【实验目的】
通过配置防火墙安全策略,实现安全区域内的网络安全管控,同时借助防火墙黑白名单功能,对攻击ip进行防护。
【知识点】
安全域,安全策略,黑名单。
【场景描述】
在上一个实验场景中,已经针对部分来自外部的攻击方式作出安全防护,但针对于存在于互联网中的网络攻击五花八门,因此为了能够进一步考虑到信息系统以及网络环境的安全性,需要对存在DMZ服务器的访问进行安全管控,具体要求如下:
- 运维区域允许访问DMZ服务器所有服务
- 部门A区禁止ssh登陆dmz服务器
- DMZ区域向电信区域仅开http和icmp协议
- 在实际运用过程中发现有攻击行为,对黑客地址10.140.20.55拉入黑名单
假如你是一名安全工程师,针对以上技术需求,你该如何添加防火墙配置进行实现?
【实验原理】
1.安全域
安全域(Security Zone)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的IT 要素集合,相同的安全域共享相同的安全策略。安全域是一种思路、方法,它通过把一个复杂巨系统的安全保护问题,分解为更小的、结构化的区域的安全保护问题,实现对系统的分域、分级的安全保护。
2.访问控制
防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,然后和预先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。
3.安全策略
防火墙通过安全策略对流量进行控制。安全策略决定流量能否通过防火墙,是否需要通过VPN隧道传输。流量命中安全策略,且动作为"允许",则该流量允许通过防火墙;流量命中安全策略,且动作为"拒绝"或流量不能命中安全策略列表中任意一条安全策略,则拒绝该流量通过。动作为"安全连接"则需要对流量进行加密通过IPSec隧道传输。
4.黑名单
黑名单是一种安全防护措施,系统丢弃命中黑名单的报文。与通过安全策略进行报文过滤相比,黑名单匹配的方式相对简单,可以用来对特定用户或IP的报文进行快速过滤。FW支持把用户、源地址或目的地址加入黑名单,这三种类型的黑名单的详细说明如下所示。
- 用户类型黑名单:将特定的用户加入黑名单后,FW将丢弃来自或去往该用户的报文。
- 源地址类型的黑名单:将特定的源地址加入黑名单后,FW将丢弃来自该源地址的报文。
- 目的地址类型的黑名单:将特定的目的地址加入黑名单后,FW将丢弃去往该目的地址的报文。
【实验设备】
- 服务器:Centos 7 1台;
- 安全设备:防火墙 1台;
- 网络设备:交换机 1台,路由器 1台;
- 终端设备:Windows 10 2台,windows 7 1台,Kali2020 1台。
【实验拓扑】
拓扑说明:
本拓扑模拟的一个完整的企业网网络功能,受资源限制,不能完全仿真,仅对关键功能和区域进行模拟。
企业网络总共分为9个安全区域,互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中:
- 互联网电信、互联网联通属于企业互联网边界,拓扑模拟了两条运营商链路,一条来自电信,一条来自联通。
- 运维区属于运维人员对设备进行管理和运维的区域,包括设备巡检、日志分析、设备升级等工作
- DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。
- 部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同,通常他们的网络也是有区别管理的,如销售部、财务部、研发部,其权限是不同的。
- 数据中心属于企业中最核心、最有价值的区域,所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处,仅向有权限的人或部门开放。
- DNS服务器用于模拟内、外网DNS服务器,主要用于内、外网域名服务解析使用。
本次实验并不会用到所有资源,仅启用拓扑中蓝色高亮图标设备。
【实验思路】
- 运维区访问控制;
- 部门A区域访问控制;
- 电信区域访问控制;
- 黑名单配置。
【实验预期】
- 防火墙管理终端可以访问DMZ所有服务。
- 部门A区无法通过SSH登录dmz服务器。
- 电信区能ping通DMZ网站服务器的电信公网地址,也可以通过公网地址访问DMZ网站,但其他服务不能访问。
- 黑客地址10.140.20.55无法访问DMZ区域的任何服务。
【实验步骤】
1.运维区访问控制
(1)在管理机中打开浏览器,在地址栏中输入防火墙设备IP地址https://10.0.0.1(以实际设备IP地址为准),进入防火墙的登录界面。输入管理员用户名admin和密码!1fw@2soc#3vpn登录防火墙。登录界面如图所示。
(2)为提高防火墙系统的安全性,如果用户用默认密码登录防火墙,防火墙会提示用户修改初始密码,本实验无需修改密码,单击【取消】按钮。
(3)成功登录防火墙设备后,进入防火墙【首页】菜单
(4)为确保实验能够正常进行,首先进行地址对象创建。进入【对象配置】→【地址】→【地址】菜单,点击【+添加】按钮进行DMZ服务器地址对象添加
(5)在所弹出编辑地址对话框中填入相关对象信息,【名称】内容为"DMZ服务器",【IP地址】为192.168.0.6/32,点击【确定】按钮完成添加
(6)完成地址对象添加后,即可在地址对象列表中查看到相关信息
(7)切换到安全策略配置界面。具体操作单击【策略配置】→【安全策略】菜单进入【安全策略】配置页面,点击【+添加】按钮进行运维区访问安全策略添加
(8)在所弹出的"添加安全策略"对话框中填入相关信息,其中【名称】填写"运维区-DMZ",【动作】选择"允许",【源安全域】选择"运维管理区",【目的安全域】选择"dmz",【源地址/地区】选择"运维地址段",【目的地址/区域】选择"DMZ服务器",【服务】和【应用】均选择"any",点击【确定】按钮完成策略添加
(9)关闭对话框后,即可在安全策略列表中查看到相关信息
2.部门A区域访问控制
(1)继续配置部门A安全策略。具体操作单击【策略配置】→【安全策略】菜单,单击左上角【+添加】按键,进行策略添加
(2)配置部门A终端禁止通过ssh方式访问DMZ服务器安全策略。具体操作【名称】填写"部门A-DMZ-禁止ssh",【动作】选择"拒绝",【源安全域】选择"部门AB安全域",【目的安全域】选择"dmz",【源地址/地区】选择"部门A地址段",【目的地址/区域】选择"DMZ服务器",【服务】选择SSH,其他选项默认或者"any",点击【确定】按钮完成策略配置
(3)接下来配置允许其他协议通过。修改已创建的"部门AB-DMZ"安全策略,其中【名称】修改为"部门A-DMZ",【源地址/地区】修改为"部门A地址段",将【目的地址/区域】修改为"DMZ服务器",点击【确定】按钮完成策略修改
(4)由于防火墙的策略是从上往下执行,因此需要返回安全策略界面,调整并确认已创建的禁止和允许两条策略顺序无误(选中策略后,点击【调序】按钮进行调整,禁止在上,允许在下)
知识点补充:
安全策略列表中的安全策略按照从上到下的顺序进行匹配,越靠前的安全策略优先级越高。因此配置安全策略时,需要按照从特殊到一般的顺序。这样流量才会优先匹配更精细的特殊策略,而不会匹配上一般策略。
没有匹配任何安全策略的流量,防火墙默认拒绝。
处于安全性的考虑,建议指定精确的源IP地址和目的地址,而不是配置为"any"。
为了更合理的分配存储和分析性能,仅对需要记录日志的流量开启日志记录功能。
安全策略在安全策略列表中的顺序跟安全策略的优先级有关。最上面的安全策略优先级最高,优先进行匹配。可以通过调整安全策略在列表中的位置调整安全策略的执行顺序。越精细的安全策略需要的优先级越高,否则数据流匹配了更宽泛的安全策略就不会继续匹配精细的安全策略了。
3.电信区域访问控制
(1)要实现电信区域http和ICMP协议的正常访问,只需要在做安全策略时,指定http和ICMP协议为允许即可。切换到安全策略配置界面。单击【策略配置】→【安全策略】菜单,在安全策略列表中选择"电信-DMZ"安全策略进行编辑
(2)由于该策略为前置实验中所创建,因此此处只需修改【目的地址/区域】为"DMZ服务器",【服务】选择http和ICMP两个,其他选项默认或者"any",点击确定完成策略配置
(3)修改完成后返回安全策略界面进行确认
4.黑名单配置
(1)登录黑客终端,首先验证一下电信区域的黑客终端与DMZ服务通信状态
(2)打开终端窗口执行firefox命令打开火狐浏览器,在地址栏中输入http://100.100.100.50进行访问,发现可以正常访问
(3)开启一个新的终端窗口,执行ping 100.100.100.50命令,探测到当前地址下服务器状态为存活状态,如图所示。(注:Ctrl+c可以中断命令)
(4)在黑客kali终端中利用网站扫描的形式,模拟攻击。打开kali终端控制台窗口,输入命令:nikto --h http://100.100.100.50 开始攻击,在攻击过程的提示中回复y,如图所示。
(5)切换到防火墙web管理界面,单击【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中可发现存在漏洞防护类型的日志信息(注:根据防火墙所导入特征库版本的不同,威胁描述类型可能也会不同。实验操作时,重点关注防火墙是否可以生成威胁日志即可),如图所示。
(6)通过日志可以看出,源地址10.140.20.55对目标服务器192.168.0.6在短时间内做了大量web网站请求,属于恶意扫描行为。需要通过防火墙的黑名单功能,阻拦10.140.20.55的所有请求。单击【策略配置】→【黑白名单】→【地址黑名单】菜单,在配置页面下的【+添加】按钮,添加黑名单地址
(7)在"添加地址黑名单"对话框中,【类型】选择"ip地址",【IP地址】输入"10.140.20.55",【生效时间】默认为空,勾选上"启用"即可
【实验结论】
1.防火墙管理终端可以访问DMZ所有服务。
(1)在管理终端中打开谷歌浏览器,地址栏输入http://192.168.0.6,发现可以正常访问网站页面,如图所示。
(2)打开CMD窗口,执行ping 192.168.0.6命令,探测到当前地址下的服务器状态为存活状态,如图所示
(3)打开桌面所预留的putty软件,填写远程连接地址为"192.168.0.6",端口选择"22",连接方式选择"SSH",点击【Open】按钮进行连接,如图所示。
(4)在所弹出的连接提示对话框中,点击【是(Y)】按钮进行连接,如图所示。
(5)点击【是(Y)】按钮后,在连接窗口中输入用户名"root",密码"com.1234",回车后即可远程连接到目标服务器,如图所示。
(6)综上所述,运维区主机可以通过HTTP、ICMP以及SSH方式对DMZ区域服务器进行访问,满足实验预期1。
2.部门A区无法通过SSH登录dmz服务器。
(1)在部门A终端中打开浏览器,地址栏输入http://192.168.0.6,正常打开页面。如图所示。
(2)在部门A终端中打开CMD窗口,执行ping 192.168.0.6命令,探测到当前地址下的服务器状态为存活状态,如图所示。
(3)打开桌面所预留的putty软件,填写远程连接地址为"192.168.0.6",端口选择"22",连接方式选择"SSH",点击【Open】按钮进行连接
(4)此时发现登陆界面异常,如图所示。
(5)综上所述,部门A主机可以通过HTTP和ICMP方式访问DMZ服务器,不能通过SSH方式进行访问,满足实验预期2。
3.电信区能ping通DMZ网站服务器的电信公网地址,也可以通过公网地址访问DMZ网站,但其他服务不能访问。
(1)切换到电信区域的外网终端。打开浏览器,在地址栏中输入http://100.100.100.50
地址进行访问,如图所示。
(2)打开CMD窗口,执行ping 100.100.100.50命令,探测到当前地址下的服务器状态为存活状态,如图所示。
(3)打开桌面预留的putty软件,填写远程连接地址为"100.100.100.50",端口选择"22",连接方式选择"SSH",点击【Open】按钮进行连接,如图所示。
(4)此时发现登陆界面异常,如图所示。
(5)综上所述,电信区域主机可以通过HTTP和ICMP方式访问DMZ服务器,不可以进行SSH连接,满足实验预期3。
4.黑客地址10.140.20.55无法访问DMZ区域的任何服务。
(1)切换操作对象至黑客终端,打开终端执行firefox命令启动火狐浏览器,在地址栏中输入http://100.100.100.50进行访问,发现页面访问异常
(2)开启一个新的终端窗口,执行ping 100.100.100.50命令,探测当前地址下服务器长时间无响应,说明ICMP协议被阻拦,如图所示。(注:Ctrl+c可以中断命令)
(3)完成上一步操作后,再次执行ssh远程连接命令"ssh 100.100.100.50",检测ssh协议连接状态超时
(4)切换到防火墙界面。单机【数据中心】→【日志】→【威胁日志】菜单,在威胁日志列表中可以发现包含威胁类型为地址黑名单的威胁提示
