特征库应用在哪些业务场景中?
特征库本身并不具有检测和处置威胁的能力,而是需要与防火墙中安全检测及处置相关的业务特性结合使用。防火墙的各类特征库支持的业务场景如表1-5所示。
表1-5 特征库应用的业务场景
|
特征库名称 |
涉及的业务场景 |
详细描述 |
|---|---|---|
|
入侵防御特征库 |
入侵防御 |
入侵防御特征库中存储了入侵防御预定义签名,用来描述网络中已知攻击行为的特征。防火墙通过将数据流和入侵防御签名进行比较,可以有效检测和防范网络中的攻击行为。 |
|
恶意域名特征库 |
入侵防御 |
恶意域名特征库中存储了网络中已知的恶意域名信息。在入侵防御配置文件中开启域名过滤功能后,防火墙通过恶意域名特征库对域名进行过滤,确保内网主机不受外部恶意域名侵害。 |
|
反病毒特征库 |
反病毒 |
反病毒特征库中包含了当前已知病毒的特征信息。防火墙通过提取网络中传输的文件的特征并与反病毒特征库中的病毒特征进行对比,识别并阻断病毒文件。 |
|
文件信誉特征库 |
APT防御 |
文件信誉特征库中存储了已知恶意文件的MD5值等信息,作为防火墙设备缓存的恶意文件列表中恶意文件信息的来源之一。在APT防御配置文件中开启了文件信誉检测功能后,设备会将待检测文件与缓存中的恶意文件信息进行匹配,识别并阻断恶意文件。 |
|
业务感知特征库 说明: 又称作应用识别特征库。 |
应用/应用组 |
业务感知特征库中存储了网络中常见应用/协议的特征信息,供应用识别特性使用。这些应用特征信息在防火墙设备中以预定义应用的形式存在,且不可以被修改或删除。在创建基于应用的策略时,可以按需引用待管控的各种应用。目前设备上支持引用应用的策略包括安全策略、带宽策略和策略路由。 |
|
IP信誉特征库 |
攻击防范-IP信誉 |
IP信誉特征库中存储了已知的僵尸主机IP地址,通过在攻击防范特性中配置IP信誉功能,防火墙可以对这些僵尸主机发送的报文进行有效过滤。 |
|
地区识别特征库 |
地区/地区组 |
地区识别特征库中定义了可供策略引用的预定义地区。其中中国的预定义地区包括国家、省和城市,其他国家的预定义地区只包括国家。通过地区识别特征库,防火墙设备可以识别出IP地址所属的地区。 |
|
资产识别特征库 |
安全态势感知 |
资产识别特征库中存储了主流厂商常见设备的资产信息标识特征。通过资产识别特征库可以对安全态势感知业务的主动扫描结果进行补充和修正,有效提高资产识别速度和准确性。 |
|
运营商地址库 说明: 又称作因特网服务提供方库或ISP库。 |
智能选路-ISP选路 |
运营商地址库是存放ISP网络内所有IP地址的文件,供智能选路特性的ISP选路功能使用。当防火墙作为出口网关连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发,保证流量转发使用最短路径,提高转发效率。 |
|
URL分类预置库 |
URL过滤、DNS过滤 |
URL分类预置库是防火墙设备中URL分类的子集,其中存储了主流网站的URL分类信息。URL分类预置库是出厂预置的,设备初次上电时会自动将URL分类预置库加载到预定义URL分类缓存中。加载的URL分类预置库对URL分类和DNS分类同时生效,通过URL过滤或DNS过滤功能,设备可以对一些常见的网站或域名进行访问控制。 |
|
文件信誉热点库 |
APT防御 |
文件信誉热点库中存储了已知恶意文件的MD5值等信息,作为防火墙设备缓存的恶意文件列表中恶意文件信息的来源之一。在APT防御配置文件中开启了文件信誉检测功能后,设备会将待检测文件与缓存中的恶意文件信息进行匹配,识别并阻断恶意文件。 |
|
URL信誉热点库 |
URL过滤 |
URL信誉用来描述用户访问的URL是否值得信赖,并对低信誉的URL实施阻断。URL信誉热点库是URL信誉的来源之一,其中存储了最新的URL信誉信息。防火墙设备会将获取到的URL信誉热点库加载到预定义URL分类缓存中。在URL过滤配置文件中开启URL信誉检测功能后,设备可以对低信誉的URL进行识别和阻断。 |
|
智能检测引擎库 |
智能检测引擎(AIE) |
智能检测引擎库中存储了智能检测引擎的检测算法,该检测算法可以基于机器学习或者深度学习等技术对防火墙设备采集到的流量Metadata的数据进行分析和检测,准确识别网络中的未知威胁和APT攻击。 |
|
本地信誉信息 说明: 包括恶意文件信息和恶意URL信息。 |
本地恶意文件信息:APT防御 |
防火墙从HiSec Insight上获取的本地信誉信息中包含本地恶意文件信息,可作为防火墙设备缓存的恶意文件列表中恶意文件信息的来源之一。在APT防御配置文件中开启了文件信誉检测功能后,设备会将待检测文件与缓存中的恶意文件信息进行匹配,识别并阻断恶意文件。 |
|
本地恶意URL信息:APT防御、URL过滤 |
防火墙从HiSec Insight上获取的本地信誉信息中包含本地恶意URL信息。本地恶意URL信息是URL信誉的来源之一。防火墙设备会将获取到的本地恶意URL信息加载到缓存的恶意URL列表中。在APT防御配置文件或URL过滤配置文件中开启了恶意URL检测功能后,设备可以对低信誉的URL进行识别和阻断。 |
|
|
外部恶意URL列表 |
URL过滤 |
外部恶意URL列表是第三方安全机构发布的包含恶意URL信息的文本文件。防火墙设备会将获取到的外部恶意URL信息加载到缓存的恶意URL列表中。在URL过滤配置文件中开启外部动态恶意URL过滤功能后,设备可以有效对命中外部恶意URL信息的URL请求进行识别和阻断。 |
如何将特征库升级到最新版本?
本文档以USG6000/USG9500 V500R005C20及USG6000E V600R007C20版本为例介绍各类特征库升级的配置及操作思路,可供其他版本进行参考,具体情况请以产品实现为准。
了解特征库升级
设备支持通过在线升级和离线升级两种方式升级特征库。
- 在线升级是指设备通过连接到网络中特定的升级服务器对特征库进行升级,升级触发方式包括定时升级和手动升级。
- 离线升级是指网络管理员获取特征库升级文件,并手动导入或加载到设备上离线进行升级。
各类特征库支持的升级方式及特征库文件来源如表1-6所示。
表1-6 特征库支持的升级方式及特征库文件来源
|
特征库名称 |
升级方式 |
特征库文件来源 |
|---|---|---|
|
入侵防御特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“入侵防御库”页签下载入侵防御特征库文件。 |
|
恶意域名特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“恶意域名特征库”页签下载恶意域名特征库文件。 |
|
反病毒特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“反病毒特征库”页签下载反病毒特征库文件。 |
|
文件信誉特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“文件信誉库”页签下载文件信誉特征库文件。 |
|
业务感知特征库 说明: 又称作应用识别特征库。 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“业务感知特征库”页签下载业务感知特征库文件。 |
|
IP信誉特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“IP信誉特征库”页签下载IP信誉特征库文件。 |
|
地区识别特征库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“地区识别特征库”页签下载地区识别特征库文件。 |
|
资产识别特征库 |
离线升级 |
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“资产识别特征库”页签下载资产识别特征库文件。 |
|
运营商地址库 说明: 又称作因特网服务提供方库或ISP库。 |
手动导入 |
华为安全中心 说明: 升级前,需要登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“因特网服务提供方库”页签下载运营商地址库文件。 |
|
URL分类预置库 |
手动加载 |
华为安全中心 说明: 升级前,需要登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“URL预置库”页签下载URL分类预置库文件。 |
|
文件信誉热点库 |
|
华为安全中心 说明: 由于文件信誉热点库不支持离线升级,因此不提供热点库离线下载的途径。防火墙设备需要连接到华为安全中心,在线获取最新的文件信誉热点库。 |
|
URL信誉热点库 |
|
华为安全中心 说明: 由于URL信誉热点库不支持离线升级,因此不提供热点库离线下载的途径。防火墙设备需要连接到华为安全中心,在线获取最新的URL信誉热点库。 |
|
智能检测引擎库 |
|
华为安全中心 说明: 离线升级时,可以登录华为安全中心(isecurity.huawei.com),选择,选择对应的产品类型、产品系列、产品名称和产品版本后,在“智能检测引擎”页签下载智能检测引擎库文件。 |
|
本地信誉信息 说明: 包括恶意文件信息和恶意URL信息。 |
定时升级 |
HiSec Insight(原CIS) |
|
外部恶意URL列表 |
|
外部升级服务器 |
发表评论