【实验目的】
通过配置防火墙安全策略防护,实现对各个安全区域内的安全防护。
【知识点】
入侵保护,安全防护配置。
【场景描述】
工程师在运维过程中发现,在DMZ区域以及部门A区域存在网络攻击情况,具体情况如下:
- 电信区域存在黑客攻击端对DMZ服务器进行SSH暴力破解
- 电信区域存在黑客对DMZ服务器进行网站的恶意扫描行为
- 电信区域存在恶意漏洞扫描行为
- 在DMZ服务器上已经部署了FTP服务,部门A员工可以远程进行登录上传和下载文件。假设ftp用户名是"myftp",密码是"com.1234",现在要从ftp服务器上下载一个"Everything"的软件用于日常办公使用,为了防止下载的软件存在病毒,需要在防火墙开启反病毒策略。
- 从电信区域到DMZ服务有大流量攻击
针对以上情况,假如你是本公司的安全工程师,该如何在防火墙上做出合适的安全防护策略?
【实验原理】
1.入侵保护
入侵检测/保护是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象,如图所示。
2.DDos攻击
分布式拒绝服务(DDoS)攻击是一种恶意企图,通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器,服务或网络的正常流量。本实验中涉及到的ddos攻击形式有syn flodo、udp flood等。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性。被利用的机器可以包括计算机和其他网络资源,例如物联网设备。从高层次来看,DDoS攻击就像堵塞高速公路的交通堵塞,阻止了常规交通到达其所需的目的地。
分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为
【实验设备】
- 服务器:Centos7 1台;
- 安全设备:防火墙 1台;
- 网络设备:交换机 1台,路由器 1台;
- 终端设备:Windows 7 1台,Windows 10 1台,Kali2020 1台。
【实验拓扑】
拓扑说明:
本拓扑模拟的一个完整的企业网网络功能,受资源限制,不能完全仿真,仅对关键功能和区域进行模拟。
企业网络总共分为9个安全区域,互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中:
- 互联网电信、互联网联通属于企业互联网边界,拓扑模拟了两条运营商链路,一条来自电信,一条来自联通。
- 运维区属于运维人员对设备进行管理和运维的区域,包括设备巡检、日志分析、设备升级等工作
- DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。
- 部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同,通常他们的网络也是有区别管理的,如销售部、财务部、研发部,其权限是不同的。
- 数据中心属于企业中最核心最有价值的区域,所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处,仅向有权限的人或部门开放。
- DNS服务器用于模拟内、外网DNS服务器,主要用作内、外网域名解析使用。
本次实验并不会用到所有资源,仅启用拓扑中蓝色高亮图标设备。
【实验思路】
- SSH暴力破解防护;
- syn flood防护;
- 其他flood 攻击防护;
- IP地址端口扫描防护;
- 反病毒防护;
- 漏洞攻击防护。
【实验预期】
- 黑客终端对DMZ区域SSH暴力破解攻击行为被阻断。
- 黑客终端对DMZ区域的syn flood攻击行为被阻断。
- 黑客终端对DMZ区域的udp flood 、Icmp flood攻击行为被阻断。
- 黑客终端对DMZ区域IP地址和端口扫描行为被阻断。
- 部门A从DMZ下载文件时,病毒文件被过滤。
- 黑客终端对DMZ区域服务器漏洞扫描行为被阻断。
【实验步骤】
1.SSH暴力破解防护
(1)在开始安全防护配置之前,首先在防火墙中添加关于黑客终端的网络配置,确保黑客终端能够访问所攻击的网站服务。登录管理终端,打开浏览器并访问防火墙地址https://10.0.0.1,进入防火墙web管理界面,输入管理员用户名admin和密码!1fw@2soc#3vpn进行登录。
(2)为提高防火墙系统的安全性,如果用户使用默认密码登录防火墙,防火墙会提示用户修改初始密码,本实验无需修改密码,点击【取消】按钮即可。
(3)成功登录防火墙设备后,进入防火墙【首页】菜单
(4)在防火墙Web管理界面中,单击【对象配置】→【地址】→【地址】菜单,对已经添加的名为"电信地址段"的地址对象进行编辑
(5)在所弹出的"编辑地址"对话框中,在【IP地址】选项中添加10.140.20.0/24,点击【确定】按钮完成编辑
(6)地址对象编辑完成后,接下来对DMZ区域服务器进行SSH暴力破解攻击。切换至黑客终端,打开终端命令窗口,在root目录下已经准备好了ssh暴力破解需要的字典文件"userlist.txt""passlist.txt"
(7)采用kali系统自带的Hydra工具对DMZ服务器进行暴力破解。操作如下:在终端命令界面输入"hydra --L userlist.txt --P passlist.txt --t 10 100.100.100.50 ssh",其中,-L为要进行密码爆破的目标主机用户名 -P为指定字典的绝对路径,-t 为指定爆破线程,其中1是最小线程数,64是最大线程数,本实验中采用10线程数,(注:此处也可以使用-vV选项对爆破过程进行展示),Hydra爆破破解结束后,会返回破解结果,其中破解成功的会高亮字体显示,如图所示。
(8)通过黑客终端kali进行ssh远程登录。在命令终端中输入命令"ssh 100.100.100.50",输入破解得到的密码即可进入服务器,如图所示。
(9)切换到防火墙管理界面,查看流量日志情况。具体操作:管理终端中打开浏览器,在地址栏中输入防火墙设备IP地址https://10.0.0.1(以实际设备IP地址为准),进入防火墙的登录界面。单击【数据中心】→【日志】→【流量日志】,可以查看到产生了大量的SSH登录日志,如图所示。
配置防护策略(核心配置)
**步骤 (10)-(18)** 是真正启用防护功能的操作
创建自定义攻击签名,这是最关键的一步。定义一个规则来识别 SSH 攻击
(10)下面针对DMZ服务器的ssh服务,配置安全防护策略,有效防护ssh暴力破解攻击。具体操作单击【对象配置】→【自定义签名】→【间谍软件】菜单,在间谍软件界面中,点击【+添加】按钮,弹出对话框
(11)在对话框中配置好参数。【名称】填写"SSH防护",在【基本配置】中,严重性选择"高",协议选择"TCP"(注:在所弹出对话框中点击【确认】按钮继续完成后续配置),动作选择"阻断",填写完毕后,点击【规则】选项
(12)在规则配置选项中,点击【+添加】按钮,弹出对话框。【操作】选择"匹配",【匹配模式】选择"文本匹配",【字段】选择"TCP.unknown_tcp_res",【值】填写"ssh",单击确定,完成配置
(13)回到间谍软件界面,在【提交】选项须有感叹号标志,选择所添加的"SSH防护"间谍软件条目并点击提交即可
(14)提交后会弹出确认窗口,点击【确认】完成变更
(15)切换到防间谍软件列表,单击【对象配置】→【安全配置文件】→【防间谍软件】菜单,点击【+添加】按钮
(16)在弹出的对话框中,【名称】填写"SSH防护",【描述】可随意填写,【类型】勾选中"自定义签名",点击【确定】按钮完成添加
创建安全配置文件(Security Profile)
- 作用:安全配置文件是策略调用的"容器",它把具体的签名打包成一个策略对象
"创建安全配置文件"是指在防火墙上将自定义的安全检测规则(如SSH暴力破解签名)封装成一个可复用的策略对象,以便在安全策略的高级配置中统一调用,实现对指定流量进行入侵防护的功能。
创建安全配置文件(Security Profile)
- 作用:安全配置文件是策略调用的"容器",它把具体的签名打包成一个策略对象
"创建安全配置文件"是指在防火墙上将自定义的安全检测规则(如SSH暴力破解签名)封装成一个可复用的策略对象,以便在安全策略的高级配置中统一调用,实现对指定流量进行入侵防护的功能。
为什么要单独创建它,而不是直接用签名?
这是防火墙设计的标准化流程,原因主要有三点:
1️⃣ 解耦(模块化)
-
签名:定义"攻击长什么样"
-
配置文件:定义"我要不要检测、怎么检测"
-
安全策略:定义"谁(源)→ 访问谁(目的)时要检测"
三者分开,便于复用和维护。
2️⃣ 策略复用
假设以后你还想:
-
对 运维区 → DMZ
-
对 部门A → DMZ
都启用同样的 SSH 防护规则
👉 只需:
-
创建一次安全配置文件
-
在多条安全策略的高级配置中引用它即可
不需要重复配置签名。
3️⃣ 统一生效点
防火墙真正的流量控制发生在 安全策略 上。
安全策略本身并不"理解"签名细节,它只认:
"这条策略是否启用了某个安全配置文件?
(17)切换到策略配置主界面。由于本实验主要防护的是来自电信区域对DMZ区域的攻击防护,因此选中"电信-DMZ"安全策略进行编辑
(18)在"编辑安全策略"对话框中,下拉滚动条,点击【高级配置】选项,【配置文件类型】选择"安全配置文件",【防间谍软件】选择已配置的"SSH防护",点击【确定】按钮即可
2.syn flood防护
(1)登录DMZ服务器(注:账户/密码:root/com.1234),在未对防火墙进行安全配置之前,首先看一下未遭受syn flood攻击之前,DMZ服务器的网卡速率。在命令行执行"iftop"命令,回车后进入网卡监控界面,可以看到此时整体连接数较少,速率相对较低,如图所示。
(2)接下来通过黑客终端对DMZ区域服务器进行syn flood 攻击。具体操作:切换到黑客终端,打开终端命令窗口,使用hping3工具实现syn flood 洪泛。具体命令: hping3 -S -p 5555 --flood -V --rand-source 100.100.100.50,其中-S表示采用SYN半连接方法。-p指定目的端口,--flood 尽可能快的发送数据包,--rand-source 表示伪造IP地址,-V 启用详细输
(3)再次切回到DMZ服务器控制台,观察iftop监控界面,会发现存在大量的未知IP进行请求,整体流量较大,说明服务器总体资源被占用,出现操作延缓现象,syn flood攻击成功,如图所示
(4)保持黑客终端的syn flood攻击和DMZ服务器的iftop监控不中断。切换到防火墙管理终端进行syn flood防护配置。打开防火墙web管理界面,单击【策略配置】--【安全防护】菜单,进入攻击防护配置界面,点击【+添加】按钮添加防护条目
(5)在弹出的对编辑对话框中,其中【检测攻击的安全域】选择"电信安全域",【Flood】选项中的【SYN Flood处理】选择"丢弃",【警戒值】填写"100"(为了实验效果更明显,数值填写相对小一些),点击【确定】按钮完成配置
添加 Syn Flood 防护规则
-
检测攻击的安全域 :选择 "电信安全域"。
- 解释:限定检测的流量范围。因为攻击来自电信区域,所以只在这个域的入方向检测即可。
-
SYN Flood处理 :选择 "丢弃"。
- 解释:当触发阈值时的动作。防火墙会直接丢弃超过阈值的 SYN 包,不回复 SYN-ACK,从而切断攻击。
-
警戒值 :填写 "100"。
- 解释:这是触发防护的阈值(pps:包每秒)。文档特意强调"为了实验效果更明显,数值填写相对小一些"。在实际生产环境中,这个值通常设置得非常高(如几万或几十万),以避免误伤正常突发流量。
(6)关闭"添加攻击防护"对话框后,即可在攻击防护列表中查看到相关信
3.其他flood 攻击防护
(1)切换至黑客终端,继续对DMZ区域服务器进行其他协议的flood攻击。打开3个终端命令窗口,使用hping3工具分别实现icmp flood、udpflood攻击。
具体命令:
Icmp flood :hping3 --icmp -d 500 --flood -V --rand-source 100.100.100.50,其中--icmp表示采用icmp协议攻击。-d指定数据包大小,--flood 尽可能快的发送数据包,--rand-source 表示伪造IP地址,-V 启用详细输出如下图所示。UDP flood:hping3 --udp --s 22 --keep --p 110 --flood -V --rand-source 100.100.100.50,其中--udp表示采用udp协议攻击。-s指定源端口,--keep -p目标端口,--flood尽可能快的发送数据包,--rand-source 表示伪造IP地址,-V 启用详细输出。 这里源端口和目的端口必须真实有效,因此为了方便本实验的有效进行,需要在kali中启动22端口的ssh服务(执行命令"service ssh start"),如图所示。
(2)在防火墙管理终端中继续操作。进入数据中心查看告警日志,会发现生成了大量的伪造源syn flood攻击告警日志。单击【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中可查看到相关信息,如图所示。
(3)切换到DMZ服务器管理终端,继续观察iftop网络连接监控,发现整体流量下降,说明服务器性能恢复,如图所示。
(4)综上所述,防火墙可以阻断黑客终端对DMZ服务器所发起的icmp flood和udp flood攻击,满足实验预期3。
4.IP地址端口扫描防护
(1)在未对防火墙进行安全配置之前,首先验证一下在没有安全防护情况下,通过黑客终端对DMZ区域服务器进行IP地址扫描和端口扫描。具体操作:切换到黑客终端,中断前置子实验中所开启的flood攻击,并在终端中执行nmap -sS 100.100.100.0/24命令,如图所示。
(2)切换到防火墙管理终端,打开防火墙web管理界面,查看扫描日志,会发现在流量日志中有大量的端口扫描动作。具体操作单击【数据中心】→【日志】→【流量日志】菜单,在流量日志列表中大量端口扫描日志记录,如图所示。
(3)接下来在防火墙界面配置IP地址和扫描防护策略,具体操作。点击【策略配置】→【安全防护】菜单,来进入攻击防护配置界面,对名称为"电信安全域"的安全防护策略进行编辑,如图所示。
(4)在弹出的编辑对话框中,其中【恶意扫描】模块中勾选【禁止Tracert选项】,【IP地址扫描攻击 处理】和【端口扫描 处理】均选择"丢弃",【警戒值】均填写"100"(为了实验更明显,数值填写相对小一些)点击【确定】按钮完成修改,如图所示。
5.反病毒防护
(1)在没有配置防病毒策略的条件下,首先测试部门A通过FTP方式访问DMZ服务器进行文件下载的相关情况。进入部门A终端控制台,打开桌面预留的FileZilla客户端工具进行FTP服务访问,其中【主机(H)】填写192.168.0.6,【用户名(U)】填写"myftp",【密码(W)】填写"com.1234",【端口】选择默认,点击【快速连接(Q)】按钮
(2)点击【快速连接】按钮后,弹出"记住密码?"对话框,选择"不要保存密码",再次点击【确定】按钮进行连接,如图所示。
(3)在所弹出的"不安全的FTP连接"对话框中选择"确定"按钮,进入FTP服务连接首页
(4)双击所创建的会话条目建立连接,在服务器找到要下载的软件"Everything",下载到桌面中,具体操作,在选中的文件单击右键,选择【下载】即可
(5)可以查看到所下载的文件,可以发现此时包含所有Everything目录下文件
(6)接下来进入防火墙的管理终端,打开web管理界面,单击【数据中心】→【日志】→【威胁日志】菜单,发现并没有相关反病毒威胁告警
(7)下面来配置防病毒策略。单击【对象配置】→【安全配置文件】→【反病毒】菜单,进入反病毒配置页面,点击【+添加】按键,添加反病毒策略
(8)在弹出的对话框中,【名称】填写"部门A-DMZ防病毒",勾选样本留存,【应用解码】部分全部选择,并且方向为"双向",动作为"阻断",点击【确定】即可完成策略编辑
(9)接下来把刚才的反病毒策略应用的访问控制列表中。单击【策略配置】→【安全策略】菜单,在安全策略列表中对"部门AB-DMZ"安全策略进行编辑、
(10)安全策略的访问控制功能是基于安全域或者IP地址组进行防护的,在对单一或者不连续的多个IP地址防护时需要多条安全策略进行相互配合才能完成有效的防护。打开底部的"高级配置"选项,【配置文件类型】选择"安全配置文件",【反病毒】选择"部门A-DMZ防病毒"选项,点击【确定】按钮完成安全策略添加
6.漏洞攻击防护
(1)本实验采用kali系统自带的nikto漏洞扫描的方式来模拟远程攻击。首先在没有配置漏洞防护策略下对目标网站http://100.100.100.50进行漏洞测试。具体操作,切换到黑客终端,在命令行输入扫描指令:nikto --h http://100.100.100.50,等待一会发现可以进行正常的服务及漏洞扫描,说明攻击数据包成功到达DMZ服务器,如图所示
(2)接下来为DMZ服务器配置漏洞防护策略。切换到防火墙管理终端,打开防火墙web管理界面。单击【对象配置】→【安全配置文件】→【漏洞防护】菜单,进入漏洞防护配置界面,点击【+添加】按键,添加漏洞防护规则
(3)在所弹出的"添加漏洞防护"对话框中填入相关信息,其中【名称】填写"漏洞防护",防护类别一列全部勾选,点击【确定】按钮即可
(4)将所创建的漏洞防护策略应用到安全策略中。具体操作单击【策略配置】→【安全策略】,找到对应的安全策略"电信-DMZ",单击进入策略进行编辑
(5)在弹出的"编辑安全策略"对话框中,下拉右侧滚动条,点开【高级配置】选项,在【配置文件类型】选择"安全配置文件",在【漏洞防护】一侧选择"漏洞防护"策略,点击【确定】完成编辑,如图所示。
【实验结论】
1.黑客终端对DMZ区域SSH暴力破解攻击行为被阻断。
(1)接下来需要验证防火墙的防护效果。切换到黑客终端桌面,打开终端命令,输入命令:hydra --L userlist.txt --P passlist.txt --t 10 100.100.100.50 ssh",等待一段时间后,返回时间超时,说明攻击被阻拦
(2)切换到防火墙管理终端,打开防火墙web管理界面,查看威胁日志,会发现系统提示存在ssh防护的日志信息。具体操作单击【数据中心】→【威胁日志】菜单,发现生成的ssh防护威胁日志,如图所示。
(3)继续查看防火墙的流量日志,会发现存在一条ssh流程被拒绝。具体操作单击【数据中心】→【流量日志】菜单,发现生成了一条被拒绝的的ssh流量
(4)综上所述,防火墙可以阻断黑客终端对DMZ服务器的ssh暴力破解行为,满足实验预期1。
2.黑客终端对DMZ区域的syn flood攻击行为被阻断。
(1)切换至黑客终端,对DMZ服务器发起syn flood攻击,如图所示。
(2)在防火墙管理终端中继续操作。进入数据中心查看告警日志,会发现生成了大量的伪造源syn flood攻击告警日志。单击【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中可查看到相关信息,如图所示。
(3)切换到DMZ服务器管理终端,继续观察iftop网络连接监控,发现整体流量下降,说明服务器性能恢复,如图所示。
(4)综上所述,防火墙可以阻断黑客终端对DMZ服务器所发起的icmp flood和udp flood攻击,满足实验预期3。
4.黑客终端对DMZ区域IP地址和端口扫描行为被阻断。
(1)切回到黑客终端,停止前置验证过程中所发起的flood攻击,继续对DMZ区域服务器进行IP地址扫描和端口扫描。具体操作:切换到黑客终端,打开命终端命令窗口,首先输入IP地址和端口扫描命令: nmap -sS 100.100.100.0/24,等待结束后返回结果。和未开启防护相比,获取的信息减少,如图所示。
(2)切换到防火墙管理终端,打开防火墙web管理界面,查看扫描日志,查看是否存在阻断告警提示。单击【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中会有恶意扫描的告警提示,如图所示。看端口扫描
(3)综上所述,防火墙可以阻断黑客终端对DMZ区域IP地址和端口扫描行为,满足实验预期4。
5.部门A从DMZ下载文件时,病毒文件被过滤。
(1)返回至部门A终端中,删除测试时所下载的软件文件,然后重新打开FileZilla工具连接到DMZ服务器上下载"everything"软件。把下载下来的软件和DMZ服务器上的软件进行对比,会发现一个命名为"b.exe"文件下载失败,说明防火墙策略生效,如图所示。
(2)切换至管理终端,进入web管理界面,单机【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中可查看到发现木马告警,如图所示(本实验中,b.exe确实是一个木马后门)。
(3)综上所述,防火墙可以过滤通过FTP访问方式下载的病毒文件,满足实验预期5。
6.黑客终端对DMZ区域服务器漏洞扫描行为被阻断。
(1)下面再次对DMZ网站进行漏洞扫描。切换到黑客终端中,打开终端命令窗口,输入命令:nikto --h http://100.100.100.50 ,会发现扫描异常提示,说明攻击数据包被阻拦,如图所示
(2)切换到防火墙管理终端的web管理界面,查看是否具有告警日志。单击【数据中心】→【日志】,→【威胁日志】菜单,会发现出现威胁告警信息,说明漏洞防护策略防护成功
