一、威脅防護
1.1 威脅防護介紹
設備可檢測並阻斷網絡的發生,減少對內網安全造成的損失;
威脅防護包括:
1、主機ARP防護
2、攻擊防護
3、病毒過濾
4、入侵防禦
5、異常行爲檢測(T)
6、高級威脅檢測(T)
7、邊界流量過濾
8、雲沙箱
9、垃圾郵件過濾(T)
1.1.1 網絡攻擊的步驟
傳統防火牆:重點在攻擊前期階段,即準備階段;攻擊過程採取防護措施:基於特徵、AV(反病毒軟件)、IPS、AD;
下一代防火牆:在IPS、AV功能上深入改進、通過特徵庫採集病毒樣本,根據樣本開發識別碼;(攻擊前的準備)
惡意軟件檢測:沙箱機制(也是攻擊前的檢測)。
智能下一代防火牆:針對網絡被攻陷後的措施,ATD\ABD(未知威脅檢測\異常行爲檢測 )
1.2 StoneShield安全框架
StoneShield安全架構是智能下一代防火牆獨有的安全防禦系統,爲已知威脅和未知威脅的防護提供了完善的解決方案,將威脅防護分爲三大類:
1、基於IP/Protocol提供了IP黑名單過濾及AD解決方案;
2、基於內容和URL提供IP與AV解決方案;
3、基於流量和行爲分析提供高級威脅防禦和異常行爲分析解決方案。
威脅防護包括以下這幾類:
1、病毒過濾:可檢測最易攜帶病毒的文件類型和常用的協議類型(POP3、HTTP、SMTP、IMAP4以及FTP)並對其進行病毒防護,可掃描文件類型包括存檔文件(包含壓縮存檔文件,支持壓縮類型有GZIP、BZIP2、TAR、ZIP和RAR)、PE、HTML、MAIL、RIFF和JPEG;
2、入侵防禦:可檢測並防護針對主流應用層協議(DNS、FTP、HTTP、POP3、SMTP、Telnet、MySql、MSSQL、ORACLE、NETBIOS等)的入侵攻擊、基於Web的攻擊行爲以及常見的木馬功能機
3、攻擊防護:可檢測各種類型的網絡攻擊,從而採取相應的措施保護內部網絡免受惡意攻擊,以保證內部網絡及系統正常運行;
4、異常行爲檢測:根據特徵庫中的異常行爲檢測規則檢測會話流量,當檢測對象的多個參量發生異常時,系統將分析其參量異常的關聯關係,判斷檢測對象是否發生異常行爲;
5、邊界流量過濾:通過對基於已知的IP地址黑白名單對流量進行過濾,並對命中黑名單的惡意流量採取阻斷措施進行處理;
6、高級威脅檢測:通過對基於主機的可疑流量進行智能分析,判斷是否爲惡意軟件。
1.3 Intrusion Kill Chain模型
Intrusion Kill Chain(或稱爲Cyber Kill Chain)模型精髓在於明確提出網絡攻防過程中雙方互有優勢,防守方若能阻斷/瓦解攻擊方的進攻組織環節,即使成功地挫敗了對手的攻擊企圖,畢竟沒有一個防禦戰局完全由防禦因素組成,Intrusion Kill Chain模型是將攻擊過程分解爲如下七個步驟:Reconnaissance(踩點)、Weaponization(組裝)、Delivery(投送)、Exploitation(攻擊)、Installation(植入)、C2(控制)、Action on Objectives(收割)
1.4 威脅防護特徵庫
威脅防護特徵庫包括病毒過濾特徵庫、入侵防禦特徵庫、邊界流量過濾特徵庫、異常行爲模型庫和惡意軟件模型庫等,默認情況下,設備會每日自動更新威脅防護庫,目前支持在線更新和本地更新兩種方式;
設備支持基於安全域和基於策略的威脅防護方式;(策略優先級高於安全域)
特徵根據嚴重程度分爲三個級別(安全級別),用戶可根據特徵嚴重程度,設置系統對該特徵攻擊所採取的的行爲:
--嚴重(Critical):嚴重的攻擊事件,例如緩衝區溢出;
--警告(Warning):具有一定攻擊性的事件,例如超長的URL;
--信息(Informational):一般事件。例如登錄失敗。
Hillstone提供兩個默認特徵庫更新服務器,分別是update1.hillstonenet.com和update2.hillstonenet.com,用戶可以根據需求更改特徵庫更新配置;
基於策略的威脅防護方式,系統目前僅支持配置病毒過濾功能和入侵防禦功能;
若安全域和策略中均配置了威脅防護,策略中的配置項將有更高的優先權,在安全域配置中,目的安全域的優先權高於源安全域
二、 ARP防護
2.1 ARP防護
ARP防護是利用ARP技術原理解決內網中ARP的攻擊,主要支持以下類型:
1、IP-MAC綁定
2、ARP認證
3、ARP檢查
4、DHCP監控
5、主機防禦
6、主機黑名單
以下配置需要透明模式下配置:
1、ARP檢查,在透明模式下對穿越防火牆的ARP進行檢查,匹配IP-MAC靜態表項,若不匹配進行丟棄,以防穿越二層防火牆欺騙其他主機;
2、DHCP監控是爲了保護DHCP服務器正常發放地址,以免有惡意主機提供虛假DHCP服務和惡意獲取大量地址造成客戶端被欺騙;
3、主機防禦:Hillstone設備的主機防禦功能即Hillstone設備代替不同主機發送免費ARP包,保護被代理主機免受ARP攻擊;
2.1.1 IP-MAC綁定
IP-MAC綁定即ARP綁定,分爲動態信息和靜態信息,綁定後需要在接口模式下進行配置:
--no arp-learning:關閉ARP自動學習(插入新電腦無法收到ARP包)
--arp-disable-dynamic-entry:禁用動態信息表,僅查靜態綁定表(插入新電腦可以收到ARP包,但不能上網,需要靜態綁定才能上網)
(默認開啓ARP認證)
WebUI示意圖如下:
2.1.2、ARP認證
ARP認證功能通過下發客戶端“Secure Defender”到PC,實現在PC與安全網關間PKI加密的ARP交互,防止ARP攻擊;
僅支持Windows客戶端,且需要接口爲網關;
可針對單獨主機啓用ARP認證。
WebUI示意圖如下:
2.1.3 主機黑名單
通過配置Hillstone設備的主機黑名單功能,設備可以控制用戶在指定時間內不能訪問網絡,阻斷主機IP或服務;WebUI示意圖如下:
sehedule night
periodic daily 22:00 to 06:00
exit
host-blacklist MAC\IP xxxxxxxxxxxx schedule night
(永久黑名單)
三、網絡攻擊防護
3.1 網絡攻擊防護
網絡中存在多種防不勝防的攻擊,如侵入或破壞網絡上的服務器、盜取服務器的敏感數據、破壞服務器對外提供的服務,或者直接破壞網絡設備導致網絡服務異常甚至中斷,作爲網絡安全設備的安全網關,必須具備攻擊防護功能來檢測各種類型的網絡攻擊,從而採取相應的措施保護內部網絡免受惡意攻擊,以保證內部網絡及系統正常運行;
Hillstone安全網關提供基於域的攻擊防護功能,可根據需要開啓不同的防護選項,並配置對該種攻擊的處理行爲,防護功能有默認的檢測閾值,可以根據網絡環境不同自行修改
安全網關的攻擊防護功能在默認情況下,只有部分功能在untrust安全域是開啓的,包括IP地址欺騙攻擊防護、端口掃描攻擊防護、ICMP Flood攻擊防護、SYN Flood攻擊防護、UDP Flood攻擊防護、WinNuke攻擊防護、Ping of Death 攻擊防護、Teardrop攻擊防護和Land攻擊防護
SYN代理,最小代理速率1000,最大代理速率3000,more不開啓cookie,代理超時30s
3.2 常見的網絡攻擊
1、IP地址欺騙(IP Spoofing)攻擊:IP地址欺騙攻擊是一種獲取對計算機未經許可的訪問的技術,即攻擊者通過僞IP地址向計算機發送報文,並顯示該報文來自於真實主機,對於基於IP地址進行驗證的應用,此攻擊方式能夠使未被授權的用農戶訪問被攻擊系統,即使響應報文不能到達攻擊者,被攻擊系統也會遭到破壞;
2、Land攻擊:攻擊者將一個特別打造的數據包的源地址和目的地址都設置成被攻擊服務器地址,這樣被攻擊服務器向它自己的地址發送消息,結果這個地址又發回消息並創建一個空連接,每一個這樣的連接都將保留直到超時,在這種Land攻擊下,許多服務器將奔潰;
3、Smurf攻擊:Smurf攻擊分爲簡單和高級兩種,簡單Smurf攻擊用來攻擊一個網絡,方法是將ICMP應答請求包的目標地址設置成被攻擊網絡的廣播地址,這樣改網絡的所有主機都會對此ICMP應答請求做出答覆,從而導致網絡阻塞;高級的Smurf攻擊主要用於攻擊目標主機,方法是將ICMP應答請求的源地址更改爲被攻擊主機的地址,最終導致被攻擊主機崩潰,理論上講,網絡的主機越多,攻擊效果越明顯;
4、Fraggle攻擊:Fraggle攻擊與Smurf攻擊爲同類型攻擊,不同之處在於Fraggle攻擊使用UDP包形成攻擊;
5、WinNuke攻擊:通常向裝有Windows系統的特定目標的NetBIOS端口(139)發送OOB(out-of-band)數據包,引起一個NetBIOS片段重疊,導致被攻擊主機崩潰,還有一種是IGMP分片報文,一般情況下,IGMP報文是不會分片的,所以,不少系統對IGMP分片報文處理有問題,如果收到IGMP分片報文,則基本可判定受到了攻擊;
6、SYN Flood攻擊:SYN Flood攻擊僞造一個SYN報文,將其源地址設置成僞造的或者不存在的地址,然後向服務器發起連接,服務器在收到報文後用SYN-ACK應答,而此應答發出去後,不會收到ACK報文,從而造成半連接,如果攻擊者發送大量這樣的報文,會在被攻擊主機上出現大量的半連接,直到半連接超時,從而消耗其資源,使正常的用戶無法訪問,在連接不收限制的環境中,SYN Flood會消耗掉系統的內存等資源;
7、ICMP Flood和UDP Flood攻擊:這種攻擊在短時間內向被攻擊目標發送大量的ICMP消息(如ping)和UDP報文,請求迴應,致使被攻擊目標負擔過重而不能完成正常的傳輸任務,地址掃描與端口掃描攻擊這種攻擊運用掃描工具探測目標地址和端口,對此作出響應的表示其存在,從而確定哪些目標系統確實存活並且連接在目標網絡上,這些主機使用哪些端口提供服務;
8、Ping of Death攻擊:Ping of Death就是利用一些尺寸超大的ICMP報文對系統進行的一種攻擊,IP報文的字段長度爲16位,這表明一個IP報文的最大長度爲65535字節,對於ICMP迴應請求報文,如果數據長度大於65507字節,就會使ICMP數據、IP頭長度(20字節)和ICMP頭長度(8字節)的總和大於65535字節,一些路由器或系統在接收到這樣一個報文後會由於處理不當,造成系統崩潰,死機或重啓。
3.3 TCP三次握手、四次斷開示意圖
TCP三次握手
TCP四次斷開
3.4 TCP半連接保護(SYN代理)
SYN-Proxy:作爲SYN-Flood的輔助防護手段,創建session,整個過程對Client和Server是透明的,Client發起SYN連接,StoneOS代替Server回覆SYN-ACK,Client回覆ACK,StoneOS將ACK報文修改爲SYN包發往Server,收到Server回覆的SYN+ACK後回覆ACK;
SYN-Cookie:當開啓此服務以後,與Client的三次握手過程不會創建session,而是在握手成功後再創建Session,在發生SYN-Flood攻擊時可以節省系統資源。
3.5 攻擊分類
|
Hijack and Spoofing(劫持和欺騙) |
ip-spoofing |
|
arp/nd-spoofing |
|
|
DoS(拒絕服務) |
dns-query-flood |
|
icmp-flood |
|
|
syn-flood |
|
|
syn-proxy |
|
|
udp-flood |
|
|
ip-directed-broadcast |
|
|
land-attack |
|
|
Protocol Exception(協議異常) |
huge-icmp-pak |
|
ip-fragment |
|
|
ping-of-death |
|
|
tcp-anomaly |
|
|
ip-option |
|
|
winnuke |
|
|
tear-drop |
|
|
Scan(掃描) |
ip-sweep |
|
port-scan |
四、病毒過濾
4.1 病毒過濾原理
防火牆提取文件特徵與病毒特徵庫中的特徵進行匹配,如果特徵一致,則認爲該文件爲病毒文件,如果特徵不一致,則認爲該文件爲正常文件。
4.2 病毒過濾配置
病毒過濾全局配置默認啓用狀態,且只對一層壓縮包進行檢測,壓縮層檢測範圍爲1-5層,可根據需要修改,對於超過檢測範圍或者加密壓縮文件可以配置動作爲“只記錄日誌”或“重置連接”。
4.3 病毒防護功能
防病毒功能提供策略調用和綁定安全域兩種實現方式,用戶可以根據需要選擇一種實現方式,綁定安全域方式需要選擇綁定到目的安全域,如果使用策略調用方式,需要不綁定任何安全域,創建“病毒過濾規則”後,在需要檢測病毒的策略“高級控制”裏啓用“病毒過濾”功能。
4.3 防護類型
防護類型可以選擇“預定義”或“自定義”方式,並根據需要配置掃描文件類型、協議尅性,以及系統發現病毒後的動作,爲實現精確掃描控制,用戶可以分別制定需要掃描協議類型以及動作和文本類型,其中,協議類型爲必配,而文件類型可以根據需要進行選擇性配置,如果只配置協議類型,而未配置文件類型,系統僅對通過制定協議傳輸的文本文件進行掃描,如果需要掃描的對象爲通過制定類型傳輸的指定類型文件,例如通過HTTP協議傳輸的HTML文件,用戶需要同時配置對HTTP協議和HTML文件進行掃描。
4.4 啓用標籤郵件
如果對通過SMTP協議傳輸的郵件進行病毒掃描,則用戶可以對發出的電子郵件開啓標籤郵件功能,即系統對郵件及其附件進行掃描,掃描病毒的結果會包含在郵件的主體,隨郵件一起發送,如果沒有發現病毒,則提示“No virus found”,如果發現病毒,則顯示郵件中病毒相關信息,包括系統掃描文件的名稱、文件的路徑、掃描結果以及對該病毒的執行動作。
4.5 AV-Profile應用
安全域和策略中均可調用防病毒profile,如果兩個位置同時調用AV-profile,策略優先匹配,只匹配檢測一次
4.6 配置防病毒功能
WebUI示意圖:
其中,HTTP、SMTP、POP3、IMAP4和FTP共同有的功能是填充魔術數、只記錄日誌和重置連接,而HTTP獨有一個告警功能,提示用戶是否繼續訪問
五、入侵防禦(IPS)
5.1 IPS和IDS區別
入侵防禦系統(Intrusion Prevention System)簡稱IPS,能夠實時監控多種網絡攻擊並根據配置對網絡攻擊進行阻斷等操作,StoneOS支持許可證控制的IPS功能,即爲支持IPS功能的StoneOS安裝入侵防禦(IPS)許可證後,IPS功能纔可使用;
入侵檢測系統(Intrusion Detection System)的主要作用是監控網絡狀況,發現入侵行爲並記錄事件,但是不會對入侵行爲採取動作,是一種側重於風險管理的安全機制,通常情況下,IDS設備會以旁路的方式接入網絡中,與防火牆聯動,發現入侵行爲後通知防火牆進行阻斷。
5.2 StoneOS的IPS功能
IPS功能對協議的檢測流程包括兩部分:
--協議解析:協議解析過程對協議進行分析,發現協議異常後,系統會根據配置處理數據包(記錄日誌、阻斷、屏蔽),併產生日誌信息報告給管理員,系統生成的威脅日誌信息詳情包含“威脅ID”,即爲協議異常的特徵ID,用戶可以通過查看威脅日誌查看詳細信息;
--引擎匹配是分析過程中提取感興趣的協議元素交給引擎進行準確和快速的特徵庫匹配檢測,發現與特徵庫中特徵相匹配的數據包後,系統根據配置處理數據包(記錄日誌、阻斷、屏蔽),併產生日誌信息報告給管理員,系統生成的威脅日誌信息詳情包含“威脅ID”,即爲協議異常的特徵ID,用戶可以通過查看威脅日誌查看詳細信息;
5.3 IPS工作模式
--只記錄日誌模式:提供協議異常和網絡攻擊行爲的告警、日誌功能,不對檢測出的攻擊做重置和阻斷操作;
--IPS模式:提供協議異常和網絡攻擊行爲的告警、對檢測出的攻擊做重置和阻斷操作,系統默認情況下工作在IPS模式
IPS兩種配置方式:策略、安全域(入方向、出方向和雙向)
入侵防禦在屏蔽攻擊者時,可以選擇屏蔽IP或者屏蔽服務應用(端口、協議號)。
山石對服務器的防護有專用的WAF和IPS
六、邊界流量過濾
6.1 邊界流量過濾功能
基於已知的IP地址黑白名單對流量進行過濾,並對命中黑名單的惡意流量採取阻斷措施進行處理,從而阻斷已知惡意IP地址的流量
6.2 黑白名單類型
1、預定義黑明單:通過更新系統的邊界流量過濾特徵庫,從雲端同步的IP地址黑名單;
2、自定義黑白名單:用戶根據實際需求,把指定的IP地址添加到自定義黑白名單;
3、第三方黑名單:與趨勢TDA進行聯動,定期從趨勢TDA設備上獲取黑名單
七、威脅日誌
威脅防護產生的日誌可在日誌列表中查詢,可根據過濾器進行查詢
回顧:
1、威脅防護包含哪幾種攻擊檢測類型?
病毒過濾、入侵防禦、攻擊防護、邊界流量過濾、URL過濾、沙箱防護、異常行爲檢測引擎、未知威脅檢測引擎
2、ARP防護的方法有哪些?
IP-MAC綁定、ARP認證、ARP檢查、DHCP監控、主機防禦、主機黑名單
3、特徵庫的升級方式有哪幾種?
在線更新和本地更新
4、IPS和AV有哪兩種調用方式?有什麼區別?
IPS有策略調用和安全域調用;AV也提供策略調用和綁定安全域調用方式,AV中綁定安全域方式需要選擇綁定到目的安全域,如果使用策略調用方式,需要不綁定任何安全域,創建“病毒過濾規則”後,在需要檢測病毒的策略“高級控制”裏啓用“病毒過濾”功能。
5、服務許可證過期後是否可以升級IPS和AV等特徵庫?
不可以
6、Hillstone安全網關支持抵禦哪些flood攻擊?如何防禦SYN-Flood攻擊?
SYN-flood 、TCP-flood 使用SYN-proxy(SYN代理)
7、解釋SYN-Flood和SYN-Proxy的關係。
SYN-Flood是一種半連接攻擊方式。SYN-Proxy是用來防護半連接攻擊方式