内容安全
攻击可能只是一个点,防御需要全方面进行
IAE引擎
2,基于应用网关的检测技术 --- 有些应用控制和数据传输是分离的,比如一些视频流。一开始需要TCP建立连接,协商参数,这一部分我们称为信令部分。之后,正式传输数据后,可能就通过UDP协议来传输,流量缺失可以识别的特征。所以,该技术就是基于前面信令部分的信息进行识别和控制。
3,基于行为模式的检测技术 --- 比如我们需要拦截一些垃圾邮件,但是,从特征字中很难区分垃圾邮件和正常邮件,所以,我们可以基于行为来进行判断。比如,垃圾邮件可能存在高频,群发等特性,如果出现,我们可以将其认定为垃圾邮件,进行拦截,对IP 进行封锁。
DFI --- 深度流检测技术 --- 一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流量。
结论: 1,DFI仅对流量进行分析,所以,只能对应用类型进行笼统的分类,无法识别出具体的应 用;DPI进行检测会更加精细和精准;
2,如果数据包进行加密传输,则采用DPI方式将不能识别具体的应用,除非有解密 手段;但 是,加密并不会影响数据流本身的特征,所以,DFI的方式不受影响。 入侵防御(IPS) IDS --- 侧重于风险管理的设备 IPS --- 侧重于风险控制的设备 IPS的优势: 1,实时的阻断攻击; 2,深层防护 --- 深入到应用层;
3,全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;
4,内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击。
5,不断升级,精准防护 入侵检测的方法: 异常检测 误用检测 异常检测: 异常检测基于一个假定,即用户行为是可以预测的,遵循一致性模式的;
总结:
1,在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; --- 增加检测的精准性
2,在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码,并深入报文提取特征。
3,最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设 的处理方案。 签名 --- 针对网络上的入侵行为特征的描述,将这些特征通过HASH后和我们报文进行 比对。 签名 --- 预定义签名 --- 设备上自带的特征库,这个需要我们激活对应的License(许可证) 后才能获取。 --- 这个预定义签名库激活后,设备可以通过连接华为的安全中心进行升级。
自定义签名和预定义签名可以执行的动作
告警 ---对命中签名的报文进行放行,但是会记录再日志中
阻断 --- 对命中签名的报文进行拦截,并记记录日志
放行 ---对命中签名的报文放行,不记录日志
防病毒(AV)---传统的AV防病毒的方式是对文件进行查杀。
文件过滤技术
这里说的文件过滤技术,是指针对文件的类型进行的过滤,而不是文件的内容。
想要实现这个效果,我们的设备必须识别出:承载文件的应用 ---承载文件的协议很多,所以需要先识别出协议以及应用。文件传输的方向 ---上传,下载
文件的类型和拓展名 -- 设备可以识别出文件的真实类型,但是,如果文件的真实类型无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为。
内容过滤技术
文件内容的过滤 --- 比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹配,也可以通过正则表达式去实现范围的匹配。)应用内容的过滤 --- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。
注意:对于一些加密的应用,比如我们HTTPS协议,则在进行内容识别的时候,需要配置SSL代理(中间人解密)才可以识别内容。但是,如果对于一些本身就加密了的文件,则无法进行内容识别。
统计法 --- 基于行为的深度检测技术
贝叶斯算法 --- 一种基于预测的过滤手段
基于带宽的统计 --- 统计单位时间内,某一个固定IP地址试图建立的连接数,限制
单位时间内单个!P地址发送邮件的数量。
基于信誉评分 ---一个邮件服务器如果发送垃圾邮件,则将降低信誉分,如果信誉比较差,则将其发出的邮件判定为垃圾邮件。
列表法 --- 黑,白名单
RBL(Real-time Blackhole List)---实时黑名单 --- RBL服务器所提供,这里面的内容会实时根据检测的结果进行更新。我们设备在接收到邮件时,可以找RBL服务器进行查询,如果发现垃圾邮件,则将进行告知。---这种方法可能存在误报的情况,所以,谨慎选择丢弃动作。
源头法
SPF技术 ---这是一种检测伪造邮件的技术。可以反向查询邮件的域名和IP地址是否对应。如果对应不上,则将判定为伪造邮件。
意图分析
(结合内容过滤来进通过分析邮件的目的特点,来进行过滤,称为意图分析。
行。)
身份认证技术 ---身份认证是VPN技术的前提
GRE VPN ---本身不支持身份认证的。(GRE里面有个“关键字”机制。类似于ospf的认证,商量一个口令,在GRE中该措施仅是用来区分通道的)L2TP VPN---因为他后面的乘客协议是PPP协议,所以,L2TP可以依赖PPP提供的认证,比如PAP,CHAP.
IPSECVPN和SSLVPN ---都支持身份认证
加解密技术 ---以此来抵抗网络中的一些被动攻击
注意:加解密技术使用的实质是一个双向函数,即一个可逆的过程。和HASH算法有本质的区别
加密技术也是安全通道的保障。
GRE VPN和L2TP VPN不支持加解密技术。通常可以结合IPSEC技术来实现加解密IPSEC VPN和SSL VPN都是支持加解密技术的。
数据认证技术 ---验货 --- 保证数据的完整性
HASH ---计算摘要值,之后,通过比对摘要值来保障完整性。GRE VPN ---可以加入校验和。但是,GRE的这种功能是可选的,两边开启之后才会激活数据认证功能。L2TP VPN ---不支持数据认证
IPSECVPN,SSLVPN都是支持数据认证的
密钥管理技术
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
