首先客户端先输入域名，然后客户端先穿过防火墙去找DNS服务器，做一个DNS的请求，去询问你要查询的域名，然后DNS服务器查询过后经过防火墙，应答回复给客户端。然后客户端知道了IP地址后和http服务器进行一个tcp三次握手，然后这个流量也是要经过防火墙的。然后三次握手是不会被防火墙拦截的，因为防火墙很难通过携带的IP地址来判断是否是允许的访问。然后客户端就会发送一个http请求报文，这个数据包经过防火墙时，会被防火墙检查请求包中的http请求头字段，然后防火墙会把检查的字段与自己的过滤规则进行比对，如果没问题通过可以访问，如果防火墙匹配上了自身的规则，防火墙会冒充http服务器给客户端发送消息，注这个冒充的数据包中源IP地址时http服务器地址，这个数据包中的http状态码应该是一个301，也就是对这个网页做了一个重定向。这个重定向可能是防火墙中自己携带的页面，页面中写了为啥不能访问，然后客户端会和防火墙建立TCP三次握手，发起http请求获取重定向的这个页面。若是没有这个重定向的提示话可能就是防火墙发送了一个TCP的RST报文，将服务器和客户端的连接断开。

防火墙针对HTTPS做控制管理

中间人解密

新版本的防火墙一般都支持一个叫做SSL代理的东西，SSL代理就是中间人解密，让防火墙代为传话，客户端在去找服务器的时候防火墙会冒充服务器，然后三次握手就和防火墙做了，然后客户端就会自以为和服务器建立了连接。然后防火墙冒充客户端和服务器建立TCP连接，然后协商SSL通道的时候客户端和服务器也都是和防火墙去协商。然后客户端和服务器各自和防火墙建立了SSL通道.。这样防火墙就可以得知客户端和服务器两方的内容。然后防火墙就可以根据内容进行规则的匹配。这种情况下防火墙不会进行重定向，而是直接回复TCP的RST报文断开连接。

这个东西会消耗防火墙资源，降低防火墙传输效率

直接针对加密流量过滤

在SSL进行加密参数协商时，会发送client hello包，这个数据包中有一个关键字， server_name，里面包含的就是服务器域名信息。

因为这个字段中包含的是域名信息，而不是URL信息，所以，这种方法虽然可以节约资源，提

高效率，但是，会导致过滤的颗粒度变粗，仅能完成域名级别的过滤

url分类

url过滤配置位置

选项解释

加密流量过滤

这里勾选之后，代表通过client hello包中server_name字段进行域名级别过滤

如果不勾选，则针对http协议中get报文获取完整的URL信息进行过滤，主要如果要针对HTTPS的流量，需要先配置SSL代理解密策略

缺省动作

这里定义的就是所有分类包括远程服务查询都无法识别的URL分类的处理方案

恶意URL检测（这个东西启用会消耗更多的资源）

这里如果开启之后，相当于开启了两个功能 URL信誉、恶意URL

URL信誉

防火墙会根据网站信誉的高低，决定是否提取网络流量中的文件并进行威胁检测

信誉的查询在这里查询URL信誉热点库或者在远程查询服务器查询

恶意URL

会阻断恶意URL的访问，恶意URL来源于多方面，包括web信誉，反病毒的反馈

高级里面的动作模式

可能很多网站在url分类的不同分类里，然后有些分类是允许有些分类是阻断的那么到底用哪个。这里就要看这个动作模式

严格 --- 如果选择严格模式，则如果一个URL匹配到多个分类，则按照这些分类中动作最严格的来执行

松散 --- 如果选择松散模式，则如果一个URL匹配到多个分类，则按照这些分类中动作最松散的来执行

安全策略中url分类

安全策略中的url分类是抓取流量时候用的，而url过滤是用于抓取后的流量整了一手过滤

补充的知识点（防火墙和服务中心的一些交互）

注华为设备中一些特定的端口是和一些特定的服务打开的如下：

TCP 80 --- 和安全中心进行交互

TCP 12612 --- 和调度服务器交互

UDP12600 --- 和查询服务器交互

想要交互就要创建相应的安全策略

首先需要放通对应服务

创建相应的安全策略

由于服务中心是是从外面到防火墙本身的所以原安全区域就是外网，目的安全区域是local，然后把刚刚放通的服务添加

DNS过滤

在哪配置

DNS过滤和URL过滤很像

也有一个DNS分类

区别

内容过滤

深入到内容本身过滤

文件过滤技术

可以针对文件的类型和格式进行过滤

要识别的东西

承载文件的协议

文件的传输方向

文件的类型

文件的扩展名

防火墙可以识别出文件的真实类型，进行管控，避免安全风险，但是，如果真实类型无

法识别，则按照文件的拓展名处理。

文件过滤处理流程

文件过滤的位置在AV防病毒之前，这样就可以先将不要的文件直接过滤掉，不需要重复进行扫描，节约性能，提高效率。

内容过滤技术

文件内容的过滤

应用内容的过滤

内容在进行过滤时，可以针对关键字进行精准匹配，也可以使用正则表达式，做更加灵活的匹

配可以执行的动作 --- 告警，阻断，按权重操作

按权重操作的意思是我们可以给每个关键字设置权重值，之后根据文件中权重的累加值和设定阈值做对比，如果达到阈值，则执行对应动作。

邮件过滤技术

常见邮件传输协议

SMTP

简单邮件传输协议 --- TCP 25 --- 我们需要将邮件从本地发送到邮件服务器中时使用的协议

POP3

邮局协议 --- TCP 110 --- 将邮件从服务器中下载到本地使用的协议，之后完成查看，删除等操作

IMAP

交互邮件访问协议 --- TCP 143 --- 这个协议也是用于查看邮件信息的，和POP3的区别在于不需要将所有邮件下载到本地，可以直接在邮件服务器上进行查看，删除等操作。

邮件发送过程

发件人写邮件，用户代理（用户代理比如说qq邮箱之类的东西，上图中的Outlook是微软自带的）使用SMTP协议发送给，离你最近的邮箱服务器。然后再找远端的邮箱服务器服务器，为啥要远端的邮箱服务器，因为收件人不一定用的是和你一样的用户代理，所以发送到远端的邮箱服务器后，再由远端的邮箱服务器发送给收件人用的用户代理的邮箱服务器，最后再发送给收件人。

邮件过滤的是过滤的垃圾邮件

什么是垃圾邮件

收件人事先没有提出要求或者同意接收的广告，电子刊物，各种形式的宣传性的邮件，包括一些携带病毒和木马的钓鱼邮件

垃圾邮件的特点

垃圾邮件过滤法

统计法

基于贝叶斯算法统计

基于非垃圾邮件和垃圾邮件的样本进行预测，预测下一封邮件是垃圾邮件的概率，一种基于预测的手段

基于连接带宽的统计

基于IP地址单位时间内发送垃圾邮件或者建立连接数的数量来进行判断

基于信誉评分的技术

看发送方信誉评分来决定邮件是否可以通过

列表法

基于黑白名单对垃圾邮件进行过滤

通过 RBL （实时黑名单列表，实施监控垃圾邮箱地址）技术来实现动态的黑名单

源头法

通过SPF 技术识别伪造邮件的，可以进行溯源，IP地址和域名的对应关系是否一致，如果不抑制是不是意味着有鬼

意图分析

通过内容过滤去查看内容，然后分析意图

邮件过滤流程

应用行为控制

如下图

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/一键难忘520/article/detail/880741