防御保护:内容安全过滤技术详解
防御保护:内容安全过滤技术详解
内容安全过滤技术是网络安全领域的重要组成部分,主要用于保护网络环境免受恶意内容的侵害。本文将详细介绍各种内容安全过滤技术,包括文件过滤、内容过滤、邮件过滤、应用行为控制、DNS过滤和URL过滤等,帮助读者全面了解这些技术的原理和应用场景。
文件过滤
文件过滤是一种根据文件类型对文件进行过滤的安全机制,主要实现对特定文件类型的阻断或者警告。这种技术可以降低企业内部网络执行恶意代码或者感染病毒的风险,还可以防止员工将公司机密文件外泄。
防火墙通过深度包检测和深度流检测技术能够识别应用层的协议及内容,包括文件传输方向、文件类型和文件扩展名。文件过滤的配置文件可以定义文件类型识别结果异常时的处理动作,并且可以对文件压缩层数、文件大小以及超过压缩层数和文件大小的处理动作进行设置。
常见的异常情况包括:
- 文件扩展名与类型不一致
- 文件类型无法识别
- 文件损坏
内容过滤技术
内容过滤技术是对通过防火墙的文件或者应用内容进行过滤的安全机制,通过深度包或流检测识别流量中包含的内容,包括对包含的特点关键字进行流量阻断或者警告。
这种技术可以控制对哪些应用传输的文件以及哪种类型的文件进行文件内容过滤。可以过滤的协议包括HTTP上传下载、FTP上传下载、SMTP、POP3、NFS、SMB、IMAP、FLASH等。如果文件或应用中出现关键字,安全设备就会执行相应的动作,包括告警、阻断或按权重操作。
邮件过滤技术
邮件过滤技术主要用于对邮件收发行为进行管控,包括防止垃圾邮件和匿名邮件的泛滥,控制违规收发等。SMTP定义了计算机如何将邮件发送给SMTP server,以及SMTP server之间如何中转邮件。POP3和IMAP规定了计算机如何通过客户端管理、下载邮件服务器上的电子邮件。
邮件过滤技术主要通过以下方式实现:
- 检测源IP地址的垃圾邮件:通过检测发送方的源地址来过滤垃圾邮件,采用黑白名单技术。
- 检测RBL黑名单的垃圾邮件:防火墙获取邮件发送方服务的IP地址,向RBL服务器发起查询,根据RBL服务器返回的查询结果判断该IP地址是否是垃圾邮件源,进而采取相应的处理动作。
应用行为控制技术
应用行为控制功能可以对常见的HTTP和FTP行为进行精细化控制。对于HTTP,可以允许或阻止POST操作、浏览网页、代理上网、文件下载或上传等行为,并可以告警或阻断POST操作的内容大小、文件上传/下载大小等。对于FTP,可以允许或禁止文件上传、文件下载、文件删除等行为,并可以告警或阻断文件上传的大小、文件下载的大小等。
DNS过滤
DNS过滤技术主要通过将DNS进行分类来实现过滤功能。DNS过滤功能是对DNS请求报文中的域名进行过滤,允许或阻断用户访问某些网站,规范上网行为。
DNS过滤分为预定义分类和自定义分类:
- 预定义分类已经预先对大量常见的域名进行了分类,管理员可以根据这些分类轻松地控制内网用户禁止访问哪些类别的域名、允许访问哪些类别的域名。
- 自定义分类用于覆盖新出现的网站或满足特殊的过滤需求。
当用户访问某外网web服务器时,会通过域名访问,因此会首先发出DNS请求报文。当报文到达防火墙后,防火墙会在DNS请求报文中提取域名与防火墙中的DNS过滤规则匹配,若完全匹配则阻断该访问请求,若不匹配则放行。
URL过滤
URL过滤技术主要是通过URL分类和URL过滤实现。华为维护了大量的主流web网站,被称为预定义URL分类,用来对一些常见的网站进行访问控制。随着网络的发展,对于新出现的网站,预定义URL分类可能覆盖不到,此时可以通过配置自定义URL分类来满足需求。
URL过滤分为预定义URL分类和自定义URL分类:
- 预定义URL分类是系统内置的,系统预先对大量常见的URL进行了分类,管理员不能创建、删除和重命名。
- 自定义URL分类是手工配置的,可以创建新的自定义URL分类,也可以向预定义URL分类中添加URL。
当DNS解析完成后,获取了目的web服务器的地址,后续发出的HTTP请求会发往外网web服务器。当该HTTP请求到达防火墙之后,防火墙截取用户HTTP连接Get或POST请求,判断URL是否合法,若合法则放行;若不合法则会阻断该HTTP请求。
URL与DNS对比: