■河南 郭建偉

創(chuàng)建AMP 防護策略

FirePower 的AMP 其實包含兩個部分，一是利用FirePower 內(nèi)建的引擎或公有云技術(shù)，對病毒和惡意軟件進行分析，其主要對穿越防火墻的流量進行安全檢測；二是利用AMP 私有云技術(shù)來防御外部威脅，即在客戶端上安裝相應的安全軟件，并注冊到AMP 私有云上，為客戶端進行殺毒。

兩者可以獨立運作，也可以進行聯(lián)動。當然，這些都可以關(guān)聯(lián)到FMC 上來進行統(tǒng)一的配置。

對于硬件FirePower 設(shè)備來說，也可以激活其自身的設(shè)備管理功能，并進行圖形化管理。但是，這種管理方式同F(xiàn)MC 統(tǒng)一管理相比存在很多不足，F(xiàn)MC 可以在各個設(shè)備上統(tǒng)一監(jiān)控和配置，統(tǒng)一收集各種信息，F(xiàn)MC 可以對于內(nèi)網(wǎng)的設(shè)備進行滲透測試，實現(xiàn)高級的自動化管理。

在內(nèi)網(wǎng)中的客戶機上打開瀏覽器，訪問“https：//x.x.x.x”地址，其中的“x.x.x.x”為FMC的地址。在FMC 登錄界面中輸入賬戶名和密碼，進入FMC 網(wǎng)管中心界面。

然后依次點擊工具欄上的“Policies”→“Access Control”→“Malware&File”項，在右側(cè)點擊“New File Policy”按鈕，輸入策略的名稱（例如“Fpolicy1”）和描述信息，點擊“Save”按鈕，保存該策略。在“Rules”面板中點擊“Add Rule”按鈕，在新建規(guī)則窗口中的“Action”列表中提供了檢測文件、阻止文件、使用公有云檢測、阻止惡意軟件等，對于前兩項來說，是不使用AMP功能的，而對于后兩項來說，則需要依靠AMP 技術(shù)。

如果選擇“Block Files”項，表示僅僅阻止文件。在這里選擇“Block Malware”項，可以攔截病毒和惡意軟件。在其下選擇“Spera Analysis for MSEXE”、“Dynamic Analysis”、“Capacity Handling”、“Local Malware Analysis”等項目，啟用對應的分析引擎。

之后在“Application Protocol”列表中選擇應用協(xié)議，包括所有HTTP、SMTP、IMAP、POP3、FTP、SMB 等。在“Direction of Transfer”列表中選擇傳輸?shù)姆较?，包括所有上傳和下載等。在“File Type Categories”欄中選擇文件類型，包括文檔、可執(zhí)行文件、壓縮文件、系統(tǒng)文件和PDF等。

在“File Type”欄中選擇“All types in selected categories”項，允許處理該類型的所有文件。點擊“Add”按鈕，將其添加到選擇列表中。

緊接著，選擇“Reset Connection”項，表示踢掉與之關(guān)聯(lián)的網(wǎng)絡(luò)連接。在“Store files”欄中選擇“Malware”項，可以存儲可疑文件。點擊“Save”按鈕，保存該策略。

按照上述方法，可以創(chuàng)建更多的策略。在“Advanced”面板中選擇“Inspect Archives”項，可以檢測壓縮文件。選擇“Block Uninspectable Archives”項，可以阻止無法解壓的文件。選擇“Block Encrypted Archives”項，可以阻止加密文件。在“Max Archive Depth”項，可以設(shè)置解壓縮的層級。

僅僅創(chuàng)建了策略是不夠的，還需要到訪問控制策略中進行進行調(diào)用。

依次點擊工具欄上的“Policies”→“Access Control”→“Access Control”項，選擇對應的訪問控制項目，并在其右側(cè)點擊“編輯”按鈕，在打開編輯窗口中的“Inspection”面板中的“File Policy”列表中選擇上述“Fpolicy1”項，然后點擊“Save”按鈕保存配置信息。點擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

這樣，當流量穿越防火墻時，就可以對其中的特定的文件進行檢測和控制了。依次點擊工具欄上的“Analysis”→“Files”→“File Events”項，可以查看惡意文件檢測日志信息。而點擊工具欄上的“Analysis”→“Files”→“Malware Events”項，則可以查看病毒和惡意軟件處理信息。

利用SSL策略，檢測加密流量

對于采用HTTPS加密流量來說，默認使用FirePower實際是無法進行檢測的。而利用SSL Policy策略可以很好的解決該問題。

對于加密流量的檢測，F(xiàn)irePower有兩種處理方式。

一是內(nèi)部架設(shè)的HTTPS服務(wù)器，這需要將其上的證書和私鑰信息導入到防火墻中，當外部用戶訪問內(nèi)網(wǎng)中的HTTPS服務(wù)器時，F(xiàn)irePower就可以扮演代理服務(wù)器的角色，和外部用戶進行交互。

因為擁有了證書和私鑰，F(xiàn)irePower可以對加密流量進行解密，檢測其中的內(nèi)容是否合規(guī)，對于合法的請求，F(xiàn)irePower可以和內(nèi)網(wǎng)的HTTPS服務(wù)器進行通訊，之后將HTTPS的響應信息返回給外網(wǎng)客戶。對于該方式來說，F(xiàn)irePower擁有內(nèi)網(wǎng)服務(wù)器的私鑰，自然可以解密發(fā)送給內(nèi)網(wǎng)服務(wù)器的SSL流量。

二是對于內(nèi)部和外網(wǎng)HTTPS服務(wù)器之間的流量進行檢測，對于內(nèi)網(wǎng)用戶來說，當前訪問外網(wǎng)的HTTPS站點時，交互的流量處于加密狀態(tài)，F(xiàn)irePower對該加密流量進行檢測，就可以攔截隱藏在其中的病毒等惡意數(shù)據(jù)。

這里主要針對后者來進行說明，在該場景中，F(xiàn)irePower 需要充當證書服務(wù)器的角色。當內(nèi)部用戶訪問外網(wǎng)的任意一個HTTPS 網(wǎng)站時，F(xiàn)irePower 會單獨為該網(wǎng)站產(chǎn)生一個證書，內(nèi)網(wǎng)客戶所看到的不是外網(wǎng)網(wǎng)站的證書，而是FirePower 針對該外部網(wǎng)站產(chǎn)生的證書，當然，內(nèi)網(wǎng)用戶必須信任該證書。

即客戶連接的不是真正的外部網(wǎng)站，而是FirePower防火墻，F(xiàn)irePower“假扮”該外部HTTPS 網(wǎng)站，就可以解密客戶端發(fā)給防火墻的加密流量。

這樣，不管內(nèi)網(wǎng)用戶訪問Internet 上的任何HTTPS站點，F(xiàn)irePower 就會針對該網(wǎng)站簽發(fā)相應的證書。之后FirePower 再和外部的HTTPS 網(wǎng)站進行通訊，并以內(nèi)網(wǎng)客戶端的身份和目標網(wǎng)站進行交互，這樣就可以解密該網(wǎng)站的加密流量，以便于對其中的數(shù)據(jù)進行安全檢測。

而對于該流量解密方式來說，內(nèi)網(wǎng)用戶訪問Internet 的SSL 流量，需要進行解密并重簽名處理。

將FMC 加入到域環(huán)境

為了實現(xiàn)上述功能，首先需要將FMC 添加到域環(huán)境。

在FMC 管理界面的工具欄上，依次點擊“System”→“Itegration”項，然后在“Realms”面板中右側(cè)點擊“New realm”按鈕，在打開窗口中輸入合適的名稱，在“AD Primary Domain”欄中輸入域名，之后在“AD Join Username”欄中輸入域管理員名稱，在“AD Join Password”欄中輸入其密碼，在“Directory Username”和“Directory Password”欄中輸入用于查詢的賬戶名和密碼，其可以是權(quán)限較低的賬戶。

在“Base DN”和“Group DN”欄中輸入“dc=xxx.dc=com”，用來指定查詢的起始位置。然后點擊“OK”按鈕，在添加目錄窗口中輸入域名，之后將其加入到域環(huán)境中。

對應域名項右側(cè)點擊“Edit directory”按鈕，選擇“Download user and groups”項，列出域中所有的賬戶信息。訪問“https：//server1.xxx.com/certsrv”地址，其中的“server1.xxx.com”表示證書服務(wù)器名稱，在證書申請頁面中點擊“下載CA 證書，證書鏈或CRL”鏈接。選擇“Base 64”項，點擊“下載CA 證書”鏈接，得到根證書（例如“root.cer”）。在FMC工具欄上選擇“Object”→“Object Management”項，在左側(cè)選擇“PKI”→“Trusted CAs”項，在右側(cè)點擊“Add Trusted CA”按鈕，輸入其名稱，點擊“Brower”按鈕，選擇上述“root.cer”證書文件，點擊“Save”按鈕，加載根證書來加載根證書。

AMP 私有云的功能

對于Cisco AMP 私有云來說，既可以是硬件產(chǎn)品，也可以是虛擬化產(chǎn)品。其支持FirePower 等防火墻和各種終端設(shè)備（例如Windows 和Linux 主機、安卓設(shè)備、虛擬機等）。

例如，F(xiàn)irePower 的AMP如果啟用動態(tài)分析的話，默認是送到公有云進行分析。也可以指定到私有云上進行分析，用來實現(xiàn)更強大的處理功能。

AMP 私有云最主要的功能是連續(xù)的監(jiān)控所有文件的活動，并將監(jiān)控信息保存起來。這樣，可以實現(xiàn)跟蹤惡意軟件軌跡變動功能，甚至可以在目標主機內(nèi)部實現(xiàn)進程的追蹤。

如果要對文件進行沙盒分析的話，需要Threat Grid設(shè)備的支持。

例如，對于FirePower 防火墻、終端設(shè)備，以及Threat Grid 等設(shè)備來說，都需要關(guān)聯(lián)到私有云，當FirePower需要分析一個文件時，就會將該文件發(fā)送到私有云，私有云會對其進行SHA-256 編碼計算，然后將數(shù)據(jù)提交給公有云，如果公有云判斷其是惡意文件，就會將檢測信息返回給私有云，然后私有云會通知FirePower 將其進行清除。

如果需要對文件進行深度分析，私有云會將文件發(fā)送給Threat Grid，對文件進行沙盒分析。

AMP 私有云能夠?qū)ξ募?、網(wǎng)絡(luò)級和進程級的操作進行記錄，并通過本地的大數(shù)據(jù)進行查詢，如果發(fā)現(xiàn)可疑的未知文件，通過其SHA-256 的散列值發(fā)送給公有云進行分析，并將公有云的判斷結(jié)果保存到本地。

AMP 私有云可以通過獨立的虛擬機進行部署，能夠提供網(wǎng)絡(luò)和端點的的保護，包含大部分的公有云功能，具有很強大的擴展性。

AMP 私有云的運行模式

AMP 私有云支持兩種安裝模式，一是云代理模式（Cloud Proxy Mode），即充當公有云的代理，該模式需要連接Internet，客戶端將掃描特征碼發(fā)送給私有云，私有云將威脅特征碼傳送給公有云進行掃描，使用SHA-256 編碼會保證可疑文件的唯一性，避免出現(xiàn)掃描錯誤的情況。

之后消息和更新會同步到AMP 私有云，保證私有云軟件處于不斷更新狀態(tài)。

二是氣隙模式（Air Gap Mode），其特點是無需連接Internet 即可完成威脅查詢等操作，所有的查詢流量僅存在于Endpoint 和私有云之間，不會產(chǎn)生巨大的外部流量。

處理和查詢都由私有云完成，因此私有云需要關(guān)聯(lián)額外的保護數(shù)據(jù)庫，該庫中包含所有威脅文件的特征碼，并且需要定期和公有云進行同步更新。

配置和管理AMP 私有云

FireAMP 設(shè)備提供了管理口和數(shù)據(jù)口，當加電并完成底層安裝后，在主菜單窗口中會顯示URL、MAC 地址和密碼信息。選擇“CONFIG_NETWORK”項，按照提示不啟用DHCP 功能，設(shè)置所需的IP、掩碼和網(wǎng)關(guān)地址。

之后在客戶機上打開瀏覽器，訪問FireAMP 管理地址（例如“https：//x.x.x.x/login”），在登錄界面輸入上述密碼，并按提示更新密碼。當接受許可協(xié)議后，在“Clean Installation”欄中點擊“Start”按鈕，執(zhí)行全新安裝操作。

之后選擇安裝模式，這里選擇“Cloud Proxy Mode”按鈕，在“Production”欄中點擊“Next”，并按提示選擇授權(quán)文件，輸入加密該授權(quán)文件的密碼。在“FireAPP Console Account”窗口中中輸入管理員賬號（即郵箱名稱）和密碼。之后執(zhí)行分區(qū)，設(shè)定網(wǎng)絡(luò)接口IP和DNS 信息，這些域名需要全部映射到FireAMP 的數(shù)據(jù)端口上。

在“Disposition Server”窗口中的“Server”列表中選擇公有云地址，在“Upstream Protocol”列表中選擇“TCP (port32173)”項，滿足上傳流量的加密需求。之后設(shè)置通告郵件、NTP服務(wù)器地址、下載和驗證恢復文件等操作，點擊“Start Installation”按鈕，執(zhí)行具體安裝操作。

完畢后重啟，再次訪問訪問FireAMP 管理地址，輸入新的密碼后，登錄到管理平臺，可以進行一些底層的配置。也可以訪問數(shù)據(jù)口地址（例如“https：//console.xxx.com/users/login”），輸入上述管理員郵箱和密碼，進入控制臺管理界面，可以進行APP 的配置。

在控制臺中點擊工具欄上的“Integrations →Firepower Management Center”項，點擊“Download Firepower Management Center Link Certificate”，下載名為“Combined.fireamp”的證書文件。在FMC 管理界面中點擊工具欄上的“AMP →AMP Management”項，在右側(cè)點擊“Add AMP Cloud Connection”按鈕，在打開窗口中輸入私有云的名稱及FireAMP 主機的數(shù)據(jù)口名稱，點擊“Browse”按鈕選擇上述證書。選擇“Use for AMP for Firepower”項，點擊“Register”按鈕進行連接操作。之后自動跳轉(zhuǎn)到私有云控制臺，選擇對應的AMP事件，點擊“Allow”，將其導出到FMC 中。按照上述方法，創(chuàng)建一個文件過濾策略，并創(chuàng)建所需的規(guī)則。

在規(guī)則編輯窗口中選擇“Action →Block Malware”項，選擇所有的分析引擎，在“Store Files”欄中選擇“Malware”項，允許存儲惡意文件。設(shè)置合適的文件過濾條件后完成創(chuàng)建。

之后將該策略和特定的訪問策略綁定起來。這樣，在防火墻處理可疑文件時，就會將其提交給私有云，私有云再將其特征碼提交給公有云分析。如果發(fā)現(xiàn)病毒和惡意軟件，防火墻可及時進行攔截。

利用AMP 私有云保護客戶端

在客戶機上打開瀏覽器，訪問FireAMP 設(shè)備的數(shù)據(jù)端口，在控制臺工具欄上點擊“Management →Quick Start”項，然后點擊“Set up FireAMP Windows Computer”項，可以下載Windows 版的FireAMP 客戶端軟件。

點擊“Set up FireAMP Mac Computer”項，可以下載Mac 版的FireAMP 客戶端軟件。這里選擇前者，點擊“Start”按鈕，會顯示常用的安全軟件列表，如果客戶端安裝了這些軟件的話，點擊“Add security product”按鈕，可以幫助用戶配置對應的安全軟件防沖突策略。

之后提示客戶端是否使用代理服務(wù)器上網(wǎng)，接著讓用戶選擇所需的客戶端類型，依次包括僅審核策略、保護策略、診斷策略、服務(wù)器策略和域控策略等行類型。

如果需要對系統(tǒng)進行正常保護，可以在“Protect”欄中點擊“Download”按鈕下載客戶端軟件。而如果需要保護服務(wù)器，則可以在“Server”欄中下載，如果需要保護域控，可以在“Domain Controller”欄中下載。如果客戶端已經(jīng)被病毒感染，可以在“Triage”欄中下載等。

這里在“Protect”欄點擊“Download”按鈕，下載名為“Protect_FireAMPSetup.exe”的客戶端軟件，可以將其分發(fā)給所有的客戶端，便于在客戶端上進行安裝。

在客戶端上運行該軟件，它會自動連接到AMP 私有云，在主界面上點擊“Scan Now”按鈕，在打開窗口中點擊“Flash Scan”按鈕，可以執(zhí)行快速掃描操作。點擊“Custom Scan”按鈕，可以進行自定義掃描。點擊“Full Scan”按鈕，可以執(zhí)行全面掃描操作。

可以看到，它實際上是一個企業(yè)級的殺毒軟件，因此，在客戶端上是無法對其進行設(shè)置的，所有的配置信息都是由管理端推送下來的。

在其主界面上點擊“Settings”按鈕，在設(shè)置窗口中點擊“Sync Policy”按鈕，執(zhí)行設(shè)置信息同步操作。在SourceFire 控制臺上點擊工具欄上的“Management →Deployment Summary”項，顯示部署了SourceFire 客戶端軟件的主機信息。點擊“Management →Computer”項，在對應客戶機項目欄中點擊“Scan”按鈕，可以針對該機執(zhí)行遠程掃描操作。

當然，在客戶機上執(zhí)行的后臺掃描操作，點擊工具欄上的“Dashboard”項，在“Events”面板中顯示相關(guān)的事件信息。

這樣，當內(nèi)網(wǎng)客戶端下載了包含病毒等惡意軟件的文件時，就會在Firepower 防火墻上和SourceFire 客戶端程序上同時被檢測到，將病毒及時隔離或者清除。

在SourceFire控制臺中打開上述在“Events”面板，會顯示相關(guān)的檢測到病毒的提示信息。在對應病毒檢測項目右側(cè)點擊文件路徑圖標，會進一步顯示該病毒文件在網(wǎng)絡(luò)中的活動軌跡信息。

點擊進程路徑信息，會進一步顯示病毒在進程中的活動信息，例如，病毒是由哪個進程（例如瀏覽器等）下載的等等。