自学内容网 自学内容网

安全防御:过滤技术

目录

一、URL过滤

URL过滤的方式

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

需求:

三、DNS过滤

四、内容过滤

文件过滤技术

文件过滤技术的处理流程

内容过滤技术

邮件过滤技术

统计法

列表法

源头法

意图分析

应用行为控制


一、URL过滤

URL -- 统一资源定位符

静态网页

动态网页

URI --- 统一资源的标识符

URL过滤的方式

1,通过黑白名单进行过滤

2,预定义的URL分类

  • 本地缓存查询
  • 远程分类服务查询 --- 如果需要使用该功能,则需要激活liense

3,自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级

如果远程分类服务查询都无法确认该URL的分类,则该URL将按照“其他”类的动作进行执行

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字,server_name,里面包含的就是服务器域名信息

因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤

需求:

需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,其余的网站均不能访问

这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤

如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS的流量,需要先配置SSL代理解密策略

这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案

这里如果开启之后,相当于开启了两个功能 :

1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行威胁检测

  • URL信誉热点库
  • 远程查询服务器

2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病毒的反馈

严格 --- 如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最严格的来执行

松散 --- 如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最松散的来执行

在华为中

TCP 80 --- 和安全中心进行交互

TCP 12612 --- 和调度服务器交互

UDP12600 --- 和查询服务器交互

三、DNS过滤

四、内容过滤

文件过滤技术

可以针对文件的类型和格式进行过滤

  1. 承载文件的协议
  2. 文件的传输方向
  3. 文件的类型
  4. 文件的扩展名

防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无法识别,则按照文件的拓展名处理。

文件过滤技术的处理流程

注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需要重复进行扫描,节约性能,提高效率。

内容过滤技术

文件内容的过滤

应用内容的过滤

内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹配

可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。

邮件过滤技术

SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议

POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作

IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。

垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的邮件,包括一些携带病毒和木马的钓鱼邮件。

统计法

贝叶斯算法 --- 基于非垃圾邮件和垃圾邮件的样本进行预测,预测下一封邮件是垃圾邮件的概率 --- 一种基于预测的手段

基于连接带宽的统计 --- 基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来进行判断

基于信誉评分的技术

列表法

基于黑白名单对垃圾邮件进行过滤

通过RBL(实时黑名单列表)技术来实现动态的黑名单

源头法

SPF技术 --- 识别伪造邮件的,可以进行溯源,IP地址和域名的对应关系是否一致

意图分析

应用行为控制

HTTP、FTP


原文地址:https://blog.csdn.net/AXDRXS/article/details/140572068

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!