1. 概述
內容過濾已經是目前各種防火墻所具備的基本功能,本文總結各種防火墻的內容過濾模式����。
內容過濾主要是針對TCP��、UDP協(xié)議的上層協(xié)議的內容信息來處理的����。
內容過濾是針對明文進行的����,或者是偽明文,如base64編碼�、壓縮等,加密信息如SSL��、SSH等是不可能進行內容過濾的�����。
2. HTTP協(xié)議(TCP80)
HTTP協(xié)議是應用最為廣泛的協(xié)議���,相對來說針對HTTP的內容過濾模式也最多�。
2.1 URL過濾
URL過濾是HTTP過濾的基本模式�,URL過濾可包括URL白名單����、黑名單���、關鍵字等�,還可以進一步與其他服務器配合進行URL過濾��,如CheckPoint的UFP協(xié)議����,WebSense提供URL的數(shù)據庫和分類。
2.2 HTTP數(shù)據類型過濾
HTTP數(shù)據類型可根據URL定義的文件類型��;
上傳或下載的文件類型�;
HTTP頭字段Content-Type定義的類型��;
HTML語言定義的類型�����,如IMG����、APPLET、SCRIPT等進行過濾。
2.3 HTTP頭(header)字段過濾
HTTP定義了很多頭字段用于描述HTTP信息��,可以針對各種類型的頭字段進行過濾�。
2.4 HTTP命令類型過濾
HTTP命令包括GET、PUT����、POST等,通過命令過濾可限制用戶使用HTTP某些功能���。
2.5 HTTP內容關鍵字過濾
對所有HTTP協(xié)議任何數(shù)據中的關鍵字進行過濾
3. FTP協(xié)議(TCP21)
3.1 上傳下載文件類型過濾
針對FTP的GET和PUT命令執(zhí)行的文件類型進行過濾
3.2 FTP命令過濾
針對FTP的命令進行過濾�����,以阻止執(zhí)行某些命令�����,F(xiàn)TP協(xié)議命令和FTP客戶端界面的命令是兩碼事���,F(xiàn)TP命令集在RFC959、2228�、2640中定義。
3.3 FTP命令通道內容關鍵字過濾
針對FTP命令通道內的任何數(shù)據中的關鍵字進行過濾�����。
3.4 FTP數(shù)據通道關鍵字過濾
針對FTP數(shù)據通道任何數(shù)據的關鍵字進行過濾。
4. SMTP協(xié)議(TCP25)
SMTP協(xié)議可過濾的內容也比較多
4.1 SMTP協(xié)議頭字段過濾
和HTTP一樣�����,SMTP也通過很多頭字段來描述要傳輸?shù)膬热?��,針對各種類型的頭字段進行過濾���,可以包括過濾如Subject, To, From, Cc等的關鍵字信息。
4.2 郵件長度過濾
限制發(fā)送的郵件長度�����。
4.3 郵件內容關鍵字過濾
針對郵件數(shù)據中的關鍵字進行過濾��,現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進制數(shù)據都是編碼的��,需要進行解碼后過濾���。
4.4 郵件附件過濾
針對郵件附件的類型、內容關鍵字進行過濾�����。
5. IMAP(TCP143)/POP3(TCP110)過濾
雖然都屬于郵件,但POP3的過濾方式比SMTP要少��,畢竟郵件已經到達目的郵箱中��,不要只能自己刪除��。
5.1 郵件內容關鍵字過濾
針對郵件數(shù)據中的關鍵字進行過濾�����,現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進制數(shù)據都是編碼的�,需要進行解碼后過濾。
5.2 附件文件類型過濾
針對郵件附件類型進行過濾�����,對于危險類型的附件進行警告并阻止其自動運行�。
6. DNS協(xié)議(TCP/UDP53)
DNS過濾其實是最強的限制方式,使域名解析失敗����,這樣不論是HTTP還是TELNET、FTP等��,任何協(xié)議都無法使用。
6.1 域名過濾
根據域名信息的白名單�����、黑名單�����、關鍵字進行過濾
6.2 DNS地址NAT
是解決內網服務器和內部機器在同一網段時通過域名訪問服務器的問題����,也屬于內容過濾處理范疇
7. TELNET過濾(TCP23)
TELNET一般只進行關鍵字過濾
8. 其他協(xié)議
其他類型協(xié)議的內容過濾相對比較少,基本就是對協(xié)議內容的關鍵字過濾�����。
9. 協(xié)議合法性檢測和閾下通道檢測
主要是檢查協(xié)議通道內是數(shù)據是否是符合RFC標準的數(shù)據���,防止其他協(xié)議使用該端口進行通信���。
10. 病毒過濾
網絡病毒可以通過任何一種網絡協(xié)議進行傳播,所以將其單獨列出���。
有的防火墻自己帶了病毒庫��,可以在轉發(fā)數(shù)據的同時進行搜索�����;一般是和病毒服務器進行互動�,把數(shù)據傳給病毒服務器���,由病毒服務器掃描后將結果返回�����。無論何種形式��,病毒檢測都是最慢最費資源的處理過程�����,病毒掃描速度大致可以自己試�����,如果10M帶寬�,每秒數(shù)據1.25兆字節(jié)���,用單機殺毒工具掃一個1.25兆的文件看看要多少時間�����。不過通常病毒庫中只包括網絡病毒�����,不包括單機類病毒��,這樣可以減少掃描時間���。
11. 總結
內容過濾實質還是關鍵字過濾���,就看是檢測哪種類型的關鍵字了,內容過濾的速度取決于關鍵字模式的查找速度�����。內容過濾的關鍵就在于發(fā)現(xiàn)異常模式而切斷連接����,至于連接的切斷模式也有各種方式,最好是能讓用戶知道是為什么被切斷的。
關鍵詞標簽:防火墻
juniper防火墻之恢復出廠默認設置