目录
攻击可能只是一个点,而防御需要全方面进行
IAE引擎
一、DPI --- 深度包检测
针对完整的数据包,进行内容的识别和检测
1,基于特征字的检测技术
2,基于应用网关的检测技术
有些应用控制和数据是分离的,比如一些视频流。一开始会 通过TCP协议链接之后,协商一些参数,这部分我们称为信令部分。之后证书传输数据流量, 使用UDP协议,而这部分流量是没有可以识别的特征的。所以,这些应用可以基于应用网关来进行检测,即基于前面的信令信息来进行识别和控制。
3,基于行为模式的检测技术
二、DFI --- 深度流检测
基于数据流进行识别检测的技术
DPI和DFI的对比 :
1,DFI仅对流量行为分析,只能对应用类型进行笼统的分类,无法做到精细的识别
2,如果流量进行加密的话,DPI可能在没有解密的情况无法进行识别,但是DFI不受影响
三、IPS(入侵防御)
IDS --- 入侵检测 --- 侧重于风险管理的设备 --- 仅能进行监控,但是不能直接处理。
- 存在滞后性,早期IDS的误报率较高
- 其优点在于部署灵活,可以旁路部署,对原网络没有任何影响
IPS --- 入侵防御 ---- 侧重于风险控制的设备 --- 可以在发现风险的同时,处理问题---需要串联部署在网络中
IPS设备优势:
1,实时阻断攻击;
2,深层防护 --- 可以深入到应用层,进行精准的威胁识别;
3,全方位的防护
4,内外兼防
5,不断升级,精准防护
入侵检测的方法:
1,异常检测 --- 这种检测时基于一个假定,我们认为用户的行为是遵循一致性原则的
2,误用检测 --- 创建一个异常行为特征库,将入侵行为的特征记录下来,记录签名,之 后,根据到达的流量特征和签名进行比如,判断是否存在异常;
- 签名 --- 将异常行为的特征记录下来进行HSAH,之后,正常流量过来,也提取其特征 进行比对
- 预定义签名 --- 设备上自身携带的有特征库,这个特征库需要购买liense(许可证)后 才可获取。(如果购买了liense后,可以对接华为的安全中心多特征库进行更新)
- 自定义签名 --- 网络管理员可以根据自定义的需求来创建威胁签名
可以执行的动作 --- 放行
告警 --- 数据允许通过,但是会记录日志
阻断 --- 数据不允许通过,并且会记录日志
针对预定义签名,我们只能修改其默认的执行动作,以及启用与否,其他的都不能修改。
配置变更后需要进行提交才可以生效
ID --- 区分不同的签名
对象 --- 服务器,客户端,服务器和客户端 --- 针对设备的身份 --- 注意,一般我们将发起连 接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。
严重性 --- 该行为一旦爆发之后,对我们网络系统的影响程度的评级
协议/应用程序 --- 这种攻击所承载的协议或者应用
如果勾选了关联签名,则该签名的命中条件变为规定时间内命中关联签名的次数或者阻断时间
按顺序检测 --- 勾选,则下面检查项列表中的检查项执行自上而下逐一匹配,如果匹配上,则 不再继续匹配。如果不勾选,则下面检查项列表中的检查项为“且”的关系.
如果是匹配,则会检测数据包中和后面值里面完全相同的数据
前缀匹配,匹配以后面值开头的内容
IPS安全配置文件
如果选择采用签名的缺省动作,一个流量同时匹配上多个签名,如果所有动作都是告警,则直 接告警,如果有一个动作是阻断,则执行阻断操作。
例外签名 --- 可以将部分签名放在例外签名中,可以执行单独的动作
后面隔离源IP和目标IP实质是阻断的同时将地址放入黑名单中,进行访问限制,超时时间为黑 名单中的老化时间
四、AV(反病毒)
防病毒侧重于文件以及邮件中病毒的查杀
代理扫描 --- 需要缓存文件,倒是效率较低,并且,文件过大,可能无法缓存,直接放过,造成安全风险,但是,其检测力度较强可以应对压缩以及脱壳的情况
流扫描 --- 基于文件片段进行扫描,效率较高,但是检测力度较低;
病毒的传播途径
病毒的分类
病毒的杀链
个别病毒的工作原理
防病毒流程
病毒例外 --- 相当于是病毒的白名单,为了放置过渡防御的场景,将一些病毒放入例外之中, 则将检测到该病毒视为误报,则将文件直接放行
应用例外 --- 将特定的应用设置为例外,可以单独执行动作
宣告和删除附件 --- 只针对Pop3和SMTP协议
- 宣告 --- 不删除附件,但是会在邮件正文中添加提示信息
- 删除附件 --- 直接删除附件,并且会在邮件正文中添加提示信息
需求
内网用户有通过外网web服务器下载文件的需求,并且,外网用户有通过内网FTP服务器上传文件的需求,针对这两种场景进行反病毒处理。
1026
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
