巧用自动化操作强化防火墙功能

2019-12-23 15:21河南许红军
网络安全和信息化 2019年9期
关键词:白名单工具栏列表

■ 河南 许红军

编者按: 传统上企业使用防火墙防御内网安全,但这往往只能被动的进行防护,无法实现“主动出击”应对各种安全威胁。对于像FirePower等下一代防火墙来说,已经不再局限于被动防御,针对各种恶意行为的特点,其会采取各种策略主动的加以防御,巧妙化解形形色色的攻击行为。这里就分析了FirePower防火墙的一些自动化特性,来说明其如何实现灵活的防御功能。

利用自动发现,洞察内网信息

使用FirePower提供的Network Discovery功能,可以自动收集网络中和主机,应用以及用户数据信息相关的信息,让管理员对内网的情况了如指掌。

例如,可以发现诸如操作系统类型、主机流量、主机漏洞、应用流量、区域分类、攻击源头、攻击目标、攻击事件、攻击轨迹、攻击的详细信息等内容,从而可以实现应用分析、地体定位等实用功能。

在FMC管理界面的工具 栏 上 点 击“Policies”→“Network Discovery”项,可以看到默认已经激活了自动发现功能。但是默认的配置只是用来探测网络中的应用信息的。

在默认项的编辑窗口中选择“Host”和Users”项,激活针对用户和主机的分析功能。在“Networks”面板中可以设置需要监控的网段范围,默认针对整个内网。在“Zones”面板中定义需要监控的区域,在“Ports”面板中可以定义需要监控的端口。之后点击工具栏上的“Deploy”按钮,将其部署到FirePower防火墙上。

点击工具栏上的“Analysis”→“Hosts”→“Network Map”项,可以对内网进行扫描,在左侧的“Hosts”列表中按照和地址相关的编号,显示内网中的所有的主机信息。

例如选择“10”→“10.1”→“10.1.1.1”→“10.1.1.100”项,在右侧显示拥有该IP的主机的详细信息,包括主机名、MAC地址、上次检测到的时间、当前用户、设备类型、操作系统类型、使用的协议、活动的应用程序、网络连接信息,、最近下载的恶意软件、存在的漏洞等内容。

点 击“Scan Host” 按钮,可以对其进行扫描。点击工具栏上的“Analysis”→“Hosts”→“Applications”项,执行对应用的分析。在列表中显示所有可用的应用程序。点击工具栏上的“Analysis” →“Hosts” →“Hosts”项,执行对主机的分析等。

利用关联特性,对抗安全威胁

利用FirePower防火墙的关联特性,可以实时响应网络中的安全威胁。即当发生了某个网络攻击或者安全事件的时候,就可以关联一个规则,来对此进行有效的防御。

利用该特性,可以将各种操作进行有效关联,从而实现防火墙的自动化功能。例如在指定的网段(例 如“10.1.1.0/24”)中,当利用防火墙的Network Discovery功能发现新的主机后,随即对其进行NMAP扫描。这样,就可以将发现新主机和自动扫描功能关联起来。

登录FMC主机上,在其管理界面中点击工具栏上的“Policies”→“Actions”→“Modules”项,在列表中的“Nmap Remediation”项 右侧点击放大镜图标,在打开窗口中的“Configured Instances”栏中点击“Add”按钮,在“Edit Instances”窗口中输入其名称(例如“NewNmap”),点击“Create”按钮创建该实例。

在之后打开窗口中 的“Configured Remediations”栏 中 的“Add a new remediation of type”列表中选择“Nmap Scan”项,点击“Add”按钮,在扫描设置窗口中输入其名 称(例 如“NewScan”),在“Scan Which Address From Event?”列表中选择扫描的地址类型,包括源地址和目的地址、仅仅源地址、仅仅目的地址等,

这里选择“Scan Source Address Only”项,仅仅扫描目标主机的源地址。在“Scan Type”列表中选择扫描的类型,这里选择“TCP Connect Scan”项,表示执行TCP连接扫描。其余设置保持默认,点击“Create”按钮创建检测项。点击工具栏上的“Policies”→“Actions”→“Groups”项,点击右上角的“Create Group”按钮,在打开窗口中输入组名(例如“Group1”),选 择“Active”项及其激活。

在“Select Response for Group”列表中显示可用的所有行为项目,这里选择上面的的“NewScan”项,点击“>”按钮,将其添加到“Responses In Group”列表中。

当然,在该组中可以添加多个行为项目。当出现某个事件后,可以调用该组中的所有行为加以应对,点击“Save”按钮保存该组。点击工具栏上的“Policies”→“Correlation”项,在“Rule Management”面板中右侧点击“Creat Group”按钮,输入规则组的名称(例如“RuleGrp”),点击“Save”按钮创建该组。

点击“Create Rule”按钮,在规则编辑窗口中输入其名称(例如“Findhost”),在“Rule Group”列表中选择上述“RuleGrp”组,使其隶属于该组。在“Select the type of event for this rule”栏中的选择发生的事件类型,包括发生了一个入侵事件,发现新的设备,检测到用户活动,发生了某主机的输入事件,发生了一个连接事件,流量变化,病毒入侵等。

这里选择“a discovery event occurs”项,表示发现了一台新主机。在其右侧的列表中,选择“a new IP host is detected”项,表示检测到新的主机IP。在其下的列表中选择“IP Address”和“is in”项,为其设置合适的地址段(例如“10.1.1.10/24”)。最后,点击“Save”按钮,保存该规则设置。

上面的操作定义了发生的时间以及具体的应对行为,接下来需要将两者结合起来。

首 先, 在“Policy Management”面 板 中 点击“Create Policy” 按钮,输入策略的名称(例如“Policy1”),点 击“Add Rules”按钮,在打开窗口内右侧选择“Activate”项将其激活。

点击“编辑”按钮,在“Available Rules”窗口中的“rule_group”节点下选择上述名为“Findhost”规则项,点击“Add”按钮将其添加进来。在该项目右侧点击“Responses”按钮,在打开窗口中的“Unassigned Responses”栏中选择上述“NewNmap”组,将其添加到可用列表中。点击“Update”按钮完成更新。

这样,当检测到新的主机后,就会调用指定的扫描项目,对其进行安全检测。点击工具栏上的“Deploy”按钮,将其部署FirePower防火墙上。

当新的主机连入网络后,FirePower防火墙即可对其进行扫描,点击FMC管理界面右侧的绿色按钮,在打开窗口中的“Tasks”面板中显示扫描提示信息。

点击工具栏上的“Analy sis”→“Correlation”→“Corr elation Events”项,在关联事件窗口显示该主机的扫描信息,点击工具栏上的“Analysis”→“Hosts”→“Network Map”项,在左侧选择该新主机的IP项目,在右侧的“Scan Results”栏中显示扫描的结果信息,例如该机开启了哪些端口等。

配置合规白名单,实现严格管控

利用FirePower提供的合规性白名单功能,可以对目标主机进行严格的管控。例如可以规定其系统类型、允许安装的应用类型、允许发生的流量类型(例如只能产生HTTP流量)等,如果超出了规定的管控范围,就会触发报警或者其他控制行为。

例如,针对某Windows服务器创建合规白名单,如果收到白名单之外的流量时,就会触发Syslog报警,并将报警信息发送到指定主机上的Syslog日志数据库中。

在FMC管理界面中依 次 点 击“Policies”→“Actions”→ “Alerts”项,在打开窗口右上角点击菜单“Create Alert”→“Create Syslog Alert” 项, 在“Edit Syslog Alert Configuration”窗口中输入其名称(例如“Alert1”),在“Host”栏中输入运行Syslog服务的主机的IP(例如“192.168.1.200”),其余设置保持默认,点击“Save”按钮保存即可。

点击工具栏上的“Policies”→“Actions”→“Groups”项,点击右上角的“Create Group”按钮,在打开窗口中输入组名(例如“Alertgrp”),选择“Active”项及其激活。

在“Select Response for Group”列表中显示可用的所有行为项目,这里选择上述“Alert1”项,点击“>”按钮将其添加进来。点击工具栏上的“Polices”→“Correlation”项,在“White List”面板中右侧点击“New White List”按钮,在“IP Address”栏中输入目标主机IP(例如“192.168.1.100”), 在“Netmask”栏中输入“32”,点 击“Add”按 钮 添 加 该主 机。 在“White List Information”栏中输入该白名单名称(例如“Wlist”),在左侧选择该主机,在右侧可以更改其名称(例如“Server1”)。

在左侧的“Allow Host Profiles”栏 点 击“+”按钮,在右侧输入该Profile的名称(例如“Profile1”),在“OS Vendor”列表中选择操作系统类型(例如选择“Windows 7、Server 2008 R2”)。如果选择“Allow all Application Protocols”项,允许所有的应用协议。当然,也可以单独指定协议,在该项右侧点击“+”按钮,在打开窗口中选择“”项,点 击“OK”按 钮,在“Type”列表中选择具体的协议类型。

选 择“Allow all Clients”项,允许所有的客户端。选择“Allow all Web Applications”项,则可允许所有的网页协议。当然,也可以单独指定所需的客户端和Web协议。

但要注意,不管以上如何选择,是没有ICMP协议的。

之后选择点击左侧的“Save White List” 按钮,完成保存该白名单配置信息。然后在“Policy Management”面板中点击“Create Policy” 按钮,并输入其名称(例如“WlistPolicy”),然后点击“Save”按钮保存该策略。

点 击“Add Rule” 按钮,按照上述方法,在“Available Rules” 窗 口中 的“White List Rules”栏 中选择“Wlist”项,点击“Add”按钮将其添加进来。在该项目右侧点击“Responses”按 钮,在 打开窗口中的“Unassigned Responses”栏中选择上述“AlertGrp”组,将其添加到可用列表中。点击“Update”按钮完成更新。

这样,就将该白名单和指定的组结合起来,当目标主机的行为超越了白名单管控的范围,就会触发指定组中的报警行为。

例如,当有人对该主机进行扫描时,因为产生的流量类型不符合白名单的范围,就会触发报警动作,并将其行为记录到SysLog服务器上。

猜你喜欢
白名单工具栏列表
“玩转”西沃白板
学习运用列表法
核电厂仪控系统安全防护策略研究及应用
UAC提示太烦 教你做个白名单
扩列吧
2019年“移动互联网应用自律白名单”出炉
移动互联网白名单认证向中小企业开放
列表画树状图各有所长
设计一种带工具栏和留言功能的记事本
2011年《小说月刊》转载列表