防御保护笔记

最新推荐文章于 2024-07-17 15:02:10 发布
最新推荐文章于 2024-07-17 15:02:10 发布
阅读量773 收藏 20
点赞数 16
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HZYHZY159357/article/details/136374929
版权

防病毒(AV) --- 传统的AV防病毒的方式是对文件进行查

传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需 要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接 放过可能造成安全风险。

代理扫描 --- 文件需要全部缓存 --- 可以完成更多的如解压,脱壳之类的高级操作,并且,检 测率高,但是,效率较低,占用资源较大。 流扫描 --- 基于文件片段进行扫描 --- 效率较高,但是这种方法检测率有限。

防病毒处理流量

1,进行应用和协议的识别

2,判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。

3,之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行 其他模块的检测。

4,如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。 如果没有比对上,则可以直接放行。 这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激 活。

5,如果需要进行后续处理,首先进行“病毒例外“的检测。 --- 这个病毒例外,相当于是病 毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡 防护

6,之后,进行应用例外的比对。 --- 类似于IPS模块中的例外签名。针对例外的应用执行和整 体配置不同的动作。

7,如果没有匹配上前面两种例外,则将执行整体配置的动作。 宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许 文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。 删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备 会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

URL过滤 URL ---- 资源定位符 静态网页 动态网页 --- 需要于数据库进行结合 URI --- 统一资源标识符

URL过滤的方法 黑白名单 --- 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请 求。 白名单的优先级高于黑名单。 预定义的

URL分类 本地缓存查询 远程分类服务查询 --- 如果进行了远程的查询,则会将查询结果记录在本地的缓存 中,方便后续的查询。 --- 需要购买license才能被激活。

自定义的URL分类 --- 自定义的优先级高于预定义的优先级

内容过滤技术

文件过滤技术 这里说的文件过滤技术,是指针对文件的类型进行的过滤,而不是文件的内容。 想要实现这个效果,我们的设备必须识别出: 承载文件的应用 --- 承载文件的协议很多,所以需要先识别出协议以及应用

文件传输的方向 --- 上传,下载 文件的类型和拓展名 --- 设备可以识别出

文件的类型和拓展名 --- 设备可以识别出文件的真实类型,但是,如果文件的真实类型 无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为

内容过滤技术

文件内容的过滤 --- 比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹 配,也可以通过正则表达式去实现范围的匹配。) 应用内容的过滤 --- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时 候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP 传递的文件名称,这些都属于应用内容的过滤。 注意:对于一些加密的应用,比如我们HTTPS协议,则在进行内容识别的时候,需要配置 SSL代理(中间人解密)才可以识别内容。但是,如果对于一些本身就加密了的文件,则 无法进行内容识别

邮件过滤技术 SMTP --- 简单邮件传输协议,TCP 25,他主要定义了邮件该如何发送到邮件服务器中。 POP3 --- 邮局协议,TCP 110,他定义了邮件该如何从邮件服务器(邮局)中下载下 来。 IMAP --- TCP 143,也是定义了邮件 该如何从邮件服务器中获取邮件。

VPN其他常用技术

这里说的文件过滤技术,是指针对文件的类型进行的过滤,而不是文件的内容。 想要实现这个效果,我们的设备必须识别出: 承载文件的应用 --- 承载文件的协议很多,所以需要先识别出协议以及应用。 文件传输的方向 --- 上传,下载 文件的类型和拓展名 --- 设备可以识别出文件的真实类型,但是,如果文件的真实类型 无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为

密码学

近现代加密算法

古典加密技术 --- 算法保密原则 近,现代加密技术 --- 算法公开,密钥保密 对称加密算法,非对称加密算法 对称加密 --- 加密和解密的过程中使用的是同一把密钥。 所以,对称加密所使用的算法一定是一种双向函数,是可逆的。 异或运算 --- 相同为0,不同为1 流加密 主要是基于明文流(数据流)进行加密,在流加密中,我们需要使用的密钥是和明 文流相同长度的一串密钥流。

身份认证以及数据认证技术

对数据进行完整性校验 --- 我们会针对原始数据进行HASH运算,得到摘要值,之后, 发送到对端,也进行相同的运算,比对摘要值。如果摘要值相同,则数据完整;如果不 同,则数据不完整。 HASH算法 --- 散列函数 1,不可逆性 2,相同输入,相同输出。 3,雪崩效应 --- 原始数据中即使存在细微的区别,也会在结果中呈现出比较明显 的变化,方便,我们看出数据是否被篡改

HZYHZY159357
关注
  • 16
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专注 APT 攻击与防御 - Micro8 读书笔记1
08-04
【专注 APT 攻击与防御 - Micro8 读书笔记1】 APT(Advanced Persistent Threat,高级持续性威胁)攻击是一种由高度组织和有针对性的威胁参与者发起的网络攻击,旨在长期潜伏在目标网络中,窃取敏感信息或进行其他...
信息安全工程师学习笔记.rar
03-06
11. **实践案例分析**:笔记可能包含真实的网络安全事件案例,用于分析攻击手段,学习防御策略。 这份学习笔记全面覆盖了软考中级信息安全工程师考试的各个知识点,不仅适合备考者使用,对于从事或希望深入了解信息...
网络防御保护笔记
m0_68533808的博客
02-28 1669
注意:这整个过程只能表示Bob收到的数据,的确是他拥有公钥的这个人发送的数据,但是,你拥有公钥有没有被别人恶意篡改或者替换,这种方法是无法识别出来的,所以,这仅能实现一种数据源的检测,不能进行身份认证。同时,可以完成完整性校验。
防御保护笔记3
qq_68389880的博客
02-26 1342
比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP进行封锁。注意:这整个过程只能表示Bob收到的数据,的确是他拥有公钥的这个人发送的数据,但是,你拥有公钥有没有被别人恶意篡改或者替换,这种方法是无法识别出来的,所以,这仅能实现一种数据源的检测,不能进行身份认证。应用内容的过滤 --- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其实质都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。
防御保护课程笔记
m0_64402992的博客
02-29 228
内容安全 防病毒 过滤技术 密码学
防御保护寒假班笔记整理
qq_66734903的博客
01-22 1430
由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统在TCP/IP栈的实现中,对ICMP包的最大长度规定为64KB,并且在对ICMP包头进行读取之后,要根据该包头里包含的信息来为有效载荷生成缓冲区。目前ICMP攻击绝大部分都可以归类为拒绝服务攻击(Denial of Service, DOS),其中最为常见的是ICMP泛洪攻击,是指攻击者在短时间内向目标设备发送大量的ICMP虚假报文,导致目标设备忙于应付无用报文,而无法为用户提供正常服务。更为严重的是,这种攻击也会导致所有邻接的交换机。
防御保护第一天笔记
m0_65522694的博客
01-23 420
防御保护_课堂笔记_day07
m0_64803077的博客
03-08 424
到外网nat策略引入fw3:在fw5上做映射配置IPSec。
防御保护_课堂笔记_day05
m0_64803077的博客
02-18 461
5.办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30m,且销售部一共10人,每人限制流量不超过3M。1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT。7多出口环境基于带宽比例进行选路,但是办公区10.0.2.10该设备只能通过电信的链路访问互联网。2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。3.分公司内部的客户端可以通过公网地址访问到内部的服务器。配置外网通过电信链路访问DMZ区的http服务器。创建移动nat策略及转换地址池。
防御保护第八、九、十、十一天笔记
qq2161492129的博客
02-22 1253
第八九十天笔记
防御保护--1(笔记
psz7722的博客
05-13 217
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。2.攻击 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。2、传输层:TCP欺骗、TCP拒绝服务、UDP拒绝服务,端口扫描……3、网络层:IP欺骗、smurf攻击、ICMP攻击,地址扫描。1、应用层:漏洞、缓冲区溢出攻击。4、链路层:Mac欺骗、Mac泛洪、ARP欺骗。2、及时给主机打补丁,修复相应的高危漏洞。
防御保护第六天笔记
qq2161492129的博客
01-28 1203
防御保护第六天笔记整理
Java安全防御学习笔记V1.0.docx
06-10
Java安全防御保护应用程序免受恶意攻击的关键环节。在Java开发中,理解并实施安全防御措施至关重要,因为不恰当的安全管理可能导致数据泄露、系统瘫痪甚至法律风险。本笔记将探讨一些关键的安全策略,包括Web...
保护笔记本电脑中机密数据的三个步骤.pdf
03-09
- 利用数据丢失防御软件进行实时警报,自动执行数据丢失策略,监测和保护暴露的敏感信息。 2. 减少笔记本电脑上存储的机密数据量 - 策略性地最小化存储在笔记本电脑上的敏感数据,以降低数据丢失时的影响范围。 ...
1DAMA学习笔记-第01-17章按冲刺课标记.pdf
02-06
此外,可能还会涉及最新的威胁和防御机制,以及数据泄露的应对措施。 8. **第9章 文件和内容管理**:这部分讲述了非结构化数据的管理,如文档、图像和视频,以及内容管理系统的使用和内容生命周期管理。 9. **第10...
防御笔记第七天(时需更新)
weixin_63264424的博客
07-16 764
HRP在进行双机热备时,还有一个要求,两台热设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是三层链路---这两条路在进行数据传输时,不受安全策略的影响,(注意,如果心跳线是直连的,则不受安全策略的影响,但是中间有中继设备,即非直连场景,则需要配置安全策略)----心跳线----VGMP发送的报文也是通过心跳线传输的。配置信息---(接口IP地址,路由地址)-----hrp不能同步基本的接口和路由信息,安全策略和NAT策略……状态信息-----会话表,server-map,黑名单和白名单等等。
node模块加载及第三方包(学习笔记
oopsboom的博客
07-16 587
gulp是什么? 基于node平台开发的前端构建工具 将机械化操作编写成任务, 想要执行机械化操作时执行一个命令行命令任务就能自动执行了 用机器代替手工,提高开发效率。 能做什么? 项目上线,HTML、CSS、JS文件压缩合并 语法转换(es6、less …) 公共文件抽离 修改文件浏览器自动刷新 Gulp使用 1.使用npm install gulp下载gulp库文件 2.在项目根目录下建立gulpfile.js文件(只能是这个文件) 3.重构项目的文件夹结构 src目录放置源代码文件 dist目录放置构
NestJS笔记
m0_65519288的博客
07-16 609
概述:本篇文章是NestJS笔记,包括了Nest的基本使用、连接数据库、日志操作。
Java并发编程与高并发解决方案笔记
最新发布
tuku0801的专栏
07-17 988
将结合大量图示及代码演示,带你掌握多线程并发编程(线程安全,线程调度,线程封闭,同步容器等)与高并发处理思路与手段(扩容,缓存,队列,拆分等),构建完整的并发与高并发知识体系
网络安全防御方法讲解学习笔记
12-07
网络安全防御方法讲解学习笔记: 1. 运维方面的防御方法: - 及时更新服务器补丁,避免因为漏洞被攻击。 - 使用安全性更高的中间件和服务,避免因为漏洞被攻击。 - 使用强密码,避免被猜解。 2. 业务方面的防御...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值