六、防御保护---防火墙内容安全篇

本文从IAE引擎、深度检测技术(DFI和DPI)、入侵防御IPS、反病毒网关AV、URL过滤、DNS过滤、内容过滤、文件过滤和应用行为控制方面对防火墙的内容安全进行介绍。

一、IAE（Intelligent Awareness Engine）引擎

二、深度检测技术(DFI和DPI）

2.1 DPI – 深度包检测技术

DPI主要针对完整的数据包（数据包分片，分段需要重组），之后对数据包的内容进行识别。（应用层）

2.1.1 基于“特征字”的检测技术

最常用的识别手段，基于一些协议的字段来识别特征。

2.1.2 基于应用网关的检测技术

有些应用控制和数据传输是分离的，比如一些视频流。一开始需要TCP建立连接，协商参数，这一部分我们称为信令部分。之后，正式传输数据后，可能就通过UDP协议来传输，流量缺失可以识别的特征。所以，该技术就是基于前面信令部分的信息进行识别和控制。

2.1.3 基于行为模式的检测技术

比如我们需要拦截一些垃圾邮件，但是，从特征字中很难区分垃圾邮件和正常邮件，所以，我们可以基于行为来进行判断。比如，垃圾邮件可能存在高频，群发等特性，如果出现，我们可以将其认定为垃圾邮件，进行拦截，对IP进行封锁。

2.2 DFI – 深度流检测技术

一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流量。

结论：
1，DFI仅对流量进行分析，所以，只能对应用类型进行笼统的分类，无法识别出具体的应用；DPI进行检测会更加精细和精准；
2，如果数据包进行加密传输，则采用DPI方式将不能识别具体的应用，除非有解密 手段；但是，加密并不会影响数据流本身的特征，所以，DFI的方式不受影响。

三、入侵防御（IPS）

IDS — 侧重于风险管理的设备
IPS — 侧重于风险控制的设备

3.1 IPS的作用

IPS是一种安全机制，通过分析网络流量来检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式（自动丢弃入侵报文或阻断攻击源）来实时地中止入侵行为（既能发现又能阻止入侵行为），从根本上避免攻击行为。

3.2 IPS的优势

1，实时的阻断攻击；
2，深层防护 — 深入到应用层；
3，全方位的防护 — IPS可以针对各种常见威胁做出及时的防御，提供全方位的防护；
4，内外兼防 — 只要是通过设备的流量均可以进行检测，可以防止发自于内部的攻击。
5，不断升级，精准防护

3.3 与传统IDS的区别

1，IDS侧重于风险管理，IPS侧重于风险控制；
2，IDS无法检测应用层内容，误报和漏报率居高不下，而日志和告警又过多，IPS可对报文层层剥离，进行协议识别和报文解析后再进行分类和特征匹配，保证检测的精确性；
3，DS是被动检测攻击，只能通过响应机制报告给FW，再由FW来阻断攻击，IPS是积极主动的入侵防御阻止系统，可以自动将攻击包丢弃或将攻击源阻断，有效地实现了主动防御功能。

3.4 入侵检测

3.4.1 入侵防御实现机制

1，重组应用数据：针对逃避入侵检测的行为，首先进行IP分片及TCP流的重组，确保应用层数据的连续性；
2，协议识别和协议解析：可根据报文内容识别出多种常见应用层协议，再根据具体协议分析方案进行更为精细的分析，并深入提取报文特征；
3，特征匹配：将解析后的报文特征与签名进行匹配，如果命中则进行响应；
4，响应处理：完成检测后根据管理员配置的动作对匹配到签名的报文进行处理。

3.4.2 签名

签名用于描述网络中攻击行为的特征，通过将数据流与入侵防御签名进行比较来检测防范攻击。
1，预定义签名：入侵防御特征库中包含的签名，缺省动作包括放行、告警和阻断；
2，自定义签名：针对新的攻击类型或特殊目的进行配置，系统会自动对自定义规则的合法性和正则表达式进行检查，动作行为包括阻断和告警。

3.4.2 签名过滤器

满足指定过滤条件的集合，用于特征库升级后从大量签名中剔除本网络中没有该特征的签名或针对本网络中常出现的威胁过滤出该特征的签名。
1，例外签名：对签名过滤器批量过滤出的签名设置不同的动作。
2，入侵防御对数据流的处理：命中签名→查找签名对应的配置文件→是否命中例外签名→是否命中签名过滤器→结束