防火墙--IPS、IDS、AV、URL过滤 的详解
攻击可能只是一个点,而防御需要全方面进行
IAE引擎
DPI --- 深度包检测 --- 针对完整的数据包,进行内容的识别和检测
1,基于特征字的检测技术
2,基于应用网关的检测技术
2,基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。之后证书传输数据流量,使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关来进行检测,即基于前面的信令信息来进行识别和控制。
3,基于行为模式的检测技术
DFI --- 深度流检测 --- 基于数据流进行识别检测的技术
DPI和DFI的对比
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响
IPS(入侵防御)
IDS --- 入侵检测
IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控,但是不能直接处理。--- 存在滞后性
早期IDS的误报率较高
其优点在于部署灵活,可以旁路部署,对原网络没有任何影响
IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时,处理问题。 ---- 需要串联部署在网络中
IPS设备优势:
1,实时阻断攻击;
2,深层防护 --- 可以深入到应用层,进行精准的威胁识别;
3,全方位的防护
4,内外兼防
5,不断升级,精准防护
入侵检测的方法:
1,异常检测
1,异常检测 --- 这种检测时基于一个假定,我们认为用户的行为是遵循一致性原则的
2,误用检测
2,误用检测 --- 创建一个异常行为特征库,将入侵行为的特征记录下来,记录签名,之后,根据到达的流量特征和签名进行比如,判断是否存在异常;
签名 --- 将异常行为的特征记录下来进行HSAH,之后,正常流量过来,也提取其特征进行比对。
预定义签名 --- 设备上自身携带的有特征库,这个特征库需要购买liense(许可证)后才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名,可以执行的动作 --- 放行
告警 --- 数据允许通过,但是会记录日志 阻断 --- 数据不允许通过,并且会记录日志
针对预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改所有的修改需要进行提交,不提交不生效,提交相当于重启了IPS模块,才能使新加的或者修改的东西生效
ID --- 区分不同的签名
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序 --- 这种攻击所承载的协议或者应用
原文地址:https://blog.csdn.net/weixin_65476290/article/details/140589493
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!