防火墙之内容安全过滤技术篇

深度行为检测技术:是一种基于应用层的流量检测和控制技术

DPI:针对完整的数据包,进行内容的识别和检测

基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为 信令部分 。之后证书传输数据流量,使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关进行检测,即基于前面的信令信息来进行识别和控制。

DFI(深度流检测) --- 基于数据流进行识别检测的技术

DPI和DFI的对比
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响

文件过滤技术 --- 可以针对文件类型和格式进行过滤
1.承载文件的协议
2.文件的传输方向
3.文件的类型
4.文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险。在识别不出的情况下,则按照文件的扩展名处理。
处理流程:

注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需
要重复进行扫描,节约性能,提高效率。
内容过滤技术
1.文件内容过滤
2.应用内容过滤
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹

可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根
据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。

邮件过滤技术
SMTP --- 简单邮件传输协议 ---TCP 25端口
邮件从本地发送到邮件服务器,邮箱服务器发送到邮箱服务器,需要使用的协议。简单来说,就是发邮件的协议
IMAP(Internet Mail Access Protocol,互联网邮件访问协议)和POP3(Post Office Protocol 3,邮局协议第三版)都是用于从邮件服务器上接收邮件的协议。
POP3和IMAP的主要区别:
1.邮件的存储位置
pop3将邮件下载到本地计算机上,并从服务器上删除邮件。(一定时间后会删除)
IMAP允许邮件保留在服务器上,用户可以在任何支持IMAP的设备上访问这些邮件,实现邮件的同步和共享。
2.邮件的处理方式
POP3协议通常只支持单向通信,即用户从服务器下载邮件后,服务器上的邮件状态将发生变化(如标记为已读或删除)。而IMAP协议支持双向通信,用户可以在不同的设备上对邮件进行标记、移动、删除等操作,这些操作会实时同步到服务器上,确保邮件状态的一致性。
简单讲:就是pop3是一种离线协议,只能通过下载的方式讲邮件下载到本地,然后在本地进行操作。IMAP是一种在线协议,它不用将邮件下载到本地,可以在多台支持IMAP协议的设备上同时进行文件的操作,它会将用户的操作同步到服务器上,实现邮件的共享和同步。
垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的
邮件,包括一些携带病毒和木马的钓鱼邮件

RBL:实时黑名单列表
应用行为控制:只能基于HTTP和FTP进行控制

相关推荐
ACRELKY1 小时前
【黑科技护航安全】分布式光纤测温:让隐患无处可藏
科技·安全
叠叠乐1 小时前
rust Send Sync 以及对象安全和对象不安全
开发语言·安全·rust
yuzhangfeng2 小时前
【云计算物理网络】从传统网络到SDN:云计算的网络演进之路
网络·云计算
TDengine (老段)2 小时前
TDengine 中的关联查询
大数据·javascript·网络·物联网·时序数据库·tdengine·iotdb
zhu12893035562 小时前
网络安全的现状与防护措施
网络·安全·web安全
澳鹏Appen3 小时前
AI安全:构建负责任且可靠的系统
人工智能·安全
wirepuller_king4 小时前
创建Linux虚拟环境并远程连接,finalshell自定义壁纸
linux·运维·服务器
zhu12893035564 小时前
网络安全与防护策略
网络·安全·web安全
Yan-英杰4 小时前
【百日精通JAVA | SQL篇 | 第二篇】数据库操作
服务器·数据库·sql
沫夕残雪4 小时前
HTTP,请求响应报头,以及抓包工具的讨论
网络·vscode·网络协议·http