安全防御。提倡DNS过滤,减少URL过滤

最新推荐文章于 2024-02-23 08:15:00 发布
最新推荐文章于 2024-02-23 08:15:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: linux 嵌入式Linux内核移植 netfilter体系架构 文章标签: url 服务器 防火墙 tcp 工具

這個環是比較合適的。 如果用特徵庫對每個包都進行判斷效果不是很好。 而且可以考慮各類人員權限, 用特徵庫就要寫的很靈活。之前還指望Host:字段幫上忙。 但host字段名字很多,也是不好過濾。 只能根據域名獲取到對應IP。 如果要這個操作,還不如直接在DNS裡邊開個洞。

 

 

提倡DNS过滤,减少URL过滤

1. URL过滤的问题
URL过滤是现在防火墙的一个重要的访问控制方法,同时还衍生出一系列技术,如URL重组,和URL分类服务器连动等。固然URL控制可以限制到文件级别的粒度,但在实际应用中进行如此细粒度控制的几乎没有,并不限制访问的目录名和文件名,基本还是限制在域名级别。这样带来的问题就是不用URL访问,而是用IP地址访问,在访问前先使用nslookup等工具先解析出IP地址后用IP访问,这样URL域名过滤就会失效;其二,即使域名限制成立,但等URL重组完,再识别,再强行断开连接,对系统,包括客户端、服务器和防火墙的资源都是很大浪费。
URL过滤还有一个比较大的缺陷,在HTTP/1.1中,域名部分是通过HTTP头的“Host: ”字段来获取的,其他字段均不能保证能正确获取域名,而这个字段有的服务器并不检查,可以随便填个别的域名,服务器也可以正确返回;而在HTTP/1.0中,这个字段更加不是必须的,因此根本不能保证获取正确的域名。

2. DNS过滤的优势
解决方法是DNS过滤,即在域名解析时就进行限制,在DNS请求包中就把域名提取出来进行判断。由于DNS一般是UDP包,一个包中就包含了所有信息,不需要重组(对于TCP的DNS协议可以关闭,使用UDP的已经足够了);其次,对于UDP包,各种资源的消耗都很少,客户端发UDP的资源消耗远小于TCP,服务器根本就没消耗,防火墙跟踪UDP也比跟踪TCP要简单得多;再次,限制得可以更加全面,通常URL只限制了HTTP,而限制DNS则把该域名对应的所有服务都可以限制住;最后,DNS限制就没有IP访问的漏洞,因为本来就得不到IP。

当然,DNS过滤是无法控制到目录和文件级别的粒度的,但大部分情况都不需要。所以必要时可以用DNS过滤为主,URL过滤为辅的方法进行过滤。

3. 结论
使用DNS过滤,能更快更有效的限制对域名的访问,过滤得也更彻底,强于URL过滤。
aaaaatiger
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
增强DNS安全性的措施
weixin_45486362的博客
04-13 1025
选择没有缺陷的DNS版本 (2) v8,曾经使用最多最广的版本,其详细内容可以参阅“BIND8+域名服务器安全增强” (3)v9,最新版本的BIND,全部重新写过,免费(但是由商业公司资助),BIND9在2000年10月份推出,根据调查v9版本的BIND是最安全的,它的最新安全版本在其官方网站http://www.isc.org/上,下 载源代码安装即可。例如,Linux 系统针对拒绝服务攻击只要...
DNS加密 防止被DNS劫持 保护网络安全
热门推荐
billyli的博客
02-12 1万+
上网的时,有时会突然弹出一个广告窗口,而且还无法返回刚才的界面,出现这样的情况,就说明你可能遭到了DNS劫持 目录 DNS 域名解析服务器——DNS DNS劫持 DNS加密 什么是dns加密 DNS加密的类型 使用DNS加密 设备使用DNS加密 DNS 域名解析服务器——DNS 在互联网中,每一台能上网的设备都有自己的一串IP地址。 举个例子,你能访问百...
测试进阶之(DNS过滤
weixin_45879877的博客
01-05 597
2024.1.5 本专题主要阐述如何通过搭建DNS服务器环境测试安全网关类产品是否拥有基本的DNS过滤功能。Windows平台搭建安全网关类DNS过滤环境,两台Windows设备加一台安全网关类产品DNS,即omainameystem),是计算机网络中的一项基础服务。通常来说,在网络上访问某个主机有两种方式:主机名、或IP地址。我们知道在网络层,通信需要使用IP地址进行定位,因此为了能够将主机名映射为IP地址,DNS服务应运而生。
自建dns过滤器,过滤广告信息
hhhw456的博客
11-24 5631
通过搭建个人的dns服务器,在dns层面过滤掉广告连接,以及私人dns有一定的加密特性,网上冲浪更安全
华为DNS过滤
qq_47529104的博客
04-19 1456
上图是URL过滤以及DNS过滤的两个流程图, 其实都差不多,主要是URL的涉及到的东西比较多。比如外部恶意URL引入,白名单嵌入。但是大体上其实都是类似的,先从本地的预置中读取,然后当有相关流量触发了DNS的检查那么就进行DNS的匹对,如果查不到就查询远端服务器URL过滤使用的远端服务器DNS过滤使用的远端服务器是一样的。 它们的配置也差不多, 主要区别在下面: 在URL中还涉及了URL缓存,URL缓存中有几种区别信誉URL以及恶意URL还有预置中的URL,但是在配置中并没有体现出来..
​【安全篇 / Web过滤】(5.6) ❀ 01. DNS 过滤僵尸网络 ❀ FortiGate 防火墙
防火墙技术专栏
03-23 4632
【简介】如果启用DNS过滤,必须使用FortiGuard DNS服务进行DNS查找。DNS查找请求发送到FortiGuard DNS服务返回,其中包括IP地址和web网页的FortiGuard分类域名评级。 阻止对已知僵尸网络C&C地址的DNS请求 飞塔防火墙有一个动态更新的僵尸网络C&C地址数据,当对这些僵尸网络地址进行访问时,DNS过滤会匹配数......
防御保护--URLDNS过滤
最新发布
m0_72210904的博客
02-23 637
如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻 辑执行。其它如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻 辑执行。
防火墙安全策略之URL过滤与域名组
zljszn的博客
12-14 3583
定义URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理目的员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
防火墙综合实验(av、url过滤dns过滤
vt_yjx的博客
02-20 615
10.我们需要针对办公区用户进行上网行为管理,要求进行URL过滤,要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com/working相关URL都可以访问。DNS过滤URL过滤基本一样,所以这里不展示了,思路就是先定义一个dns分类,然后到安全配置文件里新建dns过滤,最后新建安全策略调用即可。9.假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。位置:对象-安全配置文件-url过滤-新建。
DNS域名解析服务器+过滤功能
12-28
C编写的DNS域名解析服务器带有过滤功能,将不允许访问的网站拦截
DNS过滤DNS代理(自己写的放上来)
12-09
自己的写的DNS代理,可以过滤DNS,把本地DNS设置为127.0.0.1,然后在程序里添加您想放行的DNS地址即可
[译] 提供隐私和过滤功能的 DNS 服务器
weixin_34185364的博客
02-25 1万+
原文地址 DNS Servers That Offer Privacy and Filtering 原文作者:DANIEL MIESSLER 译文出自:掘金翻译计划 本文永久链接:xitu/gold-miner 译者:ScDadaguo 校对者:lsvih,Fengziyin1234 最新的 DNS 服务器 IP 都是更易于记忆,并提供隐私和过滤功能的。 如果你是程序员,系统管理员,或任...
URL过滤技术
曹世宏的博客
06-06 1万+
URL过滤简介 URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。 URL过滤功能只支持过滤HTTP或HTTPS协议的URL请求。需要过滤HTTPS协议的URL请求时,还需要配置URL过滤的加密流量过滤...
华为防火墙黑白名单网址过滤设置
qq_17202735的博客
07-23 7283
项目背景现在有一个新项目,要求设置网站黑白名单,即vlan84这个网段只允许访问*.kuaidi100.之类的,其他的不允许;vlan85这个网段.youku.*等视频网段不能访问外,其他的都可以访问。
Wireshark分析DNS
ForeverCjl的专栏
10-28 9075
什么是DNS DNS指的是域名系统,它在内部有一个存储域名和对应IP地址的数据,用于将网站的域名转换为服务器的具体IP地址。 例如,我们在浏览器打开baidu.com时,浏览器需要先请求DNS服务器获取域名baidu.com对应服务器的IP地址,然后浏览器与该IP建议消息通道来传输数据。 我们可以在系统命令行中通过nslookup命令来查询某个域名的DNS的记录,如下图所示: 这里我们指定使用阿里云的DNS服务器 223.5.5.5 来查询域名baidu.com映射的IP地址。从图中可以看到,查询结果返
提倡DNS过滤减少URL过滤
cxw06023273的博客
01-10 1838
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"] 1. URL过滤的问题 URL过滤是现在防火墙的一个重要的访问控制方法,同时还衍生出一系列技术,如URL重组,和URL分类...
DNS垃圾域名过滤
weixin_33704234的博客
01-15 1042
在维护DNS服务器时,发现请求量较前的两个二级域名为垃圾域名,占了很多资源,需要将其阻止,开始想把垃圾域名重新做个域,转发为空,但发现不能阻止获取ip地址,因为在view视图设置了允许递归,所以不能有效果,既然不行,就考虑给他一个假地址或0.0.0.0的地址,这样可以直接有效的阻止垃圾域名进行进一步的递归,1、针对垃圾域名做域:zone "sf123.com" IN { ...
DNS安全管理与DNSSEC防御策略
对于网络工程师和其他IT专业人士来说,"DNS Security Management"是一本至关重要的资源,它提供了对DNS安全威胁的清晰认识,有助于他们在网络防御中采取有效措施。通过阅读此书,读者可以提升其在DNS安全管理方面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值