《新一代防火墻技術及應用》課件第10章 常見攻擊測試技術

10.1NGAF安全防護功能介紹10.2內(nèi)容安全防護10.3IPS10.4僵尸網(wǎng)絡攻擊防護10.5本章小結(jié)新一代防火墻技術及應用12學習目標了解內(nèi)網(wǎng)用戶上網(wǎng)、服務器訪問面臨的威脅以及AF能夠?qū)λ鼈兤鸬降姆雷o作用掌握內(nèi)容安全的應用場景和配置方法掌握IPS的應用場景和配置方法掌握僵尸網(wǎng)絡防護的功能和配置方法本章重點內(nèi)容安全的應用場景和配置方法IPS的應用場景和配置方法僵尸網(wǎng)絡防護的功能和配置方法本章難點內(nèi)容安全的應用場景和配置方法IPS的應用場景和配置方法新一代防火墻技術及應用10.1NGAF安全防護功能介紹新一代防火墻技術及應用310.1NGAF安全防護功能介紹內(nèi)網(wǎng)用戶屬于企業(yè)需要保護的網(wǎng)絡用戶，內(nèi)網(wǎng)用戶上外網(wǎng)時可能會面臨的威脅有：1、未授權的訪問、非法用戶流量；2、內(nèi)網(wǎng)存在DDOS攻擊、ARP欺騙等；3、不必要的訪問（上班時間使用P2P、視頻語音）；4、不合法的訪問（訪問色情、賭博等網(wǎng)站）；5、不可靠的訪問（不明來歷的腳本、插件）；6、不安全的訪問（網(wǎng)頁、郵件攜帶病毒）；7、利用客戶端電腦的漏洞、后門等發(fā)起攻擊；8、感染了僵尸程序的終端被控制端利用。新一代防火墻技術及應用410.1NGAF安全防護功能介紹NGAF對內(nèi)網(wǎng)用戶上網(wǎng)的安全防護主要包括：1、用戶認證：針對未授權的訪問，非法用戶流量；2、防火墻：針對內(nèi)網(wǎng)存在DDOS攻擊、ARP欺騙等；3、應用識別、控制：針對不必要的訪問（上班時間使用P2P、視頻語音）；4、URL過濾：針對不合法的訪問（訪問色情、賭博等網(wǎng)站）；5、網(wǎng)關殺毒：針對不安全的訪問（網(wǎng)頁、郵件攜帶病毒）；6、IPS：針對利用客戶端電腦的漏洞、后門等發(fā)起攻擊；7、僵尸網(wǎng)絡防護：針對感染了僵尸程序的終端被控制端利用。下面我們將從內(nèi)容安全防護、IPS防護以及僵尸網(wǎng)絡防護三個方面來講解安全防護功能。新一代防火墻技術及應用510.2內(nèi)容安全防護新一代防火墻技術及應用610.2內(nèi)容安全防護網(wǎng)絡不安全的因素往往來自內(nèi)網(wǎng)用戶無限制的訪問某些不安全的內(nèi)容，深信服防火墻NGAF設備通過『應用控制策略』、『病毒防御策略』、『威脅隔離』和『WEB過濾』保護來自Internert流量的內(nèi)容安全。新一代防火墻技術及應用710.2內(nèi)容安全防護AF的內(nèi)容安全包括應用控制策略、病毒防御策略、威脅隔離和WEB過濾。（1）應用控制策略應用控制策略可做到對應用/服務的訪問做雙向控制，存在一條默認拒絕所有服務/應用的控制策略。應用控制策略可分為基于服務的控制策略和基于應用的控制策略?；诜盏目刂撇呗裕和ㄟ^匹配數(shù)據(jù)包的五元組（源地址、目的地址、協(xié)議號、源端口、目的端口）來進行過濾動作，對于任何包可以立即進行攔截動作判斷?；趹玫目刂撇呗裕和ㄟ^匹配數(shù)據(jù)包特征來進行過濾動作，需要一定數(shù)量的包通行后才能判斷應用類型，然后進行攔截動作的判斷。（2）病毒防御策略病毒防御策略主要用于對經(jīng)過設備的數(shù)據(jù)進行病毒查殺，保護特定區(qū)域的數(shù)據(jù)安全。設備能針對HTTP，F(xiàn)TP，POP3和SMTP這四種常用協(xié)議進行病毒查殺。（3）威脅隔離威脅隔離主要是指用戶發(fā)現(xiàn)和隔離內(nèi)網(wǎng)感染了病毒、木馬等惡意軟件的PC，其病毒、木馬試圖與外部網(wǎng)絡通信時，AF識別出該流量，并根據(jù)用戶策略進行阻斷和記錄日志。（4）WEB過濾WEB過濾是指針對符合設定條件的訪問網(wǎng)頁數(shù)據(jù)進行過濾。主要包括URL過濾、文件過濾。新一代防火墻技術及應用810.2.1應用控制策略根據(jù)數(shù)據(jù)包的應用層特征來過濾上網(wǎng)數(shù)據(jù)，也可以根據(jù)數(shù)據(jù)包的端口來進行過濾。例如可以實現(xiàn)上班時間禁止內(nèi)網(wǎng)用戶玩游戲。該模塊的設置需要調(diào)用『對象設置』里面的服務、IP組、時間計劃、應用特征識別庫等對象。點擊『內(nèi)容安全』→『應用控制策略』進入應用控制策略設置界面，在此界面可以對應用控制策略進行新增、刪除、啟用、禁用以及搜索。設備默認存在一條拒絕所有服務/應用的控制策略。設置頁面如圖所示：新一代防火墻技術及應用910.2.1應用控制策略點擊新增，進入【新增應用控制策略】頁面，設置如圖所示：防火墻技術與應用10勾選[啟用]則啟用該應用控制策略。[名稱]：定義規(guī)則名稱。[描述]：定義規(guī)則描述。[源區(qū)域]：一般情況要控制內(nèi)網(wǎng)用戶上網(wǎng)的數(shù)據(jù)，則源區(qū)域選擇內(nèi)網(wǎng)區(qū)。[IP組/用戶]是選擇需要控制的源IP地址或者用戶。[用戶/組]是從『認證系統(tǒng)』--『用戶管理』--『組/用戶』的組織結(jié)構中調(diào)用的用戶信息。[目的區(qū)域]：選擇需要控制的數(shù)據(jù)的目的區(qū)域。如果要針對內(nèi)網(wǎng)用戶上外網(wǎng)數(shù)據(jù)進行控制，則此處應該選擇外網(wǎng)區(qū)域。[IP組]：選擇需要控制的數(shù)據(jù)的目的IP組。如果要針對內(nèi)網(wǎng)用戶上外網(wǎng)數(shù)據(jù)進行控制，則此處目標IP可以選擇所有。[服務/應用]：選擇需要做控制的應用或者服務。[應用]是調(diào)用『對象定義』--『應用識別特征庫』里的應用特征。服務是調(diào)用『對象定義』--『服務』中定義的服務。[生效時間]：過濾條件，在指定的時間內(nèi)過濾規(guī)則才生效。該處是調(diào)用『對象定義』--『時間計劃』中定義好的時間對象。[動作]：設置滿足上述定義的條件的數(shù)據(jù)包是放行還是丟棄。[日志]：勾選“記錄”，則把控制行為記錄到內(nèi)置數(shù)據(jù)中心里面。10.2.2病毒防御策略『病毒防御策略』主要用于對經(jīng)過設備的數(shù)據(jù)進行病毒查殺，保護特定區(qū)域的數(shù)據(jù)安全。設備能針對HTTP，F(xiàn)TP，POP3和SMTP這四種常用協(xié)議進行查殺病毒。設備中內(nèi)置了世界著名殺毒廠商SOPHOS的殺毒引擎，具有病毒識別率高和查殺效率高的特點。設備的病毒庫跟SOPHOS的病毒庫保持同步的更新，一般更新周期為1-2天。點擊『內(nèi)容安全』--『病毒防御策略』進入病毒防御策略設置頁面，設備只允許定義一條病毒防御策略，一般用于保護內(nèi)網(wǎng)用戶不被病毒入侵，設置方法如下：第一步：勾選[啟用]，啟用病毒防御策略：新一代防火墻技術及應用1110.2.2病毒防御策略第二步：設置保護的源對象，如保護內(nèi)網(wǎng)區(qū)域的所有用戶不感染病毒，頁面如圖所示：新一代防火墻技術及應用1210.2.2病毒防御策略第三步：設置源區(qū)域用戶訪問哪些目標區(qū)域地址時才進行病毒防御，如訪問外網(wǎng)區(qū)域的所有IP地址都進行病毒防御，頁面如圖所示：新一代防火墻技術及應用1310.2.2病毒防御策略第四步：設置需要進行病毒防御的應用類型，可以設置HTTP殺毒、FTP殺毒、郵件殺毒（POP3收郵件/SMTP發(fā)郵件），此處設置對所有類型都進行病毒查殺，頁面如圖所示：新一代防火墻技術及應用1410.2.2病毒防御策略第五步，設置其他補充選項：如圖所示：新一代防火墻技術及應用15

[文件類型殺毒]：用于定義需要殺毒的文件擴展名，僅對此列表中的文件類型進行殺毒。此文件類型殺毒僅適用于HTTP和FTP應用。[啟用排除URL/IP]：可設置訪問某些特殊網(wǎng)站的數(shù)據(jù)不需要殺毒，排除URL/IP僅適用于HTTP殺毒?？奢斎胗蛎?，支持通配符，一行一個域名或者IP地址。一般應將殺毒廠商域名排除，以供內(nèi)網(wǎng)電腦的殺毒軟件客戶端正常更新病毒庫。[檢測攻擊后的操作]：用于設置檢測到有病毒時，設備采取的動作?？梢允荹記錄日志]和[阻斷]。最后點提交即完成配置。注意：只有填寫到文件類型殺毒中的文件類型才會進行殺毒。10.2.3威脅隔離點擊『內(nèi)容安全』--『威脅隔離』進入威脅隔離策略設置界面，在此界面可以對威脅隔離策略進行新增、刪除、啟用、禁用。設置頁面如圖所示：注意：在『安全防護對象』『僵尸網(wǎng)絡規(guī)則庫』中設置禁用的規(guī)則，當有匹配規(guī)則的流量經(jīng)過設備時，在此處設置【檢測攻擊后操作】即使設置了拒絕，該數(shù)據(jù)包也不會被拒絕。新一代防火墻技術及應用1610.2.3威脅隔離『排除域名/IP』：對于內(nèi)外網(wǎng)的IP和域名進行威脅隔離的排除，排除列表中的域名和IP，即使存在僵尸網(wǎng)絡惡意流量，也不進行攔截，界面如圖所示：新一代防火墻技術及應用1710.2.4WEB過濾『WEB過濾』是指針對符合設定條件的訪問網(wǎng)頁數(shù)據(jù)進行過濾。主要包括[URL過濾]、[文件過濾]。頁面如圖所示：新一代防火墻技術及應用1810.2.4WEB過濾[URL過濾]主要是用于過濾符合設定條件的網(wǎng)頁URL地址。進入[URL過濾]界面，點擊新增，界面如圖所示：新一代防火墻技術及應用19[名稱]：定義規(guī)則名稱。[描述]：定義規(guī)則描述。[源區(qū)域、IP組/用戶]：如指定源區(qū)域為內(nèi)網(wǎng)區(qū)，用戶為所有用戶。則從內(nèi)網(wǎng)區(qū)進入設備的所有數(shù)據(jù)會往下匹配是否符合指定URL，外網(wǎng)區(qū)進入的數(shù)據(jù)不會匹配該規(guī)則。[URL分類]：用于選擇需要過濾的URL庫，該處是調(diào)用『對象定義』--『URL分類庫』中內(nèi)置的和自定義的對象。[類型]：用于設置針對指定的URL分類進行HTTP（get）、HTTP（post）、HTTPS過濾。例如需要過濾內(nèi)網(wǎng)用戶不能瀏覽某種類型網(wǎng)頁就勾選HTTP(get)；需要設置內(nèi)網(wǎng)用戶只能瀏覽網(wǎng)頁但不能上傳文件到網(wǎng)站上（如BBS發(fā)帖），則勾選HTTP（post）；如需要對HTTPS類型的網(wǎng)站不允許訪問網(wǎng)站或者僅允許瀏覽網(wǎng)頁不允許上傳，則可同時勾選HTTPS和HTTP(get)或者同時勾選HTTPS和HTTP（POST）。[生效時間]：指定過濾規(guī)則的生效時間。[動作]：設置滿足上述定義的條件的數(shù)據(jù)包是放行還是丟棄。[日志]：勾選“記錄”，則把用戶訪問的URL行為日志記錄到內(nèi)置數(shù)據(jù)中心里面。10.2.4WEB過濾文件類型過濾用于過濾通過HTTP上傳或者下載某些格式的文件，例如實現(xiàn)上班時間禁止內(nèi)網(wǎng)用戶下載電影格式的文件。頁面如圖所示：新一代防火墻技術及應用20[名稱]：定義規(guī)則名稱。[描述]：定義規(guī)則描述。[源區(qū)域、IP組/用戶]：如指定源區(qū)域為內(nèi)網(wǎng)區(qū)，選擇所有IP，則從內(nèi)網(wǎng)區(qū)進入設備的所有數(shù)據(jù)包會往下匹配是否符合指定文件類型。外網(wǎng)區(qū)進入的數(shù)據(jù)則不會匹配該規(guī)則。[文件類型組]：用于過濾指定類型的文件。[行為]：該規(guī)則用于HTTP的上傳或者下載。[生效時間]：選擇規(guī)則的生效時間?？梢允茄h(huán)時間計劃，也可以是單此時間計劃。[動作]：設置滿足上述定義的條件的數(shù)據(jù)包是放行還是丟棄。[日志]：勾選“記錄”，則把文件過濾的行為日志記錄到內(nèi)置數(shù)據(jù)中心里面。10.3IPS新一代防火墻技術及應用2110.3.1IPS基本概念IPS（Intrusion

Prevention

System，入侵防御系統(tǒng)）依靠對數(shù)據(jù)包的檢測來發(fā)現(xiàn)對內(nèi)網(wǎng)系統(tǒng)的潛在威脅。不管是操作系統(tǒng)本身，還是運行之上的應用軟件程序，都可能存在一些安全漏洞，攻擊者可以利用這些漏洞發(fā)起帶攻擊性的數(shù)據(jù)包。AF內(nèi)置了針對這些漏洞的防護規(guī)則，并且通過對進入網(wǎng)絡的數(shù)據(jù)包與內(nèi)置的漏洞規(guī)則列表進行比較，確定這種數(shù)據(jù)包的真正用途，然后根據(jù)用戶配置決定是否允許這種數(shù)據(jù)包進入目標區(qū)域網(wǎng)絡，以達到保護目標區(qū)域網(wǎng)絡主機不受漏洞攻擊的目的。新一代防火墻技術及應用2210.3.2IPS基本配置深信服防火墻NGAF設備內(nèi)置IPS規(guī)則，直接調(diào)用即可對服務器進行漏洞防護，配置界面如圖所示。[開啟智能IPS防護]能夠使IPS防護基于應用識別IPS漏洞，模式?jīng)]有開啟是基于端口識別IPS漏洞的。新一代防火墻技術及應用2310.3.2IPS基本配置點擊新增，則彈出【新增IPS】的編輯框，配置如圖所示：勾選[啟用]則啟用該IPS規(guī)則。[名稱]：定義該IPS規(guī)則的名稱。[描述]：定義對該IPS規(guī)則的描述。源[區(qū)域]：從該區(qū)域進入的數(shù)據(jù)，才匹配該規(guī)則，即防御的數(shù)據(jù)來源。如選擇公網(wǎng)區(qū)域，則可以檢測公網(wǎng)用戶針對服務器的漏洞攻擊。目的[區(qū)域]、目的[IP組]：選擇訪問的目的區(qū)域和目標地址，只有是屬于該區(qū)域的IP組里面的IP才匹配該規(guī)則。此處一般選擇防御的保護對象。新一代防火墻技術及應用2410.3.2IPS基本配置[IPS選項]：設置保護的內(nèi)容，勾選[保護服務器]，同時點擊[已選：worm、network_device、database…]彈出【選擇服務器漏洞】編輯框，根據(jù)服務器發(fā)布的服務類型，勾選相應的[漏洞名稱]，則設備會對這一種服務類型的相關漏洞進行入侵防護，如圖所示：防火墻技術與應用2510.3.2IPS基本配置勾選[保護客戶端]，同時點擊[已選：worm、file、backdoor，trojan…]彈出【選擇客戶端漏洞】編輯框，勾選相應的[漏洞名稱]，則設備會對這種類型的客戶端相關漏洞進行入侵防護，如圖所示：新一代防火墻技術及應用26[檢測攻擊后操作]：用于定義發(fā)現(xiàn)保護的目標對象出現(xiàn)IPS攻擊后，該數(shù)據(jù)包是放行還是拒絕以及該行為是否記錄到內(nèi)置數(shù)據(jù)中心。[動作]：勾選“允許”則放行該數(shù)據(jù)報；勾選“拒絕”則丟棄數(shù)據(jù)包。[封鎖IP]：勾選“聯(lián)動封鎖源IP后”則IPS規(guī)則、WAF規(guī)則或者是數(shù)據(jù)防泄密模塊，這三者的任何一個模塊檢測到攻擊后，即會封鎖攻擊的源IP地址。10.3.2IPS基本配置[日志]：勾選“記錄”，則會記錄IPS攻擊包的攻擊行為到內(nèi)置數(shù)據(jù)中心里面，如圖所示：新一代防火墻技術及應用2710.3.3IPS與防火墻規(guī)則聯(lián)動特性概述：IPS/WAF阻斷一個高危入侵后，即通知防火墻模塊阻止此源IP通訊一段時間，使入侵源IP無法繼續(xù)攻擊，有效降低入侵強度，保護服務器安全。配置IPS/WAF/僵尸網(wǎng)絡與臨時防火墻規(guī)則聯(lián)動，如圖所示：新一代防火墻技術及應用2810.3.3IPS與防火墻規(guī)則聯(lián)動查看臨時防火墻規(guī)則，如圖所示：臨時防火墻規(guī)則聯(lián)動注意事項：1、IPS/WAF/僵尸網(wǎng)絡模塊可以配置聯(lián)動封鎖；2、IPS/WAF/僵尸網(wǎng)絡中僅“阻斷”事件會觸發(fā)聯(lián)動封鎖；3、聯(lián)動封鎖針對的是該源IP通過防火墻的任何通信；4、被聯(lián)動封鎖的主機可訪問AF控制臺，無法訪問數(shù)據(jù)中心；5、臨時防火墻容量為1000條；6、被聯(lián)動封鎖的拒絕記錄在應用中查詢。新一代防火墻技術及應用2910.3.3IPS與防火墻規(guī)則聯(lián)動IPS規(guī)則默認有致命、高、中、低、信息五個級別，可能存在外網(wǎng)與內(nèi)網(wǎng)之間的正常通訊被當成一種入侵通訊被設備給拒絕了或者是外網(wǎng)對內(nèi)網(wǎng)的入侵被當成一種正常通訊給放通了，造成一定的誤判，此時又該如何修改IPS防護規(guī)則？（1）配置IPS規(guī)則時，對于IPS日志勾選上“記錄”；（2）根據(jù)數(shù)據(jù)中心的日志，查詢到誤判規(guī)則的漏洞ID；（3）對象設置---漏洞特征識別庫中，修改相應漏洞ID的動作，如改成放行或禁用。操作如圖所示：新一代防火墻技術及應用3010.3.3IPS與防火墻規(guī)則聯(lián)動注意事項：1、NGAF的應用控制策略默認是全部拒絕的，需要手動新建規(guī)則進行放通。2、WEB過濾中的文件類型過濾不支持針對FTP上傳、下載的文件類型進行過濾。3、配置IPS保護客戶端和服務器時，源區(qū)域為數(shù)據(jù)連接發(fā)起的區(qū)域。4、IPS保護客戶端與保護服務器中的客戶端漏洞和服務器漏洞規(guī)則是不同的，因為攻擊者針對服務器和客戶端會使用不同的攻擊手段。新一代防火墻技術及應用3110.4僵尸網(wǎng)絡攻擊防護新一代防火墻技術及應用3210.4僵尸網(wǎng)絡攻擊防護僵尸網(wǎng)絡的定義：僵尸網(wǎng)絡（Botnet，亦譯為喪尸網(wǎng)絡、機器人網(wǎng)絡）是指駭客利用自己編寫的分布式拒絕服務攻擊程序?qū)?shù)萬個淪陷的機器，即黑客常說的僵尸電腦或肉雞，組織成一個個控制節(jié)點，用來發(fā)送偽造包或者是垃圾數(shù)據(jù)包，使預定攻擊目標癱瘓并“拒絕服務”。通常蠕蟲病毒也可以被利用組成僵尸網(wǎng)絡。新一代防火墻技術及應用3310.4僵尸網(wǎng)絡攻擊防護僵尸網(wǎng)絡與其他惡意軟件的不同如圖所示：新一代防火墻技術及應用3410.4僵尸網(wǎng)絡攻擊防護僵尸網(wǎng)絡的需求來源：傳統(tǒng)防毒墻和殺毒軟件查殺病毒木馬的效果有限，在APT（高級持續(xù)性威脅）場景下，傳統(tǒng)防毒墻和殺毒軟件更是形同虛設，因此需要一種事后檢測機制，用于發(fā)現(xiàn)和定位客戶端受感染的機器，以降低客戶端安全風險。同時，記錄的日志要求有較高的可追溯性。AF僵尸網(wǎng)絡功能基本實現(xiàn)：感染了病毒、木馬的機器，其病毒、木馬試圖與外部網(wǎng)絡通信時，AF識別出該流量，并根據(jù)用戶策略進行阻斷和記錄日志。此功能是通過獲取HTTP請求里的URL和referer，并與黑名單（僵尸網(wǎng)絡識別庫）進行比對進行識別的。新一代防火墻技術及應用3510.4僵尸網(wǎng)絡攻擊防護AF僵尸網(wǎng)絡防護功能由4部分組成：木馬遠控、惡意鏈接、移動安全和異常流量，配置如圖所示：新一代防火墻技術及應用3610.4僵尸網(wǎng)絡攻擊防護木馬遠控：會對防護區(qū)域發(fā)出的或是請求防護區(qū)域的數(shù)據(jù)都進行木馬遠控安全檢測，檢測判斷依靠的規(guī)則庫為如圖所示.防火墻技術與應用3710.4僵尸網(wǎng)絡攻擊防護惡意鏈接：針對的是可能導致威脅的URL，如網(wǎng)頁掛馬、病毒下載鏈接。惡意鏈接匹配流程：1、匹配白名單（匹配上直接放行）；2、匹配黑名單（內(nèi)置庫），匹配上根據(jù)策略配置執(zhí)行動作；3、黑白名單都匹配不上則上報云端分析，如檢測出惡意行為，由云端下發(fā)給AF按照策略執(zhí)行動作；4、云端擴充黑名單到新版本惡意鏈接庫。白名單為alexa排行前列的網(wǎng)站域名，如163.com。查看惡意鏈接如圖所示：防火墻技術與應用3810.4僵尸網(wǎng)絡攻擊防護移動安全功能具體包含apk包殺毒功能和移動僵尸網(wǎng)絡檢測兩個子功能，分別生成移動病毒和移動僵尸網(wǎng)絡兩種類型日志。移動病毒功能除常規(guī)的日志詳情外，額外包含行為分析報告，由設備將病毒上報云端，云端生成報告后下發(fā)給AF設備。若AF設備無法上網(wǎng)，則不會生成移動病毒行為分析報告。查看移動安全數(shù)據(jù)如圖所示.新一代防火墻技術及應用3910.4僵尸網(wǎng)絡攻擊防護異常流量識別為雙向識別，動作限制為不攔截。異常流量僅能識別SSH與RDP反彈連接，其他協(xié)議無法識別反彈連接。僵尸網(wǎng)絡異常流量排除IP列表內(nèi)的IP依然會識別SSH與RDP的反彈連接。查看異常流量如圖所示：新一代防火墻技術及應用4010.4僵尸網(wǎng)絡攻擊防護外發(fā)流量異常功能是一種啟發(fā)式的dos攻擊檢測手段，能夠檢測源IP不變的synflood、icmpflood、dnsflood與udpflood攻擊，不支持syn+ackflood與ackflood。外發(fā)流量異常功能的原理為當特定協(xié)議的外發(fā)包pps超過配置的閾值時，通過檢測包是否為單向流量、是否有正常響應內(nèi)容等方法，在5分鐘左右的抓包樣本上得出分析結(jié)論，并將發(fā)現(xiàn)的攻擊提交日志顯示。外發(fā)流量異常功