- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
47-安全防護
本章節下載: 47-安全防護 (1.14 MB)
目 錄
在IPv4局域網中,通過ARP協議將IP地址轉換為MAC地址。ARP協議對網絡安全具有重要的意義,但是當初ARP方式的設計沒有考慮到過多的安全問題,留下很多隱患,使得ARP攻擊成為當前網絡環境中遇到的一個非常典型的安全威脅。
在IPv6局域網中,通過ND協議將IP地址轉換為MAC地址。由於 ND 協議並未提供認證機製,導致網絡中的節點不可信,也使攻擊者有機可乘,可針對 ND 協議發起一係列攻擊。
通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量,使網絡阻塞,攻擊者隻要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存,造成網絡中斷或中間人攻擊。
受到ARP攻擊後會出現無法正常上網、ARP包爆增、不正常或錯誤的MAC地址、一個MAC地址對應多個IP、IP衝突等情況。ARP攻擊因為技術門檻低,易於實現,在現今的網絡中頻頻出現,有效防範ARP攻擊已成為確保網絡暢通的必要條件。
設備的防ARP/ND攻擊功能有效識別ARP/ND欺騙攻擊和ARP/ND flood攻擊,對疑似攻擊的行為告警,並配合IP-MAC綁定、主動保護發包及關閉ARP/ND學習等,有效防範ARP/ND攻擊造成的損害。
通過菜單“策略配置 > 安全設置 > 安全防護 > ARP/ND防護 > ARP表”進入ARP表顯示界麵,如下圖所示。
圖1-1 ARP表項顯示
通過菜單“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > ND表”進入ND表顯示界麵,如下圖所示。
圖1-2 ND表項顯示
通過菜單“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > ARP/ND Flood攻擊”使用該功能,如下圖所示。
圖1-3 ARP/ND Flood攻擊設置頁麵
表1-1 ARP/ND Flood攻擊防護詳細配置描述表
|
配置項 |
說明 |
|
啟用防ARP flood |
點選啟用防ARP Flood攻擊 |
|
ARP攻擊識別閾值 |
一秒內收到ARP報文的數量,缺省配置為300個/秒。 |
|
ARP攻擊主機抑製時長 |
設置阻斷時間,當係統檢測到攻擊時,在配置的時長內拒絕來自於該台源主機的所有其它包,缺省配置為60秒。 |
|
啟用防ND flood |
點選啟用防ND Flood攻擊。 |
|
ND攻擊識別閾值 |
一秒內收到ND報文的數量,缺省配置為300個/秒。 |
|
ND攻擊主機抑製時長 |
設置阻斷時間,當係統檢測到攻擊時,在配置的時長內拒絕來自於該台源主機的所有其它包,缺省配置為60秒。 |
通過菜單“安全中心>其它防護>ARP/ND攻擊防護>防ARP欺騙”使用該功能。
圖1-4 防ARP欺騙設置頁麵
表1-2 防ARP欺騙詳細信息描述表
|
配置項 |
說明 |
|
關閉ARP學習 |
缺省情況下啟用ARP學習,關閉後隻要是不匹配IP-MAC綁定表的報文都將被丟棄 |
|
主動保護 |
點選啟用主動保護發包功能,每隔一定時間間隔發送一次主動保護列表上的免費ARP報文 |
|
時間間隔 |
發送主動保護列表上的ARP的時間間隔,缺省配置為1秒 |
如圖1-4所示,在防ARP欺騙設置頁麵中,選擇主動保護列表下的<新建>按鈕,將彈出如下頁麵。
圖1-5 主動保護列表頁麵
表1-3 主動保護詳細信息描述表
|
配置項 |
說明 |
|
接口 |
ARP報文發送接口 |
|
接口保護 |
在保護列表中加入接口地址 |
|
IP地址&MAC地址 |
廣播ARP報文的IP和MAC |
如下圖所示,通過菜單“安全中心>其它防護>ARP/ND攻擊防護>防ND欺騙”使用該功能。
圖1-6 防ND欺騙設置頁麵
表1-4 防ND欺騙詳細信息描述表
|
配置項 |
說明 |
|
關閉ND學習 |
缺省情況下啟用ND學習,關閉後隻要是不匹配IP-MAC綁定表的報文都將被丟棄 |
|
ND反向查詢 |
點選啟用或者不啟用ND反向查詢功能 |
|
IP地址數檢查 |
每個MAC對應的IP地址的最大值,參數為0不檢查,如果mac地址對應的IP地址數量多於設定值則產生告警 |
|
主動保護 |
點選啟用主動保護發包功能,每隔一定時間間隔發送一次主動保護列表上的免費ARP報文 |
|
時間間隔 |
發送主動保護列表上的ND時間間隔,缺省配置為1秒 |
在防ND欺騙設置頁麵中,選擇主動保護列表下的<新建>按鈕,將彈出如下頁麵。
圖1-7 主動保護列表頁麵
表1-5 主動保護詳細信息描述表
|
配置項 |
說明 |
|
接口 |
ND報文發送接口 |
|
接口保護 |
在保護列表中加入接口地址 |
|
IP地址&MAC地址 |
ND報文的IP和MAC |
如下圖所示,通過菜單“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > ARP/ND 學習控製”使用該功能。
圖1-8 ARP/ND學習控製頁麵
如圖圖1-8所示,點擊“新建”,進入接口的ARP/ND控製子頁麵。
圖1-9 接口ARP/ND學習控製子頁麵
表1-6 接口ARP/ND學習控製子頁麵詳細配置描述表
|
配置項 |
說明 |
|
接口 |
選擇接口 |
|
ARP控製 |
啟用或不啟用ARP控製 |
|
ND控製 |
啟用或不啟用ND控製 |
將接口ge1加入防ARP欺騙的主動保護列表中。保護的IP和MAC分別為:2.2.2.2和00:de:ad:00:00:0c。
(1) 進入“安全中心>其它防護>ARP/ND攻擊防護>防ARP欺騙”,點擊主動保護列表下麵的<新建>按鈕,進入主動保護列表配置頁麵
(2) 選擇接口為ge1,輸入要保護的IP和MAC地址,點擊“添加到列表”。
圖1-10 主動保護列表配置頁麵
(3) 點擊<提交>按鈕後,可以在防ARP欺騙頁麵看到已添加的主動保護列表信息。
圖1-11 防ARP欺騙頁麵
如下圖所示,公司內網有多台服務器設備,防止服務器被局域網內PC進行ND欺騙造成服務器無法正常訪問。
圖1-12 防ND欺騙配置舉例組網圖
(1) 進入“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > 防ND欺騙”;關閉ND學習,開啟ND反向查詢,設置每MAC地址IP數檢查,開啟接口主動保護,然後點擊提交按鈕提交配置。
圖1-13 防ND欺騙配置
圖1-14 啟用防ND欺騙
進入“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > IP-MAC綁定”;綁定被保護服務器的IPMAC地址,勾選唯一性,然後點擊提交按鈕提交配置。
圖1-15 配置IP-MAC綁定
進入“策略配置 > 安全設置 > 安全防護 > ARP/ND攻擊防護 > ARP/ND Flood攻擊”;設置閾值和抑製時長,然後點擊提交按鈕提交配置。
圖1-16 配置ND Flood攻擊防護
如下圖所示,進入“數據中心>安全日誌>安全防護日誌”,進入安全防護日誌顯示頁麵,可以查看防ND欺騙日誌。
圖1-17 安全防護日誌
在網絡中,有時會有一些帶有攻擊性質的報文傳輸,通常這些報文能對目標主機進行破壞,異常報文攻擊防護能對這些報文進行攔截並報日誌。
通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦”進入異常包攻擊防禦的配置界麵,如圖1-18所示。
表1-7 異常報文攻擊防護詳細配置描述表
|
配置項 |
說明 |
|
Ping of Death |
ping-of-death攻擊是通過向目的主機發送長度超過65535的icmp報文,使目的主機發生處理異常而崩潰。 配置了防ping-of-death攻擊功能後,設備可以檢測出ping-of-death攻擊,丟棄攻擊報文並根據配置輸出告警日誌信息。 |
|
Land-Base |
Land-base攻擊通過向目的主機發送目的地址和源地址相同的報文,使目的主機消耗大量的係統資源,從而造成係統崩潰或死機。 配置了防land-base攻擊功能後,設備可以檢測出Lland-base攻擊,丟棄攻擊報文並根據配置輸出告警日誌信息。 |
|
Tear-drop |
tear-drop攻擊通過向目的主機發送報文偏移重疊的分片報文,使目的主機發生處理異常而崩潰配置了防Tear-drop攻擊功能後,設備可以檢測出Tear-drop攻擊,並輸出告警日誌信息。 因為正常報文傳送也有可能出現報文重疊,因此設備不會丟棄該報文,而是采取裁減、重新組裝報文的方式,發送出正常的報文。 |
|
Tcp flag |
TCP 異常攻擊防護功能開啟後,缺省情況下當安全網關發現受到TCP 異常攻擊後,會丟棄攻擊包。 |
|
Winnuke |
Winnuke攻擊通過向目的主機的139、138、137、113、53端口發送TCP緊急標識位URG為1的帶外數據報文,使係統處理異常而崩潰。 配置了防Winnuke攻擊功能後,可以檢測出Winnuke攻擊報文,丟棄攻擊報文並根據配置輸出告警日誌信息。 |
|
Smurf |
這種攻擊方法結合使用了IP欺騙和ICMP回複方法使大量網絡傳輸充斥目標係統,引起目標係統拒絕為正常係統進行服務。 Smurf攻擊通過使用將回複地址設置成受害網絡的廣播地址的ICMP應答請求(PING)數據包,來淹沒受害主機,最終導致該網絡的所有主機都對此ICMP應答請求做出答複,導致網絡阻塞。 |
|
IP-Spoof |
防護IP地址欺騙攻擊,暫時用反向路由檢測來實現,如果反向路由不存在或者反向路由查詢結果是存在,但是該IP 為目的地址的數據包離開設備的接口和收到報文的接口不一致,則認為是攻擊。 |
|
Jolt2 |
Jolt2攻擊通過向目的主機發送報文偏移加上報文長度超過65535的報文,使目的主機處理異常而崩潰。 |
|
tcp sack |
當tcp 的mss很小,並且不停發布連續報文時,會觸發漏洞。 |
配置異常報文攻擊防護,開啟Land-Base攻擊防護和IP-Spoof攻擊防護。
通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦”打開異常報文攻擊防禦顯示頁麵,點擊勾選Land-Base攻擊防護和IP-Spoof攻擊防護選項,如圖1-19所示,點擊<提交>按鈕,配置完成。
如圖1-20所示,通過菜單“策略配置>安全設置>安全防護>異常包攻擊防禦>IPv6異常包攻擊”使用該功能。
圖1-20 IPv6異常包攻擊防禦的配置界麵
表1-8 IPv6異常包攻擊詳細信息描述表
|
配置項 |
說明 |
|
Winnuke |
winnuke報文攻擊 |
|
Land-Base |
Land-Base報文攻擊 |
|
TCP flag |
異常的TCP flag報文攻擊 |
|
Fraggle |
Fraggle報文攻擊 |
|
IP Spoof |
IP地址欺騙攻擊 |
IPv6異常包攻擊的配置和顯示等都在一個頁麵。
配置設備 進行IPv6異常的TCP flag報文攻擊防護功能。
如圖1-21所示,通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦 > IPv6異常包攻擊”打開顯示頁麵,點擊勾選TCP flag攻擊防護選項,點擊<提交>按鈕,配置完成。
圖1-21 IPv6異常包攻擊配置頁麵
掃描攻擊是指,攻擊者運用掃描工具對網絡進行主機地址或端口的掃描,通過準確定位潛在目標的位置,探測目標係統的網絡拓撲結構和啟用的服務類型,為進一步侵入目標係統做準備。設備可以有效防範以上攻擊,從而阻止外部的惡意攻擊,保護設備和內網。當檢測到此類掃描探測時,向用戶進行報警提示。
通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦 > 掃描攻擊防禦”進入掃描攻擊防禦顯示界麵,如圖1-22所示。點擊<新建>按鈕,進入新建掃描攻擊防禦界麵,如圖1-23所示。
在該頁麵上,顯示所有配置的掃描攻擊防護表項,同時能夠<新建>、<編輯>和<刪除>等。
表1-9 掃描攻擊防禦詳細信息描述表
|
配置項 |
說明 |
|
選擇接口 |
選擇需要防護的接口 |
|
掃描閾頻率 |
需要防護的閾值 |
|
加入黑名單 |
啟用加入黑名單的選項 |
|
加入黑名單的時間 |
將源IP加入黑名單的時間 |
開啟ge1接口的掃描攻擊防禦功能,采用缺省配置。
(1) 如圖1-24所示,通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦 > 掃描攻擊防禦”打開顯示頁麵,點擊顯示頁麵的<新建>按鈕。
(2) 如圖1-25所示,在彈出的新建頁麵中進行配置,勾選“啟用端口掃描防護”和“啟用IP掃描防護”,使用缺省配置。
(3) 點擊<提交>按鈕,完成掃描攻擊防護的配置。
如圖1-26所示,通過菜單“策略配置 > 安全設置 > 安全防護 > 異常包攻擊防禦 > 掃描攻擊防禦”打開掃描攻擊防禦顯示頁麵,在顯示頁麵中看到剛才配置的規則,如圖1-26所示。
DoS攻擊是指,攻擊者在短時間內向目標係統發送大量的虛假請求,導致目標係統疲於應付無用信息,而無法為合法用戶提供正常服務,即發生拒絕服務。
當前支持對以下四種攻擊進行有效防範:
由於資源的限製,TCP/IP協議棧隻能允許有限個TCP連接。SYN Flood攻擊者向服務器發送偽造源地址的SYN報文,服務器在回應SYN ACK報文後,由於目的地址是偽造的,因此服務器不會收到相應的ACK報文,從而在服務器上產生一個半連接。若攻擊者發送大量這樣的報文,被攻擊服務器上會出現大量的半連接,耗盡其係統資源,使正常的用戶無法訪問,直到半連接超時。
ICMP Flood攻擊是指,攻擊者在短時間內向特定目標發送大量的ICMP請求報文,使其忙於回複這些請求,致使目標係統負擔過重而不能處理正常的業務。
UDP Flood攻擊是指,攻擊者在短時間內向特定目標發送大量的UDP報文,致使目標係統負擔過重而不能處理正常的業務。
DNS Query Flood 攻擊采用的方法是向被攻擊的DNS 服務器發送大量的域名解析請求,通常請求解析的域名是隨機生成或者是網絡上根本不存在的域名。被攻擊的DNS 服務器在接收到域名解析請求時,首先會在服務器上查找是否有對應的緩存,如果查找不到並且該域名無法直接由服務器解析時,DNS 服務器會向其上層DNS 服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載,每秒鍾域名解析請求超過一定的數量就會造成DNS 服務器解析域名超時。
通過菜單“策略配置 > 安全設置 > 安全防護 > DoS攻擊防護 > 目的IP防禦”進入目的IP防禦的顯示界麵,如圖1-27所示。點擊<新建>按鈕,彈出目的IP防禦的配置界麵,如圖1-28所示。
圖1-27 目的IP防禦顯示界麵
圖1-28 新建目的IP防禦界麵
表1-10 配置說明
|
配置項 |
說明 |
|
指定保護主機的IP地址 |
指定保護地址範圍 |
|
SYN Flood閾值 |
每秒發往目的IP的最大SYN報文個數 |
|
UDP Flood閾值 |
每秒發往目的IP的最大UDP報文個數 |
|
ICMP Flood閾值 |
每秒發往目的IP的最大ICMP報文個數 |
|
DNS Flood閾值 |
每秒發往目的IP的最大DNS報文個數 |
配置保護IP地址為1.1.1.1-1.1.1.10,開啟UDP Flood防禦閾值為1000的規則。
(1) 如圖1-29所示,通過菜單“策略配置>安全設置>安全防護>DoS攻擊防護>目的IP防禦”打開顯示頁麵,點擊上麵的<新建>按鈕,如圖1-30所示,在彈出的新建頁麵中進行配置。
圖1-29 目的IP防禦顯示頁麵
圖1-30 目的IP防禦配置頁麵
(2) 完成配置後,點擊<提交>按鈕,規則創建成功。
通過菜單“策略配置 > 安全設置 > 安全防護 > DoS攻擊防護 > 接口防禦”進入接口防禦顯示界麵,如圖1-31所示。點擊<新建>按鈕後,將彈出新建接口防禦界麵,如圖1-32所示。
表1-11 配置說明
|
配置項 |
說明 |
|
接口名 |
選擇需要防護的接口名稱 |
|
SYN Flood選項 |
對每台源主機進行流限製:設置源主機的流限製閾值 對目標主機限製最大連接:設置目的主機的最大連接 |
|
UDP Flood選項 |
對每台源主機進行流限製:設置源主機的流限製閾值 對目標主機限製最大連接:設置目的主機的最大連接 |
|
ICMP Flood選項 |
對每台源主機進行流限製:設置源主機的流限製閾值 對目標主機限製最大連接:設置目的主機的最大連接 |
|
DNS Flood選項 |
對每台源主機進行流限製:設置源主機的流限製閾值 對目標主機限製最大連接:設置目的主機的最大連接 |
ge1接口,開啟UDP flood防禦,並設置其對源主機和目的主機的限製閾值都為1000。
通過菜單“策略配置 > 安全設置 > 安全防護 > DoS攻擊防護 > 接口防禦”,打開如圖1-33所示接口防禦的顯示頁麵,點擊<新建>按鈕,在彈出的新建頁麵進行配置。配置完成後,點擊<提交>按鈕,完成接口防禦的配置。
Address Resolution Protocol (ARP)是尋找IP地址所對應的MAC地址的一種協議。
在以太網中,對於處於同一子網的兩個通信實體來說,一次IP通信過程大致如下:
當源端發送一個IP包之前,它必須知道目的端的MAC地址才可以完成封裝,可是此時源端隻能知道目的端的IP地址(通過用戶的事先配置或者查路由表),這樣就必須依靠ARP協議來完成目的端MAC地址的解析。因此源端發送一個包含目的IP地址的ARP 請求,目的端收到後向源端返回ARP應答,通告自己的MAC地址,源端獲得目的端MAC地址後才可以將IP包封裝在以太網頭中發送出去。
由於網絡中可能存在一些攻擊軟件仿冒某台主機上網,逃過跟蹤。為了避免這種情況,設備實現了IP-MAC綁定功能,把用戶的MAC和IP綁定起來。配置了IP-MAC綁定後,通過設備的報文的MAC和IP必須嚴格一致,否則報文將被丟棄。
通過菜單“策略配置>安全設置>安全防護>ARP攻擊防護>IP-MAC綁定”進入IP-MAC綁定顯示界麵,如圖1-34所示。點擊<新建>按鈕後,將彈出新建IP-MAC綁定界麵,如圖1-35所示。
圖1-34 IPMAC綁定顯示界麵
圖1-35 IP-MAC綁定添加
表1-12 配置說明
|
配置項 |
說明 |
|
名稱 |
IP-MAC綁定項的名稱 |
|
描述 |
規則描述信息 |
|
IP地址 |
綁定的IP地址 |
|
MAC地址 |
綁定的MAC地址 |
|
唯一性 |
綁定類型 開啟表示一個MAC和一個IP地址唯一對應,關閉表示一個MAC地址和多個IP地址對應 |
配置名為test的IPMAC綁定規則,將IP地址2.2.2.2和MAC地址00:de:ad:00:00:0c進行綁定。
(1) 通過菜單“策略配置>安全設置>安全防護>ARP攻擊防護>IP-MAC綁定”打開如圖1-36的IPMAC綁定顯示頁麵,點擊<新建>按鈕。
(2) 在彈出的新建頁麵中,對規則進行配置,完成後點擊<提交>按鈕。
圖1-36 IPMAC綁定配置頁麵
在局域網中,通信前必須通過ARP協議將IP地址轉換為MAC地址。ARP協議對網絡安全具有重要的意義,但是當初ARP方式的設計沒有考慮到過多的安全問題,留下很多隱患,使得ARP攻擊成為當前網絡環境中遇到的一個非常典型的安全威脅。
通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量,使網絡阻塞,攻擊者隻要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存,造成網絡中斷或中間人攻擊。
受到ARP攻擊後會出現無法正常上網、ARP包爆增、不正常或錯誤的MAC地址、一個MAC地址對應多個IP、IP衝突等情況。ARP攻擊因為技術門檻低,易於實現,在現今的網絡中頻頻出現,有效防範ARP攻擊已成為確保網絡暢通的必要條件。
設備的防ARP攻擊功能有效識別ARP欺騙攻擊和ARP flood攻擊,對疑似攻擊的行為告警,並配合IP-MAC綁定、主動保護發包及關閉ARP學習等,有效防範ARP攻擊造成的損害。
通過菜單“策略配置 > 安全設置 > 安全防護 > ARP攻擊防護 > ARP表”進入ARP表顯示界麵,如圖1-37所示。
圖1-37 ARP表項顯示
如圖1-38所示,通過菜單“策略配置 > 安全設置 > 安全防護 > ARP攻擊防護 > ARP Flood攻擊”使用該功能。
圖1-38 ARP Flood攻擊設置頁麵
表1-13 ARP Flood攻擊防護詳細配置描述表
|
配置項 |
說明 |
|
啟用 |
點選啟用防ARP Flood攻擊 |
|
ARP攻擊識別閾值 |
一秒內收到ARP報文的數量,缺省配置為300個/秒 |
|
攻擊主機抑製時長 |
設置阻斷時間,當係統檢測到攻擊時,在配置的時長內拒絕來自於該台源主機的所有其它包,缺省配置為60秒 |
如圖1-39所示,通過菜單“策略配置 > 安全設置 > 安全防護 > ARP攻擊防護 > 防ARP欺騙”使用該功能。
圖1-39 防ARP欺騙設置頁麵
表1-14 防ARP欺騙詳細信息描述表
|
配置項 |
說明 |
|
ARP防欺騙攻擊 |
點選啟用ARP防欺騙攻擊 |
|
關閉ARP學習 |
缺省情況下啟用ARP學習,關閉後隻要是不匹配IP-MAC綁定表的報文都將被丟棄 |
|
主動保護 |
點選啟用主動保護發包功能,每隔一定時間間隔發送一次主動保護列表上的免費ARP報文 |
|
時間間隔 |
發送主動保護列表上的ARP的時間間隔,缺省配置為1秒 |
點選圖1-40防ARP欺騙設置頁麵中的保護列表下的<新建>按鈕後,將彈出如下頁麵。
表1-15 主動保護詳細信息描述表
|
配置項 |
說明 |
|
接口 |
ARP報文發送接口 |
|
接口保護 |
在保護列表中加入接口地址 |
|
IP地址&MAC地址 |
廣播ARP報文的IP和MAC |
將接口ge1加入防ARP欺騙的主動保護列表中。保護的IP和MAC分別為:2.2.2.2和00:de:ad:00:00:0c。
(1) 先選中圖1-41防ARP欺騙設置中的ARP防欺騙攻擊<啟用>按鈕,可以看到主動保護列表下的<新建>按鈕可選了,點擊後會彈出主動保護列表的配置頁麵。
(2) 選擇接口為ge1,輸入要保護的IP和MAC地址,點擊“添加到列表”。
(3) 如圖1-42所示,點擊<提交>按鈕後,可以在防ARP欺騙頁麵看到我們加入的ge1接口。
圖1-42 防ARP欺騙頁麵
行為模型(又名DNS隧道),是隱蔽信道的一種,通過將其它協議封裝在DNS協議中傳輸建立通信。因為在我們的網絡世界中DNS是一個必不可少的服務,所以大部分防火牆和入侵檢測設備很少會過濾DNS流量,這就給DNS作為一種隱蔽信道提供了條件,從而可以利用它實現諸如遠程控製,文件傳輸等操作,現在越來越多的研究證明DNS 隧道也經常在僵屍網絡和APT攻擊中扮演者重要的角色,因此DNS隱蔽隧道檢測勢在必行。
設備通過對DNS隱蔽隧道特征的提取和特征綜合分析,來實現對DNS隱蔽隧道的檢測,從而阻止DNS隧道帶來的威脅。
通過菜單“策略配置>安全設置>安全防護>行為模型”,編輯DNS隧道檢測,點擊<編輯>,進入如圖1-43所示頁麵。各個配置項含義如表1-16所示。
圖1-43 DNS隧道配置頁麵
表1-16 DNS隧道配置各項含義表
|
標題項 |
說明 |
|
開啟 |
是否開啟dns隧道功能 |
|
日誌 |
記錄dns隧道日誌(在安全日誌-行為模型日誌) |
|
檢測寬鬆度 |
嚴格、適中、寬鬆,默認適中。嚴格的閾值為50,適中的閾值為100,寬鬆的閾值為200 |
|
檢測方式 |
所有、基於異常報文、基於流量模型 |
|
處理動作 |
允許或拒絕 |
|
使用預置白名單 |
設備配置的DNS服務器地址,默認勾選(開啟後不會在走dns-tunnel流程)dns透明代理和dns緩存不算在裏麵 |
|
添加自定義白名單 |
64個 |
針對公司內部網絡,設備需要開啟DNS檢測功能避免內網用戶被遠程黑客控製成為僵屍網絡和APT攻擊,公司出口開啟了DNS服務功能,先檢測分析日誌。
(1) 在DNS隧道模塊裏直接啟用使用預置白名單;
(2) 自定義白名單加入了運營商提供的DNS服務器。
圖1-44 行為模型組網圖
(1) 啟用DNS隧道,在導航欄中選擇“策略配置>安全設置>安全防護>行為模型”,編輯DNS隧道檢測,點擊<編輯>啟用DNS隧道檢測記錄日誌,處理動作為允許,如圖1-45所示。
圖1-45 編輯DNS隧道檢測
(2) 點擊<提交>按鈕,提交配置。
在導航欄中選擇“數據中心>日誌中心>安全日誌>行為模型日誌”。查看分析行為模型日誌,如圖1-46所示。
(3) 啟用DNS隧道,在導航欄中選擇“策略配置>安全設置>安全防護>行為模型”,編輯DNS隧道檢測,點擊<編輯>啟用DNS隧道檢測記錄日誌,處理動作為拒絕並加入黑名單1小時,如圖1-47所示。
圖1-47 編輯DNS隧道檢測
(4) 點擊<提交>按鈕,提交配置。
在導航欄中選擇“數據中心>日誌中心>安全日誌>行為模型日誌”。查看,如圖1-48所示。
在導航欄中選擇“數據中心>係統監控>黑名單記錄”。查看黑名單記錄,被檢測出來的DNS服務器地址加入黑名單,如圖1-49所示。
暴力破解是指攻擊者通過窮舉的方法登錄相應服務從而獲得可以登錄的用戶名密碼對。通過檢測出流量中的暴力破解行為並進行阻斷。用戶可配置是否開啟暴力破解防禦,服務類型,支持的服務類型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres,各個服務單獨配置暴力破解檢測時長和閾值,配置是否把攻擊者加入黑名單。
如圖1-50所示,在導航欄中選擇“策略配置>安全設置>安全防護>防暴力破解”,進入防暴力破解的配置界麵。
表1-17 防暴力破解界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用/禁用防暴力破解功能 |
|
服務 |
選擇監測的服務 |
|
Web登錄保護 |
勾選啟用/禁用web登錄保護功能 |
|
url路徑 |
Web登錄保護的url |
|
攻擊者加入黑名單 |
勾選啟用/禁用攻擊者加入黑名單功能 |
如圖1-51所示,在導航欄中選擇“策略配置>安全設置>安全防護>防暴力破解”,點擊“請選擇服務”彈出服務的配置界麵。
表1-18 服務配置界麵詳細描述表
|
標題項 |
說明 |
|
協議 |
勾選需要開啟防暴力破解功能的服務 |
|
檢測時長 |
防暴力破解的檢測周期 |
|
閾值 |
攻擊次數,達到閾值觸發防暴力破解記錄攻擊事件 |
對於密碼明文傳輸的服務,從登錄報文中提取出密碼並判斷出密碼強度,若為弱密碼則產生日誌但不阻斷登錄。支持的服務包括ftp、imap、pop3、smtp、telnet。用戶可以配置開啟或者關閉弱密碼檢測功能,目標服務,弱密碼密碼強度。
如圖1-50所示,在導航欄中選擇“策略配置>安全設置>安全防護>弱密碼防護”,進入弱密碼防護的配置界麵。
圖1-52 弱密碼防護配置界麵
表1-19 防暴力破解界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用/禁用弱密碼防護功能 |
|
服務 |
選擇檢測的服務 |
|
弱密碼規則 |
勾選啟用/禁用弱密碼防護規則 |
|
自定義密碼 |
配置自定義弱密碼字典 |
如圖1-51所示,在導航欄中選擇“策略配置>安全設置>安全防護>弱密碼防護”,點擊“選擇服務”彈出服務配置頁麵。
圖1-53 服務配置界麵
表1-20 服務配置界麵詳細描述表
|
標題項 |
說明 |
|
名稱 |
服務名稱 |
|
描述 |
服務的功能描述 |
如圖1-54所示,在導航欄中選擇“策略配置>安全設置>安全防護>弱密碼防護”,點擊“選擇規則”彈出弱密碼規則配置頁麵。
表1-21 規則配置界麵詳細描述表
|
標題項 |
說明 |
|
規則內容 |
勾選規則的詳細描述 |
為保證內部網絡的安全可靠運行,通常采用以下兩種方式對內外網實施安全隔離:
(1) 內、外網物理隔離
內、外網進行物理隔離,嚴格上來講,內外網根本就沒有連通,不能相互通信,專職人員必須使用物理隔離的計算機才能訪問內外網。
(2) 內、外網邏輯隔離
內、外網邏輯隔離,主要是通過劃分VLAN等技術手段,隔離一些特殊群體,以實施更有針對性的安全防護,實現內部網絡的相對獨立性。同時在內外網連接處,一般安裝防火牆或入侵檢測係統對內網提供保護。
但是,非法外聯和非法接入等行為,很容易對物理隔離和邏輯隔離的內部網絡造成損害。
針對以上情況通過對內部網絡終端或者服務器的外聯行為進行識別,設定允許終端或者服務器外聯的地址、外聯地址的服務及端口來定義正常外聯行為,定義的正常外聯行為之外的所有外聯行為全部作為非法外聯。
如圖1-50所示,在導航欄中選擇“策略配置>安全設置>安全防護>非法外聯防護”,進入非法外聯防護策略的配置界麵。
圖1-55 非法外聯防護策略配置界麵
表1-22 非法外聯防護界麵詳細描述表
|
標題項 |
說明 |
|
新建 |
新建策略 |
|
刪除 |
刪除勾選的策略 |
|
啟用 |
啟用勾選的策略 |
|
禁用 |
禁用勾選的策略 |
|
匹配次數清零 |
清空勾選的策略 |
|
操作-編輯 |
編輯該條策略 |
|
操作-刪除 |
刪除該條策略 |
如圖1-51所示,在導航欄中選擇“策略配置>安全設置>安全防護>非法外聯防護”,進入非法外聯防護策略的配置界麵。點擊“新建”創建策略。
圖1-56 策略配置界麵
表1-23 字典配置界麵詳細描述表
|
標題項 |
說明 |
|
啟用 |
勾選啟用策略 |
|
日誌 |
勾選開啟日誌記錄 |
|
動作 |
匹配策略的數據允許/拒絕通過 |
|
服務器地址 |
保護的內網服務器地址 |
|
服務器外聯地址 |
內網允許訪問的外網地址 |
如圖1-57所示,在導航欄中選擇“策略配置>安全設置>安全防護>非法外聯防護”,點擊“新建”進入非法外聯防護策略的配置界麵,在“服務器外聯地址”中,點擊“新建”彈出服務器外聯地址的配置窗口。
表1-24 字典配置界麵詳細描述表
|
標題項 |
說明 |
|
允許外聯地址 |
允許外聯地址,支持ip和域名配置。 |
|
Tcp |
允許外聯的tcp端口,最多支持128個端口。 |
|
Udp |
允許外聯的udp端口,最多支持128個端口。 |
|
ICMP |
勾選是否允許ping包。 |
如圖1-58所示,在導航欄中選擇“策略配置>安全設置>安全防護>非法外聯防護>非法外聯學習”,進入非法外聯學習的配置界麵。
表1-25 非法外聯學習界麵詳細描述表
|
標題項 |
說明 |
|
服務器地址 |
學習的服務器地址 |
|
學習時長 |
選擇學習時長 |
|
進度 |
顯示學習進度 |
|
外聯地址白名單 |
不參與學習的外聯目的地址 |
|
外聯協議白名單 |
不參與學習的外聯目的端口 |
|
開始 |
開始學習 |
|
添加服務器合法連接 |
學習到的外聯地址添加到防護中服務器外聯地址 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
