防火墙应用识别特征库是指用于识别网络流量中常见的应用程序、协议和服务的数据库文件,该特征库存储了多种特征信息,包括应用程序、协议和服务的端口和应用程序行为等信息,通过这些特征信息,防火墙可以对经过的流量进行有效识别。
一、特征库的构成与分类
1、入侵防御特征库:
主要用于检测和阻止各种类型的入侵行为,如恶意攻击、漏洞利用等。
支持的产品及版本包括USG6000(V500R001C00及后续版本)、USG9500(V500R001C00及后续版本)以及USG6000E(V600R006C00及后续版本)。
升级服务依赖License,不同设备出厂时预置情况有所不同。
2、恶意域名特征库:
包含已知的恶意域名信息,用于拦截恶意网站访问。
同样支持上述产品及版本,并依赖License进行升级。
3、反病毒特征库:
用于检测和清除病毒、木马等恶意软件。
也支持上述产品及版本,并依赖License进行升级。
4、文件信誉特征库:
针对云沙箱场景,用于评估文件的安全性。
支持USG6000(V500R001C50及后续版本)、USG9500(V500R001C50及后续版本)以及USG6000E(V600R006C00及后续版本)。
针对云沙箱场景,升级服务还依赖云沙箱组件包。
5、业务感知特征库:
又称作应用识别特征库,用于精确识别网络中的各类应用。
支持上述所有产品及版本,且升级服务不受License控制。
6、IP信誉特征库:
包含已知的恶意IP地址信息,用于拦截来自这些IP的流量。
支持上述产品及版本,且升级服务不受License控制。
7、地区识别特征库:
用于识别流量的来源地区,有助于进行地域性的安全策略制定。
同样支持上述产品及版本,且升级服务不受License控制。
8、资产识别特征库:
用于识别网络中的资产信息,如服务器、终端等。
仅支持USG6000E(V600R007C20及后续版本),且升级服务不受License控制。
9、运营商地址库:
又称作因特网服务提供方库或ISP库,用于识别流量所属的运营商。
支持上述所有产品及版本,且升级服务不受License控制。
10、URL分类预置库:
用于对URL进行分类管理,便于制定基于URL的安全策略。
支持上述产品及版本,且使用不受License控制。
二、特征库的应用与更新
特征库通常需要与安全检测、安全防御相关的业务特性(例如应用识别、入侵防御、反病毒等)结合使用,以达到增强防火墙设备安全检测能力的目的,由于网络中新的应用/协议类型、攻击手段等层出不穷,防火墙设备中的特征库需要及时更新到最新版本,以提升对威胁的检测能力和检测效率,网络管理员可以通过多种方式将华为安全中心最新发布的特征库更新到防火墙设备中。
三、特征库的升级方法
对于可以联网的防火墙设备,推荐使用在线升级的方式,这种方式操作简便,能够确保特征库及时更新到最新版本,对于无法联网的防火墙设备,可以选择离线升级的方式,这通常涉及到从华为安全中心或其他可信来源下载最新的特征库文件,然后通过特定的命令或界面将这些文件导入到防火墙设备中。
四、特征库在安全策略中的应用
在安全策略中引用应用和应用组是常规操作,网络管理员可以根据应用类别、子类别、标签、软件、自定义的应用组来选择应用,并制定有针对性的管控策略,当引用单个应用时,需要考虑其依赖应用和关联应用的配置要求。
五、相关FAQs
Q1: 是否需要手工删除历史的特征库文件?
A1: 通常情况下,不需要手工删除历史的特征库文件,在升级过程中,新的特征库文件会替换旧的文件,或者与旧的文件并存(如果设备支持多版本并存),为了节省存储空间和避免潜在的混淆,建议在确认新特征库文件正常工作后,可以删除旧的特征库文件。
Q2: 如何选择合适的特征库进行升级?
A2: 选择合适的特征库进行升级时,需要考虑以下几个因素:一是设备型号和软件版本,确保所选特征库与设备兼容;二是业务需求,根据网络环境的实际需求选择相应的特征库;三是安全性,优先选择来自官方或可信来源的特征库文件,以避免引入安全风险,在升级前,建议仔细阅读设备文档和特征库说明,确保升级过程顺利进行。
到此,以上就是小编对于“防火墙应用识别特征库是指”的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/22960.html<
