- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-APT防禦配置
本章節下載: 11-APT防禦配置 (270.15 KB)
目 錄
APT(Advanced Persistent Threat,高級持續性威脅)攻擊,是一種針對特定目標進行長期持續性的網絡攻擊。目前,沙箱技術是防禦APT攻擊最有效的方法之一,它用於構造隔離的威脅檢測環境。
設備通過與沙箱進行聯動,將網絡流量送入沙箱進行隔離分析,由沙箱給出是否存在威脅的結論。如果沙箱檢測到某流量為惡意流量,設備將對流量實施阻斷等處理。
設備配置了APT防禦功能後,當流量經過設備時,設備將進行APT防禦處理。處理流程如圖1-1所示。
圖1-1 APT防禦實現流程
(1) Internet中的攻擊者向企業內部發起APT攻擊,設備對攻擊流量進行應用層協議識別以及文件識別。
(2) 設備對攻擊流量中的文件進行還原,並將還原後的文件送往沙箱進行威脅分析。
(3) 沙箱獲取到文件後將運行該文件,並對運行後的行為進行檢測分析。檢測結束後,會向設備推送檢測結果,並將檢測結果緩存到APT緩存中。
(4) 如果檢測結果是惡意流量,則設備將根據配置的防病毒策略對後續流量進行阻斷或告警等處理,保護企業內網免遭攻擊。
僅當滿足如下所有條件時,設備才會對報文中的文件進行還原。
· 報文匹配APT防禦策略:如果未配置APT防禦策略,則可忽略此條件。
· 報文中文件的大小符合送往沙箱檢測的文件大小限製。
· 設備與沙箱已經成功建立連接。
文件還原成功後,設備會將還原後的文件上送沙箱檢測。
沙箱可以看作是一個模擬真實網絡建造的虛擬檢測係統,當未知文件上送沙箱處理後,沙箱會運行該文件,並會對運行後的行為進行記錄。沙箱通過將未知文件的行為和沙箱獨有的行為特征庫進行匹配,最後給出文件是否為威脅的結論。沙箱的行為特征庫是通過分析大量的病毒、漏洞、威脅特征,提煉出各種惡意行為的規律和模式,形成的一套判斷規則,它能夠提供準確的檢測結果。
與根據被檢測對象的特征進行識別的檢測技術(如防病毒)不同的是,沙箱檢測是根據被檢測對象的行為進行識別。因此具有可以識別未知文件的優點,可以更好的防禦未知威脅。
設備收到沙箱推送的檢測結果後,如果需要對攻擊流量進行進一步的處理,則需要與防病毒功能進行聯動。配置防病毒功能後,當後續惡意流量流經設備時,設備將識別惡意流量的應用層協議,並與防病毒策略進行匹配,再根據匹配到的防病毒策略中對應的協議報文執行的動作對惡意流量進行處理。
如果用戶隻想根據檢測結果確定當前流量是否為惡意流量,而不需要對流量進行阻斷,則對防病毒功能是否配置不作要求。
有關防病毒功能的詳細介紹,請參見“DPI深度安全配置指導”中的“防病毒”。
本特性的支持情況與設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0係列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
APT防禦配置任務如下:
(1) 配置沙箱聯動功能
(2) 配置APT防禦策略
設備需要配置如下內容實現與沙箱的聯動:
· 沙箱的基本參數:包括沙箱地址、登錄沙箱的用戶名和密碼。
· 開啟沙箱聯動功能。
· 觸發設備與沙箱建立連接:當修改沙箱的基本參數或開啟/關閉沙箱聯動功能後,都將導致與沙箱的連接中斷,需要重新觸發與沙箱建立連接。
(1) 進入係統視圖。
system-view
(2) 進入沙箱視圖。
sandbox
(3) 配置沙箱地址。
sandbox-address address-string
缺省情況下,未配置沙箱地址。
(4) 配置沙箱登錄用戶名。
username user-name
缺省情況,未配置沙箱登錄用戶名。
(5) 配置沙箱登錄密碼。
password { cipher | simple } string
缺省情況下,未配置登錄沙箱的密碼。
(6) (可選)配置送往沙箱檢測的文件大小上限。
file file-type max-size max-file-size
缺省情況下,未配置送往沙箱檢測的文件大小上限,設備使用各類文件類型大小上限的缺省值。
為了降低沙箱的檢測壓力,上傳到沙箱檢測的文件大小需要一定限製,不符合文件大小限製的文件不上送沙箱檢測。用戶可以根據自己的需求進行設置,不同文件類型的大小限製不同。
(7) 開啟沙箱聯動功能。
linkage enable
缺省情況下,沙箱聯動功能處於關閉狀態。
(8) 觸發設備與沙箱建立連接。
linkage try
(9) 退回到係統視圖。
quit
(10) (可選)配置APT防禦緩存記錄的上限。
apt cache size cache-size
缺省情況下,APT防禦緩存區可緩存記錄的上限為10萬條。
在APT防禦策略中可以配置上送沙箱檢測的文件需要符合的條件,包括應用層協議、文件類型和傳輸方向。僅當文件報文符合所有條件後,才認為成功匹配APT防禦策略。
(1) 進入係統視圖。
system-view
(2) 創建APT防禦策略。
apt policy policy-name
(3) (可選)配置APT防禦策略描述信息。
description description-string
缺省情況下,未配置APT防禦策略的描述信息。
(4) 配置送往沙箱檢測的文件的應用層協議。
application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
缺省情況下,未配置需要送到沙箱檢測的應用層協議類型。
(5) 配置送往沙箱檢測的文件類型。
file-type { all | name &<1-8> }
缺省情況下,未配置需要送往沙箱檢測的文件類型。
(6) 配置送往沙箱檢測的文件傳輸方向。
file-direction { both | download | upload }
缺省情況下,送往沙箱檢測的文件傳輸方向為both。
DPI應用profile是一個安全業務的配置模板,為使APT防禦策略生效,需要在DPI應用profile中引用指定的APT防禦策略。一個DPI應用profile中隻能引用一個APT防禦策略,如果重複配置,則新的配置會覆蓋已有配置。
與防病毒策略聯動時,需要在同一個DPI應用profile中同時引用防病毒策略和APT防禦策略。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用APT防禦策略。
apt apply policy policy-name
缺省情況下,DPI應用profile中未引用APT防禦策略。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後APT防禦的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 APT防禦顯示和維護
|
操作 |
命令 |
|
顯示APT防禦緩存中的信息 |
display apt cache [ slot slot-number ] |
|
顯示設備與沙箱的連接狀態 |
display apt linkage state |
如圖1-2所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。企業內網中部署了沙箱,且沙箱與Device路由可達。現需要Device與沙箱聯動,保護內網用戶免受APT攻擊,當沙箱檢測到APT攻擊時,對攻擊流量執行阻斷操作。
圖1-2 在安全策略中引用APT防禦策略配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置沙箱聯動功能
[Device] sandbox
[Device-sandbox] sandbox-address 192.168.2.4
[Device-sandbox] username admin
[Device-sandbox] password simple 123456abc
[Device-sandbox] linkage enable
[Device-sandbox] linkage try
(5) 配置APT防禦策略
# 創建一個名稱為apt1的APT防禦策略,並配置需要送往沙箱檢測的應用層協議為HTTP、文件類型為PE、文件傳輸方向為upload。
[Device] apt policy apt1
[Device-apt-policy-apt1] application type http
[Device-apt-policy-apt1] file-type pe
[Device-apt-policy-apt1] file-direction upload
[Device-apt-policy-apt1] quit
(6) 配置DPI應用profile引用APT防禦策略和防病毒策略,具體配置步驟如下(本舉例假設設備上已經配置了名稱為antivirus1的防病毒策略,策略中將所有傳輸病毒文件的協議報文的動作設置為阻斷,有關防病毒功能的詳細介紹,請參見“DPI深度安全配置指導”中的“防病毒”。)
# 創建名為sec的DPI應用profile,並在其中引用名稱為apt1的APT防禦策略和名稱為antivirus1的防病毒策略。
[Device] app-profile sec
[Device-app-profile-sec] apt apply policy apt1
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
(7) 配置安全策略
¡ 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行APT防禦
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置名稱為sandboxlocalout的安全策略規則,使設備可將待檢測流量上送到沙箱服務器進行檢測
[Device-security-policy-ip] rule name sandboxlocalout
[Device-security-policy-ip-11-sandboxlocalout] source-zone local
[Device-security-policy-ip-11-sandboxlocalout] destination-zone dmz
[Device-security-policy-ip-11-sandboxlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-11-sandboxlocalout] action pass
[Device-security-policy-ip-11-sandboxlocalout] quit
¡ 配置名稱為sandboxlocalin的安全策略規則,使沙箱服務器可將檢測結果下發到設備
[Device-security-policy-ip] rule name sandboxlocalin
[Device-security-policy-ip-12-sandboxlocalin] source-zone dmz
[Device-security-policy-ip-12-sandboxlocalin] destination-zone local
[Device-security-policy-ip-12-sandboxlocalin] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-sandboxlocalin] action pass
[Device-security-policy-ip-12-sandboxlocalin] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,Device將與沙箱聯動,保護內網用戶免受APT攻擊。當沙箱檢測到APT攻擊時,將對後續攻擊流量執行阻斷操作。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
