■ 北京 金玲

編者按：眾所周知，網(wǎng)絡(luò)安全重在防護(hù)，完整、有效的網(wǎng)絡(luò)安全防護(hù)方案可以確保信息系統(tǒng)的穩(wěn)定運(yùn)行。本文以筆者所在單位的信息系統(tǒng)為例，結(jié)合工作實(shí)際，探討如何利用“下一代防火墻”制定全方位、行之有效的網(wǎng)絡(luò)安全防護(hù)方案。

在日益增長(zhǎng)的網(wǎng)絡(luò)安全防護(hù)需求推動(dòng)下，防火墻技術(shù)得到飛速發(fā)展。筆者所在單位使用的防火墻型號(hào)為深信服NGAF-1350，屬于更加安全的“下一代防火墻”，提供更全面的內(nèi)容級(jí)安全防護(hù)，具備完整的L2-L7完整的安全防護(hù)功能。本文以筆者所在單位的信息系統(tǒng)為例，結(jié)合工作實(shí)際，探討如何利用“下一代防火墻”制定全方位、行之有效的網(wǎng)絡(luò)安全防護(hù)方案。

Web攻擊防護(hù)

筆者所在單位的門(mén)戶網(wǎng)站和用戶上網(wǎng)共用外網(wǎng)線路，在這種網(wǎng)絡(luò)環(huán)境下，如果作為出口安全網(wǎng)關(guān)的防火墻不具備Web應(yīng)用防護(hù)能力，那么在APT攻擊的大環(huán)境下，傳統(tǒng)的安全設(shè)備很容易被繞過(guò)，形同虛設(shè)。NGAF則提供基于黑客攻擊過(guò)程的完整Web系統(tǒng)安全防護(hù)，針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù)：

1.掃描：提供網(wǎng)站防掃描、口令暴力破解、關(guān)鍵URL防護(hù)、應(yīng)用信息隱藏等。

2.滲透：提供強(qiáng)化的Web攻擊防護(hù)（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對(duì)象漏洞利用防護(hù)等。

3.破壞：提供Webshell后門(mén)檢測(cè)、黑鏈檢測(cè)、抗CC攻擊、惡意腳本上傳過(guò)濾、僵木蠕檢測(cè)、異常流量清洗等。

查看入侵防護(hù)情況，登錄設(shè)備，點(diǎn)擊“導(dǎo)航菜單”→“運(yùn)行狀態(tài)”→“安全狀況”→“入侵風(fēng)險(xiǎn)”：顯示系統(tǒng)受到Shellcode漏洞攻擊10次、System漏洞攻擊1次、Scan漏洞攻擊3次。

具體情況（如圖1所示）是：IP地址為192.168.31.50的服務(wù)器曾被黑客使用Nmap等工具搜集服務(wù)器的端口、服務(wù)等信息，遭受7個(gè)源IP攻擊，攻擊共計(jì)14次，其中，檢測(cè)到111.230.45.212發(fā)起Shellcode漏洞攻擊處于滲透階段，39.104.28.63發(fā)起Scan漏洞攻擊處于掃描階段，建議管理員對(duì)該服務(wù)器加強(qiáng)防護(hù)，并對(duì)所涉源IP進(jìn)行黑名單封堵。

圖1 添加用戶到用戶組

NGAF提供了Web防護(hù)、IPS入侵防護(hù)、病毒防護(hù)，以及DDoS防護(hù)等功能，識(shí)別和阻斷不正常的流量，監(jiān)控不斷增長(zhǎng)和聚合的通訊流量，關(guān)閉惡意連接，對(duì)SQL注入、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳等OWASP常見(jiàn)攻擊進(jìn)行防護(hù)，防止惡意流量過(guò)度地消耗系統(tǒng)資源。

使用NGAF的網(wǎng)頁(yè)防篡改防護(hù)可以第一時(shí)間攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn)，同時(shí)對(duì)外提供篡改重定向功能，將用戶的訪問(wèn)請(qǐng)求重定向到備份的Web服務(wù)器上，保證用戶仍可正常訪問(wèn)網(wǎng)站。

具體配置只需管理員預(yù)先在控制臺(tái)配置好需要防護(hù)的網(wǎng)站，點(diǎn)擊“導(dǎo)航菜單”→“服務(wù)器保護(hù)”→“網(wǎng)頁(yè)篡改防護(hù)”→“+新增”，添加防篡改策略，設(shè)置完成后，系統(tǒng)向網(wǎng)站請(qǐng)求頁(yè)面并且緩存到設(shè)備，用以和用戶訪問(wèn)的頁(yè)面進(jìn)行比對(duì)。

圖2 通道配置

應(yīng)用流量的管理控制

單位的局域網(wǎng)有200多臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)且未限制手機(jī)等移動(dòng)設(shè)備接入網(wǎng)絡(luò)，如果不對(duì)流量進(jìn)行合理管控，各種應(yīng)用會(huì)嚴(yán)重?cái)D占帶寬，妨礙正常的網(wǎng)絡(luò)辦公應(yīng)用。管理員可利用NGAF的流量管理模塊規(guī)劃上網(wǎng)行為，識(shí)別和管控與工作無(wú)關(guān)的應(yīng)用，提高帶寬利用率，解決“帶寬永遠(yuǎn)不夠?qū)挕眴?wèn)題。

流量分配的原則是確保服務(wù)器、重要業(yè)務(wù)和行政辦公的流量使用，限制流量異常的終端。具體配置過(guò)程：第一步，設(shè)置用戶組，“導(dǎo)航菜單”→“認(rèn)證系統(tǒng)”→“用戶管理”→“組/用戶”→“+新增”，選擇“組”選項(xiàng)，在“組名列表”中輸入工作組名稱點(diǎn)擊“提交”。第二步，在用戶組中添加用戶，點(diǎn)擊“待添加用戶組→成員管理→+新增→用戶”進(jìn)行添加，也可到設(shè)備默認(rèn)的Default用戶組或其他用戶組中勾選待添加用戶，點(diǎn)擊“移動(dòng)”將用戶轉(zhuǎn)到待添加的用戶組。第三步，進(jìn)行通道配置，就是把一條物理線路為用戶組劃分為不同的邏輯線路，以實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的合理分配，點(diǎn)擊“導(dǎo)航菜單→流量管理→通道配置”，勾選“啟用流量管理系統(tǒng)”，進(jìn)入通道配置頁(yè)面，點(diǎn)擊“+新增通道→添加通道”，進(jìn)入通道編輯菜單進(jìn)行通道設(shè)置。在如圖2所示的通道設(shè)置中，設(shè)置內(nèi)網(wǎng)通道上行帶寬和下行帶寬最多占總帶寬的50%，優(yōu)先級(jí)選擇低，意味著該通道在與服務(wù)器爭(zhēng)用空余帶寬時(shí)處于劣勢(shì)。

單位最初購(gòu)買(mǎi)的NGAF F-1350無(wú)法識(shí)別移動(dòng)終端，導(dǎo)致網(wǎng)絡(luò)管理存在盲點(diǎn)，經(jīng)與廠商工程師溝通后，在防火墻上加裝了移動(dòng)終端管理模塊，用來(lái)識(shí)別Wi-Fi熱點(diǎn)、無(wú)線聯(lián)網(wǎng)用戶和終端，實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)用戶的可管可控。通過(guò)移動(dòng)終端管理模塊可對(duì)移動(dòng)終端實(shí)施封禁，如圖3所示，依次點(diǎn)擊“導(dǎo)航菜單→安全防護(hù)對(duì)象→移動(dòng)終端管理”，進(jìn)入移動(dòng)終端管理頁(yè)面，找到并選中流量異常的移動(dòng)終端IP地址，在頁(yè)面左上端選擇“拒絕此移動(dòng)終端”，彈出對(duì)話框選擇“是”，最后再頁(yè)面右下角點(diǎn)擊“立即生效配置”按鍵。

安全漏洞分析和掃描

對(duì)于管理員來(lái)說(shuō)，每天進(jìn)行安全漏洞分析、軟件更新以及修補(bǔ)系統(tǒng)漏洞是每日必需的基本活動(dòng)。NGAF通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò)流量，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的業(yè)務(wù)漏洞，包括：發(fā)現(xiàn)網(wǎng)站/OA存在的設(shè)計(jì)問(wèn)題、第三方插件的漏洞檢測(cè)、Web不安全配置檢測(cè)等。

圖4是一臺(tái)剛接入網(wǎng)絡(luò)的服務(wù)器通過(guò)NGAF-1350提供的漏洞掃描功能自動(dòng)檢測(cè)出的漏洞，管理員可據(jù)此逐一進(jìn)行自動(dòng)或手動(dòng)修復(fù)。

圖3 封禁移動(dòng)終端

圖4 服務(wù)器漏洞掃描

面向用戶與應(yīng)用制定訪問(wèn)控制策略

根據(jù)業(yè)務(wù)需求，制定L3-L7層一體化基于用戶應(yīng)用的訪問(wèn)控制策略，包括應(yīng)用訪問(wèn)控制策略的制定和安全防護(hù)策略的創(chuàng)建，為網(wǎng)絡(luò)提供有效防御。訪問(wèn)控制策略配置，點(diǎn)擊“導(dǎo)航菜單→內(nèi)容安全→應(yīng)用控制策略→+新增”，進(jìn)入控制策略編輯頁(yè)面，確定控制規(guī)則的網(wǎng)絡(luò)對(duì)象、應(yīng)用動(dòng)作等選項(xiàng)。控制規(guī)則的配置應(yīng)關(guān)閉不需要使用或存在攻擊隱患的服務(wù)及端口，刪除過(guò)期的無(wú)用規(guī)則，防止規(guī)則膨脹，保留維持系統(tǒng)正常運(yùn)行所必須開(kāi)放的端口和服務(wù)的最小集合。

總結(jié)

安全防護(hù)不能存在短板，通常采用設(shè)備疊加的方案確保網(wǎng)絡(luò)和數(shù)據(jù)安全， NGAF在端口、協(xié)議的檢測(cè)和阻斷基礎(chǔ)上，增加了入侵防御、服務(wù)器防護(hù)、應(yīng)用流量管理等功能，將內(nèi)部網(wǎng)絡(luò)的安全控制策略集中于防火墻之上，實(shí)現(xiàn)集中管理，大大降低了設(shè)備疊加防護(hù)方案的組網(wǎng)復(fù)雜度和不兼容性。在實(shí)際使用過(guò)程中，以NGAF為核心構(gòu)建的L2-L7層整體安全防護(hù)體系可同時(shí)抵擋網(wǎng)絡(luò)層和應(yīng)用層的攻擊，展現(xiàn)了良好的抗攻擊性能，面向用戶與應(yīng)用的雙向管控，極大的提高了管理員的工作效率，讓管理員可以輕松實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效管控，防范網(wǎng)絡(luò)風(fēng)險(xiǎn)。