防御保护---内容保护

文章目录

  • 目录

    文章目录

    一.防火墙内容安全概述

    二.深度识别技术(DFI/DPI)

     深度包检测技术(DPI)

     深度流检测技术(DFI)

     两者区别

    三.入侵防御IPS


一.防火墙内容安全概述

        防火墙内容安全是防火墙的一个重要功能,主要是保护网络免受恶意代码、病毒、间谍软件、网络钓鱼和其他恶意活动的侵害。以下是防火墙内容安全的主要概述:

  1. 病毒和恶意软件过滤:防火墙可以检测和拦截传入和传出的病毒和恶意软件,以防止其传播和对网络和终端设备的损害。

  2. URL过滤:防火墙可以根据预设的规则,过滤和阻止访问某些不良或不安全的网站,以保护用户免受恶意网站和网络钓鱼的欺骗。

  3. 应用程序控制:防火墙可以限制或阻止特定应用程序的访问和使用,以防止未经授权的数据传输和潜在的安全风险。

  4. 内容过滤:防火墙可以检查网络流量中的内容,以识别和阻止敏感信息的泄露或传输。例如,可以防止信用卡号码、社会安全号码等个人身份信息的传输。

  5. 违规数据流检测:防火墙可以检测和阻止网络流量中的违规数据传输,例如违反合规法规的数据传输,以保护企业合规和数据安全。

二.深度识别技术(DFI/DPI)

华为IAE引擎

 深度包检测技术(DPI)

        DPI 是一种网络流量分析技术,用于检测和分类网络流量中的数据包。它通过深度学习的方法对数据包的内容进行解析和分析,可以识别出不同类型的网络流量,如网页浏览、视频流、文件传输等。这个技术可以用于网络安全、流量管理等领域,能够帮助识别和阻止恶意的网络活动。

 基于“特征字”的检测技术

        在基于特征字的检测技术中,网络流量被分割成小的数据包,并对每个数据包进行分析。特征字是一种用于标识特定应用层协议的数据包特征。这些特征字可以是协议头中的字段值、协议操作码或其他唯一标识符。例如:根据HTTP报文中“UA”字段中存贮浏览器的信息,通过手机与电脑上网使用的浏览器版本不同从而识别该数据包来源于手机还是电脑,其中“UA”字段即“为特征字”。

 基于应用网关的检测技术

        它通过在网络中插入一个应用网关来监测和管理网络流量。应用网关是一种特殊的网络设备,可以对传输的数据包进行深度分析,并根据预先设定的规则对其进行处理。

        应用层网关识别技术某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。

        例如:视频流量通过TCP协议协商参数再通过UDP协议传输;由于UDP协议传输的流量缺少可识别的特征,因此需要基于TCP协议中协商的参数流量来进行进检测。

基于行为模式的检测技术

        基于行为模式的检测技术是深度包检测(DPI)技术中的一种方法,用于识别和分类网络流量中的不同行为模式。这种技术依赖于对网络流量的详细分析和统计,以识别特定的行为和模式。它通过观察网络流量的行为模式来判断是否存在异常或恶意活动。

        行为模式识别技术行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识 别。例如:SPAM(垃圾邮件)业务流和普通的 Email 业务流从 Email 的内容上看是完全一致的,只有通过对用户行为的分析,才能够准确的识别出 SPAM 业务,例如:可以基于垃圾邮件高频群发的行为特性进行检测。

基于行为模式的检测技术主要通过以下步骤实现:

  1. 数据收集:在网络中设置数据收集点,用来捕获网络流量数据。

  2. 流量分析:对捕获的流量数据进行深入分析,包括对数据包的头部和负载进行解析,提取关键信息,如源IP地址、目的IP地址、端口号、协议类型等。

  3. 行为模式建模:根据分析得到的关键信息,建立网络流量的行为模型。这个模型描述了不同网络行为模式的特征,例如P2P文件共享、视频流媒体、VoIP通信等。

  4. 行为识别:将流量数据与行为模型进行匹配,以确定数据流的行为模式。如果流量数据与某个行为模式匹配,就可以判定该流量属于该特定的行为。

 深度流检测技术(DFI)

         DFI(Deep/DynamicFlowInspection,深度/动态流检测)与DPI进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。

        例如,网上IP语音流量体现在流状态上的特征就非常明显:RTP流的包长相对固定,一般在130~220byte,连接速率较低,为20~84kbit/s,同时会话持续时间也相对较长;而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型。

 两者区别

  1.  DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应 用;DPI进行检测会更加精细和精准;
  2. 如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密 手段;但 是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。

三.入侵防御IPS

        入侵防御系统(IPS)是一种网络安全设备,用于检测和阻止网络入侵尝试。它基于网络流量的分析和行为模式的识别,可以实时监测网络中的数据包,并对异常流量和攻击行为进行检测和阻断。

入侵检测方法:

  1. 异常检测:误用检测还可以检测和识别异常的网络行为,即与正常的网络活动相比具有明显差异的活动。通过对异常行为的检测和分析,可以及时发现潜在的攻击和入侵行为。

  2. 误用检测:误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成 为特征,之后,检测流量和特征库进行对比,来发现威胁

 总结

  • 在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; --- 增加检测的精准性
  • 在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码,并深入报文提取特征。
  • 最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设 的处理方案。

签名

预定义签名库:

        针对网络上的入侵行为特征的描述,将这些特征通过HASH后和我们报文进行比对。防火墙设备上的签名需要购买后激活对应的License(许可证) 后才能获取,签名库激活后可以通过连接华为的安全中心进行升级。

 ID ---签名的标识

对象 ---服务端,客户端,服务端(接收连接提供服务的是服务端)和客户端(发起连接的是客户端)

自定义签名库:自己定义威胁特征。

自定义签名和预定义签名可以执行的动作 ;

  1.  告警 :对命中签名的报文进行放行,但是会记录再日志中 分区
  2.  阻断 :对命中签名的报文进行拦截,并记录日志
  3. 放行 :对命中签名的报文放行,不记录日志

防火墙签名Web页面

 注意:这里在进行更改时,一定要注意提交,否则配置不生效。修改的配置需要在提交后重启模块后生效。

 关联签名:用于记录给关联签名命中次数等。

检测范围

报文 ---逐包匹配

消息 ---指基于完整的消息检测,如在TCP交互中,一个完整的请求或应答为一个消息。一个消息可能包含多个报文,一个报文也可能包含多个消息。

流 ---基于数据流 

如果勾选按顺序检测,则下面的“检查项列表”里面的规则将按自上而下,逐一匹配。如果匹配到了,则不再向下匹配;

如果不勾选,则下面所有规则必须全部命中。

匹配 ---在对应字段中,包含和后面“值”(支持正则表达式)中内容相同的内容则匹配成功。

前缀匹配 ---对应字段仅需和“值”开头内容相同即可匹配。

偏移+搜索字节数:例如:偏移5+搜做字节数6即:匹配“值”中第5位字节-第11个字节

入侵防御Web页面 

这里主要是进行签名的筛选,筛选出来的签名和流量进行比对。默认是全选,全选固然安全,但是,对设备性能能消耗巨大,不建议。

签名过滤器可以配置多个,匹配逻辑自上而下,注意匹配。

如果命中多个签名,则如果动作都是告警,则进行告警,如果一个是阻断,则执行阻断。

 

如果需要对个别签名进行特殊处理,则可以写在例外签名中,单独执行动作。多了阻断IP的动作,含义是可以将对应IP地址添加到黑名单。 

后面的超时时间是加入黑名单的时间。超过超时时间,则将释放该地址。 

安全策略中调用入侵防御配置


总结

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/398072.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

VMware Workstation 17安装教程:安装系统

点击开启虚拟机 安装向导的初始化界面 Keyboard和Language Support分别指的是键盘类型和语言支持,我们首先单击Time & Date按钮,设置系统的时区和时间。在地图上单击中国境内即可显示出上海的当前时间,确认后单击左上角的Done按钮。系统…

OpenCV边缘检测与视频读写

原理 OpenCV中的边缘检测原理主要基于图像梯度的计算,包括一阶梯度和二阶梯度。 一阶梯度:它反映了图像亮度变化的速度。Sobel算法就是一种以一阶梯度为基础的边缘检测算法。它通过计算图像在水平和垂直方向上的梯度来检测边缘。这种方法简单有效&…

IDEA配置Maven的步骤

目录 一 下载Maven 二 下载以后解压。在这个文件夹下新建一个文件夹,命名为“maven-repository” 三 在maven文件夹下,打开conf,选择settings文件,用notepad打开,改动3个地方 四 打开IDEA,左上角选择“…

第六十四天 服务攻防-框架安全CVE复现Apache shiroApache Solr

第六十四天 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr 知识点: 中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic.JBoos,WebSphere, Jenkins,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring, Flask,jQuery等 1、开发框…

蓝色投稿说明HTML源码

源码由HTMLCSSJS组成,记事本打开源码文件可以进行内容文字之类的修改,双击html文件可以本地运行效果,也可以上传到服务器里面,重定向这个界面 下载地址 蓝奏云下载 百度网盘下载

前端秘法基础式终章----欢迎来到JS的世界

目录 一.JavaScript的背景 二.JavaScript的书写形式 1.行内式 2.嵌入式 3.外部式 三.JS中的变量 1.变量的定义 2.JS动态类型变量 2.1强类型和弱类型 3.JS中的变量类型 四.运算符 五.if语句和三元表达式和Switch语句和循环语句 六.数组 1.创建获取数组元素 2.新增…

智慧城市与数字孪生:实现城市可持续发展的关键

一、引言 随着全球城市化进程的加速,城市面临着诸多挑战,如资源紧张、环境恶化、交通拥堵等。为了解决这些问题,智慧城市的概念应运而生。智慧城市利用先进的信息通信技术,提升城市治理水平,改善市民的生活质量。而数…

Linux常见基本指令

本文将详细的介绍Linux中各常见指令的用法,并且在每个指令都有使用样例。一共有以下指令: 1. man指令 2.目录基础指令:2.1 pwd指令、2.2 ls指令、2.3 cd指令 3.文件创建与删除:3.1 touch指令、3.2 mkdir指令、3.3 rmdir 指令 &…

vue3+element Plus+ts 自定义主题色,以及生成主题色各种透明度

目录 思路 安装css-color-function【接收一个颜色值,生成不同的透明度】 获取后台配置的主题色或者使用ColorPicker修改主题色 最终结果如下 思路 本篇文章的主体思路是从element Plus官网引申而来。结合了我以前用vue2element-ui配置主题色生成透明度&#x…

计算机网络综合实训室解决方案2024

计算机网络综合实训室概述 数字化转型离不开计算机网络技术。因此培养能够对计算机整体系统进行设计、综合布线、网络设备安装、调式和维护的计算机人才是当今教育教学的热点,也是社会对计算机人才的要求。计算机网络技术是一个对于实践要求很高的科目,…

facebook群控如何做?静态住宅ip代理在多账号运营重的作用

在进行Facebook群控时,ip地址的管理是非常重要的,因为Facebook通常会检测ip地址的使用情况,如果发现有异常的使用行为,比如从同一个ip地址频繁进行登录、发布内容或者在短时间内进行大量的活动等等,就会视为垃圾邮件或…

嵌入式学习第十九天!(时间获取、文件属性和权限的获取、软链接和硬链接)

时间获取: 1. time time_t time(time_t *tloc); 功能:返回1970-01-01到现在的秒数(格林威治时间) 参数: tloc:存放秒数空间首地址 返回值: 成功返回秒数 失败返回-1 2. localtime struct tm *localtime(const tim…

比特币原生 L2 解决方案 Merlin Chain梅林链科普(bitget wallet)

什么是梅林链? Merlin Chain 是由 Bitmap Tech(以前称为 Recursiverse)背后的团队开发的比特币第 2 层解决方案。 Merlin Chain 专注于利用比特币的独特属性,旨在释放其未开发的潜力。从技术上来说,梅林链集成了零知识…

Docker Desktop 链接windos 安装的redis和mysql

1.1.先在容器安装项目 2.链接redis和mysql配置 redis和mysql是在windos安装的,使用的是小p管理器安装的 项目链接 DB_DRIVERmysql DB_HOSThost.docker.internal DB_PORT3306 DB_DATABASEyunxc_test DB_USERNAMEyunxc_test DB_PASSWORDtest123456... DB_CHARSETutf…

软件测试进阶自动化测试流程

如果想让测试在公司的项目中发挥出它最大的价值,并不是招两个测试技术高手,或引入几个测试技术,而是测试技术对项目流程的渗透,以及测试流程的改进与完善。虽然,当然测试行业前景乐观,许多中小企业也都在引…

如何在本地服务器部署TeslaMate并远程查看特斯拉汽车数据无需公网ip

文章目录 1. Docker部署TeslaMate2. 本地访问TeslaMate3. Linux安装Cpolar4. 配置TeslaMate公网地址5. 远程访问TeslaMate6. 固定TeslaMate公网地址7. 固定地址访问TeslaMate TeslaMate是一个开源软件,可以通过连接特斯拉账号,记录行驶历史,统…

【递归】:原理、应用与案例解析 ,助你深入理解递归核心思想

递归 1.基础简介 递归在计算机科学中,递归是一种解决计算问题的方法,其中解决方案取决于同一类问题的更小子集 例如 递归遍历环形链表 基本情况(Base Case):基本情况是递归函数中最简单的情况,它们通常是递…

蓝桥杯Java组备赛(三)

题目1 不可能算到202320232023的阶乘 只需要算到39的阶乘就够了(对阶乘的和S的末9位不再有影响) 数字很大需要一边计算一边取模import java.util.Scanner;public class Main {public static void main(String[] args) {// Scanner sc new Scanner(Sys…

释放软件资产的无限潜力:如何通过有效的管理实现价值最大化!

随着数字化时代的加速发展,软件资产已成为企业最重要的资产之一。然而,许多企业并未意识到软件资产管理的重要性,导致软件资产的价值无法得到充分发挥。本文将探讨软件资产管理的重要性,以及如何通过有效的管理实现软件资产价值的…

【小呆的力学笔记】弹塑性力学的初步认知五:初始屈服条件(1)

文章目录 3. 初始屈服条件3.1 两个假设以及屈服条件基本形式3.2 π \pi π平面、Lode参数3.3 屈服曲线的一般特征 3. 初始屈服条件 3.1 两个假设以及屈服条件基本形式 在简单拉伸时,材料的屈服很明确,即 σ > σ s (1) \sigma\gt\sigma_s\tag{1} …