防御第六天

总结：

• 内容安全涉及攻击的全方面防御，需要使用IAE引擎、DFI和DPI技术等深度检测技术。

• DPI技术主要针对完整的数据包进行识别，可以使用基于特征字、基于应用网关和基于行为模式的检测技术。

• DFI技术是一种基于流量行为的应用识别技术，适合判断P2P流量。

• 入侵防御（IPS）是实时阻断攻击并提供深层、全方位防护的设备，可以防止来自内部的攻击。

• 入侵检测方法包括异常检测和误用检测，其中异常检测基于用户行为的一致性模式，而误用检测通过特征库对比来发现威胁。

• IPS模块检测需要重组IP分片报文和TCP数据流，并进行应用协议识别和报文特征匹配。

• 签名是针对网络上入侵行为特征的描述，可以分为预定义签名和自定义签名。

• IPS可以执行告警、阻断和放行等动作，可以根据签名的严重性、对象、协议和应用程序进行配置。

• 入侵防御策略的配置可以通过签名过滤器进行筛选和匹配，也可以针对个别签名进行特殊处理。

• IPS还可以通过阻断IP的动作将对应IP地址添加到黑名单中，并设置超时时间来释放该地址。

• 防病毒（AV）可以通过传统的AV方式对文件进行查杀，或者使用代理扫描和流扫描等方式进行防病毒处理。

• 病毒传播方式包括病毒杀链和C&C服务器的命令控制。

• 防病毒处理流量需要进行应用和协议的识别，判断协议是否支持防病毒检测，并进行白名单和特征库的比对。

• 防病毒的配置可以包括病毒例外和应用例外的检测，以及设置动作如告警、删除附件等。

• URL过滤可以使用黑白名单进行匹配，也可以进行远程分类服务查询和自定义URL分类。

• URL过滤的识别方式包括SSL解密和加密流量过滤，配置时可以设置缺省动作、URL信誉和恶意URL检测。

• 防病毒和URL过滤需要和安全中心建立联系，并确保相应的服务端口开放。

• DNS过滤也是一种防止访问恶意网站的方法，可以通过对DNS请求进行过滤来实现。

• 内容过滤技术可以针对文件的类型进行过滤，包括识别承载文件的应用、文件传输方向和文件的类型和拓展名。

• 文件过滤技术的处理流程在AV扫描之前进行，可以提前过滤部分文件，减少AV扫描的工作量。

• 内容过滤技术可以针对文件内容和应用内容进行过滤，包括关键字匹配和正则表达式匹配。

• 邮件过滤技术主要针对垃圾邮件进行过滤，包括统计法、贝叶斯算法、基于带宽的统计、基于信誉评分、列表法、RBL和源头法等方法。

• 邮件过滤技术还包括SPF技术用于检测伪造邮件和意图分析用于分析邮件的目的特点。

• 应用行为控制技术主要针对HTTP和FTP协议进行过滤，可以通过URL过滤和内容过滤实现。

• VPN（虚拟专用网）是一种逻辑上的虚拟网络专线，可以通过不同的技术实现，包括GRE、L2TP、IPSEC和SSL VPN等。

• VPN可以根据建设单位、组网方式和技术实现的层次进行分类，同时需要考虑身份认证、加解密、数据认证和密钥管理等技术。

• VPN的核心技术是隧道技术和封装技术，用于保护数据的传输和安全通道的建立。

• 密码学分为古典加密技术和近现代加密技术，其中古典加密技术注重算法保密原则，而近现代加密技术注重算法公开和密钥保密。

• 对称加密算法和非对称加密算法是密码学中常见的两种加密算法，对称加密使用同一把密钥进行加密和解密，而非对称加密使用不同的密钥。

• 常见的对称加密算法有流加密和分组加密，如RC4、DES/3DES和AES。

• 非对称加密算法使用一对公钥和私钥进行加密和解密，常见的算法有RSA。

• DH算法是一种密钥交换算法，用于分发对称密钥。

• 身份认证和数据认证技术包括对数据进行完整性校验和数字签名。

• HASH算法是一种散列函数，用于计算摘要值来保证数据的完整性。

• 数字证书是由可信机构（CA）提供的身份信息证明，用于进行身份认证和密钥管理。

• 数字证书的生成过程包括对原始信息进行HASH运算、数字签名和加密传输。

• 数字证书的解析过程包括解密密钥信封、解密加密信息、解密数字证书和解开数字签名。

• 数字证书的解析过程可以完成身份认证和数据源鉴别，并进行完整性校验。