防御保护:防火墙内容安全

一、IAE(Intelligent Awareness Engine)引擎

二、深度检测技术(DFI和DPI)

1.DPI – 深度包检测技术

DPI主要针对完整的数据包(数据包分片,分段需要重组),之后对数据包的内容进行识别。(应用层)

(1)基于“特征字”的检测技术

(2)基于应用网关的检测技术

有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。

(3)基于行为模式的检测技术

比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁。

2.DFI – 深度流检测技术

结论:
DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应用;DPI进行检测会更加精细和精准;如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密 手段;但是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。

三、入侵防御

IDS:侧重于风险管理的设备
IPS:侧重于风险控制的设备

1. IPS的作用

IPS是一种安全机制,通过分析网络流量来检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式(自动丢弃入侵报文或阻断攻击源)来实时地中止入侵行为(既能发现又能阻止入侵行为),从根本上避免攻击行为。

2.IPS的优势

(1)实时的阻断攻击;
(2)深层防护 — 深入到应用层;
(3)全方位的防护 — IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;
(4)内外兼防 — 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。
(5)不断升级,精准防护

3.与传统IDS的区别

(1)IDS侧重于风险管理,IPS侧重于风险控制;
(2)IDS无法检测应用层内容,误报和漏报率居高不下,而日志和告警又过多,IPS可对报文层层剥离,进行协议识别和报文解析后再进行分类和特征匹配,保证检测的精确性;
(3)DS是被动检测攻击,只能通过响应机制报告给FW,再由FW来阻断攻击,IPS是积极主动的入侵防御阻止系统,可以自动将攻击包丢弃或将攻击源阻断,有效地实现了主动防御功能。

4.入侵检测

入侵防御实现机制

(1)重组应用数据:针对逃避入侵检测的行为,首先进行IP分片及TCP流的重组,确保应用层数据的连续性;
(2)协议识别和协议解析:可根据报文内容识别出多种常见应用层协议,再根据具体协议分析方案进行更为精细的分析,并深入提取报文特征;
(3)特征匹配:将解析后的报文特征与签名进行匹配,如果命中则进行响应;
(4)响应处理:完成检测后根据管理员配置的动作对匹配到签名的报文进行处理。

签名

签名用于描述网络中攻击行为的特征,通过将数据流与入侵防御签名进行比较来检测防范攻击。
预定义签名:入侵防御特征库中包含的签名,缺省动作包括放行、告警和阻断;
自定义签名:针对新的攻击类型或特殊目的进行配置,系统会自动对自定义规则的合法性和正则表达式进行检查,动作行为包括阻断和告警。

签名过滤器
满足指定过滤条件的集合,用于特征库升级后从大量签名中剔除本网络中没有该特征的签名或针对本网络中常出现的威胁过滤出该特征的签名。
例外签名:对签名过滤器批量过滤出的签名设置不同的动作。
入侵防御对数据流的处理:命中签名→查找签名对应的配置文件→是否命中例外签名→是否命中签名过滤器→结束入侵防御处理流程。

检测方向

安全策略的方向是会话发起的方向,而不是攻击流量的方向。

异常检测

异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的

误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

总结:
在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; — 增加检测的精准性
在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。
最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。

四、防病毒网关(AV)

病毒:一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,表现为耗尽主机资源、占用网络带宽、控制主机权限、窃取数据或对硬件造成破坏。
反病毒:一种安全机制,通过凭借庞大且不断更新的病毒特征库识别和处理病毒文件来保证网络安全,一般部署在企业网入口

代理扫描 — 文件需要全部缓存 — 可以完成更多的如解压,脱壳之类的高级操作,并且,检测率高,但是,效率较低,占用资源较大。
流扫描 — 基于文件片段进行扫描 — 效率较高,但是这种方法检测率有限。

病毒杀链

病毒的工作原理

C&C服务器 — 命令控制服务器

防病毒处理流量

1.进行应用和协议的识别
2.判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。

3.之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行其他模块的检测。
4.如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。如果没有比对上,则可以直接放行。
这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激活。
5.如果需要进行后续处理,首先进行“病毒例外“的检测。 — 这个病毒例外,相当于是病毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡防护
6.之后,进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整体配置不同的动作。
7.如果没有匹配上前面两种例外,则将执行整体配置的动作。
宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。
删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

防病毒的配置

需求:假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。

五、URL过滤

1.作用

URL ---- 资源定位符, 通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

静态网页
动态网页 — 需要于数据库进行结合
URI — 统一资源标识符

2.过滤的方法

作用:黑名单是不允许用户访问的URL列表,白名单是允许用户访问的URL列表;
黑白名单与URL分类:白名单>黑名单>自定义URL分类>预定义URL分类,黑白名单可以看做是特殊的(动作不可更改)自定义URL分类,另外自定义URL分类会被URL过滤配置文件自动引用,而黑白名单不具备共用性;
内嵌白名单功能:当大型网页中内嵌了其它网页链接时,如果只将主网页加入白名单,则该主网页下内嵌的其它网页都将无法正常访问,内嵌白名单功能通过用户HTTP请求中的referer字段(标识用户从哪个网页跳转过来)去匹配内嵌白名单从而实现对内嵌网页的访问,其包括以下两种方式;
方式一:使用用户手工配置的referer-host与HTTP请求中的referer字段进行匹配,此时如果未能匹配,则用户还可以选择是否将referer字段继续匹配白名单;
方式二:使用白名单与referer字段进行匹配,该项默认开启。
仅支持白名单模式功能:仅匹配白名单,匹配即放行,不匹配则阻断。

3.匹配方式

精确>后缀>前缀>关键字

4.识别方式

六、DNS过滤

1.作用

通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

2.机制

DNS请求报文中提取域名→白名单→黑名单→自定义DNS分类→本地缓存中的预定义DNS分类→远程服务器是否可用→远程服务器查询是否超时→按返回的预定义分类控制动作处理→是否被阻断→是否配置重定向→重定向到有效地址→结束。

七、内容安全过滤技术

1.文件过滤技术

指针对文件的类型进行的过滤,而不是文件的内容。

作用:根据文件类型对特定文件进行过滤,防止公司机密信息和用户个人信息泄露。

机制:

当通过FW的文件(流量)匹配了一条安全策略规则(动作为permit)且引用了文件过滤配置文件时将进行文件过滤检测,以对特定类型的文件进行阻断或告警。
(1)文件过滤配置:包括承载文件的应用、文件传输方向、文件类型和文件扩展名。
(2)文件识别异常配置:定义了文件类型识别结果异常时的处理动作。
(3)动作:根据文件识别的结果和文件识别异常的响应动作来决定。

压缩

文件过滤技术的处理流程

文件过滤的位置是在AV扫描之前,主要是可以提前过滤掉部分文件,减少AV扫描的工作量,提高工作效率。

2. 内容过滤技术

文件内容的过滤:比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹配,也可以通过正则表达式去实现范围的匹配。)

应用内容的过滤

比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。

注意:对于一些加密的应用,比如我们HTTPS协议,则在进行内容识别的时候,需要配置SSL代理(中间人解密)才可以识别内容。但是,如果对于一些本身就加密了的文件,则无法进行内容识别。

内容识别的动作包括:告警,阻断,按权重操作:我们可以给每一个关键字设计一个权重值,如果检测到多个关键字的权重值超过预设值,则执行告警或者阻断的动作。

3.邮件过滤技术

主要是用来过滤垃圾邮件的。—所谓垃圾邮件,就是收件人事先没有提出要求或者同意接受的广告,电子刊物,各种形式的宣传的邮件。包括,一些携带病毒,木马的钓鱼邮件,也属于垃圾邮件。

作用:使用IP地址检查和邮件内容过滤技术防止垃圾邮件泛滥、匿名邮件非法传播和信息泄密。


统计法 — 基于行为的深度检测技术

贝叶斯算法 — 一种基于预测的过滤手段

基于带宽的统计 — 统计单位时间内,某一个固定IP地址试图建立的连接数,限制单位时间内单个IP地址发送邮件的数量。

基于信誉评分 — 一个邮件服务器如果发送垃圾邮件,则将降低信誉分,如果信誉比较差,则将其发出的邮件判定为垃圾邮件。

列表法 — 黑,白名单

RBL(Real-time Blackhole List) — 实时黑名单 — RBL服务器所提供,这里面的内容会实时根据检测的结果进行更新。我们设备在接收到邮件时,可以找RBL服务器进行查询,如果发现垃圾邮件,则将进行告知。 — 这种方法可能存在误报的情况,所以,谨慎选择丢弃动作。
源头法

SPF技术 — 这是一种检测伪造邮件的技术。可以反向查询邮件的域名和IP地址是否对应。如果对应不上,则将判定为伪造邮件。
意图分析

通过分析邮件的目的特点,来进行过滤,称为意图分析。(结合内容过滤来进行。)

机制:分为基于IP的过滤和基于邮件内容的过滤。

SMTP — 简单邮件传输协议,TCP 25,他主要定义了邮件该如何发送到邮件服务器中。
POP3 — 邮局协议,TCP 110,他定义了邮件该如何从邮件服务器(邮局)中下载下来。
IMAP — TCP 143,也是定义了邮件 该如何从邮件服务器中获取邮件。
(使用POP3则客户端会将邮件服务器中未读的邮件都下载到本地,之后进行操作。邮件服务器上会将这些邮件删除掉。如果是IMAP,用户可以直接对服务器上的邮件进行操作。而不需要将邮件下载到本地进行操作。)

4.应用行为控制技术

常用于企业内部对内网用户的HTTP/FTP/IM行为进行更为精确的控制。
主要针对HTTP和FTP协议。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/415728.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

2024年阿里云2核4G云服务器性能如何?价格便宜有点担心

阿里云2核4G服务器多少钱一年?2核4G服务器1个月费用多少?2核4G服务器30元3个月、85元一年,轻量应用服务器2核4G4M带宽165元一年,企业用户2核4G5M带宽199元一年。本文阿里云服务器网整理的2核4G参加活动的主机是ECS经济型e实例和u1…

第三节-docker-cs架构分析

一、组成 docker engine:docker-client、rest-api、dockerd containerd: 1、管理容器生命周期 2、拉取/推送镜像 3、存储管理 4、调用runc 5、管理网络 containerd-shim:相当于一个驱动,containerd通过containerd-shim驱使…

SpringCloudNacos配置管理及热更新

文章目录 统一配置管理在nacos中添加配置文件从微服务拉取配置配置热更新方式1方式2 配置优先级 之前对 Nacos注册中心入门 已经做了演示. 这篇文章对 Nacos 的服务分级存储模型做理论与实践. 本篇文章阐述 Nacos 做配置中心的理论和实践. 统一配置管理 当微服务部署的实例越…

Vue NextTick工作原理及使用场景

$nextTick的定义及理解: 定义:在下次 DOM 更新循环结束之后执行延迟回调。在修改数据之后立即使用这个方法,获取更新后的 DOM。 所以就衍生出了这个获取更新后的DOM的Vue方法。所以放在Vue.nextTick()回调函数中的执行的应该是会对DOM进行操…

热点参数流控(Sentinel)

热点参数流控 热点流控 资源必须使用注解 SentinelResource 编写接口 以及 热点参数流控处理器 /*** 热点流控 必须使用注解 SentinelResource* param id* return*/ RequestMapping("/getById/{id}") SentinelResource(value "getById", blockHandler …

Media Encoder 2024 for Mac v24.2.1中文激活版

Adobe Media Encoder 2024 for Mac 是一款专业的视频和音频编码工具,专为 Mac 用户打造。它可以将原始素材转换为各种流行格式,以满足不同的播放和发布需求。借助其先进的编码技术和预设设置,用户可以轻松优化输出质量,同时保持文…

森林监测VR虚拟情景再现系统更便利

AI人工智能技术已经逐渐渗透到各个领域,为我们的生活带来了诸多便利。在虚拟仿真教学领域,AI技术的应用也日益丰富,为虚拟情景交互体验带来了前所未有的好处。 提高VR虚拟情景的逼真度 通过深度学习和计算机视觉等技术,AI/VR虚拟现…

[unity]lua热更新——个人复习笔记【侵删/有不足之处欢迎斧正】

一、AssetBundle AB包是特定于平台的资产压缩包,类似于压缩文件 相对于RESOURCES下的资源,AB包更加灵活轻量化,用于减小包体大小和热更新 可以在unity2019环境中直接下载Asset Bundle Browser 可以在其中设置关联 AB包生成的文件 AB包文件…

2024.02.28作业

模拟面试 1. 什么是回调函数 将函数作为另一函数的参数 实现:通过函数指针,如线程的创建函数 2. 结构体和共用体的区别 结构体的每个成员都会分配内存,大小为各个成员所占内存之和,内存对齐 共用体的内存以最大成员为主 3. 赋…

MATLAB练习题:投骰子经过100格的概率

​讲解视频:可以在bilibili搜索《MATLAB教程新手入门篇——数学建模清风主讲》。​ MATLAB教程新手入门篇(数学建模清风主讲,适合零基础同学观看)_哔哩哔哩_bilibili 有一个人从原点(第0格)开始扔一个六面…

【Ansys Fluent Web 】全新用户界面支持访问大规模多GPU CFD仿真

基于Web的技术将释放云计算的强大功能,加速CFD仿真,从而减少对硬件资源的依赖。 主要亮点 ✔ 使用Ansys Fluent Web用户界面™(UI),用户可通过任何设备与云端运行的仿真进行远程交互 ✔ 该界面通过利用多GPU和云计算功…

玩客云刷机(保姆级教程)ArmBian+Casaos

最近我发现自己买的玩客云会24小时写我的硬盘,后面了解了一下,玩客云有链克计划,会一直写你的盘,且关不掉,所以我就自己刷了个机,刷成了Armbian,下面就是我的教程 准备材料 一根usb公对公的线…

flink重温笔记(八):Flink 高级 API 开发——flink 四大基石之 Window(涉及Time)

Flink学习笔记 前言:今天是学习 flink 的第八天啦!学习了 flink 高级 API 开发中四大基石之一: window(窗口)知识点,这一部分只要是解决数据窗口计算问题,其中时间窗口涉及时间,计数…

046-WEB攻防-注入工具SQLMAPTamper编写指纹修改高权限操作目录架构

046-WEB攻防-注入工具&SQLMAP&Tamper编写&指纹修改&高权限操作&目录架构 #知识点: 1、SQLMAP-常规猜解&字典配置 2、SQLMAP-权限操作&文件命令 3、SQLMAP-Tamper&使用&开发 4、SQLMAP-调试指纹&风险等级 演示案例&#xf…

华为配置AP接入GPON网络配置示例

配置AP接入GPON网络配置示例 组网图形 图1 配置AP接入GPON网络示例 表1 版本信息 网元 设备选型 版本 OLT EA5800 V100R019C20 AC AC6805 V200R019C10 AP AirEngine 6760-X1 配套安装OptiXstar S800E GPON光模块 V200R019C10 Switch S6320-SI V200R019C10 ^^^ 组…

[python]随机选取的方式——random.choices()

关于随机选取的函数。 1. 列表随机选取 1.1. 随机等概率选取一个结果 首先我们来想象一下,现在有一个列表,要在其中随机选取一个数字,比如: a [1,2,3,4,5] 这里我们需要用到一种比较简单的随机选取方式,即random…

Vueuse:打造高效的 Vue.js 开发利器

Vueuse:打造高效的 Vue.js 开发利器 Vueuse 是一个功能强大的 Vue.js 生态系统工具库,它提供了一系列的可重用的 Vue 组件和函数,帮助开发者更轻松地构建复杂的应用程序。本文将介绍 Vueuse 的主要特点和用法,以及它在 Vue.js 开发…

VS Code(Visual Studio Code)本地(local)和远程(ssh)Docker Container 下的 Python 开发和调试

VS Code(Visual Studio Code)本地(local)和远程(ssh)Docker Container 下的 Python 开发和调试 1. 目的需求2. VS Code 简介3. 使用实践:一个简单的实例3.1 准备工作3.1.1 远程服务器3.1.2 本地…

揭示IP风险画像的作用与价值

在当今数字化时代,互联网的快速发展为企业和个人带来了巨大的机遇,同时也带来了各种安全风险和威胁。随着网络攻击手段的不断升级和演变,传统的安全防御手段已经无法满足对抗复杂多变的网络威胁的需求。IP风险画像作为一种新型的网络安全解决…

24计算机考研深大经验分享(计算机专业考研综合安排)

文章目录 背景科目选择高数选课一轮二轮冲刺阶段 线代一轮二轮 概率论计算机学科专业基础408数据结构计算机组成原理操作系统计算机网络总结 英语政治 末言 背景 首先贴一下初试成绩。这篇分享主要是给零基础的同学使用的,基础好的同学可以自行了解补充一下&#xf…