08 防火墻入侵防御

入侵概述

網(wǎng)絡(luò)安全事件舉例

在目前出現(xiàn)的各種安全威脅當(dāng)中，惡意程序（病毒與蠕蟲、Bot、Rootkit、特洛依木馬與后門程序、弱點攻擊程序以及行動裝置惡意程序等）類別占有很高的比例，灰色軟件（間諜/廣告軟件）的影響也逐漸擴(kuò)大，而與犯罪程序有關(guān)的安全威脅已經(jīng)成為威脅網(wǎng)絡(luò)安全的重要因素。

入侵概述

入侵是指未經(jīng)授權(quán)而嘗試訪問信息系統(tǒng)資源、篡改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為。

入侵企圖破壞信息系統(tǒng)的完整性、機(jī)密性、可用性以及可控性。

常見入侵手段有：

• 利用系統(tǒng)及軟件的漏洞

• DDoS攻擊

• 病毒及惡意軟件安全威脅

典型的入侵行為有：

• 篡改Web網(wǎng)頁；

• 破解系統(tǒng)密碼；

• 復(fù)制/查看敏感數(shù)據(jù)；

• 使用網(wǎng)絡(luò)嗅探工具獲取用戶密碼；

• 訪問未經(jīng)允許的服務(wù)器；

• 其他特殊硬件獲得原始網(wǎng)絡(luò)包；

• 向主機(jī)植入特洛伊木馬程序。

漏洞威脅

網(wǎng)絡(luò)攻擊者、企業(yè)內(nèi)部惡意員工利用系統(tǒng)及軟件的漏洞入侵服務(wù)器，嚴(yán)重威脅企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全。

漏洞給企業(yè)造成嚴(yán)重的安全威脅：

• 企業(yè)內(nèi)網(wǎng)中許多應(yīng)用軟件可能存在漏洞；

• 互聯(lián)網(wǎng)使應(yīng)用軟件的漏洞迅速傳播；

• 蠕蟲利用應(yīng)用軟件漏洞大肆傳播，消耗網(wǎng)絡(luò)帶寬，破壞重要數(shù)據(jù)；

• 黑客、惡意員工利用漏洞攻擊或入侵企業(yè)服務(wù)器，業(yè)務(wù)機(jī)密被纂改、破壞和偷竊。

DDoS攻擊

DDoS（Distributed Denial of Service）即分布式拒絕服務(wù)。DDoS攻擊是指攻擊者通過控制大量的僵尸主機(jī)，向被攻擊目標(biāo)發(fā)送大量精心構(gòu)造的攻擊報文，造成被攻擊者所在網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕向正常用戶提供服務(wù)的效果。

惡意代碼入侵威脅

惡意代碼包含病毒、木馬和間諜軟件等。惡意代碼可感染或附著在應(yīng)用程序或文件中，一般通過郵件或文件共享等方式進(jìn)行傳播，威脅用戶主機(jī)和網(wǎng)絡(luò)的安全。惡意代碼入侵威脅包括以下特點：

• 瀏覽網(wǎng)頁和郵件傳輸是病毒、木馬、間諜軟件進(jìn)入內(nèi)網(wǎng)的主要途徑；

• 病毒能夠破壞計算機(jī)系統(tǒng)，纂改、損壞業(yè)務(wù)數(shù)據(jù)；

• 木馬使攻擊者不僅可以竊取計算機(jī)上的重要信息，還可以對內(nèi)網(wǎng)計算機(jī)破壞；

• 間諜軟件搜集、使用并散播企業(yè)員工的敏感信息，嚴(yán)重干擾企業(yè)的正常業(yè)務(wù)；

• 桌面型反病毒軟件難以從全局上防止惡意代碼泛濫。

當(dāng)前的反病毒軟件可防范惡意代碼。

入侵防御

入侵防御概述

安全設(shè)備在安全體系中的位置

入侵檢測（ID，Intrusion Detection）通過監(jiān)視各種操作，分析、審計各種數(shù)據(jù)和現(xiàn)象來實時檢測入侵行為的過程，是一種積極的和動態(tài)的安全防御技術(shù)。入侵檢測的內(nèi)容涵蓋了授權(quán)的和非授權(quán)的各種入侵行為。

入侵檢測系統(tǒng)（IDS，Intrusion Detection System）能在發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被攻擊的痕跡時，立即啟動有關(guān)安全機(jī)制進(jìn)行應(yīng)對。

在信息安全建設(shè)中，入侵檢測系統(tǒng)扮演著監(jiān)視器的角色，IDS就像安全監(jiān)控體系中的攝像頭，通過IDS，保安員能夠捕獲關(guān)鍵節(jié)點的流量并做智能的分析，從中發(fā)現(xiàn)異常、可疑的網(wǎng)絡(luò)行為，并向監(jiān)控室的管理員報告。

入侵防御概述

入侵防御是一種安全機(jī)制。通過分析網(wǎng)絡(luò)流量，檢測入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應(yīng)方式，實時地中止入侵行為，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。

入侵防御功能通常用于防護(hù)來自內(nèi)部或外部網(wǎng)絡(luò)對內(nèi)網(wǎng)服務(wù)器和客戶端的入侵。

通過檢測發(fā)現(xiàn)網(wǎng)絡(luò)入侵后，能自動丟棄入侵報文或者阻斷攻擊源，從根本上避免攻擊行為。

入侵防御實現(xiàn)機(jī)制

入侵防御的基本實現(xiàn)機(jī)制包括以下四塊內(nèi)容：

• 重組應(yīng)用數(shù)據(jù)、

• 協(xié)議識別和協(xié)議解析

• 特征匹配

• 響應(yīng)處理

簽名

入侵防御簽名用來描述網(wǎng)絡(luò)中攻擊行為的特征，防火墻通過將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來檢測和防范攻擊。

預(yù)定義簽名

預(yù)定義簽名是入侵防御特征庫中包含的簽名。

每個預(yù)定義簽名都有缺省的動作，分別為：

• 放行：指對命中簽名的報文放行，不記錄日志；

• 告警：指對命中簽名的報文放行，但記錄日志；

• 阻斷：指丟棄命中簽名的報文，阻斷該報文所在的數(shù)據(jù)流，并記錄日志。

自定義簽名

自定義簽名是指管理員通過自定義規(guī)則創(chuàng)建的簽名。

• 應(yīng)對新的攻擊管理員自己自定義簽名

• 系統(tǒng)會自動檢查自定義規(guī)則的哈發(fā)現(xiàn)

• 動作分為阻斷和告警

建議只在非常了解攻擊特征的情況下才配置自定義簽名。因為自定義簽名設(shè)置錯誤可能會導(dǎo)致配置無效，甚至導(dǎo)致報文誤丟棄或業(yè)務(wù)中斷等問題。

簽名過濾器

簽名過濾器是滿足指定過濾條件的集合。

簽名過濾器的過濾條件包括：簽名的類別、對象、協(xié)議、嚴(yán)重性、操作系統(tǒng)等。只有同時滿足所有過濾條件的簽名才能加入簽名過濾器中。一個過濾條件中如果配置多個值，多個值之間是“或”的關(guān)系，只要匹配任意一個值，就認(rèn)為匹配了這個條件。

簽名過濾器的動作分為阻斷、告警和采用簽名的缺省動作。簽名過濾器的動作優(yōu)先級高于簽名缺省動作，當(dāng)簽名過濾器的動作不采用簽名缺省動作時，以簽名過濾器設(shè)置的動作為準(zhǔn)。

各簽名過濾器之間存在優(yōu)先關(guān)系（按照配置順序，先配置的優(yōu)先）。如果一個安全配置文件中的兩個簽名過濾器包含同一個簽名，當(dāng)報文命中此簽名后，設(shè)備將根據(jù)優(yōu)先級高的簽名過濾器的動作對報文進(jìn)行處理。

例外簽名

由于簽名過濾器會批量過濾出簽名，且通常為了方便管理會設(shè)置為統(tǒng)一的動作。如果管理員需要將某些簽名設(shè)置為與簽名過濾器不同的動作時，可將這些簽名引入到例外簽名中，并單獨配置動作。

例外簽名的動作分為：

• 阻斷：丟棄命中簽名的報文并記錄日志；

• 告警：對命中簽名的報文放行，但記錄日志；

• 放行：對命中簽名的報文放行，且不記錄日志；

• 添加黑名單：是指丟棄命中簽名的報文，阻斷報文所在的數(shù)據(jù)流，記錄日志，并可將報文的源地址或目的地址添加至黑名單。

例外簽名的動作優(yōu)先級高于簽名過濾器。如果一個簽名同時命中例外簽名和簽名過濾器，則以例外簽名的動作為準(zhǔn)。

入侵防御對數(shù)據(jù)流的處理

當(dāng)數(shù)據(jù)流命中的攻擊防御模板中包含入侵防御模板時，設(shè)備將數(shù)據(jù)流送到入侵防御模塊，并依次匹配入侵防御模板引用的簽名。

當(dāng)數(shù)據(jù)流命中多個簽名，對該數(shù)據(jù)流的處理方式如下：

• 如果這些簽名的實際動作都為告警時，最終動作為告警；

• 如果這些簽名中至少有一個簽名的實際動作為阻斷時，最終動作為阻斷。

當(dāng)數(shù)據(jù)流命中了多個簽名過濾器時，設(shè)備會按照優(yōu)先級最高的簽名過濾器的動作來處理。

入侵防御配置舉例

需求描述：

• 某企業(yè)在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。在該組網(wǎng)中，內(nèi)網(wǎng)用戶可以訪問Internet的Web服務(wù)器。

• 該企業(yè)需要在防火墻上配置入侵防御功能，用于防范內(nèi)網(wǎng)用戶訪問Internet的Web服務(wù)器時受到攻擊。例如，含有惡意代碼的網(wǎng)站對內(nèi)網(wǎng)用戶發(fā)起攻擊。

配置思路：

• 配置定時升級簽名特征庫，可以最大限度降低誤報和漏報概率；

• 配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)的配置；

• 創(chuàng)建入侵防御配置文件，配置簽名過濾器；

• 配置安全策略，并將入侵防御配置文件應(yīng)用到安全策略中。

入侵防御特征庫的升級服務(wù)受入侵防御License控制項控制。License控制項未激活時，設(shè)備不會自動加載預(yù)置的特征庫，也無法手動加載或者升級特征庫。License控制項激活后，可以進(jìn)行特征庫加載和升級的相關(guān)操作。License控制項到期后，無法手動加載或者升級特征庫，入侵防御功能可用，但特征庫無法保證最新，入侵檢測和防御能力有限。

創(chuàng)建入侵防御配置文件，選擇“對象 > 安全配置文件 > 入侵防御 > 新建”。

在“入侵防御配置文件”中，單擊“新建”后，按如下參數(shù)配置。該配置將被從Trust區(qū)域到Untrust區(qū)域的安全策略引用。配置后單擊“確定”，完成入侵防御配置文件的配置。

查看入侵及防御行為

查看威脅日志，選擇“日志 > 威脅日志”。

入侵日志重點關(guān)注信息如下：

• 配置文件：命中的入侵安全配置文件。

• 威脅名稱：入侵防御簽名用來描述網(wǎng)絡(luò)中存在的攻擊行為的特征，通過將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來檢測和防范攻擊。

• 事件計數(shù)：日志歸并引入字段，是否歸并需根據(jù)歸并頻率及日志歸并條件來確定，不發(fā)生歸并則為1。

• 入侵目標(biāo)：簽名所檢測的報文所攻擊對象。具體情況如下：

• server：攻擊對象為服務(wù)端；

• client：攻擊對象為客戶端；

• both：攻擊對象為服務(wù)端和客戶端。

• 入侵嚴(yán)重性：簽名所檢測的報文所造成攻擊的嚴(yán)重性。具體情況如下：

• information：表示嚴(yán)重性為提示；

• low：表示嚴(yán)重性為低；

• medium：表示嚴(yán)重性為中；

• high：表示嚴(yán)重性為高。

操作系統(tǒng)：簽名所檢測的報文所攻擊的操作系統(tǒng)。具體情況如下：

• all：表示所有系統(tǒng)；

• android：表示安卓系統(tǒng)；

• ios：表示蘋果系統(tǒng)；

• unix-like：表示Unix系統(tǒng)；

• windows：表示W(wǎng)indows系統(tǒng)；

• other：表示其他系統(tǒng)。

• 簽名分類：簽名檢測到的報文攻擊特征所屬的威脅分類。

簽名動作：簽名動作。具體情況如下：

• alert：簽名動作為告警；

• block：簽名動作為阻斷。

反病毒

反病毒原理

計算機(jī)惡意程序

計算機(jī)惡意程序是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。

計算機(jī)惡意程序可能具有傳染性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。常見的計算機(jī)惡意程序有三種，分別是病毒、蠕蟲和木馬。

常見的感染對象：操作系統(tǒng)、應(yīng)用程序和設(shè)備硬件（如某病毒針對BIOS攻擊）。

常見的計算機(jī)病毒攜帶者：可執(zhí)行文件、腳本、宏和引導(dǎo)區(qū)。

反病毒產(chǎn)生背景

隨著網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用程序的日新月異，企業(yè)用戶越來越頻繁地開始在網(wǎng)絡(luò)上傳輸和共享文件，隨之而來的病毒威脅也越來越大。

反病毒是一種安全機(jī)制，它可以通過識別和處理病毒文件來保證網(wǎng)絡(luò)安全，避免由病毒文件引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況發(fā)生。

在以下場合中，通常利用反病毒功能來保證網(wǎng)絡(luò)安全：

• 內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件；

• 內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。

如圖所示，防火墻作為網(wǎng)關(guān)設(shè)備隔離內(nèi)、外網(wǎng)，內(nèi)網(wǎng)包括用戶Host和服務(wù)器。內(nèi)網(wǎng)用戶可以從外網(wǎng)下載文件，外網(wǎng)用戶可以上傳文件到內(nèi)網(wǎng)服務(wù)器。為了保證內(nèi)網(wǎng)用戶和服務(wù)器接收文件的安全，需要在防火墻上配置反病毒功能。

自適應(yīng)安全引擎檢測

反病毒的處理流程主要包括自適應(yīng)安全引擎檢測和反病毒處理兩部分。

自適應(yīng)安全引擎檢測步驟如下：

1. 流量深層分析

2. 判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測

3. 判斷文件是否命中白名單

4. 病毒檢測

病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。每種病毒都有唯一的病毒ID，需要不斷升級

反病毒處理

當(dāng)防火墻檢測出傳輸文件為病毒文件時，需要進(jìn)行如下處理：

1. 判斷該病毒文件是否命中病毒例外

2. 判斷該病毒文件是否命中應(yīng)用例外

3. 按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動作進(jìn)行處理

反病毒工作流程

防火墻利用專業(yè)的智能感知引擎和不斷更新的病毒特征庫實現(xiàn)對病毒文件的檢測和處理。

病毒配置舉例

防火墻反病毒配置舉例

需求描述：

• 某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。內(nèi)網(wǎng)用戶需要通過Web服務(wù)器和POP3服務(wù)器下載文件和郵件，內(nèi)網(wǎng)FTP服務(wù)器需要接收外網(wǎng)用戶上傳的文件；

• 公司利用防火墻提供的反病毒功能阻止病毒文件進(jìn)入到受保護(hù)的網(wǎng)絡(luò)，保障內(nèi)網(wǎng)用戶和服務(wù)器的安全。

配置思路：

• 配置定時升級反病毒特征庫，可以最大限度降低誤報和漏報概率；

• 配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置；

• 配置兩個反病毒文件，一個反病毒配置文件針對HTTP和POP3協(xié)議設(shè)置匹配條件和響應(yīng)動作，另外一個反病毒配置文件針對FTP協(xié)議設(shè)置匹配條件和響應(yīng)動作；

• 配置安全策略，在Trust到Untrust和DMZ到Untrust方向分別引用反病毒配置文件，實現(xiàn)組網(wǎng)需求。

反病毒特征庫的升級服務(wù)受反病毒License控制項控制。

配置反病毒文件，選擇“對象 > 安全配置文件 > 反病毒” 。

單擊“新建”后，按下圖完成針對HTTP和POP3協(xié)議的配置。

參考上述步驟按如下參數(shù)完成針對FTP協(xié)議的配置。