- FTP操作匹配FTP过滤策略 执行 阻断 告警
- 防火墙和IDS 防火墙无法检测内部人员的恶意操作或误操作和掺杂在允许应用数据流中的恶意代码 防火墙属于粗粒度访问控制(串路设备) IDS属于细粒度检测设备(IDS入侵检测系统)
- DDOS属于流量型攻击
- APT攻击难以防御 原因利用了零日漏洞
- 防火墙动作模式 严格最终动作取所有命中分类型中最严格类型
- 防火墙反病毒模块白名单配置规则为(example*) 采用前缀匹配模式
- 防火墙防御UDP Flood攻击方式 限流(把UDP报文限制在合理范围内) 关联防御 指纹学习
- 文件解压 文件过滤 文件解压在进行文件过滤检测后再进行解压
若解压成功 进行文件类型识别模块进行文件类型识别和文件类型异常检测再次进行文件过滤 若解压失败 文件不会进行检测和过 - 华为WAF产品 执行前端是WAF的执行引擎 主要根据规则进行过滤 后端中心系统 主要是生成规则和逻辑 数据库存放规则和配置文件及状态
- 误用检测 特点 容易实现 检测精准 升级容易
- 华为NIP6000 工作在二层无需设置IP地址 网络参数 即插即用(NIP网络智能防护系统 只需要把设备接口对串行到需要保护的网络链路上即可)
- APT攻击流程 收集信息&入侵(漏洞注入 恶意软件) 远程控制&渗透(被感染的主机接受来自C&C的命令在内网横向渗透 获取更多权限) 长期潜伏&挖掘(扩散收集信息) 数据泄露(FTP传出信息 )
- 未授权访问 对信息安全造成 机密性 完整性 可用性的风险
- 网络攻击 分为 单包攻击 (扫描窥探攻击 畸形报文攻击 特殊报文攻击)流量型攻击 (网络层攻击 应用层攻击 )
- 针对WEB服务器的攻击 SQL注入 跨站脚本攻击 跨站请求伪造
- 反病毒策略的配置思路 申请并激活license 》加载特征库 》配置AV Profile 》配置安全策略并引用AV Profile 》 提交
- 云时代安全防护 改革 事前(漏洞情报) 事中(纵深防御 攻防态势) 事后(反击黑客)
- 防火墙可靠性 双机热备 Link-Group IP-Link BFD Eth-Trunk
- IPS检测失效常见原因 IPS策略提交未编译 没有开启IPS功能 IPS策略域间关联错误Policy ID
- USG6000 能够识别通过自身的文件的类型 并且可以对特定类型的文件进行阻断和告警
- 流扫描的反病毒网关 检测率基于代理扫描低 代理扫描 (解压 脱壳 检出率高 但由于全文件缓存 开销大) 流扫描 开销小 检出率也小
- DNS Request Flood 源认证方式 触发客户端以TCP报文发送DNS请求 但会消耗DNS的TCP连接资源
- 反垃圾邮件应答码 RBL服务提供商不同 应答码不同USG会把匹配到应答码的邮件视为垃圾文件 不回复应答码或回复应答码未在USG上配置 放行邮件
- 开启攻击防范功能命令 syn-flood source-detect(开启syn flood原探测防御功能)
anti-ddos http-flood defend alert-rate 2000 HTTP Flood防御启动的值是2000 - 应用行为控制配置文件 需要执行engine configuration commit命令激活才能够引用
- 关键字描述 关键字是内容过滤时设备需要识别的内容 关键字包含预定义关键字和自定义关键字 文本能匹配的关键字最短长度为3个字节 自定义关键字的匹配模式为文本方式和正则表达式
- IPS部署方式 二层直路部署 三层旁挂部署 二层旁路检测部署 二层单臂部署
- Firewall defend ip-fragment enable IP报文分片攻击防范 视为攻击标志 DF为1 MF也为1 DF为1 offset》0 DF为0 offset length》65535 (MF=1表示后面还有分片 MF=0 表示最后一个分片 DF=0 表示允许分片)
- AntiDDoS系统 异常流量清洗方案系统 检测中心 (对流量进行DDoS攻击流量检测和分析 将分析数据传递给管理中心)管理中心(对攻击事件进行处理 控制清洗中心的引流策略和清洗策略 并对攻击事件和攻击流量分类查看 产生报表)清洗中心 (根据管理中心的控制策略进行攻击流量牵引和清洗 把清洗后的正常流量注回客户网络 )
- USG6000防病毒特征库升级方式 本地升级 和 在线升级
- USG文件过滤设置 文件压缩层数大于所配置的最大解压数时 如果在解压层数内没有发现病毒 允许文件通过 反之不允许 对于超过最大解压层数的压缩文件 不在进行解压缩以及病毒检测 (只对最大解压层数内的文件进行反病毒检测 超过的不处理)
- USG6000 中 IAE 提供的一体化解决方案所有安全检测功能集中在一个高性能引擎中 包括(应用识别与感知 URL分类与过滤 入侵防御 web应用安全 DLP相关识别 文件安全 反病毒)
- DDoS攻击防范配置流程 系统启动流量统计 》 流量操过设定阀值 》 系统启动攻击防范 》系统执行攻击防范动作
- 网络入侵检测系统IDS 使用原始的网络包作为数据源
- USG6000 内容过滤技术 可以对 上传 下载 文件中包含关键字的文件进行过滤
- 文件过滤技术处理流程 安全策略应用为 permit 》应用识别 》协议解码 》文件类型识别 》文件过滤
- 签名集中 是指满足指定过滤条件的预定义签名的合集 只包含自定义签名
- 入侵检测系统 在系统构成上看 主要包括 事件提取 入侵分析 入侵响应和远程管理
- URPF技术 主要功能是防止基于源地址欺骗的网络攻击行为 在不能保证路由对称的环境下使用URPF的loose模式(松散模式)
- 垃圾邮件过滤 白名单 》黑名单 》RBL名单
- TCP/IP网络层攻击 地址扫描 IP欺骗
- URL格式 protocol://hostname[:port]/path[?query] protocol(协议)hostname:WEB服务器的DNS主机名或IP地址 port 通信端口 path 变量 ?query给动态网页传递参数
- 浏览器携带 Cookie 中返回临时Cookie 请求Session页面上 携带 SessionID信息
- SQL注入攻击步骤 判断网页是否存在漏洞 判断数据库类型 提权 获取数据库中的数据
- ATIC管理中心 配置描述 主要完成对攻击事件的处理控制清洗中心的引流策略和琼西策略 并对各种攻击事件和攻击流量分类查看 产生报表(配置引流任务 发现攻击行为时 向清洗中心下发 配置防护对象引导异常访问的流量)
- USG6000软件逻辑架构三个平面 管理平面 控制平面 数据转发平面
- 基于网络的入侵检测系统 隐蔽性好(不运行其他应用程序 不提供网络服务 不影响其他计算机 ) 监测速度快(微秒或秒级发现问题)
- USG6000可以对 POP3 IMAP FTP文件传输协议进行病毒扫描和处理 不包括TFTP
- 恶意代码为了隐藏自己通常会使用RootKit技术 通过加载特殊驱动 修改系统内壳 达到隐藏自身和指定文件的作用
- 分析是入侵检测的核心功能 入侵检测的分析处理过程分为三个阶段 构建分析器 对现场数据进行分析 反馈和提炼 前两个极端 都包含 数据处理 数据分类 后处理 功能
- Whitelist(白名单)blacklist(黑名单)白名单》黑名单
- 特殊报文攻击 重定向报文攻击 超大ICMP报文攻击 Tracert报文攻击(IP分片报文攻击是畸形报文攻击 )
- 蠕虫与病毒 蠕虫等传染目标是网络上其他的计算机
- 攻击前期的行为 漏洞攻击 WEB应用攻击 暴力破解 攻击成功后的行为 种植恶意软件
06-08
3万+
3万+
03-20
9311
9311
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
