亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        FirePower 的AMP 防護之道

        2020-12-30 07:49:42河南郭建偉
        網(wǎng)絡(luò)安全和信息化 2020年2期
        關(guān)鍵詞:工具欄防火墻按鈕

        ■河南 郭建偉

        創(chuàng)建AMP 防護策略

        FirePower 的AMP 其實包含兩個部分,一是利用FirePower 內(nèi)建的引擎或公有云技術(shù),對病毒和惡意軟件進行分析,其主要對穿越防火墻的流量進行安全檢測;二是利用AMP 私有云技術(shù)來防御外部威脅,即在客戶端上安裝相應的安全軟件,并注冊到AMP 私有云上,為客戶端進行殺毒。

        兩者可以獨立運作,也可以進行聯(lián)動。當然,這些都可以關(guān)聯(lián)到FMC 上來進行統(tǒng)一的配置。

        對于硬件FirePower 設(shè)備來說,也可以激活其自身的設(shè)備管理功能,并進行圖形化管理。但是,這種管理方式同F(xiàn)MC 統(tǒng)一管理相比存在很多不足,F(xiàn)MC 可以在各個設(shè)備上統(tǒng)一監(jiān)控和配置,統(tǒng)一收集各種信息,F(xiàn)MC 可以對于內(nèi)網(wǎng)的設(shè)備進行滲透測試,實現(xiàn)高級的自動化管理。

        在內(nèi)網(wǎng)中的客戶機上打開瀏覽器,訪問“https://x.x.x.x”地址,其中的“x.x.x.x”為FMC的地址。在FMC 登錄界面中輸入賬戶名和密碼,進入FMC 網(wǎng)管中心界面。

        然后依次點擊工具欄上的“Policies”→“Access Control”→“Malware&File”項,在右側(cè)點擊“New File Policy”按鈕,輸入策略的名稱(例如“Fpolicy1”)和描述信息,點擊“Save”按鈕,保存該策略。在“Rules”面板中點擊“Add Rule”按鈕,在新建規(guī)則窗口中的“Action”列表中提供了檢測文件、阻止文件、使用公有云檢測、阻止惡意軟件等,對于前兩項來說,是不使用AMP功能的,而對于后兩項來說,則需要依靠AMP 技術(shù)。

        如果選擇“Block Files”項,表示僅僅阻止文件。在這里選擇“Block Malware”項,可以攔截病毒和惡意軟件。在其下選擇“Spera Analysis for MSEXE”、“Dynamic Analysis”、“Capacity Handling”、“Local Malware Analysis”等項目,啟用對應的分析引擎。

        之后在“Application Protocol”列表中選擇應用協(xié)議,包括所有HTTP、SMTP、IMAP、POP3、FTP、SMB 等。在“Direction of Transfer”列表中選擇傳輸?shù)姆较?,包括所有上傳和下載等。在“File Type Categories”欄中選擇文件類型,包括文檔、可執(zhí)行文件、壓縮文件、系統(tǒng)文件和PDF等。

        在“File Type”欄中選擇“All types in selected categories”項,允許處理該類型的所有文件。點擊“Add”按鈕,將其添加到選擇列表中。

        緊接著,選擇“Reset Connection”項,表示踢掉與之關(guān)聯(lián)的網(wǎng)絡(luò)連接。在“Store files”欄中選擇“Malware”項,可以存儲可疑文件。點擊“Save”按鈕,保存該策略。

        按照上述方法,可以創(chuàng)建更多的策略。在“Advanced”面板中選擇“Inspect Archives”項,可以檢測壓縮文件。選擇“Block Uninspectable Archives”項,可以阻止無法解壓的文件。選擇“Block Encrypted Archives”項,可以阻止加密文件。在“Max Archive Depth”項,可以設(shè)置解壓縮的層級。

        僅僅創(chuàng)建了策略是不夠的,還需要到訪問控制策略中進行進行調(diào)用。

        依次點擊工具欄上的“Policies”→“Access Control”→“Access Control”項,選擇對應的訪問控制項目,并在其右側(cè)點擊“編輯”按鈕,在打開編輯窗口中的“Inspection”面板中的“File Policy”列表中選擇上述“Fpolicy1”項,然后點擊“Save”按鈕保存配置信息。點擊工具欄上的“Deploy”按鈕,將其部署到FirePower防火墻上。

        這樣,當流量穿越防火墻時,就可以對其中的特定的文件進行檢測和控制了。依次點擊工具欄上的“Analysis”→“Files”→“File Events”項,可以查看惡意文件檢測日志信息。而點擊工具欄上的“Analysis”→“Files”→“Malware Events”項,則可以查看病毒和惡意軟件處理信息。

        利用SSL策略,檢測加密流量

        對于采用HTTPS加密流量來說,默認使用FirePower實際是無法進行檢測的。而利用SSL Policy策略可以很好的解決該問題。

        對于加密流量的檢測,F(xiàn)irePower有兩種處理方式。

        一是內(nèi)部架設(shè)的HTTPS服務(wù)器,這需要將其上的證書和私鑰信息導入到防火墻中,當外部用戶訪問內(nèi)網(wǎng)中的HTTPS服務(wù)器時,F(xiàn)irePower就可以扮演代理服務(wù)器的角色,和外部用戶進行交互。

        因為擁有了證書和私鑰,F(xiàn)irePower可以對加密流量進行解密,檢測其中的內(nèi)容是否合規(guī),對于合法的請求,F(xiàn)irePower可以和內(nèi)網(wǎng)的HTTPS服務(wù)器進行通訊,之后將HTTPS的響應信息返回給外網(wǎng)客戶。對于該方式來說,F(xiàn)irePower擁有內(nèi)網(wǎng)服務(wù)器的私鑰,自然可以解密發(fā)送給內(nèi)網(wǎng)服務(wù)器的SSL流量。

        二是對于內(nèi)部和外網(wǎng)HTTPS服務(wù)器之間的流量進行檢測,對于內(nèi)網(wǎng)用戶來說,當前訪問外網(wǎng)的HTTPS站點時,交互的流量處于加密狀態(tài),F(xiàn)irePower對該加密流量進行檢測,就可以攔截隱藏在其中的病毒等惡意數(shù)據(jù)。

        這里主要針對后者來進行說明,在該場景中,F(xiàn)irePower 需要充當證書服務(wù)器的角色。當內(nèi)部用戶訪問外網(wǎng)的任意一個HTTPS 網(wǎng)站時,F(xiàn)irePower 會單獨為該網(wǎng)站產(chǎn)生一個證書,內(nèi)網(wǎng)客戶所看到的不是外網(wǎng)網(wǎng)站的證書,而是FirePower 針對該外部網(wǎng)站產(chǎn)生的證書,當然,內(nèi)網(wǎng)用戶必須信任該證書。

        即客戶連接的不是真正的外部網(wǎng)站,而是FirePower防火墻,F(xiàn)irePower“假扮”該外部HTTPS 網(wǎng)站,就可以解密客戶端發(fā)給防火墻的加密流量。

        這樣,不管內(nèi)網(wǎng)用戶訪問Internet 上的任何HTTPS站點,F(xiàn)irePower 就會針對該網(wǎng)站簽發(fā)相應的證書。之后FirePower 再和外部的HTTPS 網(wǎng)站進行通訊,并以內(nèi)網(wǎng)客戶端的身份和目標網(wǎng)站進行交互,這樣就可以解密該網(wǎng)站的加密流量,以便于對其中的數(shù)據(jù)進行安全檢測。

        而對于該流量解密方式來說,內(nèi)網(wǎng)用戶訪問Internet 的SSL 流量,需要進行解密并重簽名處理。

        將FMC 加入到域環(huán)境

        為了實現(xiàn)上述功能,首先需要將FMC 添加到域環(huán)境。

        在FMC 管理界面的工具欄上,依次點擊“System”→“Itegration”項,然后在“Realms”面板中右側(cè)點擊“New realm”按鈕,在打開窗口中輸入合適的名稱,在“AD Primary Domain”欄中輸入域名,之后在“AD Join Username”欄中輸入域管理員名稱,在“AD Join Password”欄中輸入其密碼,在“Directory Username”和“Directory Password”欄中輸入用于查詢的賬戶名和密碼,其可以是權(quán)限較低的賬戶。

        在“Base DN”和“Group DN”欄中輸入“dc=xxx.dc=com”,用來指定查詢的起始位置。然后點擊“OK”按鈕,在添加目錄窗口中輸入域名,之后將其加入到域環(huán)境中。

        對應域名項右側(cè)點擊“Edit directory”按鈕,選擇“Download user and groups”項,列出域中所有的賬戶信息。訪問“https://server1.xxx.com/certsrv”地址,其中的“server1.xxx.com”表示證書服務(wù)器名稱,在證書申請頁面中點擊“下載CA 證書,證書鏈或CRL”鏈接。選擇“Base 64”項,點擊“下載CA 證書”鏈接,得到根證書(例如“root.cer”)。在FMC工具欄上選擇“Object”→“Object Management”項,在左側(cè)選擇“PKI”→“Trusted CAs”項,在右側(cè)點擊“Add Trusted CA”按鈕,輸入其名稱,點擊“Brower”按鈕,選擇上述“root.cer”證書文件,點擊“Save”按鈕,加載根證書來加載根證書。

        AMP 私有云的功能

        對于Cisco AMP 私有云來說,既可以是硬件產(chǎn)品,也可以是虛擬化產(chǎn)品。其支持FirePower 等防火墻和各種終端設(shè)備(例如Windows 和Linux 主機、安卓設(shè)備、虛擬機等)。

        例如,F(xiàn)irePower 的AMP如果啟用動態(tài)分析的話,默認是送到公有云進行分析。也可以指定到私有云上進行分析,用來實現(xiàn)更強大的處理功能。

        AMP 私有云最主要的功能是連續(xù)的監(jiān)控所有文件的活動,并將監(jiān)控信息保存起來。這樣,可以實現(xiàn)跟蹤惡意軟件軌跡變動功能,甚至可以在目標主機內(nèi)部實現(xiàn)進程的追蹤。

        如果要對文件進行沙盒分析的話,需要Threat Grid設(shè)備的支持。

        例如,對于FirePower 防火墻、終端設(shè)備,以及Threat Grid 等設(shè)備來說,都需要關(guān)聯(lián)到私有云,當FirePower需要分析一個文件時,就會將該文件發(fā)送到私有云,私有云會對其進行SHA-256 編碼計算,然后將數(shù)據(jù)提交給公有云,如果公有云判斷其是惡意文件,就會將檢測信息返回給私有云,然后私有云會通知FirePower 將其進行清除。

        如果需要對文件進行深度分析,私有云會將文件發(fā)送給Threat Grid,對文件進行沙盒分析。

        AMP 私有云能夠?qū)ξ募?、網(wǎng)絡(luò)級和進程級的操作進行記錄,并通過本地的大數(shù)據(jù)進行查詢,如果發(fā)現(xiàn)可疑的未知文件,通過其SHA-256 的散列值發(fā)送給公有云進行分析,并將公有云的判斷結(jié)果保存到本地。

        AMP 私有云可以通過獨立的虛擬機進行部署,能夠提供網(wǎng)絡(luò)和端點的的保護,包含大部分的公有云功能,具有很強大的擴展性。

        AMP 私有云的運行模式

        AMP 私有云支持兩種安裝模式,一是云代理模式(Cloud Proxy Mode),即充當公有云的代理,該模式需要連接Internet,客戶端將掃描特征碼發(fā)送給私有云,私有云將威脅特征碼傳送給公有云進行掃描,使用SHA-256 編碼會保證可疑文件的唯一性,避免出現(xiàn)掃描錯誤的情況。

        之后消息和更新會同步到AMP 私有云,保證私有云軟件處于不斷更新狀態(tài)。

        二是氣隙模式(Air Gap Mode),其特點是無需連接Internet 即可完成威脅查詢等操作,所有的查詢流量僅存在于Endpoint 和私有云之間,不會產(chǎn)生巨大的外部流量。

        處理和查詢都由私有云完成,因此私有云需要關(guān)聯(lián)額外的保護數(shù)據(jù)庫,該庫中包含所有威脅文件的特征碼,并且需要定期和公有云進行同步更新。

        配置和管理AMP 私有云

        FireAMP 設(shè)備提供了管理口和數(shù)據(jù)口,當加電并完成底層安裝后,在主菜單窗口中會顯示URL、MAC 地址和密碼信息。選擇“CONFIG_NETWORK”項,按照提示不啟用DHCP 功能,設(shè)置所需的IP、掩碼和網(wǎng)關(guān)地址。

        之后在客戶機上打開瀏覽器,訪問FireAMP 管理地址(例如“https://x.x.x.x/login”),在登錄界面輸入上述密碼,并按提示更新密碼。當接受許可協(xié)議后,在“Clean Installation”欄中點擊“Start”按鈕,執(zhí)行全新安裝操作。

        之后選擇安裝模式,這里選擇“Cloud Proxy Mode”按鈕,在“Production”欄中點擊“Next”,并按提示選擇授權(quán)文件,輸入加密該授權(quán)文件的密碼。在“FireAPP Console Account”窗口中中輸入管理員賬號(即郵箱名稱)和密碼。之后執(zhí)行分區(qū),設(shè)定網(wǎng)絡(luò)接口IP和DNS 信息,這些域名需要全部映射到FireAMP 的數(shù)據(jù)端口上。

        在“Disposition Server”窗口中的“Server”列表中選擇公有云地址,在“Upstream Protocol”列表中選擇“TCP (port32173)”項,滿足上傳流量的加密需求。之后設(shè)置通告郵件、NTP服務(wù)器地址、下載和驗證恢復文件等操作,點擊“Start Installation”按鈕,執(zhí)行具體安裝操作。

        完畢后重啟,再次訪問訪問FireAMP 管理地址,輸入新的密碼后,登錄到管理平臺,可以進行一些底層的配置。也可以訪問數(shù)據(jù)口地址(例如“https://console.xxx.com/users/login”),輸入上述管理員郵箱和密碼,進入控制臺管理界面,可以進行APP 的配置。

        在控制臺中點擊工具欄上的“Integrations →Firepower Management Center”項,點擊“Download Firepower Management Center Link Certificate”,下載名為“Combined.fireamp”的證書文件。在FMC 管理界面中點擊工具欄上的“AMP →AMP Management”項,在右側(cè)點擊“Add AMP Cloud Connection”按鈕,在打開窗口中輸入私有云的名稱及FireAMP 主機的數(shù)據(jù)口名稱,點擊“Browse”按鈕選擇上述證書。選擇“Use for AMP for Firepower”項,點擊“Register”按鈕進行連接操作。之后自動跳轉(zhuǎn)到私有云控制臺,選擇對應的AMP事件,點擊“Allow”,將其導出到FMC 中。按照上述方法,創(chuàng)建一個文件過濾策略,并創(chuàng)建所需的規(guī)則。

        在規(guī)則編輯窗口中選擇“Action →Block Malware”項,選擇所有的分析引擎,在“Store Files”欄中選擇“Malware”項,允許存儲惡意文件。設(shè)置合適的文件過濾條件后完成創(chuàng)建。

        之后將該策略和特定的訪問策略綁定起來。這樣,在防火墻處理可疑文件時,就會將其提交給私有云,私有云再將其特征碼提交給公有云分析。如果發(fā)現(xiàn)病毒和惡意軟件,防火墻可及時進行攔截。

        利用AMP 私有云保護客戶端

        在客戶機上打開瀏覽器,訪問FireAMP 設(shè)備的數(shù)據(jù)端口,在控制臺工具欄上點擊“Management →Quick Start”項,然后點擊“Set up FireAMP Windows Computer”項,可以下載Windows 版的FireAMP 客戶端軟件。

        點擊“Set up FireAMP Mac Computer”項,可以下載Mac 版的FireAMP 客戶端軟件。這里選擇前者,點擊“Start”按鈕,會顯示常用的安全軟件列表,如果客戶端安裝了這些軟件的話,點擊“Add security product”按鈕,可以幫助用戶配置對應的安全軟件防沖突策略。

        之后提示客戶端是否使用代理服務(wù)器上網(wǎng),接著讓用戶選擇所需的客戶端類型,依次包括僅審核策略、保護策略、診斷策略、服務(wù)器策略和域控策略等行類型。

        如果需要對系統(tǒng)進行正常保護,可以在“Protect”欄中點擊“Download”按鈕下載客戶端軟件。而如果需要保護服務(wù)器,則可以在“Server”欄中下載,如果需要保護域控,可以在“Domain Controller”欄中下載。如果客戶端已經(jīng)被病毒感染,可以在“Triage”欄中下載等。

        這里在“Protect”欄點擊“Download”按鈕,下載名為“Protect_FireAMPSetup.exe”的客戶端軟件,可以將其分發(fā)給所有的客戶端,便于在客戶端上進行安裝。

        在客戶端上運行該軟件,它會自動連接到AMP 私有云,在主界面上點擊“Scan Now”按鈕,在打開窗口中點擊“Flash Scan”按鈕,可以執(zhí)行快速掃描操作。點擊“Custom Scan”按鈕,可以進行自定義掃描。點擊“Full Scan”按鈕,可以執(zhí)行全面掃描操作。

        可以看到,它實際上是一個企業(yè)級的殺毒軟件,因此,在客戶端上是無法對其進行設(shè)置的,所有的配置信息都是由管理端推送下來的。

        在其主界面上點擊“Settings”按鈕,在設(shè)置窗口中點擊“Sync Policy”按鈕,執(zhí)行設(shè)置信息同步操作。在SourceFire 控制臺上點擊工具欄上的“Management →Deployment Summary”項,顯示部署了SourceFire 客戶端軟件的主機信息。點擊“Management →Computer”項,在對應客戶機項目欄中點擊“Scan”按鈕,可以針對該機執(zhí)行遠程掃描操作。

        當然,在客戶機上執(zhí)行的后臺掃描操作,點擊工具欄上的“Dashboard”項,在“Events”面板中顯示相關(guān)的事件信息。

        這樣,當內(nèi)網(wǎng)客戶端下載了包含病毒等惡意軟件的文件時,就會在Firepower 防火墻上和SourceFire 客戶端程序上同時被檢測到,將病毒及時隔離或者清除。

        在SourceFire控制臺中打開上述在“Events”面板,會顯示相關(guān)的檢測到病毒的提示信息。在對應病毒檢測項目右側(cè)點擊文件路徑圖標,會進一步顯示該病毒文件在網(wǎng)絡(luò)中的活動軌跡信息。

        點擊進程路徑信息,會進一步顯示病毒在進程中的活動信息,例如,病毒是由哪個進程(例如瀏覽器等)下載的等等。

        猜你喜歡
        工具欄防火墻按鈕
        哪個是門鈴真正的按鈕
        當你面前有個按鈕
        “玩轉(zhuǎn)”西沃白板
        構(gòu)建防控金融風險“防火墻”
        當代陜西(2019年15期)2019-09-02 01:52:08
        死循環(huán)
        內(nèi)心不能碰的按鈕
        設(shè)計一種帶工具欄和留言功能的記事本
        下一代防火墻要做的十件事
        自動化博覽(2014年6期)2014-02-28 22:32:13
        筑起網(wǎng)吧“防火墻”
        中國火炬(2010年10期)2010-07-25 07:43:49
        真正強力四大防火墻
        色婷婷亚洲一区二区在线| 国产精品久久婷婷六月丁香| 性导航app精品视频| 男女干逼视频免费网站| 蜜桃视频在线观看网址| 国产精品亚洲综合色区| 婷婷五月综合激情| 亚洲乱精品中文字字幕| 国产精品成人av一区二区三区| 又嫩又硬又黄又爽的视频| 国产精品揄拍100视频| 久久亚洲精品成人AV无码网址| 国产一区二区免费在线视频| 国产乱子伦| 国产呦精品系列在线播放 | 蜜臀av国内精品久久久人妻| 少妇人妻字幕精品毛片专区| 国产va免费精品高清在线观看| 欧美aⅴ在线| 国产一区不卡视频在线| 日本在线一区二区三区不卡| 成人免费看片又大又黄| 麻豆AⅤ精品无码一区二区| 最新日本久久中文字幕| 狠狠色噜噜狠狠狠777米奇| 欧美日韩精品一区二区三区不卡| av手机在线天堂网| 一区二区三区蜜桃av| 国产精品久久久久9999赢消| 一本久道久久综合久久| 蜜桃激情视频一区二区| 免费大片黄国产在线观看| 国产av国片精品| 台湾佬中文偷拍亚洲综合| 日本免费一区二区三区影院| 无码国产伦一区二区三区视频 | 人妻丰满熟妇av一区二区| 精品国产一区二区三区av麻| 成人国产精品一区二区视频| 亚洲日韩精品欧美一区二区三区不卡 | 亚洲黄色性生活一级片|