安全防御:过滤技术

目录

一、URL过滤

URL过滤的方式

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

需求:

三、DNS过滤

四、内容过滤

文件过滤技术

文件过滤技术的处理流程

内容过滤技术

邮件过滤技术

统计法

列表法

源头法

意图分析

应用行为控制


一、URL过滤

URL -- 统一资源定位符

静态网页

动态网页

URI --- 统一资源的标识符

URL过滤的方式

1,通过黑白名单进行过滤

2,预定义的URL分类

  • 本地缓存查询
  • 远程分类服务查询 --- 如果需要使用该功能,则需要激活liense

3,自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级

如果远程分类服务查询都无法确认该URL的分类,则该URL将按照"其他"类的动作进行执行

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字,server_name,里面包含的就是服务器域名信息

因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤

需求:

需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,其余的网站均不能访问

这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤

如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS的流量,需要先配置SSL代理解密策略

这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案

这里如果开启之后,相当于开启了两个功能 :

1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行威胁检测

  • URL信誉热点库
  • 远程查询服务器

2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病毒的反馈

严格 --- 如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最严格的来执行

松散 --- 如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最松散的来执行

在华为中

TCP 80 --- 和安全中心进行交互

TCP 12612 --- 和调度服务器交互

UDP12600 --- 和查询服务器交互

三、DNS过滤

四、内容过滤

文件过滤技术

可以针对文件的类型和格式进行过滤

  1. 承载文件的协议
  2. 文件的传输方向
  3. 文件的类型
  4. 文件的扩展名

防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无法识别,则按照文件的拓展名处理。

文件过滤技术的处理流程

注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需要重复进行扫描,节约性能,提高效率。

内容过滤技术

文件内容的过滤

应用内容的过滤

内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹配

可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。

邮件过滤技术

SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议

POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作

IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。

垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的邮件,包括一些携带病毒和木马的钓鱼邮件。

统计法

贝叶斯算法 --- 基于非垃圾邮件和垃圾邮件的样本进行预测,预测下一封邮件是垃圾邮件的概率 --- 一种基于预测的手段

基于连接带宽的统计 --- 基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来进行判断

基于信誉评分的技术

列表法

基于黑白名单对垃圾邮件进行过滤

通过RBL(实时黑名单列表)技术来实现动态的黑名单

源头法

SPF技术 --- 识别伪造邮件的,可以进行溯源,IP地址和域名的对应关系是否一致

意图分析

应用行为控制

HTTP、FTP

相关推荐
EasyNVR8 分钟前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash3 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑4 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang4 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang4 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎5 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
周全全5 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php
Mr.Pascal6 小时前
刚学php序列化/反序列化遇到的坑(攻防世界:Web_php_unserialize)
开发语言·安全·web安全·php
风间琉璃""6 小时前
二进制与网络安全的关系
安全·机器学习·网络安全·逆向·二进制