- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
31-安全防护
本章节下载: 31-安全防护 (1.16 MB)
ARP是地址转换协议(Address Resolution Protocol)的缩写,允许一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC地址。利用ARP协议可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信,但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定,没有认证机制,导致针对ARP协议的攻击非常容易。
ARP攻击可以简单分为两类:
ARP欺骗攻击,攻击者通过伪造IP地址和MAC地址实现ARP欺骗。
· ARP泛洪(Flood)攻击,恶意用户发出大量的ARP报文,造成三层设备的ARP表项溢出,影响正常用户的转发。
· ND(Neighbor Discovery)是邻居发现协议,主要是与邻居设备交换报文获取网络状态信息。ND代替了在IPv4中使用的“地址解析协议(ARP)”、“Internet控制消息协议(ICMP)”、路由器发现和ICMP重定向,并提供了其他功能。由于ND协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对ND协议发起一系列攻击。
设备的ARP/ND攻击防护功能可以有效识别ARP/ND欺骗攻击和ARP/ND Flood攻击,配合IP-MAC绑定、主动保护及关闭ARP/ND学习等措施,有效防范ARP/ND攻击造成的危害。
通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”使用该功能。
图1-1 防ARP欺骗设置页面
表1-1 防ARP欺骗详细信息描述表
|
配置项 |
说明 |
|
关闭ARP学习 |
缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃。有关IP-MAC绑定配置的更多信息,请参考IPMAC绑定。 |
|
主动保护 |
开启该功能后,设备会按照指定的时间间隔发送主动保护列表上的免费ARP报文。免费ARP报文是一种特殊的ARP报文,该报文携带的发送端IP地址和目的IP地址都是本机IP地址,源MAC地址是本机MAC地址,目的MAC地址是广播地址。其他设备收到免费ARP报文后,如发现报文中的IP地址与设备自身的IP地址相同,会向免费ARP报文的发送设备返回应答,告知该设备的IP地址冲突。 |
|
时间间隔 |
发送主动保护列表上的ARP的时间间隔,缺省配置为1秒 |
如下图所示,在防ARP欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。
图1-2 主动保护列表页面
表1-2 主动保护详细信息描述表
|
配置项 |
说明 |
|
接口 |
ARP报文发送接口 |
|
接口保护 |
在保护列表中加入接口地址 |
|
更新ARP列表 |
勾选复选框后,会更新设备的整个ARP表 |
|
IP地址&MAC地址 |
广播ARP报文的IP和MAC |
如下图所示,通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ND欺骗”使用该功能。
图1-3 防ND欺骗设置页面
表1-3 防ND欺骗详细信息描述表
|
配置项 |
说明 |
|
关闭ND学习 |
缺省情况下启用ND学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃 |
|
ND反向查询 |
点选启用或者不启用ND反向查询功能 |
|
IP地址数检查 |
每个MAC对应的IP地址的最大值,参数为0不检查,如果mac地址对应的IP地址数量多于设定值则产生告警 |
|
主动保护 |
点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文 |
|
时间间隔 |
发送主动保护列表上的ND时间间隔,缺省配置为1秒 |
在防ND欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。
图1-4 主动保护列表页面
表1-4 主动保护详细信息描述表
|
配置项 |
说明 |
|
接口 |
ND报文发送接口 |
|
接口保护 |
在保护列表中加入接口地址 |
|
IP地址&MAC地址 |
ND报文的IP和MAC |
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND防护 > ARP表”进入ARP表显示界面,可以查看设备上通过ARP学习到的所有MAC地址及IP地址,如下图所示。
图1-5 ARP表项显示
勾选一个条目并点击<IP-MAC绑定>或在操作列下点击
图标,可将指定的条目创建IP-MAC绑定;如图1-6所示;点击<一键绑定>对所有条目创建IP-MAC绑定。
点击<新增静态ARP>,可以手动添加静态ARP信息,如图1-7所示。静态ARP是不受ARP老化机制的影响。
详细配置请参见下表。
表1-5 新增静态ARP详细配置描述表
|
配置项 |
说明 |
|
IP地址 |
静态ARP的IP地址,只支持IPv4地址。 |
|
自动获取MAC地址 |
点击<自动获取MAC地址>,系统根据所填IP地址自动学习到MAC地址。 |
|
MAC地址 |
Mac地址必须是单播地址。 |
|
接口 |
可选择自动检测或绑定接口。 |
勾选一个条目并点击<转换静态>可将选中的ARP转换为静态,如下图所示。
图1-8 将选中的ARP转换为静态
转换后会新增一条静态ARP记录。转换后的APR记录可进行编辑或删除操作,如下图所示。
图1-9 转换后的静态ARP
点击“一键清除”,选择“动态”可批量清除动态的ARP,选择“全部”可一键清除ARP表所有的记录。
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ND表”进入ND表显示界面,可以查看设备上通过ND学习到的所有MAC地址及IP地址,如下图所示。
图1-10 ND表项显示
勾选一个条目并点击<IP-MAC绑定>或在操作列下点击
图标,可将指定条目创建IP-MAC绑定;点击<一键绑定>对所有条目创建IP-MAC绑定。
图1-11 创建IP-MAC绑定
点击<新增静态ND>,可以手动添加静态ND信息,如下图所示。静态ND不受ND老化机制的影响。
图1-12 新增静态ND
表1-6 静态ND详细配置描述表
|
配置项 |
说明 |
|
IP地址 |
静态ND的IP地址,只支持IPv6地址。 |
|
自动获取MAC地址 |
点击<自动获取MAC地址>,系统根据所填IP地址自动学习到MAC地址。 |
|
MAC地址 |
Mac地址必须是单播地址。 |
|
接口 |
可选择自动检测或绑定接口。 |
勾选一个条目并点击<转换静态>可将选中的ND转换为静态ND,如下图所示。
图1-13 将选中的ND转换为静态
转换后会新增一条静态ND记录。转换后的静态ND记录可进行编辑或删除操作,如下图所示。
图1-14 转换后的静态ND
当源端发送一个IP包之前,它必须知道目的端的MAC地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端MAC地址的解析。因此源端发送一个包含目的IP地址的ARP 请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。
由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。IP-MAC绑定功能用于防范ARP/ND欺骗攻击。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。
通过菜单“策略配置>安全设置>安全防护>ARP/ND攻击防护>IP-MAC绑定”进入IP-MAC绑定显示界面,如图1-15所示。点击<新建>按钮后,将弹出新建IP-MAC绑定界面,如图1-16所示。
图1-15 IPMAC绑定显示界面
图1-16 IP-MAC绑定添加
表1-7 配置说明
|
配置项 |
说明 |
|
名称 |
IP-MAC绑定项的名称 |
|
描述 |
规则描述信息 |
|
IP地址 |
绑定的IP地址 |
|
MAC地址 |
绑定的MAC地址 |
|
唯一性 |
绑定类型 开启表示一个MAC和一个IP地址唯一对应,关闭表示一个MAC地址和多个IP地址对应 |
· 在操作列下点击
图标修改已有的条目。
· 点击<下载模板>,可下载模板文件,编辑模板文件并保存。之后点击<导入>,选择编辑后的模板文件,即可批量导入IP-MAC绑定条目。
· 点击<导出>,导出IP-MAC条目。
图1-17 导入导出IP-MAC绑定条目
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”使用该功能,如下图所示。
图1-18 ARP/ND Flood攻击设置页面
表1-8 ARP/ND Flood攻击防护详细配置描述表
|
配置项 |
说明 |
|
启用防ARP flood |
点选启用防ARP Flood攻击 |
|
ARP攻击识别阈值 |
一秒内收到ARP报文的数量,缺省配置为300个/秒。 |
|
ARP攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。 |
|
启用防ND flood |
点选启用防ND Flood攻击。 |
|
ND攻击识别阈值 |
一秒内收到ND报文的数量,缺省配置为300个/秒。 |
|
ND攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。 |
如下图所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND 学习控制”使用该功能。
图1-19 ARP/ND学习控制页面
点击“新建”,进入接口的ARP/ND控制子页面。
图1-20 接口ARP/ND学习控制子页面
表1-9 接口ARP/ND学习控制子页面详细配置描述表
|
配置项 |
说明 |
|
接口 |
选择接口 |
|
ARP控制 |
启用或不启用ARP控制 |
|
ND控制 |
启用或不启用ND控制 |
将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。
(1) 进入“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”,点击主动保护列表下面的<新建>按钮,进入主动保护列表配置页面
(2) 选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。
图1-21 主动保护列表配置页面
(3) 点击<提交>按钮后,可以在防ARP欺骗页面看到已添加的主动保护列表信息。
图1-22 防ARP欺骗页面
如下图所示,公司内网有多台服务器设备,防止服务器被局域网内PC进行ND欺骗造成服务器无法正常访问。
图1-23 防ND欺骗配置举例组网图
(1) 进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > 防ND欺骗”;关闭ND学习,开启ND反向查询,设置每MAC地址IP数检查,开启接口主动保护,然后点击提交按钮提交配置。
图1-24 防ND欺骗配置
进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > IP-MAC绑定”;绑定被保护服务器的IPMAC地址,勾选唯一性,然后点击提交按钮提交配置。
图1-25 配置IP-MAC绑定
(2) 进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”;设置阈值和抑制时长,然后点击提交按钮提交配置。
图1-26 配置ND Flood攻击防护
如下图所示,进入“数据中心>安全日志>安全防护日志”,进入安全防护日志显示页面,可以查看防ND欺骗日志。
图1-27 安全防护日志
异常包是指网络中带有攻击性质的报文,通常这些报文能对目标主机进行破坏。异常报文攻击防护能对这些报文(包括IPv4和IPv6报文)进行拦截并生成日志。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御”进入异常包攻击防御的配置界面,如图1-28所示。
表1-10 异常报文攻击防护详细配置描述表
|
配置项 |
说明 |
|
Ping of Death |
ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。 配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Land-Base |
Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。 配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Tear-drop |
tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。 因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。 |
|
Tcp flag |
TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。 |
|
Winnuke |
Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。 配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。 |
|
Smurf |
这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。 |
|
IP选项 |
IP选项即IP Option攻击,攻击者检查IP包中的选项域,使用这个规则选项搜索IP包头的特定选项(例如源路由),利用可信用户对服务器进行攻击。由于UDP协议面向非连接,因此更容易被利用。 |
|
IP-Spoof |
防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。 |
|
Jolt2 |
Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。 |
|
tcp sack |
当tcp 的mss很小,并且不停发布连续报文时,会触发漏洞。 |
如图1-29所示,通过菜单“策略配置>安全设置>安全防护>异常包攻击防御>IPv6异常包攻击防御”使用该功能。
图1-29 IPv6异常包攻击防御的配置界面
表1-11 IPv6异常包攻击详细信息描述表
|
配置项 |
说明 |
|
Winnuke |
winnuke报文攻击 |
|
Land-Base |
Land-Base报文攻击 |
|
TCP flag |
异常的TCP flag报文攻击 |
|
Fraggle |
Fraggle报文攻击,对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP |
|
IP Spoof |
IP地址欺骗攻击 |
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”进入扫描攻击防御显示界面,如图1-30所示。点击<新建>按钮,进入新建扫描攻击防御界面,如图1-31所示。
在该页面上,显示所有配置的扫描攻击防护表项,同时能够<新建>、<编辑>和<删除>等。
表1-12 扫描攻击防御详细信息描述表
|
配置项 |
说明 |
|
选择接口 |
选择需要防护的接口 |
|
启用端口扫描防护 |
勾选复选框在接口上启用端口扫描防护,并设置端口扫描频率阈值。如果在指定的时间段内检测到的端口扫描超出阈值,系统会认定为端口扫描攻击。可以选择将攻击源IP加入到黑名单。 |
|
启用IP扫描防护 |
勾选复选框在接口上启用IP扫描防护,并设置IP扫描频率阈值。如果在指定的时间段内检测到的IP扫描超出阈值,系统会认定为IP扫描攻击。可以选择将攻击源IP加入到黑名单。 |
DoS攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
当前支持对以下四种攻击进行有效防范:
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 目的IP防御”进入目的IP防御的显示界面,如图1-32所示。点击<新建>按钮,弹出目的IP防御的配置界面,如图1-33所示。
图1-32 目的IP防御显示界面
图1-33 新建目的IP防御界面
表1-13 配置说明
|
配置项 |
说明 |
|
指定保护主机的IP地址 |
指定保护地址范围 |
|
阈值设置 |
勾选复选框选择需要防护的DoS攻击类型,并设置选中攻击类型的阈值,即用户每秒钟可发给目的IP地址的最大报文数。超过阈值会触发DoS攻击防护机制,来自攻击源IP的流量会被阻断。 |
通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 接口防御”进入接口防御显示界面,如图1-34所示。点击<新建>按钮后,将弹出新建接口防御界面,如图1-35所示。
表1-14 配置说明
|
配置项 |
说明 |
|
接口名 |
选择需要防护的接口名称 |
|
SYN Flood、SYN Flood、UDP Flood、ICMP Flood、DNS Flood |
阈值设置: 勾选复选框选择需要防护的DoS攻击类型,并设置选中攻击类型的阈值,即用户每秒钟可发给目的接口的最大报文数,及在目的主机上每秒钟的最大新建连接数。超过阈值会触发DoS攻击防护机制,来自攻击源IP的流量会被阻断。 |
暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。通过检测出流量中的暴力破解行为并进行阻断。用户可配置是否开启暴力破解防御,服务类型,支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres,各个服务单独配置暴力破解检测时长和阈值,配置是否把攻击者加入黑名单。
如图1-36所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,进入防暴力破解的配置界面。
表1-15 防暴力破解界面详细描述表
|
标题项 |
说明 |
|
启用 |
勾选启用/禁用防暴力破解功能 |
|
服务 |
选择监测的服务 |
|
Web登录保护 |
勾选启用/禁用web登录保护功能 |
|
url路径 |
Web登录保护的url |
|
攻击者加入黑名单 |
勾选启用/禁用攻击者加入黑名单功能 |
如图1-37所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,点击“请选择服务”弹出服务的配置界面。
表1-16 服务配置界面详细描述表
|
标题项 |
说明 |
|
协议 |
勾选需要开启防暴力破解功能的服务 |
|
检测时长 |
防暴力破解的检测周期 |
|
阈值 |
攻击次数,达到阈值触发防暴力破解记录攻击事件 |
对于密码明文传输的服务,从登录报文中提取出密码并判断出密码强度,若为弱密码则产生日志,并根据配置的动作进行阻断或者放行。支持的服务包括ftp、imap、pop3、smtp、telnet。用户可以配置开启或者关闭弱密码检测功能,目标服务,弱密码密码强度。
如图1-38所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,进入弱密码防护的配置界面。
表1-17 弱密码防护界面详细描述表
|
标题项 |
说明 |
|
启用 |
勾选启用/禁用弱密码防护功能。 |
|
动作 |
选择匹配到弱密码规则后所执行动作,可选择允许或拒绝,表示对匹配到弱密码的流量进行放行或者阻断。 |
|
服务 |
点击链接,在弹出的对话框中选择监测的服务,目前支持FTP、IMAP、POP3、SMTP、Telnet、HTTP六种服务类型。当选择“HTTP”时可设置Web登录防护。 |
|
弱密码规则 |
勾选启用/禁用弱密码防护规则。 |
|
自定义密码 |
配置自定义弱密码字典,最多16条,每条1~15字符,用回车分隔。 |
为保证内部网络的安全可靠运行,通常采用以下两种方式对内外网实施安全隔离:
(1) 内、外网物理隔离
内、外网进行物理隔离,严格上来讲,内外网根本就没有连通,不能相互通信,专职人员必须使用物理隔离的计算机才能访问内外网。
(2) 内、外网逻辑隔离
内、外网逻辑隔离,主要是通过划分VLAN等技术手段,隔离一些特殊群体,以实施更有针对性的安全防护,实现内部网络的相对独立性。同时在内外网连接处,一般安装防火墙或入侵检测系统对内网提供保护。
但是,非法外联和非法接入等行为,很容易对物理隔离和逻辑隔离的内部网络造成损害。
针对以上情况通过对内部网络终端或者服务器的外联行为进行识别,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。
如图1-39所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。
表1-18 非法外联防护界面详细描述表
|
标题项 |
说明 |
|
新建 |
新建策略 |
|
删除 |
删除勾选的策略 |
|
启用 |
启用勾选的策略 |
|
禁用 |
禁用勾选的策略 |
|
匹配次数清零 |
清空勾选的策略 |
|
操作-编辑 |
编辑该条策略 |
|
操作-删除 |
删除该条策略 |
如图1-40所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。点击“新建”创建策略。
表1-19 字典配置界面详细描述表
|
标题项 |
说明 |
|
启用 |
勾选启用策略。 |
|
日志 |
勾选开启日志记录。勾选复选框在命中此条策略后生成日志。在导航栏中选择“数据中心>日志中心>安全日志>非法外联防护日志”查看详细日志信息。 |
|
动作 |
选择对非法外联所执行的动作,可以为允许和拒绝。 |
|
名称 |
输入策略名称。1~63字符。 |
|
服务器地址 |
选择保护的内网服务器地址,在下拉列表中选择已创建的地址对象。 |
|
服务器外联地址 |
内网允许访问的外网地址,点击<新建>添加允许外联的外网服务器IP地址及TCP/UDP端口号。除了此处定义的外网服务器地址外,其他外联行为都会判定为非法。 |
服务器地址为内网中需要防护的服务器地址,请根据实际需要指定待防护的服务器地址范围,确保配置的服务器地址范围合理,配置范围过大可能会影响设备管理。
配置非法外联学习后,设备将对特定内部网络地址主动发起的外联数据进行获取,并从获取到的主动外联数据中学习外联地址对应端口及服务信息。设备通过自学习功能判定所有网络行为,管理员可通过学习结果来判断外联行为是否正常。
如图1-41所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护>非法外联学习”,进入非法外联学习的配置界面。
表1-20 非法外联学习界面详细描述表
|
标题项 |
说明 |
|
服务器地址 |
学习的服务器地址 |
|
学习时长 |
选择学习时长 |
|
外联地址白名单 |
不参与学习的外联目的地址 |
|
外联协议白名单 |
不参与学习的外联目的端口,需同时配置地址白名单才生效。 |
配置完成后,点击<开始>开始非法外联学习,学习到的非法外联IP地址及端口将展示在下方列表中。在列表中勾选条目,点击<添加服务器合法连接>将选中的条目添加到允许外联地址列表中。
行为模型(又名DNS隧道),是隐蔽信道的一种,通过将其它协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS 隧道也经常在僵尸网络和APT攻击中扮演者重要的角色,因此DNS隐蔽隧道检测势在必行。
设备通过对DNS隐蔽隧道特征的提取和特征综合分析,来实现对DNS隐蔽隧道的检测,从而阻止DNS隧道带来的威胁。
通过菜单“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>,进入如图1-42所示页面。各个配置项含义如表1-21所示。
图1-42 DNS隧道配置页面
表1-21 DNS隧道配置各项含义表
|
标题项 |
说明 |
|
开启 |
是否开启dns隧道功能 |
|
日志 |
记录dns隧道日志(在安全日志-行为模型日志) |
|
检测宽松度 |
严格、适中、宽松,默认适中。严格的阈值为50,适中的阈值为100,宽松的阈值为200 |
|
检测方式 |
所有、基于异常报文、基于流量模型。 |
|
处理动作 |
选择检测到DNS隐蔽隧道后的处理动作,可以为允许或拒绝 |
|
加入黑名单 |
处理动作选择“拒绝”时可设置加入黑名单。勾选复选框,如检测到攻击行为,则将攻击者IP加入黑名单,可设置黑名单的生效时长 |
|
使用预置白名单 |
设备配置的DNS服务器地址,默认勾选(开启后不会在走dns-tunnel流程)dns透明代理和dns缓存不算在里面 |
|
添加自定义白名单 |
加入白名单中的IP地址不受此条策略控制 |
针对公司内部网络,设备需要开启DNS检测功能避免内网用户被远程黑客控制成为僵尸网络和APT攻击,公司出口开启了DNS服务功能,先检测分析日志。
(1) 在DNS隧道模块里直接启用使用预置白名单;
(2) 自定义白名单加入了运营商提供的DNS服务器。
图1-43 行为模型组网图
(1) 启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为允许,如图1-44所示。
图1-44 编辑DNS隧道检测
(2) 点击<提交>按钮,提交配置。
在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看分析行为模型日志,如图1-45所示。
(3) 启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为拒绝并加入黑名单1小时,如图1-46所示。
图1-46 编辑DNS隧道检测
(4) 点击<提交>按钮,提交配置。
在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看,如图1-47所示。
在导航栏中选择“数据中心>系统监控>黑名单记录”。查看黑名单记录,被检测出来的DNS服务器地址加入黑名单,如图1-48所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
