FirePower 的AMP 防护之道

■河南 郭建伟

创建AMP 防护策略

FirePower 的AMP 其实包含两个部分，一是利用FirePower 内建的引擎或公有云技术，对病毒和恶意软件进行分析，其主要对穿越防火墙的流量进行安全检测；二是利用AMP 私有云技术来防御外部威胁，即在客户端上安装相应的安全软件，并注册到AMP 私有云上，为客户端进行杀毒。

两者可以独立运作，也可以进行联动。当然，这些都可以关联到FMC 上来进行统一的配置。

对于硬件FirePower 设备来说，也可以激活其自身的设备管理功能，并进行图形化管理。但是，这种管理方式同FMC 统一管理相比存在很多不足，FMC 可以在各个设备上统一监控和配置，统一收集各种信息，FMC 可以对于内网的设备进行渗透测试，实现高级的自动化管理。

在内网中的客户机上打开浏览器，访问“https：//x.x.x.x”地址，其中的“x.x.x.x”为FMC的地址。在FMC 登录界面中输入账户名和密码，进入FMC 网管中心界面。

然后依次点击工具栏上的“Policies”→“Access Control”→“Malware&File”项，在右侧点击“New File Policy”按钮，输入策略的名称（例如“Fpolicy1”）和描述信息，点击“Save”按钮，保存该策略。在“Rules”面板中点击“Add Rule”按钮，在新建规则窗口中的“Action”列表中提供了检测文件、阻止文件、使用公有云检测、阻止恶意软件等，对于前两项来说，是不使用AMP功能的，而对于后两项来说，则需要依靠AMP 技术。

如果选择“Block Files”项，表示仅仅阻止文件。在这里选择“Block Malware”项，可以拦截病毒和恶意软件。在其下选择“Spera Analysis for MSEXE”、“Dynamic Analysis”、“Capacity Handling”、“Local Malware Analysis”等项目，启用对应的分析引擎。

之后在“Application Protocol”列表中选择应用协议，包括所有HTTP、SMTP、IMAP、POP3、FTP、SMB 等。在“Direction of Transfer”列表中选择传输的方向，包括所有上传和下载等。在“File Type Categories”栏中选择文件类型，包括文档、可执行文件、压缩文件、系统文件和PDF等。

在“File Type”栏中选择“All types in selected categories”项，允许处理该类型的所有文件。点击“Add”按钮，将其添加到选择列表中。

紧接着，选择“Reset Connection”项，表示踢掉与之关联的网络连接。在“Store files”栏中选择“Malware”项，可以存储可疑文件。点击“Save”按钮，保存该策略。

按照上述方法，可以创建更多的策略。在“Advanced”面板中选择“Inspect Archives”项，可以检测压缩文件。选择“Block Uninspectable Archives”项，可以阻止无法解压的文件。选择“Block Encrypted Archives”项，可以阻止加密文件。在“Max Archive Depth”项，可以设置解压缩的层级。

仅仅创建了策略是不够的，还需要到访问控制策略中进行进行调用。

依次点击工具栏上的“Policies”→“Access Control”→“Access Control”项，选择对应的访问控制项目，并在其右侧点击“编辑”按钮，在打开编辑窗口中的“Inspection”面板中的“File Policy”列表中选择上述“Fpolicy1”项，然后点击“Save”按钮保存配置信息。点击工具栏上的“Deploy”按钮，将其部署到FirePower防火墙上。

这样，当流量穿越防火墙时，就可以对其中的特定的文件进行检测和控制了。依次点击工具栏上的“Analysis”→“Files”→“File Events”项，可以查看恶意文件检测日志信息。而点击工具栏上的“Analysis”→“Files”→“Malware Events”项，则可以查看病毒和恶意软件处理信息。

利用SSL策略，检测加密流量

对于采用HTTPS加密流量来说，默认使用FirePower实际是无法进行检测的。而利用SSL Policy策略可以很好的解决该问题。

对于加密流量的检测，FirePower有两种处理方式。

一是内部架设的HTTPS服务器，这需要将其上的证书和私钥信息导入到防火墙中，当外部用户访问内网中的HTTPS服务器时，FirePower就可以扮演代理服务器的角色，和外部用户进行交互。

因为拥有了证书和私钥，FirePower可以对加密流量进行解密，检测其中的内容是否合规，对于合法的请求，FirePower可以和内网的HTTPS服务器进行通讯，之后将HTTPS的响应信息返回给外网客户。对于该方式来说，FirePower拥有内网服务器的私钥，自然可以解密发送给内网服务器的SSL流量。

二是对于内部和外网HTTPS服务器之间的流量进行检测，对于内网用户来说，当前访问外网的HTTPS站点时，交互的流量处于加密状态，FirePower对该加密流量进行检测，就可以拦截隐藏在其中的病毒等恶意数据。

这里主要针对后者来进行说明，在该场景中，FirePower 需要充当证书服务器的角色。当内部用户访问外网的任意一个HTTPS 网站时，FirePower 会单独为该网站产生一个证书，内网客户所看到的不是外网网站的证书，而是FirePower 针对该外部网站产生的证书，当然，内网用户必须信任该证书。

即客户连接的不是真正的外部网站，而是FirePower防火墙，FirePower“假扮”该外部HTTPS 网站，就可以解密客户端发给防火墙的加密流量。

这样，不管内网用户访问Internet 上的任何HTTPS站点，FirePower 就会针对该网站签发相应的证书。之后FirePower 再和外部的HTTPS 网站进行通讯，并以内网客户端的身份和目标网站进行交互，这样就可以解密该网站的加密流量，以便于对其中的数据进行安全检测。

而对于该流量解密方式来说，内网用户访问Internet 的SSL 流量，需要进行解密并重签名处理。

将FMC 加入到域环境

为了实现上述功能，首先需要将FMC 添加到域环境。

在FMC 管理界面的工具栏上，依次点击“System”→“Itegration”项，然后在“Realms”面板中右侧点击“New realm”按钮，在打开窗口中输入合适的名称，在“AD Primary Domain”栏中输入域名，之后在“AD Join Username”栏中输入域管理员名称，在“AD Join Password”栏中输入其密码，在“Directory Username”和“Directory Password”栏中输入用于查询的账户名和密码，其可以是权限较低的账户。

在“Base DN”和“Group DN”栏中输入“dc=xxx.dc=com”，用来指定查询的起始位置。然后点击“OK”按钮，在添加目录窗口中输入域名，之后将其加入到域环境中。

对应域名项右侧点击“Edit directory”按钮，选择“Download user and groups”项，列出域中所有的账户信息。访问“https：//server1.xxx.com/certsrv”地址，其中的“server1.xxx.com”表示证书服务器名称，在证书申请页面中点击“下载CA 证书，证书链或CRL”链接。选择“Base 64”项，点击“下载CA 证书”链接，得到根证书（例如“root.cer”）。在FMC工具栏上选择“Object”→“Object Management”项，在左侧选择“PKI”→“Trusted CAs”项，在右侧点击“Add Trusted CA”按钮，输入其名称，点击“Brower”按钮，选择上述“root.cer”证书文件，点击“Save”按钮，加载根证书来加载根证书。

AMP 私有云的功能

对于Cisco AMP 私有云来说，既可以是硬件产品，也可以是虚拟化产品。其支持FirePower 等防火墙和各种终端设备（例如Windows 和Linux 主机、安卓设备、虚拟机等）。

例如，FirePower 的AMP如果启用动态分析的话，默认是送到公有云进行分析。也可以指定到私有云上进行分析，用来实现更强大的处理功能。

AMP 私有云最主要的功能是连续的监控所有文件的活动，并将监控信息保存起来。这样，可以实现跟踪恶意软件轨迹变动功能，甚至可以在目标主机内部实现进程的追踪。

如果要对文件进行沙盒分析的话，需要Threat Grid设备的支持。

例如，对于FirePower 防火墙、终端设备，以及Threat Grid 等设备来说，都需要关联到私有云，当FirePower需要分析一个文件时，就会将该文件发送到私有云，私有云会对其进行SHA-256 编码计算，然后将数据提交给公有云，如果公有云判断其是恶意文件，就会将检测信息返回给私有云，然后私有云会通知FirePower 将其进行清除。

如果需要对文件进行深度分析，私有云会将文件发送给Threat Grid，对文件进行沙盒分析。

AMP 私有云能够对文件级、网络级和进程级的操作进行记录，并通过本地的大数据进行查询，如果发现可疑的未知文件，通过其SHA-256 的散列值发送给公有云进行分析，并将公有云的判断结果保存到本地。

AMP 私有云可以通过独立的虚拟机进行部署，能够提供网络和端点的的保护，包含大部分的公有云功能，具有很强大的扩展性。

AMP 私有云的运行模式

AMP 私有云支持两种安装模式，一是云代理模式（Cloud Proxy Mode），即充当公有云的代理，该模式需要连接Internet，客户端将扫描特征码发送给私有云，私有云将威胁特征码传送给公有云进行扫描，使用SHA-256 编码会保证可疑文件的唯一性，避免出现扫描错误的情况。

之后消息和更新会同步到AMP 私有云，保证私有云软件处于不断更新状态。

二是气隙模式（Air Gap Mode），其特点是无需连接Internet 即可完成威胁查询等操作，所有的查询流量仅存在于Endpoint 和私有云之间，不会产生巨大的外部流量。

处理和查询都由私有云完成，因此私有云需要关联额外的保护数据库，该库中包含所有威胁文件的特征码，并且需要定期和公有云进行同步更新。

配置和管理AMP 私有云

FireAMP 设备提供了管理口和数据口，当加电并完成底层安装后，在主菜单窗口中会显示URL、MAC 地址和密码信息。选择“CONFIG_NETWORK”项，按照提示不启用DHCP 功能，设置所需的IP、掩码和网关地址。

之后在客户机上打开浏览器，访问FireAMP 管理地址（例如“https：//x.x.x.x/login”），在登录界面输入上述密码，并按提示更新密码。当接受许可协议后，在“Clean Installation”栏中点击“Start”按钮，执行全新安装操作。

之后选择安装模式，这里选择“Cloud Proxy Mode”按钮，在“Production”栏中点击“Next”，并按提示选择授权文件，输入加密该授权文件的密码。在“FireAPP Console Account”窗口中中输入管理员账号（即邮箱名称）和密码。之后执行分区，设定网络接口IP和DNS 信息，这些域名需要全部映射到FireAMP 的数据端口上。

在“Disposition Server”窗口中的“Server”列表中选择公有云地址，在“Upstream Protocol”列表中选择“TCP (port32173)”项，满足上传流量的加密需求。之后设置通告邮件、NTP服务器地址、下载和验证恢复文件等操作，点击“Start Installation”按钮，执行具体安装操作。

完毕后重启，再次访问访问FireAMP 管理地址，输入新的密码后，登录到管理平台，可以进行一些底层的配置。也可以访问数据口地址（例如“https：//console.xxx.com/users/login”），输入上述管理员邮箱和密码，进入控制台管理界面，可以进行APP 的配置。

在控制台中点击工具栏上的“Integrations →Firepower Management Center”项，点击“Download Firepower Management Center Link Certificate”，下载名为“Combined.fireamp”的证书文件。在FMC 管理界面中点击工具栏上的“AMP →AMP Management”项，在右侧点击“Add AMP Cloud Connection”按钮，在打开窗口中输入私有云的名称及FireAMP 主机的数据口名称，点击“Browse”按钮选择上述证书。选择“Use for AMP for Firepower”项，点击“Register”按钮进行连接操作。之后自动跳转到私有云控制台，选择对应的AMP事件，点击“Allow”，将其导出到FMC 中。按照上述方法，创建一个文件过滤策略，并创建所需的规则。

在规则编辑窗口中选择“Action →Block Malware”项，选择所有的分析引擎，在“Store Files”栏中选择“Malware”项，允许存储恶意文件。设置合适的文件过滤条件后完成创建。

之后将该策略和特定的访问策略绑定起来。这样，在防火墙处理可疑文件时，就会将其提交给私有云，私有云再将其特征码提交给公有云分析。如果发现病毒和恶意软件，防火墙可及时进行拦截。

利用AMP 私有云保护客户端

在客户机上打开浏览器，访问FireAMP 设备的数据端口，在控制台工具栏上点击“Management →Quick Start”项，然后点击“Set up FireAMP Windows Computer”项，可以下载Windows 版的FireAMP 客户端软件。

点击“Set up FireAMP Mac Computer”项，可以下载Mac 版的FireAMP 客户端软件。这里选择前者，点击“Start”按钮，会显示常用的安全软件列表，如果客户端安装了这些软件的话，点击“Add security product”按钮，可以帮助用户配置对应的安全软件防冲突策略。

之后提示客户端是否使用代理服务器上网，接着让用户选择所需的客户端类型，依次包括仅审核策略、保护策略、诊断策略、服务器策略和域控策略等行类型。

如果需要对系统进行正常保护，可以在“Protect”栏中点击“Download”按钮下载客户端软件。而如果需要保护服务器，则可以在“Server”栏中下载，如果需要保护域控，可以在“Domain Controller”栏中下载。如果客户端已经被病毒感染，可以在“Triage”栏中下载等。

这里在“Protect”栏点击“Download”按钮，下载名为“Protect_FireAMPSetup.exe”的客户端软件，可以将其分发给所有的客户端，便于在客户端上进行安装。

在客户端上运行该软件，它会自动连接到AMP 私有云，在主界面上点击“Scan Now”按钮，在打开窗口中点击“Flash Scan”按钮，可以执行快速扫描操作。点击“Custom Scan”按钮，可以进行自定义扫描。点击“Full Scan”按钮，可以执行全面扫描操作。

可以看到，它实际上是一个企业级的杀毒软件，因此，在客户端上是无法对其进行设置的，所有的配置信息都是由管理端推送下来的。

在其主界面上点击“Settings”按钮，在设置窗口中点击“Sync Policy”按钮，执行设置信息同步操作。在SourceFire 控制台上点击工具栏上的“Management →Deployment Summary”项，显示部署了SourceFire 客户端软件的主机信息。点击“Management →Computer”项，在对应客户机项目栏中点击“Scan”按钮，可以针对该机执行远程扫描操作。

当然，在客户机上执行的后台扫描操作，点击工具栏上的“Dashboard”项，在“Events”面板中显示相关的事件信息。

这样，当内网客户端下载了包含病毒等恶意软件的文件时，就会在Firepower 防火墙上和SourceFire 客户端程序上同时被检测到，将病毒及时隔离或者清除。

在SourceFire控制台中打开上述在“Events”面板，会显示相关的检测到病毒的提示信息。在对应病毒检测项目右侧点击文件路径图标，会进一步显示该病毒文件在网络中的活动轨迹信息。

点击进程路径信息，会进一步显示病毒在进程中的活动信息，例如，病毒是由哪个进程（例如浏览器等）下载的等等。