APP下载

实例解析FirePower防火墙安全管理机制

2019-12-22河南郭建伟

网络安全和信息化 2019年7期
关键词:网管工具栏列表

■ 河南 郭建伟

编者按:传统的防火墙面对不断出现的新威胁,已经逐渐变得力不从心难以从容应对,面对日益复杂的网络安全形势,以FirePower为代表的下一代防火墙应运而生。和传统的ASA等防火墙不同,FirePower等防火墙本地基本上是不可管理的,只能为其配置一个网管IP地址,同时需要配置一个FMC网管中心,添加FirePower防火墙IP地址,由FMC统一进行管理。

搭建简单的实验环境

对于硬件FirePower设备来说,也可以激活其自身的设备管理功能,对其进行图形化管理。但是这种管理方式同FMC统一管理相比存在很多不足,FMC可以在各个设备上统一监控和配置,统一收集各种信息,可以对于内网的设备进行渗透测试,实现高级的自动化管理。也就是说,使用独立的网管方式将缺失很多安全功能。这里使用简单的例子来说明如何配置FirePower防火墙。

在某款FirePower防火墙的G0/0接口连接外部网络,其 IP为 200.101.1.10。G0/1接口连接内部网络,内网网段为192.168.1.0/24,G0/1接口的IP为192.168.1.110,FirePower防 火 墙管理端口IP为192.168.1.105,FMC管理主机的IP为192.168.1.106。 对FMC进行管理的客户机的IP为192.168.1.107,内 网 中 一台Windows Server 2008作为DNS服务器使用,IP为192.168.1.200。

配置FMC主机,设置管理密码和主机名(如“fmc.xxx.com”),DNS地址、域名、管理IP(如“192.168.1.105”),网关地址等信息。在配置FirePower时需要设置底层的管理密码、设备的全域名(如“ftd.xxx.com”)、DNS 地址、网管口地址等信息,为便于FMC集中管理,不需选择本地网管功能,将防火墙模式设为路由模式。

登录到FirePower设备,输入用户名(默认为“admin”)和密码,在“>”提示符下执行“show network”命令查看网络配置信息。执行“configure network”命令,可根据需要配置所需参数。例如执行“configure network ipv4”命令可配置和IPv4相关参数,执行“show managers”命令,如果显示“No Managers configured”信息,说明未配置管理信息,FMC中将无法添加本设备。执 行“configure manager add 192.168.1.106 xxx”命令添加管理信息,其中“192.168.1.106”为FMC主机IP。“xxx”为FMC管理密码。

配置和管理FTD防火墙

在内网中的客户机上打开浏览器,访问“https://192.168.1.106”地址,在FMC登录界面中输入账户名和密码,进入FMC网管中心界面。

值得说明的是,新款思科设备使用的都是Smart License授权模式。Smart License授权是指授权必须和用户的思科账户相关联,点击工具栏上的“System” →“License” →“Smart License”项,点击“Register”按钮来获取授权。当然设备必须在线关联用户的思科账户,通过该账户得到所需的授权信息,即授权信息是在线获取的。

点击工具栏上的“Policies” →“Access Control” →“Access Control”项,默认访问策略是空的,点击“Add a new policy”链接,在新建策略窗口中的“Name”栏总输入策略的名称(例如“FTDPolicy”),其余设置保持默认,点击“Save”按钮保存该策略。在列表中域该策略对应的“Default Action”列表中选择“Access Control:Trust All Traffic”项,允许放行所有的流量。点击工具栏上的“Devices”项,在右侧点击“Add”→“Device”项,在打开窗口中的“Host”栏中 输 入“192.168.1.105”,即FTD的网管地址。在“Display Name”栏中输入其名 称(例 如“FTDDevice”),在“Registration Key” 栏中输入FMC管理密码,在“Access Control Policy”栏中选择上述访问策略。在“Smart License”栏中选择“Malware”,“Threat”,“URL Filter”项,开启防恶意软件,入侵防御,地址过滤等功能,点击“Register”按钮,将该设备注册上来。

选中该设备,在右侧点击“Edit”按钮,在属性窗口 中 的“Interfaces” 面板中显示其拥有的接口信息,点击“GigabitEthernet 0/0”接口,在编辑窗口中的“Name”栏中输入名称(例 如“Outside”),选 择“Enabled”项,在“Security Zone”列表中选择“New…”项,输入新的Zone的名称(例 如“OutsideZone”),因为FirePower是基于区域的防火墙,所以必须创建对应的Zone。当然,在一个Zone中可以包含多个接口。在“IPv4”面板中的“IP Address”栏中输入外网网段(例 如“200.101.1.10/24”),点击“OK”按钮完成该该接口的配置。

对 应 的,在“Gigabit Ethernet 0/1”接口的编辑窗口中“Name”栏中输入其名称(例如“Inside”),选择“Enabled”项,在“Security Zone”列表中选择“New…”项,输入新的Zone的名称(例如“InsideZone”),在“IPv4”面 板 中 的“IP Address”栏中输入外网网段(例如“192.168.1.10/24”),点 击配置页面右上部的“Save”按钮保存配置信息。在该FTD设备边界界面的“Routing”面板左侧选择“Static Route”项,在右侧点击“Add Route”按钮,在打开窗口中的“Interface”列表中选择“Outside”项,在左侧列表中选择“any→ipv4”项,点击“Add”按钮将其导入进来。

在“Gateway”栏中输入网关地址(例如“200.101.1.254”),点击“OK”按钮保存配置。仅仅在FMC创建和保存FTD的参数信息,对于FTD设备来说是没有意义的,例如在FTD控制台中执 行“show interface ip brief”命令,可以看到接口没有任何配置信息。必须在FMC管理界面工具栏右侧点击“Deploy”按钮,才可以将上述配置信息推送到FTD设备上并生效。当部署成功后,在FTD控制台上执行“show running config route”命令,可以查看到预先配置的路由信息。

防御网络攻击行为

经过以上配置,仅仅是开启了FirePower防火墙的路由功能,允许内部和外部的用户可以通过FirePower防火墙进行访问。为了防御来自外部的攻击,需要在FMC管理界面工具栏打开上述“FTDPolicy”策略,在其所对应的“Default Action”列表中选择“Access Control:BlockAll Traffic”项,禁止所有的流量。之后根据需要,来创建对应的控制策略。

例如在“Mandatory”栏中点击“Add Rule”链接,在新建策略窗口中输入其名 称(例 如“PermitDns”),在“Action”列 表 中 选 择“Allow”项,在“Ports”面板左侧选择“DNS_over_UDP” 项, 点 击“Add to Destination”按钮,将其添加进来。点击“Add”按钮,就可以放行所有的DNS流量。选择该策略,在其右键菜单上点击“Insert new rule”项,创建新的规则,输入名称(例如“FIleShare”),在“Zones”面板左侧选择“Outside”项,点击“Add to Source”按钮将其添加进来。

选 择“Inside”项,点击“Add to Destination”按钮添加进来,则只允许来自外部访问内部网络。在“Networks”面板左侧点击“+”按钮,在弹出菜单中选择“Add Object”项,在打开窗口中输入该对象的名称(例如“wbwl”), 在“Network”栏中输入其地址范围(例如“200.101.1.0/24”), 点击“Save”按钮创建该对象。按照同样方法,创建新的对象,输入其名称(例如“FIleServer”) 及 IP(例如某台文件服务器,其地址为“192.168.1.109”)。 选择 上 述“wbwl”对 象,点击“Add to Source”按钮,将其添加进来。选择上述“FIleServer”对 象,点 击“Add to Destination”按钮,将其添加进来。

这样,只有指定IP范围的外部设备才可以访问指定的内网主机,在“Ports”面板左侧点击“+”按钮,在弹出菜单中选择“Add Object”项,创建一个新的对象,输入 其 名 称(例 如“DK1”),在“Protocol”栏 中 选 择“TCP”项,在“Port”栏中输入“445”。之后选择该对象,点击“Add to Destination”按钮,将其添加进来。这样,就允许上述外部设备访问内部指定主机的特定端口。

按照上述方法,创建新的规则,输入其名称(例如“ToInternet”),在“Zones”面板左侧选择“Outside”项,点击“Add to Destination”按钮,将其添加进来,选择“Inside”项,点击“Add to Source”按钮,将其添加进来,则只内网主机访问外部网络。点击工具栏上的“Deploy”按钮,将其部署到FDT防护墙上。这样,当外部用户试图对内部的主机进行渗透攻击时,就会遭到FirePower防火墙的拦截,导致其会话无法建立,自然无法进行有效攻击。当然,这里只是创建了很简单的控制规则,在实际使用中可以根据需要,创建更加数量更多更加复杂的规则。

拦截反弹型网络攻击

为了突破防火墙的限制,黑客可能会使用反弹攻击进行入侵。其特点是先连接到内部目标主机,之后由该主机主动和黑客主机进行连接,这样就可能突破防火墙的限制。例如黑客攻击了上述文件服务器,并其建立了连接,之后让该服务器主动和黑客建立连接,这样常规的控制方法就失效了。

为此可以使用FirePower防火墙的入侵防御机制,识别流量中的异常信息,来进行拦截。

在上述“ToInternet”规则右侧点击“编辑”按钮,在打开窗口的“Inspection”面板中的“Intrusion Policy”列表中显示自带的策略,包括“Maximum Detection”(最大防御)、“Connectivity Over Secure”(连接优于防御)、“Balanced Security and Connectivity”(平衡安全和连接)、“Security Over Connectivity”(安全优于连接)等。您可以根据需要进行选择,这里选择“Security Over Connectivity”策略,主要突出安全性。

点 击“Save”按 钮,可以看到上述规则右侧的主动防御图标处于激活状态。点击“Deploy”按钮,执行具体的部署操作。这样,当黑客试图执行反弹攻击时,就会被防火墙识别并拦截。点击工具栏上的“Analysis”→“Intrusions”→“Events”项,可以查看防火墙拦截的入侵行为。点击对应的事件项目,可以查看详细的报告信息。由此可以看出,仅仅拥有防火墙功能是不够的,必须和IPS功能有效结合,才可以有效保证内部网络的安全。

防御病毒入侵,保护数据安全

对于病毒等恶意软件来说,会对网络安全造成很大威胁。利用FirePower防火墙的防病毒功能可以有效进行防御。在FMC管理界面中点击“Policies”→“Access Control” →“Malware &File”项,点击“Add a new policy”链接,在新建策略窗口中输入其名称(例如“Antivirus”),点 击“Save”按钮创建该策略。对于这种策略来说,可以实现防病毒和放数据丢失双重任务。对于后者来说,禁止将企业内部的重要数据传输到外部。

点 击“Add Rule” 按钮,在创建规则窗口中的“Application Protocol”列表中选择合适的数据传输协议,在“Direction of Transfer”列表中选择传输的方式,包括上传、下载或所有方式等。在“Action”列表中选择控制方式,包括检测文件、阻止文件、云检测和拦截病毒等。在“File Type Categories”列表中选择文件的分类,在“File Type”列表中选择具体的文件类型,点击“Add”按钮,添加合适的文件类型。例如禁止Word类型的文件传输等。

注意,FirePower判断文件类型依据的是特征码,即使更改了文件后缀也无法避开检测。

对于FirePower等下一代防火墙来说,不仅使用特征码分析文件类型,对于具体的应用来说,不再采用具体的端口进行判断,是依据对应用特性和特征码进行分析进行检测的,和其究竟使用什么端口没有关系。对于加密文件来说,如果压缩的层级过多,或者使用了密码保护的话,都会被防火墙拦截,并且会将其单独保存起来,供之后进行分析之用。

这里主要介绍如何阻止恶意程序,所以在“Action”列表中选择“Block Malware”项,对病毒进行拦截。在其下选择分析引擎,包括分析EXE文件、动态分析、云端沙盒分析、本地分析等。

选 择“Reset Connection”项,表示如果发现问题,则将目标会话踢掉。如果发现问题,可以在“Store Files”栏中选择保存的文件类型,包括恶意软件和位置文件等。在“File Type Categories”列表中选择诸如Office文档,压缩文件。可执行文件,PDF文档,系统文件等。

注 意,对 于“Dynamic Analysis Capable” 类 型来说,可以在云端进行分析。 选 择“Local Malware Analysis Capable”项,只能在本地进行分析。点击“Save”按钮,保存该策略。

对于下一代防火墙来说,特点之一就是采用了单一策略管理机制,即对IPS、防病毒等策略必须在同一个访问控制规则中被统一调用。在FMC中打开上述上 述“FTDPolicy” 策 略,在其编辑窗口中选择上述“ToInternet”规 则,在 编辑界面中的“Users”面板中可以对用户进行控制,在“Applications”面板中对应用进行控制,在“URLs”面板中对网址进行过滤。

在“Inspection”面板中的“File Policy”列表中选择上述“Antivirus”策略,保存之后点击工具栏上的“Deploy”按钮,将其部署到FirePower防火墙上。

这样,当内网用户试图访问Internet上可疑文件(例如下载的文件件包含病毒等),就会防火墙直接拦截。当然,FirePower支持SSL卸载功能,可以拦截加密流量,这里限于篇幅就不再赘述了。点击“Analysis” →“File”→“Malware Events”项,可以查看和恶意文件拦截相关的日志信息。

猜你喜欢

网管工具栏列表
“玩转”西沃白板
学习运用列表法
SDN 网络管理关键技术应用分析与改进思路
扩列吧
北京市中小学网管教师培训需求研究
列表画树状图各有所长
“五制配套”加强网管
设计一种带工具栏和留言功能的记事本
2011年《小说月刊》转载列表
计算机网络管理维护探析