安全防御:过滤技术

目录

一、URL过滤

URL过滤的方式

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

需求:

三、DNS过滤

四、内容过滤

文件过滤技术

文件过滤技术的处理流程

内容过滤技术

邮件过滤技术

统计法

列表法

源头法

意图分析

应用行为控制


一、URL过滤

URL -- 统一资源定位符

静态网页

动态网页

URI --- 统一资源的标识符

URL过滤的方式

1,通过黑白名单进行过滤

2,预定义的URL分类

  • 本地缓存查询
  • 远程分类服务查询 --- 如果需要使用该功能,则需要激活liense

3,自定义的URL分类 --- 自定义URL分类的优先级高于预定义的优先级

如果远程分类服务查询都无法确认该URL的分类,则该URL将按照"其他"类的动作进行执行

二、HTTP与HTTPS

HTTP协议获取URL的方式

HTTP协议做控制管理的流程

HTTPS

1,配置SSL的解密功能

2,直接针对加密流量进行过滤

在SSL进行加密参数协商时,会发送client hello包,这个数据包中有一个关键字,server_name,里面包含的就是服务器域名信息

因为这个字段中包含的是域名信息,而不是URL信息,所以,这种方法虽然可以节约资源,提高效率,但是,会导致过滤的颗粒度变粗,仅能完成域名级别的过滤

需求:

需要对办公区用户,进行上网行为管理,需要进行URL过滤,他们在上班时间,仅允许访问教育/科学类,搜索/门户类的网站,以及一个www.example.com/working相关的URL,其余的网站均不能访问

这里勾选之后,代表通过client hello包中server_name字段进行域名级别过滤

如果不勾选,则针对http协议中get报文获取完整的URL信息进行过滤,主要如果要针对HTTPS的流量,需要先配置SSL代理解密策略

这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案

这里如果开启之后,相当于开启了两个功能 :

1,URL信誉 --- 防火墙会根据网站信誉的高低,决定是否提取网络流量中的文件并进行威胁检测

  • URL信誉热点库
  • 远程查询服务器

2,恶意URL --- 会阻断恶意URL的访问,恶意URL来源于多方面,包括web信誉,反病毒的反馈

严格 --- 如果选择严格模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最严格的来执行

松散 --- 如果选择松散模式,则如果一个URL匹配到多个分类,则按照这些分类中动作最松散的来执行

在华为中

TCP 80 --- 和安全中心进行交互

TCP 12612 --- 和调度服务器交互

UDP12600 --- 和查询服务器交互

三、DNS过滤

四、内容过滤

文件过滤技术

可以针对文件的类型和格式进行过滤

  1. 承载文件的协议
  2. 文件的传输方向
  3. 文件的类型
  4. 文件的扩展名

防火墙可以识别出文件的真实类型,进行管控,避免安全风险,但是,如果真实类型无法识别,则按照文件的拓展名处理。

文件过滤技术的处理流程

注意,文件过滤的位置在AV防病毒之前,这样就可以先将不要的文件直接过滤掉,不需要重复进行扫描,节约性能,提高效率。

内容过滤技术

文件内容的过滤

应用内容的过滤

内容在进行过滤时,可以针对关键字进行精准匹配,也可以使用正则表达式,做更加灵活的匹配

可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根据文件中权重的累加值和设定阈值做对比,如果达到阈值,则执行对应动作。

邮件过滤技术

SMTP --- 简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议

POP3 --- 邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议,之后完成查看,删除等操作

IMAP --- 交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的,和POP3的区别在于不需要将所有邮件下载到本地,可以直接在邮件服务器上进行查看,删除等操作。

垃圾邮件 --- 收件人事先没有提出要求或者同意接收的广告,电子刊物,各种形式的宣传性的邮件,包括一些携带病毒和木马的钓鱼邮件。

统计法

贝叶斯算法 --- 基于非垃圾邮件和垃圾邮件的样本进行预测,预测下一封邮件是垃圾邮件的概率 --- 一种基于预测的手段

基于连接带宽的统计 --- 基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来进行判断

基于信誉评分的技术

列表法

基于黑白名单对垃圾邮件进行过滤

通过RBL(实时黑名单列表)技术来实现动态的黑名单

源头法

SPF技术 --- 识别伪造邮件的,可以进行溯源,IP地址和域名的对应关系是否一致

意图分析

应用行为控制

HTTP、FTP

相关推荐
jjyangyou3 分钟前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan41 分钟前
大语言模型安全威胁
人工智能·安全·语言模型
马船长1 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全
hikktn8 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon10 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon10 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔10 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
棱角~~13 小时前
盘点和嗨格式一样好用的10款数据恢复!!
数据库·经验分享·安全·电脑·学习方法
NETFARMER运营坛14 小时前
如何优化 B2B 转化率?这些步骤你不可不知
大数据·安全·阿里云·ai·ai写作
安徽京准14 小时前
京准时钟:无人机卫星信号安全防护隔离装置
安全·无人机·信号安全防护装置·卫星安全隔离装置·北斗授时安全隔离·北斗对时防护隔离装置