目录
一、URL过滤
URL -- 统一资源定位符
静态网页
动态网页
URI --- 统一资源的标识符
URL过滤的方式
1,通过黑白名单进行过滤
2,预定义的URL分类
- 本地缓存查询
- 远程分类服务查询 --- 如果需要使用该功能,则需要激活liense
3,自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级
如果远程分类服务查询都无法确认该URL的分类,则该URL将按照"其他"类的动作进行执行
二、HTTP与HTTPS
HTTP协议获取URL的方式
HTTP协议做控制管理的流程
HTTPS
1,配置SSL的解密功能
2,直接针对加密流量进行过滤
在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字,server_name,里面包含的就是服务器域名信息
因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤
需求:
需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,其余的网站均不能访问
这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤
如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS的流量,需要先配置SSL代理解密策略
这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案
这里如果开启之后,相当于开启了两个功能 :
1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行威胁检测
- URL信誉热点库
- 远程查询服务器
2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病毒的反馈
严格 --- 如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最严格的来执行
松散 --- 如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最松散的来执行
在华为中
TCP 80 --- 和安全中心进行交互
TCP 12612 --- 和调度服务器交互
UDP12600 --- 和查询服务器交互
三、DNS过滤
四、内容过滤
文件过滤技术
可以针对文件的类型和格式进行过滤
- 承载文件的协议
- 文件的传输方向
- 文件的类型
- 文件的扩展名
防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无法识别,则按照文件的拓展名处理。
文件过滤技术的处理流程
注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需要重复进行扫描,节约性能,提高效率。
内容过滤技术
文件内容的过滤
应用内容的过滤
内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹配
可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。
邮件过滤技术
SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议
POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作
IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。
垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的邮件,包括一些携带病毒和木马的钓鱼邮件。
统计法
贝叶斯算法 --- 基于非垃圾邮件和垃圾邮件的样本进行预测,预测下一封邮件是垃圾邮件的概率 --- 一种基于预测的手段
基于连接带宽的统计 --- 基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来进行判断
基于信誉评分的技术
列表法
基于黑白名单对垃圾邮件进行过滤
通过RBL(实时黑名单列表)技术来实现动态的黑名单
源头法
SPF技术 --- 识别伪造邮件的,可以进行溯源,IP地址和域名的对应关系是否一致
意图分析
应用行为控制
HTTP、FTP
