08 防火墙入侵防御
08 防火墙入侵防御
入侵概述
网络安全事件举例
在目前出现的各种安全威胁当中,恶意程序(病毒与蠕虫、Bot、Rootkit、特洛依木马与后门程序、弱点攻击程序以及行动装置恶意程序等)类别占有很高的比例,灰色软件(间谍/广告软件)的影响也逐渐扩大,而与犯罪程序有关的安全威胁已经成为威胁网络安全的重要因素。
入侵概述
入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据,使信息系统不可靠或不能使用的行为。
入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。
常见入侵手段有:
利用系统及软件的漏洞
DDoS攻击
病毒及恶意软件安全威胁
典型的入侵行为有:
篡改Web网页;
破解系统密码;
复制/查看敏感数据;
使用网络嗅探工具获取用户密码;
访问未经允许的服务器;
其他特殊硬件获得原始网络包;
向主机植入特洛伊木马程序。
漏洞威胁
网络攻击者、企业内部恶意员工利用系统及软件的漏洞入侵服务器,严重威胁企业关键业务数据的安全。
漏洞给企业造成严重的安全威胁:
企业内网中许多应用软件可能存在漏洞;
互联网使应用软件的漏洞迅速传播;
蠕虫利用应用软件漏洞大肆传播,消耗网络带宽,破坏重要数据;
黑客、恶意员工利用漏洞攻击或入侵企业服务器,业务机密被纂改、破坏和偷窃。
DDoS攻击
DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户提供服务的效果。
恶意代码入侵威胁
恶意代码包含病毒、木马和间谍软件等。恶意代码可感染或附着在应用程序或文件中,一般通过邮件或文件共享等方式进行传播,威胁用户主机和网络的安全。恶意代码入侵威胁包括以下特点:
浏览网页和邮件传输是病毒、木马、间谍软件进入内网的主要途径;
病毒能够破坏计算机系统,纂改、损坏业务数据;
木马使攻击者不仅可以窃取计算机上的重要信息,还可以对内网计算机破坏;
间谍软件搜集、使用并散播企业员工的敏感信息,严重干扰企业的正常业务;
桌面型反病毒软件难以从全局上防止恶意代码泛滥。
当前的反病毒软件可防范恶意代码。
入侵防御
入侵防御概述
安全设备在安全体系中的位置
入侵检测(ID,Intrusion Detection)通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的过程,是一种积极的和动态的安全防御技术。入侵检测的内容涵盖了授权的和非授权的各种入侵行为。
入侵检测系统(IDS,Intrusion Detection System)能在发现有违反安全策略的行为或系统存在被攻击的痕迹时,立即启动有关安全机制进行应对。
在信息安全建设中,入侵检测系统扮演着监视器的角色,IDS就像安全监控体系中的摄像头,通过IDS,保安员能够捕获关键节点的流量并做智能的分析,从中发现异常、可疑的网络行为,并向监控室的管理员报告。
入侵防御概述
入侵防御是一种安全机制。通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。
入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。
通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从根本上避免攻击行为。
入侵防御实现机制
入侵防御的基本实现机制包括以下四块内容:
重组应用数据、
协议识别和协议解析
特征匹配
响应处理
签名
入侵防御签名用来描述网络中攻击行为的特征,防火墙通过将数据流和入侵防御签名进行比较来检测和防范攻击。
预定义签名
预定义签名是入侵防御特征库中包含的签名。
每个预定义签名都有缺省的动作,分别为:
放行:指对命中签名的报文放行,不记录日志;
告警:指对命中签名的报文放行,但记录日志;
阻断:指丢弃命中签名的报文,阻断该报文所在的数据流,并记录日志。
自定义签名
自定义签名是指管理员通过自定义规则创建的签名。
应对新的攻击管理员自己自定义签名
系统会自动检查自定义规则的哈发现
动作分为阻断和告警
建议只在非常了解攻击特征的情况下才配置自定义签名。因为自定义签名设置错误可能会导致配置无效,甚至导致报文误丢弃或业务中断等问题。
签名过滤器
签名过滤器是满足指定过滤条件的集合。
签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。一个过滤条件中如果配置多个值,多个值之间是“或”的关系,只要匹配任意一个值,就认为匹配了这个条件。
签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。
各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志;
告警:对命中签名的报文放行,但记录日志;
放行:对命中签名的报文放行,且不记录日志;
添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
入侵防御对数据流的处理
当数据流命中的攻击防御模板中包含入侵防御模板时,设备将数据流送到入侵防御模块,并依次匹配入侵防御模板引用的签名。
当数据流命中多个签名,对该数据流的处理方式如下:
如果这些签名的实际动作都为告警时,最终动作为告警;
如果这些签名中至少有一个签名的实际动作为阻断时,最终动作为阻断。
当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。
入侵防御配置举例
需求描述:
某企业在网络边界处部署了防火墙作为安全网关。在该组网中,内网用户可以访问Internet的Web服务器。
该企业需要在防火墙上配置入侵防御功能,用于防范内网用户访问Internet的Web服务器时受到攻击。例如,含有恶意代码的网站对内网用户发起攻击。
配置思路:
配置定时升级签名特征库,可以最大限度降低误报和漏报概率;
配置接口IP地址和安全区域,完成网络基本参数的配置;
创建入侵防御配置文件,配置签名过滤器;
配置安全策略,并将入侵防御配置文件应用到安全策略中。
入侵防御特征库的升级服务受入侵防御License控制项控制。License控制项未激活时,设备不会自动加载预置的特征库,也无法手动加载或者升级特征库。License控制项激活后,可以进行特征库加载和升级的相关操作。License控制项到期后,无法手动加载或者升级特征库,入侵防御功能可用,但特征库无法保证最新,入侵检测和防御能力有限。
创建入侵防御配置文件,选择“对象 > 安全配置文件 > 入侵防御 > 新建”。
在“入侵防御配置文件”中,单击“新建”后,按如下参数配置。该配置将被从Trust区域到Untrust区域的安全策略引用。配置后单击“确定”,完成入侵防御配置文件的配置。
查看入侵及防御行为
查看威胁日志,选择“日志 > 威胁日志”。
入侵日志重点关注信息如下:
配置文件:命中的入侵安全配置文件。
威胁名称:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
事件计数:日志归并引入字段,是否归并需根据归并频率及日志归并条件来确定,不发生归并则为1。
入侵目标:签名所检测的报文所攻击对象。具体情况如下:
server:攻击对象为服务端;
client:攻击对象为客户端;
both:攻击对象为服务端和客户端。
入侵严重性:签名所检测的报文所造成攻击的严重性。具体情况如下:
information:表示严重性为提示;
low:表示严重性为低;
medium:表示严重性为中;
high:表示严重性为高。
操作系统:签名所检测的报文所攻击的操作系统。具体情况如下:
all:表示所有系统;
android:表示安卓系统;
ios:表示苹果系统;
unix-like:表示Unix系统;
windows:表示Windows系统;
other:表示其他系统。
签名分类:签名检测到的报文攻击特征所属的威胁分类。
签名动作:签名动作。具体情况如下:
alert:签名动作为告警;
block:签名动作为阻断。
反病毒
反病毒原理
计算机恶意程序
计算机恶意程序是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机恶意程序可能具有传染性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。常见的计算机恶意程序有三种,分别是病毒、蠕虫和木马。
常见的感染对象:操作系统、应用程序和设备硬件(如某病毒针对BIOS攻击)。
常见的计算机病毒携带者:可执行文件、脚本、宏和引导区。
反病毒产生背景
随着网络的不断发展和应用程序的日新月异,企业用户越来越频繁地开始在网络上传输和共享文件,随之而来的病毒威胁也越来越大。
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生。
在以下场合中,通常利用反病毒功能来保证网络安全:
内网用户可以访问外网,且经常需要从外网下载文件;
内网部署的服务器经常接收外网用户上传的文件。
如图所示,防火墙作为网关设备隔离内、外网,内网包括用户Host和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在防火墙上配置反病毒功能。
自适应安全引擎检测
反病毒的处理流程主要包括自适应安全引擎检测和反病毒处理两部分。
自适应安全引擎检测步骤如下:
流量深层分析
判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
判断文件是否命中白名单
病毒检测
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。每种病毒都有唯一的病毒ID,需要不断升级
反病毒处理
当防火墙检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外
判断该病毒文件是否命中应用例外
按照配置文件中配置的协议和传输方向对应的响应动作进行处理
反病毒工作流程
防火墙利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理。
病毒配置举例
防火墙反病毒配置举例
需求描述:
某公司在网络边界处部署了防火墙作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件;
公司利用防火墙提供的反病毒功能阻止病毒文件进入到受保护的网络,保障内网用户和服务器的安全。
配置思路:
配置定时升级反病毒特征库,可以最大限度降低误报和漏报概率;
配置接口IP地址和安全区域,完成网络基本参数配置;
配置两个反病毒文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作;
配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实现组网需求。
反病毒特征库的升级服务受反病毒License控制项控制。
配置反病毒文件,选择“对象 > 安全配置文件 > 反病毒” 。
单击“新建”后,按下图完成针对HTTP和POP3协议的配置。
参考上述步骤按如下参数完成针对FTP协议的配置。
