Ako sa programy filtrovania založené na obsahu rozhodnú, či povolia pakety do chránenej siete?

Programy filtrovania založené na obsahu sa priamo nerozhodnú, či povolia pakety do chránenej siete na základe kontroly samotného obsahu paketu. To by bolo neuveriteľne neefektívne a nepraktické pre vysokorýchlostné siete. Namiesto toho pracujú kontrolou konkrétnych častí hlavičky paketov * a pomocou týchto informácií uplatňujú vopred definované pravidlá. Časť „obsahu“ je často určená nepriamo na základe týchto informácií o záhlaví a potenciálne nejakej hlbokej inšpekcii paketov (DPI) v sofistikovanejších systémoch.

Takto to funguje:

1. kontrola hlavičky: Primárnym mechanizmom je skúmanie hlavičky paketov. To zahŕňa polia ako:

* Zdrojové a cieľové adresy IP: Pravidlá filtrovania môžu blokovať prenos alebo na konkrétne adresy IP, rozsahy adries alebo celé siete (napr. Blokovanie všetkej prevádzky zo známeho rozsahu škodlivého IP).

* Zdroj a cieľové porty: Je to rozhodujúce pre identifikáciu protokolu aplikácie (napr. Port 80 pre HTTP, port 443 pre HTTPS, port 25 pre SMTP). Pravidlá môžu úplne blokovať konkrétne porty alebo protokoly (napr. Blokovanie všetkej prevádzky na porte 25, aby sa zabránilo spamu).

* Typ protokolu: To znamená protokol sieťovej vrstvy (napr. TCP, UDP, ICMP). Pravidlá sa môžu filtrovať na základe typu protokolu (napr. Blokovanie povodní ping ICMP).

* Ostatné polia hlavičky: Menej bežné, ale možné sú filtre založené na veciach ako TTL (čas na život), vlajky v hlavičkách TCP alebo iných menej často skúmaných polí.

2. Pre sofistikovanejšie filtrovanie obsahu sa používajú techniky DPI. Zahŕňajú preskúmanie užitočného zaťaženia (skutočné údaje) v obmedzenom rozsahu. Toto je výpočtovo intenzívne a zvyčajne sa neuplatňuje na každý paket, iba tie, ktoré zodpovedajú špecifickým kritériám identifikovaným v kroku 1. DPI môže analyzovať:

* URL: Extrahovanie adresy URL z požiadaviek HTTP umožňuje blokovanie prístupu k konkrétnym webovým stránkam alebo kategóriám webových stránok (napr. Blokovanie prístupu na stránky sociálnych médií).

* Kľúčové slová: Analýza užitočného zaťaženia paketov pre konkrétne kľúčové slová alebo vzory (vyžaduje významný spracovateľský výkon a môže sa obmedziť na konkrétne aplikácie).

* Typy súborov: Identifikácia typu prenášaného súboru (napr. Blokovanie spustiteľných súborov).

3. Rozhodovanie založené na pravidlách: Na základe informácií získaných z krokov 1 a 2 sa program filtrovania uplatňuje vopred definované pravidlá. Tieto pravidlá špecifikujú akcie, ktoré sa majú podniknúť na základe charakteristík paketu. Tieto pravidlá môžu:

* Povoliť: Umožnite paketu prejsť do chránenej siete.

* Odopa: Zablokujte paket a zabráňte mu v zadávaní siete.

* log: Zaznamenajte informácie o pakete do protokolového súboru na audit a analýzu.

v súhrne: Filtrovanie založené na obsahu je menej o priamej analýze „obsahu“ a viac o použití ľahko dostupných informácií o hlavičkách a selektívnom použití DPI na presadzovanie vopred nakonfigurovaných bezpečnostných politík založených na zdroji/cieľovom mieste, protokoloch a prípadne špecifických prvkoch obsahu vo vybraných paketoch. Dôraz sa kladie na účinnosť a rýchlosť, pretože skúmanie každého bajtu každého paketu je všeobecne nerealizovateľné.

• Predchádzajúca strana: Aké sú výhody a nevýhody klientskej siete? 
• Ďalšia strana: V prípade straty alebo ukradnutia mobilného zariadenia, ktoré dva postupy môžu pomôcť chrániť súkromné ​​informácie uložené na zariadení?