目录
URL过滤
URL和URI
URL -- 统一资源定位符
URI --- 统一资源的标识符
URL和URI之间的区别
URL过滤的方式
HTTP协议获取URL的方式
HTTP协议做控制管理的流程
HTTPS协议做控制管理的流程
1,配置SSL的解密功能
2,直接针对加密流量进行过滤
例子
防火墙的相关配置
DNS过滤
工作流程
URL过滤和DNS过滤的区别
内容过滤
描述
文件过滤技术
文件过滤技术的处理流程
防火墙上的配置
内容过滤技术
内容过滤技术的处理流程
邮件过滤技术
关于邮件的协议
邮件过滤技术的处理流程
垃圾邮件
关于怎么阻止预测垃圾邮件使用的算法
意图分析
应用行为控制
HTTP行为
FTP行为
URL过滤
URL和URI
URL -- 统一资源定位符
专为标识Internet网上资源位置而设置的一种编址方式
分为了:
静态网页 、动态网页。
URI --- 统一资源的标识符
URI 是一个泛化的框架,用于识别任何地方的资源。
URL和URI之间的区别
这两个之间的区别:
URI 是一个泛化的框架,用于识别任何地方的资源。
URL 是一个具体的指示器,详细说明了如何在网络中找到一个资源。
举例来说:
http://example.com/about 是一个URL,因为它提供了获取资源的具体方法(HTTP协议)和位置(example.com上的about页面)。
urn:isbn:0-395-36341-5 是一个URI,但不是一个URL,因为它仅标识了一个特定的书籍,而没有提供获取它的方法。
URL过滤的方式
1,通过黑白名单进行过滤
2,预定义的URL分类
本地缓存查询
远程分类服务查询 --- 如果需要使用该功能,则需要激活liense
自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级
如果远程分类服务查询都无法确认该URL的分类,则该URL将按照“其他”类的动作进行执行
HTTP协议获取URL的方式
HTTP协议做控制管理的流程
HTTPS协议做控制管理的流程
1,配置SSL的解密功能
2,直接针对加密流量进行过滤
在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字,
server_name,里面包含的就是服务器域名信息
因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提
高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤
例子
需求:需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许
访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,
其余的网站均不能访问
防火墙的相关配置
这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤,如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS的流量,需要先配置SSL代理解密策略
这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案
这里如果开启之后,相当于开启了两个功能
1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行威胁检测
、URL信誉热点库、远程查询服务器
2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病
毒的反馈
严格 --- 如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最严格的来执行
松散 --- 如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最松散的来执行
华为中
TCP 80 --- 和安全中心进行交互
TCP 12612 --- 和调度服务器交互
UDP12600 --- 和查询服务器交互
DNS过滤
工作流程
URL过滤和DNS过滤的区别
内容过滤
描述
文件过滤技术
可以针对文件的类型和格式进行过滤
1,承载文件的协议
2,文件的传输方向
3,文件的类型
4,文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无
法识别,则按照文件的拓展名处理。
文件过滤技术的处理流程
注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需
要重复进行扫描,节约性能,提高效率。
防火墙上的配置
内容过滤技术
文件内容的过滤
应用内容的过滤
内容过滤技术的处理流程
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹
配
可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根
据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。
邮件过滤技术
关于邮件的协议
SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使
用的协议
POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作
IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的
区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。
邮件过滤技术的处理流程
垃圾邮件
收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的
邮件,包括一些携带病毒和木马的钓鱼邮件
关于怎么阻止预测垃圾邮件使用的算法
统计法
贝叶斯算法 --- 基于非垃圾邮件和垃圾邮件的样本进行预测,预测下一封邮件是垃圾邮
件的概率 --- 一种基于预测的手段
基于连接带宽的统计 --- 基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来
进行判断
基于信誉评分的技术
列表法
基于黑白名单对垃圾邮件进行过滤
通过RBL(实时黑名单列表)技术来实现动态的黑名单
源头法
SPF技术 --- 识别伪造邮件的,可以进行溯源,IP地址和域名的对应关系是否一致意图分析
意图分析
应用行为控制
主要还是运用在这两个协议HTTP,FTP
HTTP行为
FTP行为
