防火墙之内容安全过滤技术篇

深度行为检测技术:是一种基于应用层的流量检测和控制技术

DPI:针对完整的数据包,进行内容的识别和检测

基于应用网关的检测技术 --- 有些应用控制和数据是分离的,比如一些视频流。一开始会通过TCP协议链接之后,协商一些参数,这部分我们称为 信令部分 。之后证书传输数据流量,使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关进行检测,即基于前面的信令信息来进行识别和控制。

DFI(深度流检测) --- 基于数据流进行识别检测的技术

DPI和DFI的对比
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响

文件过滤技术 --- 可以针对文件类型和格式进行过滤
1.承载文件的协议
2.文件的传输方向
3.文件的类型
4.文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险。在识别不出的情况下,则按照文件的扩展名处理。
处理流程:

注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需
要重复进行扫描,节约性能,提高效率。
内容过滤技术
1.文件内容过滤
2.应用内容过滤
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹

可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根
据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。

邮件过滤技术
SMTP --- 简单邮件传输协议 ---TCP 25端口
邮件从本地发送到邮件服务器,邮箱服务器发送到邮箱服务器,需要使用的协议。简单来说,就是发邮件的协议
IMAP(Internet Mail Access Protocol,互联网邮件访问协议)和POP3(Post Office Protocol 3,邮局协议第三版)都是用于从邮件服务器上接收邮件的协议。
POP3和IMAP的主要区别:
1.邮件的存储位置
pop3将邮件下载到本地计算机上,并从服务器上删除邮件。(一定时间后会删除)
IMAP允许邮件保留在服务器上,用户可以在任何支持IMAP的设备上访问这些邮件,实现邮件的同步和共享。
2.邮件的处理方式
POP3协议通常只支持单向通信,即用户从服务器下载邮件后,服务器上的邮件状态将发生变化(如标记为已读或删除)。而IMAP协议支持双向通信,用户可以在不同的设备上对邮件进行标记、移动、删除等操作,这些操作会实时同步到服务器上,确保邮件状态的一致性。
简单讲:就是pop3是一种离线协议,只能通过下载的方式讲邮件下载到本地,然后在本地进行操作。IMAP是一种在线协议,它不用将邮件下载到本地,可以在多台支持IMAP协议的设备上同时进行文件的操作,它会将用户的操作同步到服务器上,实现邮件的共享和同步。
垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的
邮件,包括一些携带病毒和木马的钓鱼邮件

RBL:实时黑名单列表
应用行为控制:只能基于HTTP和FTP进行控制

相关推荐
专注_每天进步一点点10 分钟前
SLB(绑定弹性公网ip)-gateway-业务pod,gateway上出现reset by peer,业务pod上没有reset by peer
服务器·tcp/ip·gateway
CHANG_THE_WORLD40 分钟前
TCP 三次握手彻底解析:SYN、ACK、SEQ、确认号与状态迁移
网络·网络协议·tcp/ip
csdn_aspnet1 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ACP广源盛139246256731 小时前
GSV6155@ACP# 搭配 AI 服务器、AI PC 完整适配方案
大数据·服务器·人工智能·分布式·单片机·嵌入式硬件
DLYSB_2 小时前
基于 HTTP API 与 Modbus 协议的多源监控声光语音联动告警系统设计与实现
网络·网络协议·http·报警灯
ChainSafeAI0033 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
Bobolink_3 小时前
手机端和电脑端的网络环境配置有什么不同?
网络·智能手机·电脑·网络环境
世***y3 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站3 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
IT方大同4 小时前
linux简介
linux·运维·服务器