目录
基于代理的检查包括流量缓冲和在决定一个行动之前的整体检查。对数据整体进行分析的过程允许该过程相对于基于流量的方法或DNS方法包含更多的分析数据点。基于代理的方法的优点是检查比其它的方法更加彻底,在数据分析中会导致较少的错误正负结果。
支持功能最多,检查更彻底,但效率在三种模式中最低。
基于流的检查方法在文件通过RG-WALL设备时进行检查,无需缓冲。在每个流量包到达时即进行处理和发送,无需等待整个文件或网页等。基于流量的方法的优点是用户看到对HTTP请求的反应时间更快,超过时间的错误减少,因为另一端的服务器反应比较慢。这个方法的缺点是在数据分析中错误正或负出现的可能性更高。部分检查功能无法在流模式下实现。
检查深度居中,性能较高。
检查方法与RuijieGuard服务使用相同的分类。在资源使用量上它是轻量级的,因为它没有包括任何基于代理或基于流量的检查。
DNS请求是对新网站的任何新会话的典型的第一个部分。这个检查方法利用了它的优点,将网站的分类结果放在了RuijieGuard DNS服务器上。当RG-WALL分解了一个URL(网址)后,除了网站的IP地址以外,它还会收到该网站的分类。
占用系统最小,功能有限,效率最高,如果仅作简单的网址过滤可以使用该模式。
用于需要根据具体的url来限制具体上网者的行为
内部人员上互联网,只允许访问163和百度两个体系的网站,其他网站全部禁止访问。
1、初始化上网配置
2、定义web过滤配置
3、在策略中开启web过滤功能
1、初始化上网配置
配置详细过程请参照 “路由模式典型功能"--"单线上网"--"静态地址线路上网配置"“一节:
2、定义web过滤配置
进入:安全--配置---web过滤---配置,可以看到内置了一些web过滤配置,如default,flow-monitor-all等。可以直接对这些配置进行修改,也可以自定义。点击”新建“
出现web过滤配页面,进行配置:
名字:mywebfilter
检查模式: 流模式。 有关三种模式区别的且可以看web过滤技术一章。
勾选“启用web网站过滤器”该功能后,出现如下菜单
在菜单中编辑url过滤列表,新建url
*.baidu.com 允许所有百度的网站
*.163.com 允许所有网易的网站
* 拒绝其他任何网站。添加完url之后,如下图所示:
该列表是按照从上到下的顺序执行,如果需要调整顺序,按照windows系统拖动方式,左键点击条目拖动即可移动顺序。
3、在策略中引用web过滤功能
在上网的防火墙策略中,开启UTM,并启用web过滤器,选择mywebfilter.
访问www.baidu.com,允许访问。访问 www.sina.com.cn,被屏蔽。
日志如下:
应用场景
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系 统 (IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果。此时可在出口防火墙上开启病毒、漏洞、 木马等事件过滤功能,NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DOS攻击手段有syn flood、icmp flood、udp floodTearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等;扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的 TCP/UDP端口,而一个开放的端口 通常意味着某种应用。
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
NGFW的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
功能原理
反病毒一词指的是在防止不必要的和潜在的恶意文件进入网络的一组功能,这些功能一不同的方式进行工作,包括检查文件大小,名称或类型,或病毒或灰色软件特征的存在。
反病毒扫描文件是否含有病毒、蠕虫、木马和恶意软件。反病毒扫描引擎拥有用于识别感染类型的病毒特征库,如果扫描器发下文件具有病毒特征,即确定该文件被感染,并采取正确的措施。
最彻底的扫描要求全新NGFW具有整个文件的扫描程序。因此,反病毒代理,对到达的文件时,对文件进行缓存,传输完成后,病毒扫描器开始扫描文件,如果未被感染,则将其发送至目的地,如果被感染,则将替换信息发送至目的地。
全新NGFW还支持基于数据流的反病毒扫描,基于数据流模式的反病毒扫描使用全新NGFW ips引擎来检查病毒、蠕虫、木马和恶意软件的网络流量,无需缓存正在检查的文件。
基于数据流模式的扫描优点在于快速扫描和不限定文件的大小。基于数据流模式的扫描不需要对文件进行缓存,因此在文件通过全新NGFW设备时,对数据包逐包扫描。这就消除了最大文件大小的限制,客户端可以立即开始接受文件数据。此外,基于数据流模式的扫描不改变数据包,因为他只是经过设备,而基于代理的扫描会改变数据包的详细信息,例如序列号,基于代理的扫描引起的变化不影响大多数网络。
权衡这些优点,基于数据流模式的扫描检测感染的数目较少,文件,压缩文件和一些存档中的病毒不太可能被检测到,因为扫描器在任何时刻只能检查该文件的一小部分。
全新NGFW入侵防御系统可保护网络免受攻击,全新NGFW采用两种技术处理这些攻击,基于协议异常和基于特征的的防御措施。
基于协议异常的防御措施
但将网络流量本身用作武器时,使用基于协议异常的防御措施。HOST会被超出其处理能力多得多的流量充斥,从而是HOST无法访问。最长见的例子是聚聚服务攻击,其中,攻击方指引大量计算机尝试对目标系统进行正常访问。如果达到了足够的访问尝试量,目标系统胡ibei压垮,不能为真正的用户提供服务。攻击方不会进入目标系统,但他也不可以访问其他系统。全新NGFW Dos特性将阻断来自攻击方超过某个阀值的流量,并允许掐合法用户连接。可在防火墙手册中查找Dos策略配置信息。
基于特征的防御措施。
基于特征的防御措施用于防止已知的攻击或对漏洞的利用。这通常会涉及到某个试图进入网络的攻击方。攻击方在视图进入过程中必须与主机通讯,此通讯将包括特殊指令和变量的顺序。ips特征包括这些指令顺序,允许全新NGFW设备检测并阻止攻击。ips特征库是基于特征入侵防护的基础。每次攻击可被检测归类为一连串指令或一些列指令和变量,ips签名包含了这些信息,因此,全新NGFW知道如何查找网络流量中的非法攻击行为。特征也包括他们描述的攻击特性,这些特性包括攻击涉及的协议,易受攻击的操作系统,和易受攻击的的而应用。
