深度行为检测技术:是一种基于应用层的流量检测和控制技术
DPI:针对完整的数据包,进行内容的识别和检测
基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为
信令部分
。之后证书传输数据流量,使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关进行检测,即基于前面的信令信息来进行识别和控制。
DFI(深度流检测) --- 基于数据流进行识别检测的技术
DPI和DFI的对比
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响
文件过滤技术 --- 可以针对文件类型和格式进行过滤
1.承载文件的协议
2.文件的传输方向
3.文件的类型
4.文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险。在识别不出的情况下,则按照文件的扩展名处理。
处理流程:
注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需
要重复进行扫描,节约性能,提高效率。
内容过滤技术
1.文件内容过滤
2.应用内容过滤
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹
配
可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根
据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。
邮件过滤技术
SMTP --- 简单邮件传输协议 ---TCP 25端口
邮件从本地发送到邮件服务器,邮箱服务器发送到邮箱服务器,需要使用的协议。简单来说,就是发邮件的协议
IMAP(Internet Mail Access Protocol,互联网邮件访问协议)和POP3(Post Office Protocol 3,邮局协议第三版)都是用于从邮件服务器上接收邮件的协议。
POP3和IMAP的主要区别:
1.邮件的存储位置
pop3将邮件下载到本地计算机上,并从服务器上删除邮件。(一定时间后会删除)
IMAP允许邮件保留在服务器上,用户可以在任何支持IMAP的设备上访问这些邮件,实现邮件的同步和共享。
2.邮件的处理方式
POP3协议通常只支持单向通信,即用户从服务器下载邮件后,服务器上的邮件状态将发生变化(如标记为已读或删除)。而IMAP协议支持双向通信,用户可以在不同的设备上对邮件进行标记、移动、删除等操作,这些操作会实时同步到服务器上,确保邮件状态的一致性。
简单讲:就是pop3是一种离线协议,只能通过下载的方式讲邮件下载到本地,然后在本地进行操作。IMAP是一种在线协议,它不用将邮件下载到本地,可以在多台支持IMAP协议的设备上同时进行文件的操作,它会将用户的操作同步到服务器上,实现邮件的共享和同步。
垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的
邮件,包括一些携带病毒和木马的钓鱼邮件
RBL:实时黑名单列表
应用行为控制:只能基于HTTP和FTP进行控制