|
1. 概述
內(nèi)容過濾已經(jīng)是目前各種防火墻所具備的基本功能����,本文總結(jié)各種防火墻的內(nèi)容過濾模式。
內(nèi)容過濾主要是針對(duì)TCP�、UDP協(xié)議的上層協(xié)議的內(nèi)容信息來處理的。
內(nèi)容過濾是針對(duì)明文進(jìn)行的���,或者是偽明文���,如base64編碼�����、壓縮等,加密信息如SSL�����、SSH等是不可能進(jìn)行內(nèi)容過濾的���。
2. HTTP協(xié)議(TCP80)
HTTP協(xié)議是應(yīng)用最為廣泛的協(xié)議����,相對(duì)來說針對(duì)HTTP的內(nèi)容過濾模式也最多��。
2.1 URL過濾
URL過濾是HTTP過濾的基本模式�����,URL過濾可包括URL白名單�、黑名單、關(guān)鍵字等����,還可以進(jìn)一步與其他服務(wù)器配合進(jìn)行URL過濾��,如CheckPoint的UFP協(xié)議��,WebSense提供URL的數(shù)據(jù)庫(kù)和分類��。
2.2 HTTP數(shù)據(jù)類型過濾
HTTP數(shù)據(jù)類型可根據(jù)URL定義的文件類型�����;
上傳或下載的文件類型�;
HTTP頭字段Content-Type定義的類型��;
HTML語言定義的類型����,如IMG、APPLET����、SCRIPT等進(jìn)行過濾。
2.3 HTTP頭(header)字段過濾
HTTP定義了很多頭字段用于描述HTTP信息�����,可以針對(duì)各種類型的頭字段進(jìn)行過濾。
2.4 HTTP命令類型過濾
HTTP命令包括GET����、PUT、POST等���,通過命令過濾可限制用戶使用HTTP某些功能��。
2.5 HTTP內(nèi)容關(guān)鍵字過濾
對(duì)所有HTTP協(xié)議任何數(shù)據(jù)中的關(guān)鍵字進(jìn)行過濾
3. FTP協(xié)議(TCP21)
3.1 上傳下載文件類型過濾
針對(duì)FTP的GET和PUT命令執(zhí)行的文件類型進(jìn)行過濾
3.2 FTP命令過濾
針對(duì)FTP的命令進(jìn)行過濾,以阻止執(zhí)行某些命令�����,F(xiàn)TP協(xié)議命令和FTP客戶端界面的命令是兩碼事����,F(xiàn)TP命令集在RFC959、2228�����、2640中定義����。
3.3 FTP命令通道內(nèi)容關(guān)鍵字過濾
針對(duì)FTP命令通道內(nèi)的任何數(shù)據(jù)中的關(guān)鍵字進(jìn)行過濾�����。
3.4 FTP數(shù)據(jù)通道關(guān)鍵字過濾
針對(duì)FTP數(shù)據(jù)通道任何數(shù)據(jù)的關(guān)鍵字進(jìn)行過濾��。
4. SMTP協(xié)議(TCP25)
SMTP協(xié)議可過濾的內(nèi)容也比較多
4.1 SMTP協(xié)議頭字段過濾
和HTTP一樣����,SMTP也通過很多頭字段來描述要傳輸?shù)膬?nèi)容����,針對(duì)各種類型的頭字段進(jìn)行過濾,可以包括過濾如Subject, To, From, Cc等的關(guān)鍵字信息��。
4.2 郵件長(zhǎng)度過濾
限制發(fā)送的郵件長(zhǎng)度�。
4.3 郵件內(nèi)容關(guān)鍵字過濾
針對(duì)郵件數(shù)據(jù)中的關(guān)鍵字進(jìn)行過濾,現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進(jìn)制數(shù)據(jù)都是編碼的���,需要進(jìn)行解碼后過濾����。
4.4 郵件附件過濾
針對(duì)郵件附件的類型�、內(nèi)容關(guān)鍵字進(jìn)行過濾。
5. IMAP(TCP143)/POP3(TCP110)過濾
雖然都屬于郵件�,但POP3的過濾方式比SMTP要少�����,畢竟郵件已經(jīng)到達(dá)目的郵箱中�����,不要只能自己刪除���。
5.1 郵件內(nèi)容關(guān)鍵字過濾
針對(duì)郵件數(shù)據(jù)中的關(guān)鍵字進(jìn)行過濾,現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進(jìn)制數(shù)據(jù)都是編碼的�����,需要進(jìn)行解碼后過濾�����。
5.2 附件文件類型過濾
針對(duì)郵件附件類型進(jìn)行過濾��,對(duì)于危險(xiǎn)類型的附件進(jìn)行警告并阻止其自動(dòng)運(yùn)行�。
6. DNS協(xié)議(TCP/UDP53)
DNS過濾其實(shí)是最強(qiáng)的限制方式��,使域名解析失敗�����,這樣不論是HTTP還是TELNET、FTP等�,任何協(xié)議都無法使用。
6.1 域名過濾
根據(jù)域名信息的白名單���、黑名單����、關(guān)鍵字進(jìn)行過濾
6.2 DNS地址NAT
是解決內(nèi)網(wǎng)服務(wù)器和內(nèi)部機(jī)器在同一網(wǎng)段時(shí)通過域名訪問服務(wù)器的問題���,也屬于內(nèi)容過濾處理范疇
7. TELNET過濾(TCP23)
TELNET一般只進(jìn)行關(guān)鍵字過濾
8. 其他協(xié)議
其他類型協(xié)議的內(nèi)容過濾相對(duì)比較少��,基本就是對(duì)協(xié)議內(nèi)容的關(guān)鍵字過濾�����。
9. 協(xié)議合法性檢測(cè)和閾下通道檢測(cè)
主要是檢查協(xié)議通道內(nèi)是數(shù)據(jù)是否是符合RFC標(biāo)準(zhǔn)的數(shù)據(jù)��,防止其他協(xié)議使用該端口進(jìn)行通信�����。
10. 病毒過濾
網(wǎng)絡(luò)病毒可以通過任何一種網(wǎng)絡(luò)協(xié)議進(jìn)行傳播���,所以將其單獨(dú)列出��。
有的防火墻自己帶了病毒庫(kù)�,可以在轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)進(jìn)行搜索�;一般是和病毒服務(wù)器進(jìn)行互動(dòng),把數(shù)據(jù)傳給病毒服務(wù)器����,由病毒服務(wù)器掃描后將結(jié)果返回。無論何種形式�����,病毒檢測(cè)都是最慢最費(fèi)資源的處理過程�,病毒掃描速度大致可以自己試,如果10M帶寬�����,每秒數(shù)據(jù)1.25兆字節(jié)�,用單機(jī)殺毒工具掃一個(gè)1.25兆的文件看看要多少時(shí)間��。不過通常病毒庫(kù)中只包括網(wǎng)絡(luò)病毒�,不包括單機(jī)類病毒�,這樣可以減少掃描時(shí)間����。
11. 總結(jié)
內(nèi)容過濾實(shí)質(zhì)還是關(guān)鍵字過濾,就看是檢測(cè)哪種類型的關(guān)鍵字了����,內(nèi)容過濾的速度取決于關(guān)鍵字模式的查找速度。內(nèi)容過濾的關(guān)鍵就在于發(fā)現(xiàn)異常模式而切斷連接�,至于連接的切斷模式也有各種方式,最好是能讓用戶知道是為什么被切斷的�����。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
