1. 技术扫盲:网络世界,危机四伏!
各位看官,这年头,网络安全可不是闹着玩的!木马、蠕虫、僵尸网络,各种妖魔鬼怪层出不穷,稍不留神,你的电脑就成了黑客的提款机。更可怕的是,操作系统和应用程序的漏洞,简直就是给黑客开了后门!别慌,华为早就准备好了秘密武器——入侵防御系统,全方位保护你的网络,让黑客无处遁形!
简单来说,华为的入侵防御系统就像一个尽职尽责的门卫:
- 对外网来客:仔细盘查,发现可疑分子(入侵行为)立刻轰走,否则一律放行。
- 对内网访客:时刻盯着,一旦发现访问的网站或服务器藏有恶意代码,立马断开连接,保证安全。
图1-1 入侵防御应用场景
2. 核心揭秘:入侵防御,到底是怎么做到的?
2.1 原理剖析:层层设防,滴水不漏!
华为入侵防御系统的核心流程可以概括为两步:揪出坏蛋(签名匹配检测攻击)和痛打落水狗(攻击响应处理)。
图2-1 入侵防御实现机制
-
报文重组:化整为零,无处遁形!
防火墙收到流量后,会先把被切碎的IP分片报文拼起来,再把TCP数据流重新组合,保证数据的完整性。这招厉害了,能有效防止黑客把攻击代码拆开来躲避检测。
2. 应用协议识别和解析:知己知彼,百战不殆!防火墙可不是傻大个,它能识别各种常见的应用层协议,比如HTTP、FTP等等。识别出协议后,还会进行更深入的分析,提取关键特征。
3. 签名匹配:对号入座,精准打击!把提取出来的报文特征和入侵防御签名库里的签名进行比对,如果匹配上了,那就说明有情况!
更给力的是,防火墙还能定期从华为安全中心(isecurity.huawei.com)下载最新的入侵防御特征库,时刻保持警惕,有效防御最新的网络入侵。
4. 响应处理:雷霆手段,绝不手软!一旦发现匹配到签名的报文,防火墙会根据管理员事先配置好的入侵防御文件进行处理,该阻断的阻断,该告警的告警,绝不姑息!
2.2 入侵防御签名:坏蛋的身份证!
入侵防御签名就像是坏蛋的身份证,它描述了各种网络入侵行为的特征。入侵防御功能的核心就是通过对比报文内容和签名来识别入侵行为。签名主要分为两种:
-
预定义签名:官方认证,权威可靠!
这些签名都包含在入侵防御特征库里,内容是固定的,你没法自己创建、修改或删除。每个预定义签名都有默认的动作:
- 放行:睁一只眼闭一只眼,不记录日志。
- 告警:放你过去,但会留下案底(记录日志)。
-
阻断:直接把你轰出去,断绝来往,并记录在案。
2. 自定义签名:私人订制,灵活应变! -
当出现新的攻击时,官方的签名可能还没来得及更新。这时候,如果你对这种攻击比较了解,就可以自己创建自定义签名,第一时间进行防御。
- 系统还会自动检查你创建的自定义签名的合法性,避免出现低效签名浪费资源。
- 自定义签名的动作只有阻断和告警两种,你可以根据实际情况选择。
2.3 入侵防御配置文件:游戏规则的制定者!
入侵防御配置文件是入侵防御功能的核心,它决定了设备要防御哪些攻击,以及如何防御。配置文件主要由签名过滤器和例外签名组成。
2.3.1 签名过滤器:精准筛选,重点关注!
入侵防御特征库里有海量的签名信息,如果设备对所有签名都进行防御,可能会产生大量的无用日志,影响对关键攻击事件的处理。这时候,就需要配置签名过滤器,根据你的业务情况,筛选出你最关心的签名,并配置相应的动作。设备只会根据签名过滤器筛选出来的签名来判断流量是否为网络入侵,并执行相应的动作。
图2-2 签名过滤器组成
签名过滤器就像一个漏斗,只有同时满足所有过滤条件的签名才能通过。过滤条件包括:签名的威胁类别、对象、协议、严重性、操作系统等等。如果一个过滤条件里配置了多个值,那么只要匹配任意一个值,就算匹配了这个条件。
举个栗子,如果你的服务器运行的是Windows操作系统的Web服务器,那么你可以配置签名过滤器,筛选操作系统是Windows、协议是HTTP的签名。
图2-3 签名过滤器工作流程
2.3.2 例外签名:特殊照顾,灵活应对!
在签名过滤器里设置的签名动作是统一的,没法单独修改某个签名的动作。但是,总有一些特殊情况需要区别对待。这时候,就可以使用例外签名功能。你可以把特定的签名指定为例外签名,并单独设置动作。
例外签名的动作有以下几种:
- 阻断:直接干掉,不留情面,并记录在案。
- 告警:放你一马,但会留下案底。
- 放行:啥也不管,直接放行。
- 添加黑名单:把你踢出群聊,永不录用!
例外签名的优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,那么就以例外签名的动作为准。
如下图所示,入侵防御配置文件里配置了两个签名过滤器和一个例外签名,最终的响应动作如下:
图2-4 签名动作优先级
- 签名a01:只匹配签名过滤器1,动作为告警。
- 签名a02:例外签名优先级高,动作为告警。
- 签名a03:匹配签名过滤器2,动作为阻断。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
