防火墙--IPS、IDS、AV、URL过滤 的详解

 攻击可能只是一个点，而防御需要全方面进行

IAE引擎

DPI --- 深度包检测 --- 针对完整的数据包，进行内容的识别和检测

1，基于特征字的检测技术

2，基于应用网关的检测技术

2，基于应用网关的检测技术 --- 有些应用控制和数据是分离的，比如一些视频流。一开始会通过TCP协议链接之后，协商一些参数，这部分我们称为信令部分。之后证书传输数据流量，使用UDP协议，而这部分流量是没有可以识别的特征的。所以，这些应用可以基于应用网关来进行检测，即基于前面的信令信息来进行识别和控制。

3，基于行为模式的检测技术

DFI --- 深度流检测  --- 基于数据流进行识别检测的技术

DPI和DFI的对比

1，DFI仅对流量行为分析，只能对应用类型进行笼统的分类，无法做到精细的识别

2，如果流量进行加密的话，DPI可能在没有解密的情况无法进行识别，但是DFI不受影响

IPS（入侵防御）

IDS --- 入侵检测

IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控，但是不能直接处理。--- 存在滞后性

早期IDS的误报率较高

其优点在于部署灵活，可以旁路部署，对原网络没有任何影响

IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时，处理问题。 ---- 需要串联部署在网络中

IPS设备优势：

1，实时阻断攻击；

2，深层防护 --- 可以深入到应用层，进行精准的威胁识别；

3，全方位的防护

4，内外兼防

5，不断升级，精准防护

入侵检测的方法：

1，异常检测

1，异常检测 --- 这种检测时基于一个假定，我们认为用户的行为是遵循一致性原则的

2，误用检测

2，误用检测 --- 创建一个异常行为特征库，将入侵行为的特征记录下来，记录签名，之后，根据到达的流量特征和签名进行比如，判断是否存在异常；

签名 --- 将异常行为的特征记录下来进行HSAH，之后，正常流量过来，也提取其特征进行比对。

预定义签名 --- 设备上自身携带的有特征库，这个特征库需要购买liense（许可证）后才可获取。（如果购买了liense后，可以对接华为的安全中心多特征库进行更新）自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名，可以执行的动作 --- 放行

                              告警 --- 数据允许通过，但是会记录日志               阻断 --- 数据不允许通过，并且会记录日志

 

针对预定义签名，我们只能修改其默认的执行动作，以及启用与否，其他的都不能修改所有的修改需要进行提交，不提交不生效，提交相当于重启了IPS模块，才能使新加的或者修改的东西生效

ID --- 区分不同的签名

对象 --- 服务器，客户端，服务器和客户端 --- 针对设备的身份 --- 注意，一般我们将发起连接的设备角色认定为客户端，响应连接并提供服务的角色认定为服务器。

严重性 --- 该行为一旦爆发之后，对我们网络系统的影响程度的评级协议/应用程序 --- 这种攻击所承载的协议或者应用

原文地址：https://blog.csdn.net/weixin_65476290/article/details/140589493

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！