■ 河南 許紅軍

編者按： 傳統(tǒng)上企業(yè)使用防火墻防御內(nèi)網(wǎng)安全，但這往往只能被動的進行防護，無法實現(xiàn)“主動出擊”應對各種安全威脅。對于像FirePower等下一代防火墻來說，已經(jīng)不再局限于被動防御，針對各種惡意行為的特點，其會采取各種策略主動的加以防御，巧妙化解形形色色的攻擊行為。這里就分析了FirePower防火墻的一些自動化特性，來說明其如何實現(xiàn)靈活的防御功能。

利用自動發(fā)現(xiàn)，洞察內(nèi)網(wǎng)信息

使用FirePower提供的Network Discovery功能，可以自動收集網(wǎng)絡中和主機，應用以及用戶數(shù)據(jù)信息相關的信息，讓管理員對內(nèi)網(wǎng)的情況了如指掌。

例如，可以發(fā)現(xiàn)諸如操作系統(tǒng)類型、主機流量、主機漏洞、應用流量、區(qū)域分類、攻擊源頭、攻擊目標、攻擊事件、攻擊軌跡、攻擊的詳細信息等內(nèi)容，從而可以實現(xiàn)應用分析、地體定位等實用功能。

在FMC管理界面的工具 欄 上 點 擊“Policies”→“Network Discovery”項，可以看到默認已經(jīng)激活了自動發(fā)現(xiàn)功能。但是默認的配置只是用來探測網(wǎng)絡中的應用信息的。

在默認項的編輯窗口中選擇“Host”和Users”項，激活針對用戶和主機的分析功能。在“Networks”面板中可以設置需要監(jiān)控的網(wǎng)段范圍，默認針對整個內(nèi)網(wǎng)。在“Zones”面板中定義需要監(jiān)控的區(qū)域，在“Ports”面板中可以定義需要監(jiān)控的端口。之后點擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

點擊工具欄上的“Analysis”→“Hosts”→“Network Map”項，可以對內(nèi)網(wǎng)進行掃描，在左側的“Hosts”列表中按照和地址相關的編號，顯示內(nèi)網(wǎng)中的所有的主機信息。

例如選擇“10”→“10.1”→“10.1.1.1”→“10.1.1.100”項，在右側顯示擁有該IP的主機的詳細信息，包括主機名、MAC地址、上次檢測到的時間、當前用戶、設備類型、操作系統(tǒng)類型、使用的協(xié)議、活動的應用程序、網(wǎng)絡連接信息，、最近下載的惡意軟件、存在的漏洞等內(nèi)容。

點 擊“Scan Host” 按鈕，可以對其進行掃描。點擊工具欄上的“Analysis”→“Hosts”→“Applications”項，執(zhí)行對應用的分析。在列表中顯示所有可用的應用程序。點擊工具欄上的“Analysis” →“Hosts” →“Hosts”項，執(zhí)行對主機的分析等。

利用關聯(lián)特性，對抗安全威脅

利用FirePower防火墻的關聯(lián)特性，可以實時響應網(wǎng)絡中的安全威脅。即當發(fā)生了某個網(wǎng)絡攻擊或者安全事件的時候，就可以關聯(lián)一個規(guī)則，來對此進行有效的防御。

利用該特性，可以將各種操作進行有效關聯(lián)，從而實現(xiàn)防火墻的自動化功能。例如在指定的網(wǎng)段（例 如“10.1.1.0/24”）中，當利用防火墻的Network Discovery功能發(fā)現(xiàn)新的主機后，隨即對其進行NMAP掃描。這樣，就可以將發(fā)現(xiàn)新主機和自動掃描功能關聯(lián)起來。

登錄FMC主機上，在其管理界面中點擊工具欄上的“Policies”→“Actions”→“Modules”項，在列表中的“Nmap Remediation”項 右側點擊放大鏡圖標，在打開窗口中的“Configured Instances”欄中點擊“Add”按鈕，在“Edit Instances”窗口中輸入其名稱（例如“NewNmap”），點擊“Create”按鈕創(chuàng)建該實例。

在之后打開窗口中 的“Configured Remediations”欄 中 的“Add a new remediation of type”列表中選擇“Nmap Scan”項，點擊“Add”按鈕，在掃描設置窗口中輸入其名 稱（例 如“NewScan”），在“Scan Which Address From Event?”列表中選擇掃描的地址類型，包括源地址和目的地址、僅僅源地址、僅僅目的地址等，

這里選擇“Scan Source Address Only”項，僅僅掃描目標主機的源地址。在“Scan Type”列表中選擇掃描的類型，這里選擇“TCP Connect Scan”項，表示執(zhí)行TCP連接掃描。其余設置保持默認，點擊“Create”按鈕創(chuàng)建檢測項。點擊工具欄上的“Policies”→“Actions”→“Groups”項，點擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Group1”），選 擇“Active”項及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項目，這里選擇上面的的“NewScan”項，點擊“>”按鈕，將其添加到“Responses In Group”列表中。

當然，在該組中可以添加多個行為項目。當出現(xiàn)某個事件后，可以調(diào)用該組中的所有行為加以應對，點擊“Save”按鈕保存該組。點擊工具欄上的“Policies”→“Correlation”項，在“Rule Management”面板中右側點擊“Creat Group”按鈕，輸入規(guī)則組的名稱（例如“RuleGrp”），點擊“Save”按鈕創(chuàng)建該組。

點擊“Create Rule”按鈕，在規(guī)則編輯窗口中輸入其名稱（例如“Findhost”），在“Rule Group”列表中選擇上述“RuleGrp”組，使其隸屬于該組。在“Select the type of event for this rule”欄中的選擇發(fā)生的事件類型，包括發(fā)生了一個入侵事件，發(fā)現(xiàn)新的設備，檢測到用戶活動，發(fā)生了某主機的輸入事件，發(fā)生了一個連接事件，流量變化，病毒入侵等。

這里選擇“a discovery event occurs”項，表示發(fā)現(xiàn)了一臺新主機。在其右側的列表中，選擇“a new IP host is detected”項，表示檢測到新的主機IP。在其下的列表中選擇“IP Address”和“is in”項，為其設置合適的地址段（例如“10.1.1.10/24”）。最后，點擊“Save”按鈕，保存該規(guī)則設置。

上面的操作定義了發(fā)生的時間以及具體的應對行為，接下來需要將兩者結合起來。

首 先， 在“Policy Management”面 板 中 點擊“Create Policy” 按鈕，輸入策略的名稱（例如“Policy1”），點 擊“Add Rules”按鈕，在打開窗口內(nèi)右側選擇“Activate”項將其激活。

點擊“編輯”按鈕，在“Available Rules”窗口中的“rule_group”節(jié)點下選擇上述名為“Findhost”規(guī)則項，點擊“Add”按鈕將其添加進來。在該項目右側點擊“Responses”按鈕，在打開窗口中的“Unassigned Responses”欄中選擇上述“NewNmap”組，將其添加到可用列表中。點擊“Update”按鈕完成更新。

這樣，當檢測到新的主機后，就會調(diào)用指定的掃描項目，對其進行安全檢測。點擊工具欄上的“Deploy”按鈕，將其部署FirePower防火墻上。

當新的主機連入網(wǎng)絡后，F(xiàn)irePower防火墻即可對其進行掃描，點擊FMC管理界面右側的綠色按鈕，在打開窗口中的“Tasks”面板中顯示掃描提示信息。

點擊工具欄上的“Analy sis”→“Correlation”→“Corr elation Events”項，在關聯(lián)事件窗口顯示該主機的掃描信息，點擊工具欄上的“Analysis”→“Hosts”→“Network Map”項，在左側選擇該新主機的IP項目，在右側的“Scan Results”欄中顯示掃描的結果信息，例如該機開啟了哪些端口等。

配置合規(guī)白名單，實現(xiàn)嚴格管控

利用FirePower提供的合規(guī)性白名單功能，可以對目標主機進行嚴格的管控。例如可以規(guī)定其系統(tǒng)類型、允許安裝的應用類型、允許發(fā)生的流量類型（例如只能產(chǎn)生HTTP流量）等，如果超出了規(guī)定的管控范圍，就會觸發(fā)報警或者其他控制行為。

例如，針對某Windows服務器創(chuàng)建合規(guī)白名單，如果收到白名單之外的流量時，就會觸發(fā)Syslog報警，并將報警信息發(fā)送到指定主機上的Syslog日志數(shù)據(jù)庫中。

在FMC管理界面中依 次 點 擊“Policies”→“Actions”→ “Alerts”項，在打開窗口右上角點擊菜單“Create Alert”→“Create Syslog Alert” 項， 在“Edit Syslog Alert Configuration”窗口中輸入其名稱（例如“Alert1”），在“Host”欄中輸入運行Syslog服務的主機的IP（例如“192.168.1.200”），其余設置保持默認，點擊“Save”按鈕保存即可。

點擊工具欄上的“Policies”→“Actions”→“Groups”項，點擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Alertgrp”），選擇“Active”項及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項目，這里選擇上述“Alert1”項，點擊“>”按鈕將其添加進來。點擊工具欄上的“Polices”→“Correlation”項，在“White List”面板中右側點擊“New White List”按鈕，在“IP Address”欄中輸入目標主機IP（例如“192.168.1.100”）， 在“Netmask”欄中輸入“32”，點 擊“Add”按 鈕 添 加 該主 機。 在“White List Information”欄中輸入該白名單名稱（例如“Wlist”），在左側選擇該主機，在右側可以更改其名稱（例如“Server1”）。

在左側的“Allow Host Profiles”欄 點 擊“+”按鈕，在右側輸入該Profile的名稱（例如“Profile1”），在“OS Vendor”列表中選擇操作系統(tǒng)類型（例如選擇“Windows 7、Server 2008 R2”）。如果選擇“Allow all Application Protocols”項，允許所有的應用協(xié)議。當然，也可以單獨指定協(xié)議，在該項右側點擊“+”按鈕，在打開窗口中選擇“”項，點 擊“OK”按 鈕，在“Type”列表中選擇具體的協(xié)議類型。

選 擇“Allow all Clients”項，允許所有的客戶端。選擇“Allow all Web Applications”項，則可允許所有的網(wǎng)頁協(xié)議。當然，也可以單獨指定所需的客戶端和Web協(xié)議。

但要注意，不管以上如何選擇，是沒有ICMP協(xié)議的。

之后選擇點擊左側的“Save White List” 按鈕，完成保存該白名單配置信息。然后在“Policy Management”面板中點擊“Create Policy” 按鈕，并輸入其名稱（例如“WlistPolicy”），然后點擊“Save”按鈕保存該策略。

點 擊“Add Rule” 按鈕，按照上述方法，在“Available Rules” 窗 口中 的“White List Rules”欄 中選擇“Wlist”項，點擊“Add”按鈕將其添加進來。在該項目右側點擊“Responses”按 鈕，在 打開窗口中的“Unassigned Responses”欄中選擇上述“AlertGrp”組，將其添加到可用列表中。點擊“Update”按鈕完成更新。

這樣，就將該白名單和指定的組結合起來，當目標主機的行為超越了白名單管控的范圍，就會觸發(fā)指定組中的報警行為。

例如，當有人對該主機進行掃描時，因為產(chǎn)生的流量類型不符合白名單的范圍，就會觸發(fā)報警動作，并將其行為記錄到SysLog服務器上。