DPI --- 深度包检测技术
- 深度包检测,增加了对应用层分析,识别各种应用
- 对应用流中的数据报文内容进行探测,从而确定数据报文真正应用
- 基于“特征字”的识别技术
- 应用层网关识别技术
- 行为模式识别技术
DFI:
- 深度/动态流检测
- 基于流量行为的识别技术,即不同的应用类型体现在会话连接或数据流上的状态不同
DFI --- 深度流检测技术
DFI(Deep/Dynamic Flow Inspection,深度/动态流检测) 它与DPI(Deep Packet Inspection,深度包检测)进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。这种方法比较适合判断P2P流量
区别
DFI与DPI两种技术的设计基本目标都是为了实现业务识别,但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。从两种技术的对比情况看,两者互有优势,也都有短处,DPI技术适用于需要精细和准确识别、精细管理的环境,而DFI技术适用于需要高效识别、粗放管理的环境。
从处理速度来看:
DFI处理速度相对快,而采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比,处理速度会慢些。由于采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可,因此,与目前多数基于DPI的带宽管理系统的处理能力仅为线速1Gbit/s相比,基于DFI的系统可以达到线速10Gbit/s,完全可以满足企业网络流量管理的需求。
从维护成本来看:
DFI维护成本相对较低,而基于DPI技术的带宽管理系统总是滞后新应用,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,影响模式匹配效率; 而基于DFI技术的系统在管理维护上的工作量要少于DPI系统,因为同一类型的新应用与旧应用的流量特征不会出现大的变化,因此不需要频繁升级流量行为模型。
从识别准确率来看:
两种技术各有所长。由于DPI采用逐包分析、模式匹配技术,因此,可以对流量中的具体应用类型和协议做到比较准确的识别; 而DFI仅对流量行为分析,因此只能对应用类型进行笼统分类,如对满足P2P流量模型的应用统一识别为P2P流量,对符合网络语音流量模型的类型统一归类为VoIP流量,但是无法判断该流量是否采用H.323或其他协议。如果数据包是经过加密传输的,采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术不受影响,因为应用流的状态行为特征不会因加密而根本改变。
入侵防御(IPS)
IDS(入侵检测系统)(旁路监听)
Intrusion Detection System
依照一定的安全策略,对网络,系统的运行情况进行监视,尽可能的发现各种攻击企图,攻击行为或者攻击结果,以保证网络资源的机密性和可用性
假如防火墙是门锁,IDS就是监视系统。一旦小偷进来了,或者内部成员有越界行为,只有实时监视系统才能发现情况
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需网络流量流经便可以工作,因此,对IDS部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计,监视的网络报文。
IDS在交交换式网络中的位置一般选择为:尽可能的靠近攻击源,尽可能的靠近受保护源
这些位置通常是:
服务器区域的交换机上
Internet接入路由器的第一台交换机上
重点保护网段的交换机上
IPS(入侵防御系统)(串行部署)
Intrusion Prevention System
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙加IPS无法应对一些安全威胁。在这种情况下IPS技术出现了
IPS技术可以深度感知并且检测流量数据,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源
对于部署在转发路径上的IPS,可以根据预先设定的安全策略,对流经的报文进行深测(协议分析跟踪,特征匹配,流量统计分析,事件关联分析等),如果一旦发现隐藏于其中的攻击,可以根据攻击采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次会话;切断此次TCP连接。
- 实时的阻断攻击;
- 深层防护 --- 深入到应用层;
- 全方位的防护 --- IPS可以针对各种常见威胁做出及时的防御,提供全方位的防护;
- 内外兼防 --- 只要是通过设备的流量均可以进行检测,可以防止发自于内部的攻击;
- 不断升级,精准防护
办公网中,我们需要在以下区域部署IPS:
1.办公网与外部网络连接的部位
2.重要的集群服务器前端
3.办公网内部接入层
4.其他区域,酌情部署
两者区别:
1.IPS对于初学者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
2.IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
3.目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?
入侵检测的方法:
异常检测
误用检测
总结:
- 在进行IPS模块检测之前,首先需要重组IP分片报文和TCP数据流; --- 增加检测的精准性
- 在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码,并深入报文提取特征。
- 最后,解析报文特征和签名(特征库里的特征)进行匹配。再根据命中与否做出对应预设 的处理方案。
签名
--- 针对网络上的入侵行为特征的描述,将这些特征通过HASH后和我们报文进行比对。
防病毒(AV)
病毒简介:计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。
传播过程:计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
- 按照恶意代码功能分类:病毒、蠕虫、木马
- 按照传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络;
- 按照感染对象分类:操作系统、应用程序、设备;
- 按照携带者对象分类:可执行文件、脚本、宏、引导区。
URL过滤
概述
随着互联网应用的迅速发展,计算机网络在经济和生活的各个领域迅速普及,使得信息的获取、共享和传播更加方便,但同时也给企业带来了前所未有的威胁:
员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率。
员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
在内部网络拥堵时段,无法保证员工正常访问与工作相关的网站(如公司主页、搜索引擎等),影响工作效率。
URL过滤功能可以解决上述问题,URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。
如图1所示,FW作为企业网关部署在网络边界,当企业用户发起HTTP或HTTPS的URL请求时,通过URL过滤功能可以实现对用户的请求进行放行、告警或者阻断。
使用URL过滤后:
当用户访问合法的网站时,放行此请求。
当用户访问非法的网站时,阻断此请求。
文件过滤
定义:文件过滤是一种根据文件类型对文件进行过滤的安全机制。(针对文件的类型进行的过滤,而不是文件的内容)
- 承载文件的应用 --- 承载文件的协议很多,所以需要先识别出协议以及应用。
- 文件传输的方向 --- 上传,下载
- 文件的类型和拓展名 --- 设备可以识别出文件的真实类型,但是,如果文件的真实类型 无法识别,则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为。
流程:
目的
随着社会和网络技术的不断发展,公司机密信息和用户个人信息的泄露已经成为信息安全的核心问题之一。另外病毒常感染或附着在文件中,且病毒的反检测和渗透防火墙的能力越来越强。因此文件安全已经是人们越来越关注的问题。但传统的防火墙和UTM设备已经不能满足这些需求。在此背景下,文件过滤技术应运而生。文件过滤能根据文件的类型对文件进行过滤。
机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。
如果管理员想进一步降低机密信息泄露的风险,可以将文件过滤与内容过滤功能结合使用。
如果管理员想进一步降低内网感染病毒的风险,可以将文件过滤与反病毒功能结合使用。
内容过滤
定义
内容过滤是一种对通过FW的文件或应用的内容进行过滤的安全机制。
- 文件内容的过滤 --- 比如我们上传下载的文件中,包含某些关键字(可以进行精准的匹 配,也可以通过正则表达式去实现范围的匹配。)
- 应用内容的过滤 --- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时 候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP 传递的文件名称,这些都属于应用内容的过滤。
目的
随着互联网时代的发展,公司员工办公时越来越多的需要使用Internet。比如员工需要通过Internet浏览网页、搜索信息、收发邮件、发送帖子和微博等。
员工在使用Internet的过程中可能会产生以下问题:
- 员工上传或发布公司的机密信息到Internet,导致公司机密泄露。
- 员工浏览、发布、传播违规信息,对公司造成不好的影响甚至带来法律风险。
- 员工浏览和搜索与工作无关的内容,降低工作效率。
因此越来越多的公司希望拥有一台设备,既能保证公司员工正常访问Internet,又能对员工接收和发送的信息内容进行过滤。
FW的内容过滤功能可以满足这一需求,它对通过FW的包含特定内容的文件或应用进行过滤,主要作用如下:
- 阻止机密信息的传播,降低公司机密泄漏的风险。
- 降低因员工浏览、发布、传播敏感信息而给公司带来的法律风险。
- 阻止员工浏览和搜索与工作无关的内容,保证工作效率。
VPN的概述
VPN的真实定义是虚拟专用网(Virtual Private Network),这种技术可以追溯到1996年。当时的微软员工为了创建了PPTP(点对点加密协议),通过加密数据并在 LAN 或 WAN 连接上形成隧道来在用户之间创建安全网络。 使用这种技术可以让员工在家中安全的访问公司的网络,其核心有两点:1.隧道 2.安全(当然它们之间是有联系的)
- 物理网络不适用,成本太高,并且如果位置不固定,则无法构建物理专线
- 公网安全无法保证
VPN的分类
- 企业自建的VPN专线:GRE,IPSEC,SSL VPN, L2TP --- 这种VPN构建成本较低,因为不需要支付专线的费用,仅需要承担购买VPN设备的费用。并且,在网络控制方面,也拥有更多的主动性。
- 直接租用运营商的VPN专线:MPLS VPN。这种方式需 要企业支付专线的租用费用,但是,控制,安全以及网速方面的问题都将由运营商来承 担。MPLS VPN的优势在于,专线的租用成本低。
- Client to LAN(ACCESS VPN)
2.LAN to LAN
应用层:SSLVPN等
传输层:Sangfor VPN
网络层:IPSec、GRE等
网络接口层:L2F/L2TP、PPTP等
VPN的核心技术
隧道技术
封装技术
扫一扫
1257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
