具。在關于DPI工具的系列文章中，我們將列舉大量的DPI供應商。