防御保护:防火墙内容安全

news2024/11/16 23:59:13

一、IAE(Intelligent Awareness Engine)引擎

二、深度检测技术(DFI和DPI)

1.DPI – 深度包检测技术

DPI主要针对完整的数据包(数据包分片,分段需要重组),之后对数据包的内容进行识别。(应用层)

(1)基于“特征字”的检测技术

(2)基于应用网关的检测技术

有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。

(3)基于行为模式的检测技术

比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁。

2.DFI – 深度流检测技术

结论:
DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应用;DPI进行检测会更加精细和精准;如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密 手段;但是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。

三、入侵防御

IDS:侧重于风险管理的设备
IPS:侧重于风险控制的设备

1. IPS的作用

IPS是一种安全机制,通过分析网络流量来检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式(自动丢弃入侵报文或阻断攻击源)来实时地中止入侵行为(既能发现又能阻止入侵行为),从根本上避免攻击行为。

2.IPS的优势

(1)实时的阻断攻击;
(2)深层防护 — 深入到应用层;
(3)全方位的防护 — IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;
(4)内外兼防 — 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。
(5)不断升级,精准防护

3.与传统IDS的区别

(1)IDS侧重于风险管理,IPS侧重于风险控制;
(2)IDS无法检测应用层内容,误报和漏报率居高不下,而日志和告警又过多,IPS可对报文层层剥离,进行协议识别和报文解析后再进行分类和特征匹配,保证检测的精确性;
(3)DS是被动检测攻击,只能通过响应机制报告给FW,再由FW来阻断攻击,IPS是积极主动的入侵防御阻止系统,可以自动将攻击包丢弃或将攻击源阻断,有效地实现了主动防御功能。

4.入侵检测

入侵防御实现机制

(1)重组应用数据:针对逃避入侵检测的行为,首先进行IP分片及TCP流的重组,确保应用层数据的连续性;
(2)协议识别和协议解析:可根据报文内容识别出多种常见应用层协议,再根据具体协议分析方案进行更为精细的分析,并深入提取报文特征;
(3)特征匹配:将解析后的报文特征与签名进行匹配,如果命中则进行响应;
(4)响应处理:完成检测后根据管理员配置的动作对匹配到签名的报文进行处理。

签名

签名用于描述网络中攻击行为的特征,通过将数据流与入侵防御签名进行比较来检测防范攻击。
预定义签名:入侵防御特征库中包含的签名,缺省动作包括放行、告警和阻断;
自定义签名:针对新的攻击类型或特殊目的进行配置,系统会自动对自定义规则的合法性和正则表达式进行检查,动作行为包括阻断和告警。

签名过滤器
满足指定过滤条件的集合,用于特征库升级后从大量签名中剔除本网络中没有该特征的签名或针对本网络中常出现的威胁过滤出该特征的签名。
例外签名:对签名过滤器批量过滤出的签名设置不同的动作。
入侵防御对数据流的处理:命中签名→查找签名对应的配置文件→是否命中例外签名→是否命中签名过滤器→结束入侵防御处理流程。

检测方向

安全策略的方向是会话发起的方向,而不是攻击流量的方向。

异常检测

异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的

误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来,总结成为特征,之后,检测流量和特征库进行对比,来发现威胁。

总结:
在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; — 增加检测的精准性
在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码,并深入报文提取特征。
最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设的处理方案。

四、防病毒网关(AV)

病毒:一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,表现为耗尽主机资源、占用网络带宽、控制主机权限、窃取数据或对硬件造成破坏。
反病毒:一种安全机制,通过凭借庞大且不断更新的病毒特征库识别和处理病毒文件来保证网络安全,一般部署在企业网入口

代理扫描 — 文件需要全部缓存 — 可以完成更多的如解压,脱壳之类的高级操作,并且,检测率高,但是,效率较低,占用资源较大。
流扫描 — 基于文件片段进行扫描 — 效率较高,但是这种方法检测率有限。

病毒杀链

病毒的工作原理

C&C服务器 — 命令控制服务器

防病毒处理流量

1.进行应用和协议的识别
2.判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。

3.之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行其他模块的检测。
4.如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。如果没有比对上,则可以直接放行。
这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激活。
5.如果需要进行后续处理,首先进行“病毒例外“的检测。 — 这个病毒例外,相当于是病毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡防护
6.之后,进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整体配置不同的动作。
7.如果没有匹配上前面两种例外,则将执行整体配置的动作。
宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。
删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

防病毒的配置

需求:假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。

五、URL过滤

1.作用

URL ---- 资源定位符, 通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

静态网页
动态网页 — 需要于数据库进行结合
URI — 统一资源标识符

2.过滤的方法

作用:黑名单是不允许用户访问的URL列表,白名单是允许用户访问的URL列表;
黑白名单与URL分类:白名单>黑名单>自定义URL分类>预定义URL分类,黑白名单可以看做是特殊的(动作不可更改)自定义URL分类,另外自定义URL分类会被URL过滤配置文件自动引用,而黑白名单不具备共用性;
内嵌白名单功能:当大型网页中内嵌了其它网页链接时,如果只将主网页加入白名单,则该主网页下内嵌的其它网页都将无法正常访问,内嵌白名单功能通过用户HTTP请求中的referer字段(标识用户从哪个网页跳转过来)去匹配内嵌白名单从而实现对内嵌网页的访问,其包括以下两种方式;
方式一:使用用户手工配置的referer-host与HTTP请求中的referer字段进行匹配,此时如果未能匹配,则用户还可以选择是否将referer字段继续匹配白名单;
方式二:使用白名单与referer字段进行匹配,该项默认开启。
仅支持白名单模式功能:仅匹配白名单,匹配即放行,不匹配则阻断。

3.匹配方式

精确>后缀>前缀>关键字

4.识别方式

六、DNS过滤

1.作用

通过允许或禁止用户访问某些网络资源,达到规范上网行为的目的,可以设置生效时间段,也可以设置动作为放行、告警或阻断。

2.机制

DNS请求报文中提取域名→白名单→黑名单→自定义DNS分类→本地缓存中的预定义DNS分类→远程服务器是否可用→远程服务器查询是否超时→按返回的预定义分类控制动作处理→是否被阻断→是否配置重定向→重定向到有效地址→结束。

七、内容安全过滤技术

1.文件过滤技术

指针对文件的类型进行的过滤,而不是文件的内容。

作用:根据文件类型对特定文件进行过滤,防止公司机密信息和用户个人信息泄露。

机制:

当通过FW的文件(流量)匹配了一条安全策略规则(动作为permit)且引用了文件过滤配置文件时将进行文件过滤检测,以对特定类型的文件进行阻断或告警。
(1)文件过滤配置:包括承载文件的应用、文件传输方向、文件类型和文件扩展名。
(2)文件识别异常配置:定义了文件类型识别结果异常时的处理动作。
(3)动作:根据文件识别的结果和文件识别异常的响应动作来决定。

压缩

文件过滤技术的处理流程

文件过滤的位置是在AV扫描之前,主要是可以提前过滤掉部分文件,减少AV扫描的工作量,提高工作效率。

2. 内容过滤技术

文件内容的过滤:比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹配,也可以通过正则表达式去实现范围的匹配。)

应用内容的过滤

比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。

注意:对于一些加密的应用,比如我们HTTPS协议,则在进行内容识别的时候,需要配置SSL代理(中间人解密)才可以识别内容。但是,如果对于一些本身就加密了的文件,则无法进行内容识别。

内容识别的动作包括:告警,阻断,按权重操作:我们可以给每一个关键字设计一个权重值,如果检测到多个关键字的权重值超过预设值,则执行告警或者阻断的动作。

3.邮件过滤技术

主要是用来过滤垃圾邮件的。—所谓垃圾邮件,就是收件人事先没有提出要求或者同意接受的广告,电子刊物,各种形式的宣传的邮件。包括,一些携带病毒,木马的钓鱼邮件,也属于垃圾邮件。

作用:使用IP地址检查和邮件内容过滤技术防止垃圾邮件泛滥、匿名邮件非法传播和信息泄密。


统计法 — 基于行为的深度检测技术

贝叶斯算法 — 一种基于预测的过滤手段

基于带宽的统计 — 统计单位时间内,某一个固定IP地址试图建立的连接数,限制单位时间内单个IP地址发送邮件的数量。

基于信誉评分 — 一个邮件服务器如果发送垃圾邮件,则将降低信誉分,如果信誉比较差,则将其发出的邮件判定为垃圾邮件。

列表法 — 黑,白名单

RBL(Real-time Blackhole List) — 实时黑名单 — RBL服务器所提供,这里面的内容会实时根据检测的结果进行更新。我们设备在接收到邮件时,可以找RBL服务器进行查询,如果发现垃圾邮件,则将进行告知。 — 这种方法可能存在误报的情况,所以,谨慎选择丢弃动作。
源头法

SPF技术 — 这是一种检测伪造邮件的技术。可以反向查询邮件的域名和IP地址是否对应。如果对应不上,则将判定为伪造邮件。
意图分析

通过分析邮件的目的特点,来进行过滤,称为意图分析。(结合内容过滤来进行。)

机制:分为基于IP的过滤和基于邮件内容的过滤。

SMTP — 简单邮件传输协议,TCP 25,他主要定义了邮件该如何发送到邮件服务器中。
POP3 — 邮局协议,TCP 110,他定义了邮件该如何从邮件服务器(邮局)中下载下来。
IMAP — TCP 143,也是定义了邮件 该如何从邮件服务器中获取邮件。
(使用POP3则客户端会将邮件服务器中未读的邮件都下载到本地,之后进行操作。邮件服务器上会将这些邮件删除掉。如果是IMAP,用户可以直接对服务器上的邮件进行操作。而不需要将邮件下载到本地进行操作。)

4.应用行为控制技术

常用于企业内部对内网用户的HTTP/FTP/IM行为进行更为精确的控制。
主要针对HTTP和FTP协议。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1476660.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

c# .net8 香橙派orangepi + hc-04蓝牙 实例

这些使用c# .net8开发,硬件 香橙派 orangepi 3lts和 hc-04蓝牙 使用场景:可以通过这个功能,手机连接orangepi进行wifi等参数配置 硬件: 1、带USB口的linux开发板orangepi 2、USB 转TTL 中转接蓝牙(HC-04) 某宝上买…

openGauss学习笔记-230 openGauss性能调优-系统调优-配置并行查询功能

文章目录 openGauss学习笔记-230 openGauss性能调优-系统调优-配置并行查询功能230.1 适用场景与限制230.2 资源对SMP性能的影响230.3 其他因素对SMP性能的影响230.4 配置步骤 openGauss学习笔记-230 openGauss性能调优-系统调优-配置并行查询功能 openGauss的SMP并行技术是一…

双流机场到天府机场ADS-B数据导入MATLAB

MATLAB导入数据 导入的数据Excel部分截图: 一些处理 % 导入外部轨迹数据并转成标准形式 clear;clc; %% 导入&预处理 [NUM,TXT,RAW]xlsread(2021年10月31日CTU-TFU); time_cell RAW(3:end,1); %拉取时间数据(cell) time_char char(t…

【清理mysql数据库服务器二进制日志文件】

清理前后比对 清理前占用 86% : 清理后占用 29% : 排查占用磁盘较大的文件 检测磁盘空间占用 TOP 10 # 检测磁盘空间占用 TOP 10 $ sudo du -S /var/log/ | > sort -rn | # -n选项允许按数字排序。-r选项会先列出最大数字(逆序&#x…

智慧应急:构建全方位、立体化的安全保障网络

一、引言 在信息化、智能化快速发展的今天,传统的应急管理模式已难以满足现代社会对安全保障的需求。智慧应急作为一种全新的安全管理模式,旨在通过集成物联网、大数据、云计算、人工智能等先进技术,实现对应急事件的快速响应、精准决策和高…

eltable 合计行添加tooltip

eltable 合计行添加tooltip 问题描述: eltable 合计行单元格内容过长会换行,需求要求合计行数据超长显示 … ,鼠标 hover 时显示提示信息。 解决方案:eltable合计行没有对外的修改接口,想法是 自己实现一个tooltip&a…

代码随想录刷题笔记-Day25

1. 分割回文串 131. 分割回文串https://leetcode.cn/problems/palindrome-partitioning/ 给你一个字符串 s,请你将 s 分割成一些子串,使每个子串都是 回文串 。返回 s 所有可能的分割方案。 回文串 是正着读和反着读都一样的字符串。 示例 1&#xf…

vue使用gitshot生成gif

vue使用gitshot生成gif 问题背景 本文将介绍vue中使用gitshot生成gif。 问题分析 解决思路: 使用input组件上传一个视频,获取视频文件后用一个video组件进行播放,播放过程进行截图生成图片数组。 demo演示上传一个视频,然后生…

Linux:Kubernetes(k8s)——基础理论笔记(1)

我笔记来源的图片以及共享至GitHub,本章纯理论。这是k8s中部分的基础理论 👇 KALItarro/k8spdf: 这个里面只有一个pdf文件 (github.com)https://github.com/KALItarro/k8spdf👆 什么是kubernetes kubernetes 是一个开源的,用于管…

spring boot学习第十三篇:使用spring security控制权限

该文章同时也讲到了如何使用swagger。 1、pom.xml文件内容如下&#xff1a; <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instanc…

【亚马逊云科技】通过Amazon CloudFront(CDN)快速访问资源

文章目录 前言一、应用场景二、【亚马逊云科技】CloudFront&#xff08;CDN&#xff09;的优势三、入门使用总结 前言 前面有篇文章我们介绍了亚马逊云科技的云存储服务。云存储服务主要用于托管资源&#xff0c;而本篇文章要介绍的CDN则是一种对托管资源的快速访问服务&#…

Android studio (一) 新建一个Android项目 编程语言为Java

一、下载Android studio 下载 Android Studio 和应用工具 - Android 开发者 | Android Developers 这里我下载的是2023年的 二、新建项目 选择如下模板。 填写项目名、项目保存位置、编程语言、最低支持Android API的版本、打包编译模式 三、报错Connection refused: no …

Python实现向量自回归移动平均与外生变量模型(VARMAX算法)项目实战

说明&#xff1a;这是一个机器学习实战项目&#xff08;附带数据代码文档视频讲解&#xff09;&#xff0c;如需数据代码文档视频讲解可以直接到文章最后获取。 1.项目背景 向量自回归移动平均与外生变量模型&#xff08;Vector Autoregression Moving Average with Exogenous…

2023年09月CCF-GESP编程能力等级认证Scratch图形化编程二级真题解析

一、单选题(共10题,共30分) 第1题 我国第一台大型通用电子计算机使用的逻辑部件是( )。 A:集成电路 B:大规模集成电路 C:晶体管 D:电子管 答案:D 第2题 默认小猫角色,运行以下程序,小猫会说?( ) A:45 B:50 C:55 D:60 答案:C 第3题 列流程图的输出结…

【AUCell打分】:评估一个基因集在单细胞转录组的每个细胞中特定的活性程度

AUCell介绍 AUCell是什么&#xff1a;AUCell使用曲线下面积来计算输入基因集的一个有意义的基因子集是否在每个细胞的表达基因中富集。AUC 分数在所有细胞中的分布允许探索特征的相对表达。由于评分方法是基于排名的&#xff0c;因此 AUCell 与基因表达单位和归一化程序无关。…

如何正确的万无一失的学习python?

W...Y的主页 代码仓库分享 在当今数据驱动的时代&#xff0c;Python已经成为最受欢迎的编程语言之一&#xff0c;无论是在数据科学、机器学习、Web开发还是自动化任务中&#xff0c;Python都扮演着关键的角色。其简洁的语法、强大的库支持以及庞大的社区&#xff0c;使其成为…

Python进阶学习:Pandas--将一种的数据类型转换为另一种类型(astype())

Python进阶学习&#xff1a;Pandas–将一种的数据类型转换为另一种类型(astype()) &#x1f308; 个人主页&#xff1a;高斯小哥 &#x1f525; 高质量专栏&#xff1a;Matplotlib之旅&#xff1a;零基础精通数据可视化、Python基础【高质量合集】、PyTorch零基础入门教程&…

【达梦数据库】如何使用idea antrl4插件方式dm sql

使用idea中的antrl插件进行分析 1.打开IDEA&#xff0c;在File—Settings—Plugins中&#xff0c;安装ANTLR v4 grammar plugin插件。 2.加载达梦的语法文件 3.配置生成路径和目录&#xff08;可采用默认&#xff09; 4.编译DmSqlParser.g4 DmSqlLexer.g4 5.输入SQL/输入文件 …

【Vue的单选按钮不选中已解决亲测】

伙计&#xff0c;你是否因为后台给vue前端已经传入了对应的单选按钮的数据&#xff0c;为啥还是不选中呢&#xff01;&#xff1f; 这个问题实话我百度乐很多都不能解决我的问题&#xff0c;最后机智如我的发现乐vue的自身的问题&#xff0c;后端返回的数据类型如果是数字int类…

K8S部署postgresql

&#xff08;作者&#xff1a;陈玓玏&#xff09; 一、前置条件 已部署k8s&#xff0c;服务端版本为1.21.14 二、部署postgresql 拉取镜像&#xff0c;docker pull postgres&#xff0c;不指定版本&#xff0c;自动从docker hub拉取最新版本&#xff1b;配置configmap&…