一.防火墙内容过滤技术概述
内容过滤技过检查网络流量中的数据包内容,对不符合预订策略的文件类型/文件的上传下载/承载文件的协议和应用进行过滤和阻止,以确保网络安全。
基于协议过滤
根据网络协议类型对数据包进行过滤。例如,防火墙可以只允许HTTP协议通过,而阻止其他协议的数据包。
文件类型过滤
防火墙根据文件的内容和用途进行过滤,例如文本文件、图像文件、音频文件、视频文件等。文件类型是通过文件的内部结构和编码方式来确定的。
文件拓展名过滤
防火墙可以根据文件的扩展名或魔法字节(文件开头的特定字节序列)对流量中的文件进行过滤。例如,防火墙可以阻止传输被定义为不安全或不受欢迎的文件类型,如.exe、.dll等。
其次防火墙会解压缩压缩文件防止含有需要过滤后缀名的文件被压缩到压缩文件中。例如:防火墙需要过滤以.html后缀的文件而该文件被压缩后缀名变为.zip,而防火墙的过滤名单中未包含.zip则会产生安全风险。
二. 文件过滤技术的处理流程
三.内容过滤技术
常见的内容过滤技术包括:
-
关键字过滤:根据预设的关键字或关键词列表,检查数据包中是否包含这些关键字。如果数据包中包含了被过滤的关键字,防火墙将阻止该数据包通过。
-
应用程序识别过滤:通过深度包检测(DPI)技术,防火墙可以分析数据包中的应用层协议特征,识别出不同的应用程序类型,并根据预设策略对其进行过滤;例如:微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP 传递的文件名称,这些都属于应用内容的过滤。
内容识别的动作
告警;阻断;按权重操作(我们可以给每一个关键字设计一个权 重值,如果检测到多个关键字的权重值超过预设值,则执行告警或者阻断的动作)。
四.邮件过滤技术
用来过滤垃圾邮件的。---所谓垃圾邮件,就是收件人事先没有提出要求或 者同意接受的广告,电子刊物,各种形式的宣传的邮件。包括,一些携带病毒,木 马的钓鱼邮件,也属于垃圾邮件。
常用的邮件协议
-
POP3(端口:110):是最早使用的邮件下载协议,用于将邮件从邮件服务器下载到客户端设备上。
-
IMAP(端口:143):是一种常用的邮件访问协议,与POP3类似,可以将邮件从邮件服务器下载到客户端设备上,但IMAP可以在客户端与服务器之间同步邮件的状态和文件夹结构。
-
SMTP(端口:25):用于发送邮件的协议,主要用于将电子邮件从发件人的电子邮件客户端发送到收件人的电子邮件服务器。
POP3和IMAP之间的主要区别在于以下几个方面:
-
邮件存储:POP3协议通常会将所有电子邮件从服务器下载到本地设备,然后从服务器上删除邮件。IMAP协议则是在本地设备和邮件服务器上保持一份电子邮件的副本,即在本地设备上只是保存了邮件的缓存副本,邮件仍然留存在服务器上。
-
同步性:由于IMAP协议在本地设备和邮件服务器上保持了副本,因此在不同设备上查看邮件时是同步的,即无论在哪个设备上删除或移动邮件,其他设备上的邮件状态也会相应更新。而POP3协议则是在下载邮件之后,邮件和本地设备之间没有同步,邮件状态的修改不会反映到其他设备上。
-
存储空间:由于POP3协议将所有邮件下载到本地设备,所以邮件服务器上的存储空间可以得到释放,而IMAP协议则需要在服务器上保留邮件的副本,因此对服务器存储空间要求较高。
-
邮件访问:由于POP3协议将所有邮件下载到本地设备,可以在没有网络连接的情况下访问和读取邮件。而IMAP协议需要与邮件服务器进行实时通信,因此需要有网络连接才能访问和读取邮件。
邮件收发过程
垃圾邮件过滤技术
五.应用行为控制技术