1、华为的IAE引擎:内部工作过程
IAE引擎主要是针对2-7层进行一个数据内容的检测
--1、深度检测技术 (DPI和DPF是所有内容检测都必须要用到的技术)
---1、DPI--深度包检测,针对完整的数据包,进行内容的识别和检测
1、基于特征子的检测技术
2、基于应用网关的检测技术
有些应用控制和数据是分离的,比如一些视频流。有些视频流有两个连接,刚开始建立的tcp连接是用来传输一些参数(和ftp一样),这部分我们称为信令部分。之后传输数据用的连接是udp的;因为udp是没有可以识别的特征,但是本身这个视频应用在传输数据的时候会携带他们事先商量好的参数,所以我们在面对udp协议传输的数据,可以根据他们开始协商的参数进行识别和控制;
3、基于行为模式的检测技术
---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;
基于流的检测可以通过这些特征进行一个区别,这里只是简单的举了两个流的例子,并不是只有者两个两个流;
--2、IPS ---入侵防御
侧重于风险控制的设备,可以在发现风险的同时,处理问题。需要串联部署在网络中;
IPS设备优势:
1、实时阻断,因为是防御系统,不只是检测,还可以进行防御
2、深层防护,可以深入到应用层,进行精准的威胁识别;
3、全方位的防护
4、内外兼防
5、不断升级,精准防护
--3、IDS---入侵检测
侧重于风险管理的设备,仅仅只能进行监控,但是不能直接处理,--- 存在滞后性;因为检测出来了还需要通知能够处理这个问题的系统进行一个处理
--4、入侵检测的方法
1、异常检测,这种检测时基于一个假定,如:系统会先观测出用户的规律,然后计入数据库中,之后如果用户做出的行为和之前观察出来的规律相差太多检测机制就会被触发;
2、误用检测:创建一个异常特征库,将入侵行为的特征记录下来,记录签名,之后,根据到达的流量特征和签名进行对比,判断是否存在异常
签名:将异常行为的特征记录下来,进行hash;
---在防火墙中实现入侵检测的方法:1、首先在防火墙中创建一个签名,也可以用系统已经定义好了的签名;
2、再在入侵防御那里将签名和入侵防御配置文件进行绑定
3、最后在安全策略里面将入侵防御配置文件进行绑定;
这样安全策略匹配上的流量就会进行一个入侵检测了;
--注意:绑定有入侵防御配置文件的安全策略必须能够被匹配上才会对流量进行一个检测控制,如果匹配不上就别谈对流量内容进行检测了;所以要注意绑定有入侵检测配置文件的安全策略;
--5、AV(反病毒)
防病毒侧重于文件以及邮件中病毒的查杀
病毒的分类
2、病毒的杀链
其中我们就拿蠕虫举例吧
1、蠕虫病毒是从一个计算机上自我拷贝传染到其他计算机上的恶意程序
2、
3、我们常说的病毒/木马其实不是一个东西,其网络中的恶意程序主要分为三类
4、一般会经常被病毒利用的协议
病毒经常是在附件里面,所以ftp这些协议是被病毒利用的非常多的
5、URL过滤
我们平常的病毒都是通过漏洞进行一个攻击的,其中我们早期的url也是有着巨大的漏洞的
---url的过滤过程
---1、白名单:放行/下一步
---2、黑名单:阻断/下一步
6、http的请求头
referer:用户已经到达当前请求的页面时,这个参数的值就是,用户是从哪个网站过来的
补充:
1、防火墙的组网:就是通过防火墙将网络进行一个管理,让网络更加灵活、更加安全;
2、所有内容安全内容检测都需要用到的技术:DPI,DFI
3、消息:一次完整的请求和应答,我们称之为消息
4、http常见状态码:
101:服务器应客户端切换协议的请求,对协议进行切换
200:请求成功
301:永久性定向
302:临时性重定向
400:客户端请求的语法有错
403:服务器禁止访问,权限问题
404:服务器无法根据客户端的请求找到资源
500:服务端错误
--------------大学之路漫漫,愿你每一步都坚定有力。
在知识的海洋中畅游,在友谊的天空下翱翔。
我们顶峰相见!!
