■ 河南 許紅軍

編者按： 傳統(tǒng)上企業(yè)使用防火墻防御內(nèi)網(wǎng)安全，但這往往只能被動(dòng)的進(jìn)行防護(hù)，無法實(shí)現(xiàn)“主動(dòng)出擊”應(yīng)對(duì)各種安全威脅。對(duì)于像FirePower等下一代防火墻來說，已經(jīng)不再局限于被動(dòng)防御，針對(duì)各種惡意行為的特點(diǎn)，其會(huì)采取各種策略主動(dòng)的加以防御，巧妙化解形形色色的攻擊行為。這里就分析了FirePower防火墻的一些自動(dòng)化特性，來說明其如何實(shí)現(xiàn)靈活的防御功能。

利用自動(dòng)發(fā)現(xiàn)，洞察內(nèi)網(wǎng)信息

使用FirePower提供的Network Discovery功能，可以自動(dòng)收集網(wǎng)絡(luò)中和主機(jī)，應(yīng)用以及用戶數(shù)據(jù)信息相關(guān)的信息，讓管理員對(duì)內(nèi)網(wǎng)的情況了如指掌。

例如，可以發(fā)現(xiàn)諸如操作系統(tǒng)類型、主機(jī)流量、主機(jī)漏洞、應(yīng)用流量、區(qū)域分類、攻擊源頭、攻擊目標(biāo)、攻擊事件、攻擊軌跡、攻擊的詳細(xì)信息等內(nèi)容，從而可以實(shí)現(xiàn)應(yīng)用分析、地體定位等實(shí)用功能。

在FMC管理界面的工具 欄 上 點(diǎn) 擊“Policies”→“Network Discovery”項(xiàng)，可以看到默認(rèn)已經(jīng)激活了自動(dòng)發(fā)現(xiàn)功能。但是默認(rèn)的配置只是用來探測(cè)網(wǎng)絡(luò)中的應(yīng)用信息的。

在默認(rèn)項(xiàng)的編輯窗口中選擇“Host”和Users”項(xiàng)，激活針對(duì)用戶和主機(jī)的分析功能。在“Networks”面板中可以設(shè)置需要監(jiān)控的網(wǎng)段范圍，默認(rèn)針對(duì)整個(gè)內(nèi)網(wǎng)。在“Zones”面板中定義需要監(jiān)控的區(qū)域，在“Ports”面板中可以定義需要監(jiān)控的端口。之后點(diǎn)擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

點(diǎn)擊工具欄上的“Analysis”→“Hosts”→“Network Map”項(xiàng)，可以對(duì)內(nèi)網(wǎng)進(jìn)行掃描，在左側(cè)的“Hosts”列表中按照和地址相關(guān)的編號(hào)，顯示內(nèi)網(wǎng)中的所有的主機(jī)信息。

例如選擇“10”→“10.1”→“10.1.1.1”→“10.1.1.100”項(xiàng)，在右側(cè)顯示擁有該IP的主機(jī)的詳細(xì)信息，包括主機(jī)名、MAC地址、上次檢測(cè)到的時(shí)間、當(dāng)前用戶、設(shè)備類型、操作系統(tǒng)類型、使用的協(xié)議、活動(dòng)的應(yīng)用程序、網(wǎng)絡(luò)連接信息，、最近下載的惡意軟件、存在的漏洞等內(nèi)容。

點(diǎn) 擊“Scan Host” 按鈕，可以對(duì)其進(jìn)行掃描。點(diǎn)擊工具欄上的“Analysis”→“Hosts”→“Applications”項(xiàng)，執(zhí)行對(duì)應(yīng)用的分析。在列表中顯示所有可用的應(yīng)用程序。點(diǎn)擊工具欄上的“Analysis” →“Hosts” →“Hosts”項(xiàng)，執(zhí)行對(duì)主機(jī)的分析等。

利用關(guān)聯(lián)特性，對(duì)抗安全威脅

利用FirePower防火墻的關(guān)聯(lián)特性，可以實(shí)時(shí)響應(yīng)網(wǎng)絡(luò)中的安全威脅。即當(dāng)發(fā)生了某個(gè)網(wǎng)絡(luò)攻擊或者安全事件的時(shí)候，就可以關(guān)聯(lián)一個(gè)規(guī)則，來對(duì)此進(jìn)行有效的防御。

利用該特性，可以將各種操作進(jìn)行有效關(guān)聯(lián)，從而實(shí)現(xiàn)防火墻的自動(dòng)化功能。例如在指定的網(wǎng)段（例 如“10.1.1.0/24”）中，當(dāng)利用防火墻的Network Discovery功能發(fā)現(xiàn)新的主機(jī)后，隨即對(duì)其進(jìn)行NMAP掃描。這樣，就可以將發(fā)現(xiàn)新主機(jī)和自動(dòng)掃描功能關(guān)聯(lián)起來。

登錄FMC主機(jī)上，在其管理界面中點(diǎn)擊工具欄上的“Policies”→“Actions”→“Modules”項(xiàng)，在列表中的“Nmap Remediation”項(xiàng) 右側(cè)點(diǎn)擊放大鏡圖標(biāo)，在打開窗口中的“Configured Instances”欄中點(diǎn)擊“Add”按鈕，在“Edit Instances”窗口中輸入其名稱（例如“NewNmap”），點(diǎn)擊“Create”按鈕創(chuàng)建該實(shí)例。

在之后打開窗口中 的“Configured Remediations”欄 中 的“Add a new remediation of type”列表中選擇“Nmap Scan”項(xiàng)，點(diǎn)擊“Add”按鈕，在掃描設(shè)置窗口中輸入其名 稱（例 如“NewScan”），在“Scan Which Address From Event?”列表中選擇掃描的地址類型，包括源地址和目的地址、僅僅源地址、僅僅目的地址等，

這里選擇“Scan Source Address Only”項(xiàng)，僅僅掃描目標(biāo)主機(jī)的源地址。在“Scan Type”列表中選擇掃描的類型，這里選擇“TCP Connect Scan”項(xiàng)，表示執(zhí)行TCP連接掃描。其余設(shè)置保持默認(rèn)，點(diǎn)擊“Create”按鈕創(chuàng)建檢測(cè)項(xiàng)。點(diǎn)擊工具欄上的“Policies”→“Actions”→“Groups”項(xiàng)，點(diǎn)擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Group1”），選 擇“Active”項(xiàng)及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項(xiàng)目，這里選擇上面的的“NewScan”項(xiàng)，點(diǎn)擊“>”按鈕，將其添加到“Responses In Group”列表中。

當(dāng)然，在該組中可以添加多個(gè)行為項(xiàng)目。當(dāng)出現(xiàn)某個(gè)事件后，可以調(diào)用該組中的所有行為加以應(yīng)對(duì)，點(diǎn)擊“Save”按鈕保存該組。點(diǎn)擊工具欄上的“Policies”→“Correlation”項(xiàng)，在“Rule Management”面板中右側(cè)點(diǎn)擊“Creat Group”按鈕，輸入規(guī)則組的名稱（例如“RuleGrp”），點(diǎn)擊“Save”按鈕創(chuàng)建該組。

點(diǎn)擊“Create Rule”按鈕，在規(guī)則編輯窗口中輸入其名稱（例如“Findhost”），在“Rule Group”列表中選擇上述“RuleGrp”組，使其隸屬于該組。在“Select the type of event for this rule”欄中的選擇發(fā)生的事件類型，包括發(fā)生了一個(gè)入侵事件，發(fā)現(xiàn)新的設(shè)備，檢測(cè)到用戶活動(dòng)，發(fā)生了某主機(jī)的輸入事件，發(fā)生了一個(gè)連接事件，流量變化，病毒入侵等。

這里選擇“a discovery event occurs”項(xiàng)，表示發(fā)現(xiàn)了一臺(tái)新主機(jī)。在其右側(cè)的列表中，選擇“a new IP host is detected”項(xiàng)，表示檢測(cè)到新的主機(jī)IP。在其下的列表中選擇“IP Address”和“is in”項(xiàng)，為其設(shè)置合適的地址段（例如“10.1.1.10/24”）。最后，點(diǎn)擊“Save”按鈕，保存該規(guī)則設(shè)置。

上面的操作定義了發(fā)生的時(shí)間以及具體的應(yīng)對(duì)行為，接下來需要將兩者結(jié)合起來。

首 先， 在“Policy Management”面 板 中 點(diǎn)擊“Create Policy” 按鈕，輸入策略的名稱（例如“Policy1”），點(diǎn) 擊“Add Rules”按鈕，在打開窗口內(nèi)右側(cè)選擇“Activate”項(xiàng)將其激活。

點(diǎn)擊“編輯”按鈕，在“Available Rules”窗口中的“rule_group”節(jié)點(diǎn)下選擇上述名為“Findhost”規(guī)則項(xiàng)，點(diǎn)擊“Add”按鈕將其添加進(jìn)來。在該項(xiàng)目右側(cè)點(diǎn)擊“Responses”按鈕，在打開窗口中的“Unassigned Responses”欄中選擇上述“NewNmap”組，將其添加到可用列表中。點(diǎn)擊“Update”按鈕完成更新。

這樣，當(dāng)檢測(cè)到新的主機(jī)后，就會(huì)調(diào)用指定的掃描項(xiàng)目，對(duì)其進(jìn)行安全檢測(cè)。點(diǎn)擊工具欄上的“Deploy”按鈕，將其部署FirePower防火墻上。

當(dāng)新的主機(jī)連入網(wǎng)絡(luò)后，F(xiàn)irePower防火墻即可對(duì)其進(jìn)行掃描，點(diǎn)擊FMC管理界面右側(cè)的綠色按鈕，在打開窗口中的“Tasks”面板中顯示掃描提示信息。

點(diǎn)擊工具欄上的“Analy sis”→“Correlation”→“Corr elation Events”項(xiàng)，在關(guān)聯(lián)事件窗口顯示該主機(jī)的掃描信息，點(diǎn)擊工具欄上的“Analysis”→“Hosts”→“Network Map”項(xiàng)，在左側(cè)選擇該新主機(jī)的IP項(xiàng)目，在右側(cè)的“Scan Results”欄中顯示掃描的結(jié)果信息，例如該機(jī)開啟了哪些端口等。

配置合規(guī)白名單，實(shí)現(xiàn)嚴(yán)格管控

利用FirePower提供的合規(guī)性白名單功能，可以對(duì)目標(biāo)主機(jī)進(jìn)行嚴(yán)格的管控。例如可以規(guī)定其系統(tǒng)類型、允許安裝的應(yīng)用類型、允許發(fā)生的流量類型（例如只能產(chǎn)生HTTP流量）等，如果超出了規(guī)定的管控范圍，就會(huì)觸發(fā)報(bào)警或者其他控制行為。

例如，針對(duì)某Windows服務(wù)器創(chuàng)建合規(guī)白名單，如果收到白名單之外的流量時(shí)，就會(huì)觸發(fā)Syslog報(bào)警，并將報(bào)警信息發(fā)送到指定主機(jī)上的Syslog日志數(shù)據(jù)庫中。

在FMC管理界面中依 次 點(diǎn) 擊“Policies”→“Actions”→ “Alerts”項(xiàng)，在打開窗口右上角點(diǎn)擊菜單“Create Alert”→“Create Syslog Alert” 項(xiàng)， 在“Edit Syslog Alert Configuration”窗口中輸入其名稱（例如“Alert1”），在“Host”欄中輸入運(yùn)行Syslog服務(wù)的主機(jī)的IP（例如“192.168.1.200”），其余設(shè)置保持默認(rèn)，點(diǎn)擊“Save”按鈕保存即可。

點(diǎn)擊工具欄上的“Policies”→“Actions”→“Groups”項(xiàng)，點(diǎn)擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Alertgrp”），選擇“Active”項(xiàng)及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項(xiàng)目，這里選擇上述“Alert1”項(xiàng)，點(diǎn)擊“>”按鈕將其添加進(jìn)來。點(diǎn)擊工具欄上的“Polices”→“Correlation”項(xiàng)，在“White List”面板中右側(cè)點(diǎn)擊“New White List”按鈕，在“IP Address”欄中輸入目標(biāo)主機(jī)IP（例如“192.168.1.100”）， 在“Netmask”欄中輸入“32”，點(diǎn) 擊“Add”按 鈕 添 加 該主 機(jī)。 在“White List Information”欄中輸入該白名單名稱（例如“Wlist”），在左側(cè)選擇該主機(jī)，在右側(cè)可以更改其名稱（例如“Server1”）。

在左側(cè)的“Allow Host Profiles”欄 點(diǎn) 擊“+”按鈕，在右側(cè)輸入該P(yáng)rofile的名稱（例如“Profile1”），在“OS Vendor”列表中選擇操作系統(tǒng)類型（例如選擇“Windows 7、Server 2008 R2”）。如果選擇“Allow all Application Protocols”項(xiàng)，允許所有的應(yīng)用協(xié)議。當(dāng)然，也可以單獨(dú)指定協(xié)議，在該項(xiàng)右側(cè)點(diǎn)擊“+”按鈕，在打開窗口中選擇“”項(xiàng)，點(diǎn) 擊“OK”按 鈕，在“Type”列表中選擇具體的協(xié)議類型。

選 擇“Allow all Clients”項(xiàng)，允許所有的客戶端。選擇“Allow all Web Applications”項(xiàng)，則可允許所有的網(wǎng)頁協(xié)議。當(dāng)然，也可以單獨(dú)指定所需的客戶端和Web協(xié)議。

但要注意，不管以上如何選擇，是沒有ICMP協(xié)議的。

之后選擇點(diǎn)擊左側(cè)的“Save White List” 按鈕，完成保存該白名單配置信息。然后在“Policy Management”面板中點(diǎn)擊“Create Policy” 按鈕，并輸入其名稱（例如“WlistPolicy”），然后點(diǎn)擊“Save”按鈕保存該策略。

點(diǎn) 擊“Add Rule” 按鈕，按照上述方法，在“Available Rules” 窗 口中 的“White List Rules”欄 中選擇“Wlist”項(xiàng)，點(diǎn)擊“Add”按鈕將其添加進(jìn)來。在該項(xiàng)目右側(cè)點(diǎn)擊“Responses”按 鈕，在 打開窗口中的“Unassigned Responses”欄中選擇上述“AlertGrp”組，將其添加到可用列表中。點(diǎn)擊“Update”按鈕完成更新。

這樣，就將該白名單和指定的組結(jié)合起來，當(dāng)目標(biāo)主機(jī)的行為超越了白名單管控的范圍，就會(huì)觸發(fā)指定組中的報(bào)警行為。

例如，當(dāng)有人對(duì)該主機(jī)進(jìn)行掃描時(shí)，因?yàn)楫a(chǎn)生的流量類型不符合白名單的范圍，就會(huì)觸發(fā)報(bào)警動(dòng)作，并將其行為記錄到SysLog服務(wù)器上。