《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 09-終端安全風險終端上網(wǎng)安全應(yīng)用控制技術(shù)；10-服務(wù)器安全風險與DOS攻擊檢測和防御技術(shù)

終端安全風險&終端上網(wǎng)安全應(yīng)用控制技術(shù)

了解終端安全風險了解終端上網(wǎng)安全應(yīng)用控制技術(shù)教學目標終端安全風險目錄終端安全風險終端安全風險對于一個企業(yè)來說，90%以上的員工需要每天使用PC終端辦公，而終端是和互聯(lián)網(wǎng)“數(shù)據(jù)交換”的重要節(jié)點，且員工的水平參差不齊，因此企業(yè)網(wǎng)絡(luò)中80%的安全事件來自于終端。終端已經(jīng)成為黑客的戰(zhàn)略攻擊點。黑客攻擊的目的是獲取有價值的“數(shù)據(jù)”。他們控制終端以后，可以直接種植勒索病毒勒索客戶，更嚴重的是，黑客的目標往往是那些存儲著重要“數(shù)據(jù)”的服務(wù)器。受控的終端將成為黑客的跳板，黑客將通過失陷主機橫向掃描內(nèi)部網(wǎng)絡(luò)，發(fā)現(xiàn)組織網(wǎng)絡(luò)內(nèi)部重要的服務(wù)器，然后對這些重要服務(wù)器發(fā)起內(nèi)部攻擊?；ヂ?lián)網(wǎng)出口實現(xiàn)了組織內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邏輯隔離。對于內(nèi)部網(wǎng)絡(luò)接入用戶來說，僵尸網(wǎng)絡(luò)是最為嚴重的安全問題，黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端，形成僵尸網(wǎng)絡(luò)，進一步實現(xiàn)終端存儲的信息被竊取、終端被引導(dǎo)訪問釣魚網(wǎng)站、終端被利用作為攻擊跳板危害其他的各類資源等問題。終端安全風險終端安全風險終端安全風險終端安全風險黑客可以利用僵尸網(wǎng)絡(luò)展開更多的危害行為，如APT攻擊最常采用的跳板就是僵尸網(wǎng)絡(luò)。黑客利用僵尸網(wǎng)絡(luò)來實現(xiàn)滲透、監(jiān)視、竊取敏感數(shù)據(jù)等目的，危害非常大。僵尸網(wǎng)絡(luò)的主要危害有：看不見的風險高級持續(xù)威脅本地滲透擴散敏感信息竊取脆弱信息收集終端安全風險總結(jié)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)目錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略功能概述在客戶網(wǎng)絡(luò)環(huán)境中，如果沒有對網(wǎng)絡(luò)流量進行訪問控制，容易造成非相關(guān)人員訪問敏感數(shù)據(jù)或者登陸不相關(guān)的設(shè)備等。因此，需要防火墻來做邏輯上的隔離，允許其通過或丟棄數(shù)據(jù)包，過濾條件有源區(qū)域、目的區(qū)域、源地址、目的地址、目的服務(wù)和應(yīng)用。從而減少內(nèi)網(wǎng)外網(wǎng)環(huán)境帶來的威脅，更高效的管控網(wǎng)絡(luò)中的流量走向。財務(wù)服務(wù)器PCtrustDMZuntrustPC拒絕訪問財務(wù)服務(wù)器和P2P應(yīng)用終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略工作過程根據(jù)自定義的應(yīng)用控制策略，當數(shù)據(jù)包到達AF轉(zhuǎn)發(fā)時，從上往下依次匹配自定義的應(yīng)用控制策略，直到匹配上應(yīng)用控制策略為止，并根據(jù)應(yīng)用控制策略的動作對數(shù)據(jù)包進行允許或拒絕，同時創(chuàng)建一條會話。Web站點（:80）源地址目的地址目的端口80源區(qū)域untrust目的區(qū)域DMZ源地址目的地址服務(wù)80應(yīng)用any動作允許源地址目的地址目的端口80PC（）DMZuntrust策略：終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類基于服務(wù)的控制策略通過匹配數(shù)據(jù)包的五元組（源地址、目的地址、協(xié)議號、源端口、目的端口）來進行過濾動作，對任何數(shù)據(jù)包都可以立即進行攔截動作判斷?；趹?yīng)用的控制策略通過匹配數(shù)據(jù)包特征來進行過濾動作，需要一定數(shù)量的包通行后才能判斷應(yīng)用類型，然后進行攔截動作的判斷。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類配置應(yīng)用控制策略的時候，需要同時選擇服務(wù)和應(yīng)用兩種類型，兩種類型之間為“與”關(guān)系，必須要兩者的條件都匹配，策略才會生效。例如：客戶需要拒絕部分用戶打開網(wǎng)頁，如果應(yīng)用控制配置的服務(wù)選擇TCP、應(yīng)用選擇DNS，就會導(dǎo)致策略不生效，原因是平常解析域名的DNS協(xié)議是基于UDP協(xié)議，應(yīng)用控制識別流量發(fā)現(xiàn)是UDP而非TCP，與策略的匹配條件不一致，策略就不會去攔截對應(yīng)的流量。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景客戶一臺內(nèi)網(wǎng)PC機(0)允許訪問公司財務(wù)服務(wù)器(0),該站點開放了80端口訪問界面。同時，該PC允許訪問互聯(lián)網(wǎng)，但是禁止訪問P2P相關(guān)應(yīng)用，且只能8點至17點之間訪問互聯(lián)網(wǎng)。財務(wù)服務(wù)器PC終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟創(chuàng)建應(yīng)用控制策略，允許PC訪問公司財務(wù)服務(wù)器創(chuàng)建應(yīng)用控制策略，禁止PC訪問P2P應(yīng)用創(chuàng)建應(yīng)用策略，允許PC在特定時間內(nèi)訪問互聯(lián)網(wǎng)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1允許PC訪問公司財務(wù)服務(wù)器，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2禁止PC訪問P2P應(yīng)用，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3允許PC訪問公司財務(wù)服務(wù)器，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略--長連接在一些特殊的環(huán)境下，實現(xiàn)服務(wù)器在一段時間中沒有收到客戶端的數(shù)據(jù)（應(yīng)用層數(shù)據(jù)），也不會斷開連接，這就需要AF配置長連接，防止會話超時刪除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服務(wù)any應(yīng)用any長連接3day策略：會話超時時間13day終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景某銀行數(shù)據(jù)庫服務(wù)器，提供下屬各個分支機構(gòu)的服務(wù)器對接，由于該數(shù)據(jù)庫服務(wù)器沒有重連機制，需要重啟等方式才能重新建立新連接。因此，為防止通信過程中AF會話超時，導(dǎo)致服務(wù)器重新連接造成會話異常，造成業(yè)務(wù)中斷，則需要保持連接。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)長連接配置操作界面為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊進入對應(yīng)策略，選擇高級選項設(shè)置。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略輔助功能應(yīng)用控制策略輔助功能主要用來協(xié)助我們分析、記錄和管理現(xiàn)有的策略。常用的輔助功能主要有以下幾個：標簽管理：對同一類策略打上相同標簽，可對標簽進行新增、編輯、刪除等操作策略變更原因記錄：在新增或修改策略時顯示變更原因輸入框，方便記錄變更原因模擬策略匹配：輸入五元組等信息，模擬策略匹配方式，給出最可能的匹配結(jié)果。可用于排查故障，或環(huán)境部署前的調(diào)試失效策略檢查：檢測因沖突、生效時間已過期、已超過一段時間未有匹配的等情況失效的策略實時沖突策略檢測：在新增、修改和移動策略時，實時對策略的沖突進行檢測并提醒。該功能啟用后，可能在策略數(shù)量過多時造成頁面加載延遲策略優(yōu)化：根據(jù)設(shè)置分析策略的等級，對所有的應(yīng)用控制策略進行分析，給出目前策略配置不合理的相關(guān)提示，方便進行快速優(yōu)化策略終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景某客戶網(wǎng)絡(luò)中，互聯(lián)網(wǎng)區(qū)域AF應(yīng)用控制策略經(jīng)過長年的累積，策略數(shù)量較多，造成運維難度加大，且主要存在以下問題：存在較多失效策略同一類型策略存在多個，未對其進行打標簽標識無法判斷流量匹配那條應(yīng)用控制策略策略修改無記錄存在較多沖突策略，無法進行排查終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置案例某客戶核心網(wǎng)絡(luò)AF，存在過多的重復(fù)策略，且開放的端口較大，沒有進行策略最小化原則配置，同時存在同一類型的訪問策略未進行分類，難以辨別。策略增刪改沒有記錄，無法追溯到最具人員。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟：啟用失效策略檢查；對同一類型的策略可以進行打標簽處理；進行策略優(yōu)化，查找不合規(guī)則策略；策略的操作進行記錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1啟用失效策略檢查，當檢測到失效時狀態(tài)變?yōu)榧t色感嘆號。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】，點擊更多操作，選擇輔助工具，啟用失效策略檢查。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2對同一類型策略進行管理。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】，點擊更多操作，選擇輔助工具，選擇進行標簽管理。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3策略優(yōu)化，尋找設(shè)置不合理的策略。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略優(yōu)化】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情4應(yīng)用控制策略在指定查詢范圍內(nèi)的操作，進行變更的記錄和展示，方便對日常的維護工作有相應(yīng)的記錄和溯源。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略生命周期管理】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)注意事項開啟應(yīng)用控制策略的日志記錄功能，需要先在日志設(shè)置開啟應(yīng)用控制日志功能。默認禁止策略無法刪除普通策略無法移到默認策略之后終端上網(wǎng)安全應(yīng)用控制技術(shù)總結(jié)服務(wù)器安全風險

與DOS攻擊檢測和防御技術(shù)了解服務(wù)器安全風險了解DOS攻擊檢測和防御技術(shù)教學目標服務(wù)器安全風險DOS攻擊檢測和防御技術(shù)目錄服務(wù)器安全風險服務(wù)器安全風險不必要的訪問（如只提供HTTP服務(wù)）外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊（針對服務(wù)器操作系統(tǒng)等)根據(jù)軟件版本的已知漏洞進行攻擊,口令暴力破解，獲取用戶權(quán)限；SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改應(yīng)用識別、控制防火墻漏洞攻擊防護服務(wù)器保護風險分析網(wǎng)站篡改防護服務(wù)器安全風險DOS攻擊檢測和防御技術(shù)目錄DOS攻擊檢測和防御技術(shù)DoS攻擊背景2016年10月21日，美國提供動態(tài)DNS服務(wù)的DynDNS報告遭到DDoS攻擊，攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題，其中包括BBC、華爾街日報、CNN、紐約時報等一大批新聞網(wǎng)站集體宕機，Twitter甚至出現(xiàn)了近24小時0訪問的局面！此次事件中，黑客就是運用了DNS洪水攻擊手段。DOS攻擊檢測和防御技術(shù)DoS/DDoS攻擊介紹DoS攻擊——Denial

of

Service,

是一種拒絕服務(wù)攻擊，常用來使服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手段。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊——Distributed

Denial

of

Service,

分布式拒絕服務(wù)攻擊。一般攻擊發(fā)起方式為利用網(wǎng)絡(luò)上已被攻陷的電腦作為“僵尸”，向某一特定的目標設(shè)備發(fā)動密集式的“拒絕服務(wù)”要求，用以把目標設(shè)備的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，使之無法向真正正常請求的用戶提供服務(wù)。僵尸主機僵尸主機攻擊機服務(wù)器DOS攻擊DOS攻擊檢測和防御技術(shù)DoS/DDoS攻擊目的消耗帶寬消耗服務(wù)器性能引發(fā)服務(wù)器宕機DOS攻擊檢測和防御技術(shù)DOS攻擊類型DOS類型攻擊特征及影響ICMP、UDP、DNS洪水攻擊攻擊者通過發(fā)送大量所屬協(xié)議的數(shù)據(jù)包到達占據(jù)服務(wù)端帶寬，堵塞線路從而造成服務(wù)端無法正常提供服務(wù)。SYN洪水攻擊攻擊者利用TCP協(xié)議三次握手的特性，攻擊方大量發(fā)起的請求包最終將占用服務(wù)端的資源，使其服務(wù)器資源耗盡或為TCP請求分配的資源耗盡，從而使服務(wù)端無法正常提供服務(wù)?；螖?shù)據(jù)包攻擊攻擊者發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至宕機，如PingofDeath、TearDrop。CC攻擊攻擊者控制某些主機不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機崩潰。CC主要是用來攻擊頁面的。慢速攻擊慢速攻擊是CC攻擊的一個變種，對任何一個開放了HTTP訪問的服務(wù)器HTTP服務(wù)器，先建立了一個連接，指定一個比較大的content-length，然后以非常低的速度發(fā)包，比如1-10s發(fā)一個字節(jié)，然后維持住這個連接不斷開。如果客戶端持續(xù)建立這樣的連接，那么服務(wù)器上可用的連接將一點一點被占滿，從而導(dǎo)致拒絕服務(wù)。DOS攻擊檢測和防御技術(shù)SYNFlood攻擊過程SYNFlood攻擊圖示空閑資源+已占用資源內(nèi)存/CPU服務(wù)端正?？蛻舳藬?shù)據(jù)包交互……正常情況下服務(wù)器資源未耗盡，服務(wù)正常資源耗盡！++……+已占用資源內(nèi)存/CPU服務(wù)端正?？蛻舳藷o數(shù)據(jù)包交互……在隨機源地址源端口SYNFlooding攻擊下，服務(wù)端在SYN_RECEIVED超時前資源耗盡XSYNFlood!SYNACKSYN+ACKDOS攻擊檢測和防御技術(shù)SYNFlood防護原理通過Syn代理防御Syn洪水攻擊服務(wù)端正?？蛻舳藬?shù)據(jù)包交換，發(fā)送序號通過防火墻轉(zhuǎn)換服務(wù)端正?？蛻舳朔?wù)器沒有收到任何SYN攻擊包XSYNFlood!SYNACKSYN+ACK(Cookie)AFAFACKSYN+ACKSYNSYN+ACK(Cookie)DOS攻擊檢測和防御技術(shù)UDP防護原理通過丟棄超過閾值的包防御UDP、ICMP、DNS洪水攻擊服務(wù)端客戶端UDP包占滿帶寬，導(dǎo)致服務(wù)器無法提供服務(wù)UDPUDPUDP服務(wù)端客戶端UDP包超過閾值，將丟棄后續(xù)的包UDPAFUDPUDP超過閾值DROPUDPUDP內(nèi)存/CPU空閑資源+已占用資源DOS攻擊檢測和防御技術(shù)畸形數(shù)據(jù)包防護原理服務(wù)端客戶端畸形數(shù)據(jù)包，導(dǎo)致服務(wù)器無法正常處理占用資源等畸形數(shù)據(jù)包畸形數(shù)據(jù)包畸形數(shù)據(jù)包服務(wù)端客戶端檢測到畸形數(shù)據(jù)包后，將直接丟棄畸形數(shù)據(jù)包直接DROPAF內(nèi)存/CPU空閑資源+已占用資源DOS攻擊檢測和防御技術(shù)應(yīng)用場景外網(wǎng)對內(nèi)部業(yè)務(wù)系統(tǒng)的攻擊防護企業(yè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)出口容易遭受到外網(wǎng)過來的DOS攻擊，導(dǎo)致出口帶寬占滿、消耗服務(wù)器的資源，從而導(dǎo)致業(yè)務(wù)異常。內(nèi)網(wǎng)終端向外網(wǎng)發(fā)起的攻擊防護企業(yè)網(wǎng)絡(luò)環(huán)境中，未進行安全加固的內(nèi)網(wǎng)終端容易變成肉雞，對外