一.內容安全
攻擊可能只是一個點,防御需要全方面進行
IAE引擎
DFI和DPI技術 --- 深度檢測技術
DPI ---深度包檢測技術 ---主要針對完整的數據包(數據包分片,分段需要重組),之后對數據包的內容進行識別。(應用層)
1,基于“特征字”的檢測技術 ---最常用的識別手段,基于一些協議的字段來識別特征。
2,基于應用網關的檢測技術 ---有些應用控制和數據傳輸是分離的,比如一些視頻流。一開始需要TCP建立連接,協商參數,這一部分我們稱為信令部分。之后,正式傳輸數據后,可能就通過UDP協議來傳輸,流量缺失可以識別的特征。所以,該技術就是基于前面信令部分的信息進行識別和控制。
3,基于行為模式的檢測技術 ---比如我們需要攔截一些垃圾郵件,但是,從特征字中很難區分垃圾郵件和正常郵件,所以,我們可以基于行為來進行判斷。比如,垃圾郵件可能存在高頻,群發等特性,如果出現,我們可以將其認定為垃圾郵件,進行攔截,對IP進行封鎖。
DFI ---深度流檢測技術 ---一種基于流量行為的應用識別技術。這種方法比較適合判斷P2P流量。
結論:
1,DFI僅對流量進行分析,所以,只能對應用類型進行籠統的分類,無法識別出具體的應
用;DPI進行檢測會更加精細和精準;
2,如果數據包進行加密傳輸,則采用DPI方式將不能識別具體的應用,除非有解密手段;但是,加密并不會影響數據流本身的特征,所以,DFI的方式不受影響。
入侵防御(IPS)
IDS ---側重于風險管理的設備
IPS ---側重于風險控制的設備
IPS的優勢:
1,實時的阻斷攻擊;
2,深層防護 ---深入到應用層;
3,全方位的防護 --- IPS可以針對各種常見威脅做出及時的防御,提供全方位的防護;
4,內外兼防 ---只要是通過設備的流量均可以進行檢測,可以防止發自于內部的攻擊;
5,不斷升級,精準防護。
入侵檢測的方法:異常檢測誤用檢測
異常檢測:
異常檢測基于一個假定,即用戶行為是可以預測的,遵循一致性模式的;
誤用檢測:
誤用檢測其實就是創建了一個異常行為的特征庫。我們將一些入侵行為記錄下來,總結成為特征,之后,檢測流量和特征庫進行對比,來發現威脅。
總結:
1,在進行IPS模塊檢測之前,首先需要重組IP分片報文和TCP數據流; ---增加檢測的精準性2,在此之后需要進行應用協議的識別。這樣做主要為了針對特定的應用進行對應精細的解
碼,并深入報文提取特征。
3,最后,解析報文特征和簽名(特征庫里的特征)進行匹配。再根據命中與否做出對應預設的處理方案。
簽名 ---針對網絡上的入侵行為特征的描述,將這些特征通過HASH后和我們報文進行比對。
簽名 ---預定義簽名---設備上自帶的特征庫,這個需要我們激活對應的License(許可證)后才能獲取。 ---這個預定義簽名庫激活后,設備可以通過連接華為的安全中心進行升級。
自定義簽名---自己定義威脅特征。
自定義簽名和預定義簽名可以執行的動作、
告警 ---對命中簽名的報文進行放行,但是會記錄再日志中
阻斷 ---對命中簽名的報文進行攔截,并記錄日志
放行 ---對命中簽名的報文放行,不記錄日志
注意:這里在進行更改時,一定要注意提交,否則配置不生效。修改的配置需要在提交后重啟模塊后生效。
ID ---簽名的標識
對象 ---服務端,客戶端,服務端和客戶端
服務端和客戶端指的都是身份,一般將發起連接的一端稱為客戶端,接受連接提供服
務的稱為服務端。
嚴重性:高,中,低,提示---用來標識該入侵行為的威脅程度
協議,應用程序 ---指攻擊報文所使用的協議或應用類型
檢測范圍
報文 ---逐包匹配
消息 ---指基于完整的消息檢測,如在TCP交互中,一個完整的請求或應答為一個消息。一個消息可能包含多個報文,一個報文也可能包含多個消息。
流 ---基于數據流。
如果勾選該選項,則下面的“檢查項列表”里面的規則將按自上而下,逐一匹配。如果匹配到了,則不再向下匹配;
如果不勾選,則下面所有規則為“且”的關系。
匹配 ---在對應字段中,包含和后面“值”中內容相同的內容,則匹配成功
前綴匹配 ---在對應字段中,包含和后面“值”中內容相同的內容開頭的內容,則匹配成功
入侵防御策略的配置
這里主要是進行簽名的篩選,篩選出來的簽名和流量進行比對。默認是全選,全選固然安全,但是,對設備性能能消耗巨大,不建議。
簽名過濾器可以配置多個,匹配邏輯自上而下,注意匹配。
如果命中多個簽名,則如果動作都是告警,則進行告警,如果一個是阻斷,則執行阻斷。
如果需要對個別簽名進行特殊處理,則可以寫在例外簽名中,單獨執行動作。多了阻斷IP的動作,含義是可以將對應IP地址添加到黑名單中。
后面的超時時間是加入黑名單的時間。超過超時時間,則將釋放該地址。
二.?防病毒(AV) --- 傳統的AV防病毒的方式是對文件進行查殺。
傳統的防病毒的方式是通過將文件緩存之后,再進行特征庫的比對,完成檢測。但是,因為需 要緩存文件,則將占用設備資源并且,造成轉發延遲,一些大文件可能無法緩存,所以,直接 放過可能造成安全風險。
代理掃描 --- 文件需要全部緩存 --- 可以完成更多的如解壓,脫殼之類的高級操作,并且,檢 測率高,但是,效率較低,占用資源較大。
流掃描 --- 基于文件片段進行掃描 --- 效率較高,但是這種方法檢測率有限。
病毒簡介
病毒分類
病毒殺鏈
病毒的工作原理
防病毒處理流量
1,進行應用和協議的識別
2,判斷這個協議是否支持防病毒的檢測,如果不是支持的防病毒協議,則文件將直接通過。
3,之后,需要進行白名單的比對。如果命中白名單,則將不進行防病毒檢測,可以同時進行 其他模塊的檢測。
4,如果沒有命中白名單,則將進行特征庫的比對。如果比對上了,則需要進行后續處理。 如果沒有比對上,則可以直接放行。 這個病毒庫也是可以實時對接安全中心進行升級,但是,需要提前購買License進行激 活。
5,如果需要進行后續處理,首先進行“病毒例外“的檢測。 --- 這個病毒例外,相當于是病 毒的一個白名單,如果是添加在病毒例外當中的病毒,比對上之后,將直接放通。 ---- 過渡 防護。
6,之后,進行應用例外的比對。 --- 類似于IPS模塊中的例外簽名。針對例外的應用執行和整 體配置不同的動作。
7,如果沒有匹配上前面兩種例外,則將執行整體配置的動作。
宣告:僅針對郵件文件生效。僅支持SMTP和POP3協議。對于攜帶病毒的附件,設備允許 文件通過,但是,會在郵件正文中添加病毒的提示,并生成日志。 刪除附件:僅針對郵件文件生效,僅支持SMTP和POP3協議。對于攜帶病毒的附件,設備 會刪除掉郵件的附件,同時會在郵件正文中添加病毒的提示,并生成日志。
URL過濾 URL ---- 資源定位符
靜態網頁
動態網頁 --- 需要于數據庫進行結合
URI --- 統一資源標識符 URL過濾的方法
黑白名單 --- 如果匹配白名單,則允許該URL請求;如果匹配黑名單,則將拒絕URL請 求。 白名單的優先級高于黑名單。
預定義的URL分類:
本地緩存查詢
遠程分類服務查詢 --- 如果進行了遠程的查詢,則會將查詢結果記錄在本地的緩存 中,方便后續的查詢。 --- 需要購買license才能被激活。
自定義的URL分類 --- 自定義的優先級高于預定義的優先級的
如果遠程分類服務查詢也沒有對應分類,則將其歸類為“其他”,則按照其他的處理邏 輯執行。
URL的識別方式(HTTP)
HTTPS
第二種方法:加密流量進行過濾
Server_name ---域名信息
HTTP.request --- URL信息(HOST ---域名信息,URI)
這種方法比較簡單,性能更高,但是,這種信息僅能過濾到域名級別,不夠精確。
三.內容過濾技術
?
文件過濾技術 這里說的文件過濾技術,是指針對文件的類型進行的過濾,而不是文件的內容。
想要實現這個效果,我們的設備必須識別出:
承載文件的應用 --- 承載文件的協議很多,所以需要先識別出協議以及應用。
文件傳輸的方向 --- 上傳,下載 文件的類型和拓展名 --- 設備可以識別出文件的真實類型,但是,如果文件的真實類型 無法識別,則將基于后綴的拓展名來進行判斷,主要為了減少一些繞過檢測的偽裝行 為。
壓縮
文件過濾技術的處理流程
文件過濾的位置是在AV掃描之前,主要是可以提前過濾掉部分文件,減少AV掃描的工作量,提高工作效率。
內容過濾技術
文件內容的過濾 ---比如我們上傳下載的文件中,包含某些關鍵字(可以進行精準的匹配,也可以通過正則表達式去實現范圍的匹配。)
應用內容的過濾 ---比如微博或者抖音提交帖子的時候,包括我們搜索某些內容的時
候,其事只都是通過HTTP之類的協議中規定的動作來實現的,包括郵件附件名稱,FTP傳遞的文件名稱,這些都屬于應用內容的過濾。
注意:對于一些加密的應用,比如我們HTTPS協議,則在進行內容識別的時候,需要配置SSL代理(中間人解密)才可以識別內容。但是,如果對于一些本身就加密了的文件,則無法進行內容識別。
內容識別的動作包括:告警,阻斷,按權重操作:我們可以給每一個關鍵字設計一個權重值,如果檢測到多個關鍵字的權重值超過預設值,則執行告警或者阻斷的動作。
郵件過濾技術
SMTP ---簡單郵件傳輸協議,TCP 25,他主要定義了郵件該如何發送到郵件服務器中。POP3 ---郵局協議,TCP 110,他定義了郵件該如何從郵件服務器(郵局)中下載下來。
IMAP --- TCP 143,也是定義了郵件該如何從郵件服務器中獲取郵件。
(使用POP3則客戶端會將郵件服務器中未讀的郵件都下載到本地,之后進行操作。郵件服務器上會將這些郵件刪除掉。如果是IMAP,用戶可以直接對服務器上的郵件進行操作。而不需要將郵件下載到本地進行操作。)
郵件過濾技術
主要是用來過濾垃圾郵件的。---所謂垃圾郵件,就是收件人事先沒有提出要求或者同意接受的廣告,電子刊物,各種形式的宣傳的郵件。包括,一些攜帶病毒,木馬的釣魚郵件,也屬于垃圾郵件。
統計法 ---基于行為的深度檢測技術
貝葉斯算法 ---一種基于預測的過濾手段
基于帶寬的統計 ---統計單位時間內,某一個固定IP地址試圖建立的連接數,限制單位時間內單個IP地址發送郵件的數量。
基于信譽評分 ---一個郵件服務器如果發送垃圾郵件,則將降低信譽分,如果信譽比較差,則將其發出的郵件判定為垃圾郵件。
列表法 ---黑,白名單
RBL(Real-time Blackhole List) ---實時黑名單 --- RBL服務器所提供,這里面的內容會實時根據檢測的結果進行更新。我們設備在接收到郵件時,可以找RBL服務器進行查詢,如果發現垃圾郵件,則將進行告知。 ---這種方法可能存在誤報的情況,所以,謹慎選擇丟棄動作。
源頭法
SPF技術 ---這是一種檢測偽造郵件的技術。可以反向查詢郵件的域名和IP地址是否對應。如果對應不上,則將判定為偽造郵件。
意圖分析
通過分析郵件的目的特點,來進行過濾,稱為意圖分析。(結合內容過濾來進行。)
應用行為控制技術--主要針對HTTP和FTP協議。
四.VPN的概述?
VPN ---虛擬專用網 ---一般指依靠ISP或者其他NSP,也可以是企業自身,提供的一條虛擬網絡專線。這個虛擬的專線是邏輯上的,而不是物理上的,所以稱為虛擬專用網。
總結:
VPN誕生的原因 --- 1,物理網絡不適用,成本太高,并且如果位置不固定,則無法構建物理專線
2,公網安全無法保證
由于VPN的誕生,導致網絡部署的靈活性大大提升。
VPN的分類
根據建設的單位不同分類--- 1,企業自建的VPN專線:GRE,IPSEC,SSL VPN,
L2TP ---這種VPN構建成本較低,因為不需要支付專線的費用,僅需要承擔購買VPN設備的費用。并且,在網絡控制方面,也擁有更多的主動性。
2,直接租用運營商的VPN專線:MPLS VPN。這種方式需要企業支付專線的租用費用,但是,控制,安全以及網速方面的問題都將由運營商來承擔。MPLS VPN的優勢在于,專線的租用成本低。
根據組網方式不同分類--- 1,Client to LAN(ACCESS VPN)
Intranet ---內聯網 ---企業內部虛擬專網
Extranet ---外聯網 ---拓展的企業內部虛擬專網
相較而言,外聯網一般連接合作單位,而內聯網一般連接分公司,所以,外聯網的權限賦予會比較低,并且,安全把控方面會比較嚴格。
根據VPN技術實現的層次來進行分類
VPN的核心技術 ---隧道技術隧道技術 ---封裝技術
VPN通過封裝本身就是對數據的一種保護,而工作在不同層次的VPN,其實質就是保護其所在層次即以上的數據。當然,這種保護在沒有加密的情況下,并不代表安全。
我們一般網絡封裝協議都是由三部分組成的 ---乘客協議,封裝協議,運輸協議。
VPN其他常用技術
身份認證技術 ---身份認證是VPN技術的前提。
GRE VPN ---本身不支持身份認證的。(GRE里面有個“關鍵字”機制。類似于ospf的認證,商量一個口令,在GRE中該措施僅是用來區分通道的)
L2TP VPN---因為他后面的乘客協議是PPP協議,所以,L2TP可以依賴PPP提供的認證,比如PAP,CHAP。
IPSEC VPN和SSL VPN ---都支持身份認證
加解密技術 ---以此來抵抗網絡中的一些被動攻擊
注意:加解密技術使用的實質是一個雙向函數,即一個可逆的過程。和HASH算法有本質的區別
加密技術也是安全通道的保障。
GRE VPN和L2TP VPN不支持加解密技術。通常可以結合IPSEC技術來實現加解密。
IPSEC VPN和SSL VPN都是支持加解密技術的。
數據認證技術 ---驗貨 ---保證數據的完整性
HASH ---計算摘要值,之后,通過比對摘要值來保障完整性。
GRE VPN ---可以加入校驗和。但是,GRE的這種功能是可選的,兩邊開啟之后,才會激活數據認證功能。
L2TP VPN ---不支持數據認證
IPSEC VPN,SSL VPN都是支持數據認證的
?五.密碼學
近現代加密算法
古典加密技術 --- 算法保密原則 近,現代加密技術 --- 算法公開,密鑰保密 對稱加密算法,非對稱加密算法。
對稱加密 --- 加密和解密的過程中使用的是同一把密鑰。 所以,對稱加密所使用的算法一定是一種雙向函數,是可逆的。 異或運算 --- 相同為0,不同為1
流加密 主要是基于明文流(數據流)進行加密,在流加密中,我們需要使用的密鑰是和明 文流相同長度的一串密鑰流。
常見的流加密算法 --- RC4
分組加密(塊加密算法)
目前比較常用的對稱加密算法 --- DES/3DES,AES(高級加密標準)
1,密鑰共享 帶外傳輸 --- 不方便 帶內傳輸 --- 不安全 2,密鑰管理 --- N * N
非對稱加密算法
非對稱加密算法和對稱加密算法的主要區別在于,對稱加密算法加解密僅使用同一把密 鑰,而非對稱加密算法,加密和解密使用的是不同的密鑰。 --- 兩把密鑰 一把叫做公鑰,另一把叫做私鑰。 ---- 這兩把鑰匙,任意一把鑰匙都可以進行加密的操 作,然后,需要通過另外一把鑰匙來進行解密。
非對稱加密算法使用的算法一定是不可逆的,取模運算(求余)
目前常用的非對稱加密算法 --- RSA
結論 --- 我們一般采用的做法是,在數據傳輸的時候,我們會選擇使用對稱加密算法進 行加密,為了保證效率。但是,對稱加密算法最主要的問題是密鑰傳遞可能存在安全風險,所以,我們在傳遞密鑰的時候,可以通過非對稱加密算法進行加密,保證密鑰傳遞 的安全性。實現二者的互補,達到安全傳輸的目的。
DH算法 --- Diffie-Hellman算法 --- 密鑰交換算法 --- 用來分發對稱密鑰的。
身份認證以及數據認證技術
對數據進行完整性校驗 --- 我們會針對原始數據進行HASH運算,得到摘要值,之后, 發送到對端,也進行相同的運算,比對摘要值。如果摘要值相同,則數據完整;如果不 同,則數據不完整。
HASH算法 --- 散列函數
1,不可逆性
2,相同輸入,相同輸出。
3,雪崩效應 --- 原始數據中即使存在細微的區別,也會在結果中呈現出比較明顯 的變化,方便,我們看出數據是否被篡改。
4,等長輸出 --- 不管原始數據多長,運算之后的摘要值長度是固定。(MD5可以 將任意長度的輸入,轉換成128位的輸出。)
我們可以使用私鑰對摘要值進行加密,之后傳遞,這就形成了數字簽名。
注意:這整個過程只能表示Bob收到的數據,的確是他擁有公鑰的這個人發送的數據, 但是,你擁有公鑰有沒有被別人惡意篡改或者替換,這種方法是無法識別出來的,所 以,這僅能實現一種數據源的檢測,不能進行身份認證。 同時,可以完成完整性校驗。
數字證書 CA可信機構 --- 提供身份信息證明的第三方機構 通信雙方需要完全信任這個第三方機構,之后,讓CA為公鑰作證。 因為雙方都信任該CA機構,所以,實現擁有這個CA機構的公鑰信息。 CA機構會使用自己的私鑰對A的公鑰和一些其他信息一起進行加密,生成數字證 書。
1,原始信息HASH算法得到摘要值 ---- 為了做完整性校驗。為了保證我們的摘要 值在傳遞的過程中,不會被篡改,所以,需要使用私鑰進行加密。形成數字簽名。
2,針對原始信息,數字簽名,數字證書(是用戶提前向CA機構申請,獲取到的通 過CA機構私鑰加密后的證書。里面主要包含了Alice的公鑰。主要是做身份認證使 用)進行加密。使用的是對稱加密算法。對稱機密算法需要使用對應的密鑰來進行 加密。
3,將對稱加密算法的密鑰通過Bob的公鑰進行加密,形成密鑰信封。(這里是通 過非對稱加密算法的方式,來傳輸對稱密鑰的。也可以使用DH算法,使雙方獲得 對稱密鑰。)
4,將加密信息和密鑰信封通過公網傳遞到對端Bob處。
5,Bob首先對密鑰信封進行解密。因為這個密鑰信封是通過Bob的公鑰進行加密 的,所以,使用Bob自己的私鑰就可以進行解密。解密后,將得到對稱密鑰。
6,使用對稱密鑰去解密加密信息。 ---- 原始數據,數字簽名,數字證書
7,使用CA機構的公鑰來解開數字證書。因為數字證書是由CA機構的私鑰進行加 密的,并且,Bob本身也信任CA機構,所以,自身設備上是擁有CA機構的公鑰 的。
8,解開數字證書后將得到Alice的公鑰,根據Alice的公鑰可以解開數字簽名。因 為數字簽名是由Alice自己的私鑰來進行加密的,所以,如果可以順利的使用ALICE 的公鑰進行解密,則完成了身份認證和數據源鑒別工作。
9,Bob自身需要對原始信息進行HASH運算,并且,數字簽名解開后,里面也包 含ALice發送時對原始信息進行HASH運算的摘要值,比對兩次摘要值,則可完成 完整性校驗。
)
)
)
)
)