HCIA-Security_V4.0 | 07_防火墙入侵防御
1 入侵概述
威胁:未经授权访问 or 篡改 or 破坏。
常见入侵手段:
- 利用系统及软件的漏洞
- DDoS 攻击
- 病毒及恶意软件安全威胁
典型入侵行为:
- 篡改 Web 网页;
- 破解系统密码;
- 复制/查看敏感数据;
- 使用网络嗅探工具获取用户密码;
- 访问未经允许的服务器;
- 其他特殊硬件获得原始网络包;
- 向主机植入特洛伊木马程序。
2 入侵防御
入侵检测(ID,Intrusion Detection)通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的过程,是一种积极和动态的安全防御技术。内容涵盖授权和非授权的各种入侵行为。
入侵检测系统(IDS,Intrusion Detection System)能在发现有违反安全策略的行为或系统存在被攻击的痕迹时,立即启动有关安全机制进行应对。
2.1 入侵防御概述
概述
一种安全机制。通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),能自动丢弃入侵报文或者阻断攻击源,实时中止入侵行为。
通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。
优势:
- 实施阻断攻击
- 深层防护:检测报文应用层的内容,对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等确定应该被拦截的流量。
- 全方位防护:针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具等多种攻击的防护措施。
- 内外兼防
- 精准防护
实现机制
- 重组应用数据
- 协议识别和协议解析
- 特征匹配
- 响应处理
签名
用来描述网络中攻击行为的特征,防火墙通过将数据流和入侵防御签名进行比较来检测和防范攻击。
- 预定义签名
- 自定义签名
签名过滤器
管理并过滤没有进行分类的或特征不存在本网络中的签名。签名过滤器是满足指定过滤条件的集合。
- 只有同时满足所有过滤条件的签名才能加入签名过滤器中。一个过滤条件中如果配置多个值,多个值之间是“或”的关系,只要匹配任意一个值,就认为匹配了这个条件。
- 当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。
- 各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。
例外签名
管理员需要将某些签名设置为与签名过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。
- 添加黑名单:指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
例外签名的动作优先级高于签名过滤器。
入侵防御对数据流的处理
当数据流命中的攻击防御模板中包含入侵防御模板时,设备将数据流送到入侵防御模块,并依次匹配入侵防御模板引用的签名。
当数据流命中多个签名,对该数据流的处理方式如下:
- 如果这些签名的实际动作都为告警时,最终动作为告警。
- 如果这些签名中至少有一个签名的实际动作为阻断时,最终动作为阻断。
当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。
2.2 入侵防御配置举例
需求描述
某企业在网络边界处部署了防火墙作为安全网关。在该组网中,内网用户可以访问 Internet 的 Web 服务器。
该企业需要在防火墙上配置入侵防御功能,用于防范内网用户访问 Internet 的 Web 服务器时受到攻击。例如,含有恶意代码的网站对内网用户发起攻击。
配置思路
- 配置定时升级签名特征库,可以最大限度降低误报和漏报概率;
- 配置接口 IP 地址和安全区域,完成网络基本参数的配置;
- 创建入侵防御配置文件,配置签名过滤器;
- 配置安全策略,并将入侵防御配置文件应用到安全策略中。
入侵防御特征库的升级服务受入侵防御 License 控制项控制。
- License 控制项未激活时,设备不会自动加载预置的特征库,也无法手动加载或者升级特征库。
- License 控制项到期后,无法手动加载或者升级特征库,入侵防御功能可用,但特征库无法保证最新,入侵检测和防御能力有限。
配置流程
创建入侵防御配置文件:对象 > 安全配置文件 > 入侵防御 > 新建。
配置入侵防御文件:在“入侵防御配置文件”中,单击“新建”后按下图配置,该配置将被从 Trust 区域到 Untrust 区域的安全策略引用。配置后单击“确定”。
查看入侵及防御行为
查看威胁日志:日志 > 威胁日志。
入侵日志信息:虚拟系统/命中的安全策略/源目地址/源目端口/源目安全域/用户/协议/应用/命中的入侵安全配置文件/签名名称/签名序号/事件计数/入侵目标/入侵严重性/操作系统/签名分类/签名动作,其中重点关注信息如下:
- 配置文件:命中的入侵安全配置文件。
- 威胁名称:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
- 事件计数:日志归并引入字段,是否归并需根据归并频率及日志归并条件来确定,不发生归并则为 1。
- 入侵目标:签名所检测的报文所攻击对象。
- server:攻击对象为服务端;
- client:攻击对象为客户端;
- both:攻击对象为服务端和客户端。
- 入侵严重性:签名所检测的报文所造成攻击的严重性。
- information:提示。
- low:低。
- medium:中。
- high:高。
- 操作系统:签名所检测的报文所攻击的操作系统。
- all:所有系统。
- android:安卓系统。
- ios:苹果系统。
- unix-like:Unix 系统。
- windows:Windows 系统。
- other:表示其他系统。
- 签名分类:签名检测到的报文攻击特征所属的威胁分类。
签名动作:
- alert:告警。
- block:阻断。
3 网络反病毒
3.1 反病毒原理
产生背景
一种安全机制,通过识别和处理病毒文件来保证网络安全。
适用场景:
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
主要部分:
- 自适应安全引擎
- 反病毒处理
自适应安全引擎检测
- 流量深层分析
识别流量对应的协议类型和文件传输的方向。 - 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
- 支持协议:FTP、HTTP、POP3、SMTP、IMAP、NFS、SMB。
- 支持传输方向:
- 上传:客户端 → 服务器
- 下载:服务器 → 客户端
- 判断文件是否命中白名单
命中白名单后,防火墙将不对文件做病毒检测。- 白名单由白名单规则组成。
- 白名单规则的生效范围仅限于所在的反病毒配置文件。
- 病毒检测
- 匹配:病毒文件,按照模板的响应动作进行处理。
- 不匹配:允许该文件通过。
反病毒处理
- 判断该病毒文件是否命中病毒例外
- 用户可将检测到某个误报病毒的 ID 添加到病毒例外。
- 放行命中病毒例外的文件。
- 判断该病毒文件是否命中应用例外
- 不是病毒例外则判断是否命中应用例外。如果命中则按照应用例外的响应动作(放行、告警和阻断)进行处理。
- 配置响应动作时:
- 若只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作;
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
- 按照配置文件中配置的协议和传输方向对应的响应动作进行处理
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
- 防火墙对不同协议在不同的文件传输方向上支持不同的响应动作。
反病毒工作流程
3.2 反病毒配置举例
需求描述
某公司在网络边界处部署了防火墙作为安全网关。内网用户需要通过 Web 服务器和 POP3 服务器下载文件和邮件,内网 FTP 服务器需要接收外网用户上传的文件;
公司利用防火墙提供的反病毒功能阻止病毒文件进入到受保护的网络,保障内网用户和服务器的安全。
配置思路
- 配置定时升级反病毒特征库,可以最大限度降低误报和漏报概率;
- 配置接口 IP 地址和安全区域,完成网络基本参数配置;
- 配置两个反病毒文件,一个反病毒配置文件针对 HTTP 和 POP3 协议设置匹配条件和响应动作,另外一个反病毒配置文件针对 FTP 协议设置匹配条件和响应动作;
- 配置安全策略,在 Trust 到 Untrust 和 DMZ 到 Untrust 方向分别引用反病毒配置文件,实现组网需求。
反病毒特征库的升级服务受反病毒 License 控制项控制。
- License 控制项未激活时,设备不会自动加载预置的特征库,也无法手动加载或者升级特征库。
- License 控制项激活后,可以进行特征库加载和升级的相关操作。
- License 控制项到期后,无法手动加载或者升级特征库,入侵防御功能可用,但特征库无法保证最新,入侵检测和防御能力有限。
配置流程
配置反病毒文件:对象 > 安全配置文件 > 反病毒
配置 HTTP 和 POP3 协议:新建 > 按下图配置
配置 FTP 协议:如下图
