第四章-边界安全

4.1 下一代防火墙概述

1. 防火墙定义

1）什么是防火墙

墙，始于防，忠于守。从古至今，墙予人以安全之意。

防御外网对内网的入侵

防火墙是一种网络安全设备或系统，用于监控和控制网络流量，防止未经授权的访问和攻击。防火墙可以根据预定的规则和策略，过滤入站和出站数据包，保护网络的安全性和完整性

2）防火墙的分类 – 重点（按技术分）

按物理特性划分：软件防火墙、硬件防火墙

按性能划分：百兆级防火墙、千兆级防火墙 （接口带宽）…

按防火墙结构划分：单一主机防火墙、路由集成防火墙、分布式防火墙（转发和控制分开） …

按防火墙技术划分：包过滤防火墙、应用代理防火墙、状态监测防火墙 … （重点）

3）防火墙的功能 – 前三个重点+VPN

① 访问控制（防火墙是一种高级的访问控制设备）

② 地址转换（都会部署在内外网之间，尤其是互联网出口，因此会涉及到地址转换问题）

③ 入侵检测和攻击防御

④ 网络环境支持（2层或3层之间的内部连接，DHCP环境、动态路由环境、VLAN环境、ADSL拨号环境、SNMP网络管理环境）

⑤ 带宽管理QoS（可以根据业务进行不同的流量分配，以保证重要业务的应用）

⑥ 用户认证 （多种用户认证方式）

⑦ 高可用性 （双机、多机/冷备、热备）

⑧ VPN功能：IPSEC VPN、SSL VPN、SANGFOR VPN（深信服只支持前三个）

4）防火墙安全策略 – 重点

• 定义

  • 安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
  • 规则的本质是包过滤。

• 主要应用

  • 对跨防火墙的网络互访进行控制
  • 对设备本身的访问进行控制
  • 默认安全策略都是拒绝

5）防火墙 – 安全区域、安全策略

防火墙物理接口必须规划属于某个安全区域

安全区域之间默认不能互通，在安全区域之间配置安全策略为允许，才可互通

安全策略 – 规则（允许、拒绝）、根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。

华为安全区域默认4个：trust 受信任区域（内网）80、untrust 非受信任区域（外网）5、DMZ 非军事化管理区（对外网提供服务的服务器）50、local 本地区域 100

（优先级1-100、从优先级高的到优先级低的叫出方向、从优先级低的到优先级高的叫入方向）

思科：优先级从高到低无需安全策略即可通信

深信服：LAN、WAN、DMZ

6）安全策略分类 – 安全策略部署的位置

• 域间安全策略 – 安全区域之间
• 域内安全策略 – 安全区域内的不同主机（不同网段）
• 接口包过滤 – 接口

2. 防火墙的发展史 – 了解

1）防火墙发展进程

2）传统防火墙 – 包过滤防火墙 – 一个严格的规则表

ACL，五元组：源目IP、源目端口、协议类型 – 3-4层

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

工作范围：网络层、传输层（3-4层）

和路由器的区别：

• 普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。
• 防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

技术应用：包过滤技术

优势：对于小型站点容易实现，处理速度快，价格便宜

劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

3）传统防火墙 – 应用代理防火墙 – 每个应用添加代理服务

应用代理，客户端将数据发送给防火墙，防火墙检测完应用数据，重新封装发给服务器，防火墙需要支持应用的配置，扩展性差，压力大

判断信息：所有应用层的信息包

工作范围：应用层（7层）

和包过滤防火墙的区别：

• 包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
• 应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。

技术应用：应用代理技术

优势：检查了应用层的数据

劣势：检测效率低，配置运维难度极高，可伸缩性差

4）传统防火墙 – 状态检测防火墙 – 首次检查建立会话表

首包检查策略，创建会话，后续报文匹配会话即可转发–提高转发效率

首包–TCP的SYN报文，ICMP的请求报文，UDP所有报文

判断信息：IP地址、端口号、TCP标记

工作范围：数据链路层、网络层、传输层（2-4层）

和包过滤防火墙的区别：

• 包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
• 是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。

技术应用：状态检测技术

优势：主要检查3-4层能够保证效率，对TCP防御较好

劣势：应用层控制较弱，不检查数据区

5）UTM统一威胁管理 – 多合一安全网关

防火墙具备各种功能：防病毒、防WEB攻击、防入侵、防DDOS等，依次检查，串联，处理速度慢

包含功能：FW、IDS、IPS、AV

工作范围：2-7层（但是不具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

6）DPI深度包检测技术 – 检测到应用层数据

7）NGFW下一代防火墙 – 七元组

源目IP、源目端口、协议类型+应用+用户，各种安全功能并联检测，速度快

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2-7层

和UTM的区别：

• 与UTM相比增加的web应用防护功能；
• UTM是串行处理机制，NGFW是并行处理机制；
• NGFW的性能更强，管理更高效

8）入侵检测系统（IDS）-- 网络摄像头

检测是否有入侵，联动其他具有防御功能的设备进行拦截

部署方式：旁路部署，可多点部署

工作范围：2-7层

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

9）入侵防御系统（IPS）-- 抵御2-7层已知威胁

既可检测，又可防御入侵

部署方式：串联部署

工作范围：2-7层

工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

IPS的处理过程

10）防病毒网关（AV）-- 基于网络侧识别病毒文件

判断信息：数据包

工作范围：2-7层

目的：防止病毒文件通过外网络进入到内网环境

和防火墙的区别：

11）Web应用防火墙（WAF）-- 专门用来保护web应用

判断信息：http协议数据的request和response

工作范围：应用层（7层）

目的：防止基于应用层的攻击影响Web应用系统

主要技术原理：

① 代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制

② 特征识别：通过正则表达式的特征库进行特征识别

③ 算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

3. 防火墙的性能指标 – 重点

1）性能指标1 – 吞吐量

吞吐量：防火墙能同时处理的最大数据量

有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率

衡量标准：吞吐量越大，性能越高

2）性能指标2 – 时延

定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发（Store and Forward）的性能。

衡量标准：延时越小，性能越高

3）性能指标3 – 丢包率

定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。（防火墙的有效转发数据包的数量占总包的比例）

衡量标准：丢包率越小，防火墙的性能越高

4）性能指标4 – 抖动

定义：数据包延时的最大值和最小值之差

衡量指标：越小越稳定

5）性能指标5 – 背靠背

定义：背靠背主要是指防火墙缓冲容量的大小。

衡量标准：网络上常会出现一些突发的大流量（例如：NFS，备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

6）性能指标6 – 并发连接数

定义：由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目（会话量），一个连接就是一个TCP/UDP的访问。

衡量指标：并发连接数指标越大，抗攻击能力也越强。

4. 深信服下一代防火墙解决方案

1）安全现状

安全事件风起云涌

安全威胁快速进化，不断升级

未知威胁横行于网络空间

传统防火墙防御模式

• 通过防御设备划分边界，基于IP/端口和特征进行判断
• 以隔离为基础，基于信任原则构建安全框架
• 以防护为核心，基于静态特征的攻击检测

传统安全产品的形态

• 成本高：环境、空间、重复采购
• 管理难：多设备，多厂商、安全风险无法分析
• 效率低：重复解析、单点故障

传统防火墙已无法应对新挑战

2）应对方案

深信服AF的核心价值观

• 安全的基础是风险全面可视化
• 安全的目标是保障企业业务安全
• 安全的未来是抵御未知威胁

① 安全的基础是风险全面可视化

• 围绕着业务/用户安全为核心全面展示风险

② 安全的目标是保障企业业务安全

• 事前风险预知

  

• 事中风险全面防御

  

• 事后持续检测与响应（以僵尸网络为例）

  

• 事前预知 - 事中防御 - 事后检测与响应

  

③ 安全的未来是抵御未知威胁

• 未知威胁抵御 - 基于AI的杀毒引擎

  

• 未知威胁抵御 - 基于AI的杀毒引擎优势对比

  

• 未知威胁抵御 - 未知Web攻击 - 词法语法分析

  

• 未知威胁抵御 - 未知Web攻击 - 优势对比

  

3）智能联动

① 智能联动图谱

② 云端智能检测 – 威胁情报

③ 云端智能检测 – 云端沙箱

④ 终端检测及响应 – 威胁闭环处置

4）应用场景

① 互联网出口安全防护场景

② 对外业务发布安全防护场景

③ 分支机构安全防护场景

④ 数据中心安全防护场景

⑤ 效益与价值：更有效、更简单

4.2 下一代防火墙组网方案

1. 下一代防火墙组网简介 – 了解

配置AF顺序：接口 – 路由 – NAT – 策略

1）部署模式

下一代防火墙具备灵活的网络适应能力，支持：路由模式（三层）、透明模式 / 虚拟网线模式（二层）、混合模式（二+三）、旁路模式。

2）接口总述

AF有哪些接口

• 根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口

? 其中物理口可选择：路由模式、透明模式、虚拟网线模式、旁路模式

• 根据接口不同工作层面，可以划分为：二层区域、三层区域、虚拟网线区域

AF的部署模式是由各接口的属性决定的

3）物理接口

• 物理接口与AF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性。
• 物理接口无法删除或新增，物理接口的数目由硬件决定（个别平台支持可扩展）。

4）路由接口

① 三层接口，需配置IP地址，且该接口具有路由转发功能。

② ADSL拨号：

如果设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，默认勾选。

③ 管理口：

Eth0为固定的管理口，接口类型为路由口，无法修改。Eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24如需修改，AF8.0.13版本后，可在【系统】-【通用配置】-【网络参数】中进行修改。

5）透明接口

二层接口，VLAN，接口类型（access，trunk）

透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。

6）虚拟网线接口

成对出现，二层接口，转发速率高于透明模式，无需查看MAC地址表即可转发

虚拟网线接口也是普通的交换接口，不能配置IP地址，不支持路由转发，转发数据时，也无需检查MAC表，直接从虚拟网线配对的接口转发。

虚拟网线接口的转发性能高于透明接口，单进单出、双进双去等成对出现的网桥的环境下，推荐使用虚拟网线接口部署。

7）旁路镜像接口

无需配置任何，只负责接收镜像来的数据即可

旁路镜像接口不能配置IP地址，也不支持数据转发，只是用来接收从外部镜像过来的镜像数据。

镜像接口可以配置多个，根据现场实际业务场景需要接收的数据情况进行选择。

8）聚合接口

将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。

聚合接口工作模式：

负载均衡：hash: 按数据包源目的IP/MAC的hash值均分

负载均衡：RR: 直接按数据包轮转均分到每个接口

主备模式：取eth最大号为主接口收发包，其余为备接口

LACP：标准LACP协议对接，选择LACP选项后，可以支持基于：IP+MAC、IP+端口、MAC三种哈希策略，同时支持主动和被动两种模式。

9）子接口

类似单臂路由中的子接口，路由口才有子接口。

子接口应用于路由接口需要启用VLAN或TRUNK的场景。

子接口是逻辑接口，只能在路由口下添加子接口。

子接口的下一跳网关和链路故障检测根据实际环境进行配置。

10）VLAN接口

类似于vlanif接口 ，配置网关地址。

一个接口只能属于一个安全区域

一个安全区域可以有多个接口

为VLAN定义IP地址，则会产生VLAN接口。VLAN接口也是逻辑接口。

11）接口设置注意事项

① 设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。

② 管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。

③ 一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

12）区域

什么是区域

• 是本地逻辑安全区域的概念

• 一个或多个接口所连接的网络

区域：用于定义和归类接口，以供各类安全策略等模块调用。

定义区域时，需根据控制的需求来规划，可以将一个接口划分到一个区域，或将几个相同需求的接口划分到同一个区域。

一个接口只能属于一个区域，而一个区域可以有多个接口。

可以在区域中选择接口。也可以预先设置好区域名称，在接口中选择区域。

2. 下一代防火墙组网方案 – 重点（需求配置了解、总结为重点）

1）路由模式组网

① 需求背景

客户需求：现有的拓扑如下图，使用AF替换现有防火墙部署在出口，实现对内网用户和服务器安全防护。

② 需求分析

部署前我们需要做哪些准备工作？

1、现有设备的接口配置

2、内网网段规划，好写回包路由

3、是否有服务器要映射

4、是否需要代理内网用户上外网

5、进行内外网哪些访问权限的控制

6、进行哪些安全策略配置实现用户需求

7、现在拓扑是否完整

③ 配置思路

1、配置接口地址，并定义接口对应的区域：

在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址。

2、配置路由：

在【网络】－【路由】中，新增静态路由，配置默认路由或回程路由。

3、配置代理上网：

在【策略】-【地址转换】中，新增源地址转换。

4、配置端口映射：

在【策略】-【地址转换】中，新增服务器映射。

5、配置应用控制策略，放通内网用户上网权限：

在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

6、配置安全防护策略：

如：业务防护策略、用户防护策略等。

2）单臂路由模式

单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

单臂路由配置

1、配置接口地址，并定义接口对应的区域：

在【网络】－【接口/区域】－【子接口】中，设置对应子接口，选择VLAN ID，并配置接口类型、所属区域、基本属性、IP地址。

2、配置路由：

在【网络】－【路由】中，新增静态路由，配置默认路由或回程路由。

3、配置代理上网：

在【策略】-【地址转换】中，新增源地址转换。

4、配置端口映射：

在【策略】-【地址转换】中，新增服务器映射。

5、配置应用控制策略，放通内网用户上网权限：

在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

6、配置安全防护策略：

如：业务防护策略、用户防护策略等。

3）路由模式总结

• 在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址。
• 此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
• 需要修改原网络拓扑，对现有环境改动较大。
• 一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景。

4）透明模式组网

① 需求背景

客户需求：部署一台AF设备进行安全防护，但是又不改动现有的网络环境。

② 需求分析

部署前我们需要做哪些准备工作？

1、接口定义

2、管理地址配置

3、配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理

4、不用配置地址转换

5、应用控制进行访问权限控制

6、安全防护策略实现用户安全防护需求

③ 配置思路

１、配置接口地址，并定义接口对应的区域：

在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性如所属access或者trunk。

2、配置管理接口：

在【网络】中，新增管理接口，或者配置vlan接口的逻辑接口做为管理接口，并分配管理地址。

3、配置路由：

在【网络】－【路由】中，新增缺省路由和回程路由。

4、配置应用控制策略，对不同区域间的访问权限进行控制：

在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制。

5、配置安全防护策略：

如：业务防护策略、用户防护策略等。

5）虚拟网线模式

用户需求：路由器和交换机聚合口对接，要求透明部署防火墙设备，即从1号口进来的数据，只从2号口出，不再转发到其他接口，其他接口的效果也一样。同时防火墙设备可以被日常管理

① 虚拟网络部署

虚拟网线部署是透明部署中另外一种特殊情况：

• 和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口。
• 虚拟网络接口必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。
• 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

② 配置思路

１、 配置接口地址，并定义接口对应的区域：

在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、以及配对的虚拟接口。

2、配置管理接口：

在【网络】中，新增管理接口，管理接口必须新启一个单独的接口，无法通过配置桥地址实现，并分配管理地址。

3、配置路由：

在【网络】－【路由】中，新增缺省路由和回程路由。

4、配置应用控制策略，对不同区域间的访问权限进行控制：

在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制。

5、配置安全防护策略：

如：业务防护策略、用户防护策略等。

6）混合模式组网

① 用户需求：

某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。 内网用户使用私有地址，通过NAT转换代理上网。希望将AF设备部署在公网出口的位置，实现内外部数据通信的同时，保护服务器群和内网上网数据的安全。

② 部署方式推荐：

推荐使用混合模式部署，AF设备连接公网和服务器群的2个接口使用透明access口，连接内网网段使用路由接口。

③ 混合模式部署分析

1、由于服务器均有公网IP地址，所以AF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。

2、新增VLAN1接口，分配一个公网IP地址，划入区域为外网区域。

3、AF设备与内网相连的接口eth3使用路由接口，设置与内网交换机同网段的IP地址，并设置静态路由与内网通信。

4、内网用户上网时，转换源IP地址为VLAN1接口的IP地址。根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域”选择VLAN接口vlan1；“内网区域”选择接口eth3。

7）旁路模式组网

① 客户需求：使用AF来实现对各区域之前数据交互进行安全分析，同时不改动已有的环境。

② 配置思路

1、配置镜像接口，定义接口对应的区域，并配置流量监听网络对象：

在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、旁路流量统计网络对象。

2、配置管理接口：

在【网络】－【接口/区域】－【物理接口】中，选择空闲的物理接口做为管理口。

3、配置路由：

在【网络】－【路由】中，一般新增缺省路由。较少场景使用明细的回程路由。

4、启用旁路reset功能：

在【系统】-【系统配置】-【通用配置】-【网络参数】中，勾选【旁路reset】。

5、配置安全防护策略：

如：业务防护策略、用户防护策略等。

③ 思考总结

1、设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。

2、需要另外单独设置管理接口才能对设备进行管理。

3、启用管理口reset功能。

4、旁路部署支持的功能仅有：

• APT（僵尸网络）
• PVS（实时漏洞分析）
• WAF（web应用防护）
• 入侵防护系统
• DLP（数据泄密防护）
• 网站防篡改部分功能（客户端保护）

3. 策略路由解决方案

1）策略路由 – 重点

① 策略路由概述

• 策略路由是路由中的一种。

• 静态路由的匹配条件相对较少：匹配目的IP、子网掩码与下一跳网关。

• 策略路由可以弥补静态路由的不足，更灵活多样的匹配条件，根据相应策略来进行匹配，包括：匹配源、目的、协议、应用等，出口在外网多条线路情况下，建议配置策略路由。

② 策略路由分类：

• 源地址策略路由——可指定内网哪些IP走指定线路出公网

• 多线路负载路由——可指定多条线路进行负载选路

2）需求背景

网络环境如下图，公网出口两条线路：电信线路和教育网专线。

客户需求：

1、内网用户访问教育网资源必须通过教育网专线才能进行访问。

2、内网所有用户访问电信IP的资源优先通过电信出口进行访问。

3、互联网有个学习平台，主要是视频数据。为了实现访问的分流，要求内网IP段一和内网IP段二访问时，走教育网专线；内网IP段三访问时，走电信线路。

4、非以上三条要求的资源访问，按访问时，剩余带宽比例自动选择线路。

5、互联网访问时，当电信或者教育网线路任意一条中断，另一条可以自动继续提供互联网业务。

3）配置思路

1、接口和区域设置和路由部署一致，但策略路由要开启链路状态检测。

2、代理上网和应用控制策略配置和路由部署一致。

3、策略路由配置：在【网络】-【路由】-【策略路由】中，

① 需求1：添加源地址策略路由，来自于“内网区域”，目标ISP地址为教育网，填写下一跳接口为eth1。

② 需求2：添加源地址策略路由，来自于“内网区域”，目标ISP地址为电信，填写下一跳接口为eth2。

③ 需求3.1：添加源地址策略路由，来自于“内网区域”-“内网IP段一和内网IP段二”，目标地址为“互联网学习平台”，填写下一跳接口为eth1 。

④ 需求3.2：添加源地址策略路由，来自于“内网区域”-“内网IP段三”，目标地址为“互联网学习平台”，填写下一跳接口为eth2 。

⑤ 需求4&5：添加多线路负载路由，来自于“内网区域”，目标IP选择全部，选择接口eth1和eth2，接口选择策略为带宽比例。

4）思考总结 – 重点

注意事项：

① AF路由的优先级默认是：【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】

② AF6.8后新增了【VPN与专线互备路由】功能，开启该功能后，路由优先级调整为：【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】

③ 每一条外网线路必须至少有一条策略路由与之对应，源地址策略路由或多线路负载路由均可。

④ 源地址策略路由，通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。

⑤ 多线路负载路由选择的接口，必须开启链路故障检测功能，才能实现线路故障自动切换。

⑥ 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。

4.3 终端安全检测和防御技术

[课件地址](…/SCSA_PPT/04-第四章 边界安全/4.3终端安全检测和防御技术.pptx)

1.终端安全风险

黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。

互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。

僵尸网络的主要危害有：

2. 终端上网安全可视可控技术 – 重点

应用控制策略可对应用/服务的访问做双向控制，AF存在一条默认拒绝所有服务/应用的控制策略。

**基于应用的控制策略：**通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。

**基于服务的控制策略：**通过匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）来进行过滤动作，对于任何包可以立即进行拦截动作判断。

WEB过滤是指针对符合设定条件的访问网页数据进行过滤。

包括URL过滤、文件过滤。

根据HTTP不同动作进行区分。

可以针对HTTPS URL进行过滤。

3. 网关杀毒技术 – 了解（前三个重点）

1）病毒的特征

传染性、破坏性、繁殖性、隐蔽性、不可预见性、潜伏性

2）病毒的工作步骤

潜伏阶段———传染阶段———触发阶段——发作阶段

3）杀毒防御产品

4）防病毒网关（AV或AF）

基于应用层过滤病毒、过滤内网之间的数据、进行阻断

5）网关杀毒实现方式 – 重点

① 代理扫描方式

将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。

② 流扫描方式

依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与（病毒库）本地签名库进行匹配。

6）AF网关杀毒实现方式 – 检测流程（了解）

数据发到病毒检测进程（先进行规则库对比 – SAVE人工智能杀毒引擎 – 云脑（文件MDS云查 – 文件））

7）AF网关杀毒优势

• 支持各类主流协议文件传播杀毒，包括SMB v1/v2/v3协议，通过采用SAVE智能文件检测引擎（杀毒），大幅提高恶意文件识别率
• 支持对邮件正文中的恶意域名、URL进行检测
• 提供覆盖更广的杀毒能力，支持文档类、脚本类的非PE文件检查、office宏病毒的杀毒功能
• 杀毒文件的大小限制可以灵活调整，界面可调整的大小限制为1-20M
• 支持对压缩文件的检测，且可设置层级，界面可调整的层级最多16层

8）SAVE引擎优势

• 基于AI技术提取稳定可靠的高层次特征，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种；
• 对勒索病毒检测效果达到业界领先，影响广泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒，save均有检出新变种的案例。同时，对非勒索病毒也有较好的检出效果；
• 轻量级，资源占用少，隔离网环境检测能力业界领先；
• 云+边界设备+端联动，依托于深信服安全云脑海量的安全数据，SAVE能够持续进化，不断更新模型并提升检测能力，未知威胁能够在云端分钟级返回检测结果并全网同步，构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。

9）网关杀毒配置思路 – 重点

4. 僵尸网络检测和防御技术

0）APT攻击 – 了解

APT高级持续性威胁：有组织、有目标、长期潜伏，最终获取权限，进而窃取信息

1）僵尸网络概述 – 重点（概念和流程）

黑客通过分布式拒绝服务攻击程序使大量设备沦陷，黑客通过蠕虫病毒或者木马操控大量僵尸主机（肉鸡）同时向某个攻击目标发起DDoS攻击，使目标设备瘫痪及拒绝服务

• DOS拒绝服务攻击：黑客对目标设备发起泛洪攻击，使目标设备瘫痪拒绝服务
• DDOS分布式拒绝服务攻击：大量设备对目标设备发起泛洪攻击，使目标设备瘫痪拒绝服务

僵尸网络（Botnet，亦译为丧尸网络、机器人网络）是指黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。

• 传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT（高级持续性威胁）场景下，传统防毒墙和杀毒软件更是形同虚设。

• 需要一种事后检测机制用于发现和定位客户端受感染的机器，以降低客户端安全风险。同时，记录的日志要求有较高的可追溯性。

• 感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据用户策略进行阻断和记录日志。

僵尸网络攻击流程 – 重点

① 黑客传播木马到网络感染终端设备

② 主机受到木马感染后，连接C&C服务器获取指令

③ C&C服务器下发指令给终端，扫描网络，感染更多主机

④ 更多主机感染，组成僵尸网络，连接c&C服务器获取指令

⑤ 黑客下发指令代码给C&C服务器，C&C服务器下发指令到感染

的终端设备（僵尸网络）

2）僵尸网络检测 – 重点（课上笔记）

• 木马远控检测：检测受僵尸网络防护的设备所发出和接收的报文进行木马检测

• 异常流量检测：

  • 非标准端口对应的协议检测、反弹检测、启发式DOS攻击检测可以分析行为特征、如有异常行为，分析是否具有攻击行为

  • DOS攻击：源ip地址不变的syn flood／icmpl flood／dns flood／udp flood发送各种泛洪报文 – 启发式DOS攻击

  • 外发流量异常检测：检测PPS每秒报文发送量是否超过阈值，基于5分钟检测报文是否为单向流量、是否为正常响应报文，从而检测是否有攻击，并记录日志

异常流量检测 – PPT笔记（了解）

• 通过对当前的网络层及应用层行为与安全模型进行偏离度分析，能够发现隐藏的网络异常行为，并根据行为特征确定攻击类型，发现特征匹配无法发现的攻击。
• 外发流量异常功能是一种启发式的dos攻击检测手段，能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击。
• 外发流量异常功能的原理为：当特定协议的外发包pps超过配置的阈值时，基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容，得出分析结论，并将发现的攻击提交日志显示。

3）其他检测方式 – 了解

1. 与僵尸网络连接是最基础的判定方式，信息来源包括：上万台在线设备收集、与google等机构合作共享

2. 对于未知的僵尸网络（存在大量DGA生成的C&C域名），通过模拟DGA算法总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络

3. 危险的外联方式检测，如使用已知的（IRC、HFS）与僵尸网络进行通讯

4. 使用标准端口传输非标准协议（如：在80端口中传输RDP协议）

5. 对外发起CC攻击

6. 对外传播恶意文件

7. 对外发送shellcode

8. 检测出下载恶意文件、恶意PDF等行为

9. 检测出下载文件与后缀名不符

10. 上下行流量不符

4）规则库展示

5）误判排除 – 重点（标题）

AF僵尸网络防护排除方式有三种：

1. 发现某个终端的流量被AF僵尸网络规则误判，可以在僵尸网络功能模块下的排除指定IP，那么此IP将不受僵尸网络策略的拦截。

   – 加入排除地址

2. 发现某个规则引起的误判拦截所有内网终端流量，可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后，所有僵尸网络策略都不会对此规则做任何拦截动作。

   – 禁用相应规则（库）

   

3. 也可以直接在内置数据中心中，查询僵尸网络日志后使用“添加例外”排除。

   – 日志中添加例外

   

6）DNS场景误判排除

• 通过蜜罐技术解决内网存在DNS服务器时，用于定位内网感染僵尸网络主机的真实IP地址。

• 防止配置过程中忽略蜜罐设置，导致后续无法溯源的问题，策略配置界面新增DNS服务器服务界面。

  – 内网存在DNS服务器，可以识别到真实内网感染木马主机地址。恶意域名重定向到蜜罐

7）杀毒通知推送

AF检测到的风险主机，可以推送杀毒通知；

重定向页面支持自定义，同时支持下载病毒查杀软件；

5. 终端安全防护专题 – 勒索病毒防护

1）需求背景

勒索病毒，是一种新型电脑病毒，主机感染勒索病毒文件后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据，否则会被销毁数据。从直观现象而言，勒索病毒的现象主要包含以下两种场景。

1. 服务器文件被加密，例如加密成.java后缀或者其他奇怪的后缀名称，在桌面提示需要支付比特币赎金到某个账户，如果不支付将导致文件永远不可用，如下图所示：

   – 通过电脑开启的共享端口（135~139，445，3389）访问设备，给设备注入勒索病毒，设备运行勒索病毒，遍历设备上的所有文件，并对文件加密，以至于无法打开，弹出勒索通知，支付后，给解密秘钥，否则一定时间后，文件就会销毁。

   

2. 内网主机成片出现蓝屏现象，蓝屏的代码提示srv.sys驱动出现问题，如下图所示：

   

注意：内网大面积主机蓝屏一般是变种类型的勒索病毒，具有很强的传播性

2）勒索病毒的感染过程 – 了解

1. 首先，黑客通过SMB、RDP等口令暴力破解、勒索常用端口利用、以及服务器漏洞等的利用想方设法让勒索病毒感染用户主机
2. 当主机感染了勒索病毒文件之后，会在主机上运行勒索程序，同时黑客也会尝试利用SMB、RDP手动进行横向传播，感染更多的主机
3. 接着，当勒索程序在一台或者多台主机上被运行后，勒索病毒会遍历本地所有磁盘，对指定类型的文件进行加密，加密后的文件无法再被读取
4. 生成勒索信息文件 ，告知受害者这台机器已经中了勒索病毒了，并要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则赎金会加倍或者不再提供解密
5. 加密后数据正常无法自己解密，因为勒索采用的是高强度非对称加密方式，受害者在没有私钥情况下无法恢复文件

3）勒索病毒的防护措施

1. 事前加固：勒索病毒风险评估，精准评估勒索病毒进入点风险，配置勒索病毒专项策略，全面防护勒索风险

2. 事中积极防御：通过配置的勒索病毒专项策略，全面防护勒索风险

3. 事后快速响应与处置：隔离识别已失陷的主机，专项工具进行杀毒

4）事前加固

梳理资产暴露面，屏蔽勒索入侵进入点，对勒索常用端口、勒索常用漏洞、弱口令做事前的识别，并给出对应处理建议

5）事中防御

1. 持勒索专项防护策略自动生成，全面防护勒索黑客攻击。配置：【运行状态】-【勒索专项防护】-【勒索防护配置】

2. 通过安全策略深度检测入侵手段，对抗隐蔽勒索攻击，通过web应用防护、漏洞防护、内容安全、慢速爆破检测对勒索病毒做全面入侵防御，可根据勒索分析的日志展示，对勒索做进一步详细分析

6）事后快速响应与处置

1. 联动EDR查杀，隔离失陷资产，快速处置勒索病毒

2. 根据勒索分析的日志展示，对勒索做进一步详细分析， 功能：【勒索专项防护】

3. 勒索病毒分析，勒索安全事件分析入口：在【用户安全】-【点击某个勒索事件】-【处置恶意文件】

4. 勒索病毒分析,勒索安全事件分析入口：在【用户安全】-【点击某个勒索事件】-【处置恶意文件】

4.4 服务器安全检测和防御技术

[课件地址](…/SCSA_PPT/04-第四章 边界安全/4.4服务器安全检测和防御技术.pptx)

1. 服务区安全风险 – 了解

① 不必要的访问（如只提供HTTP服务）-- 应用识别、控制

② 外网发起IP或端口扫描、DDOS攻击等 – 防火墙

③ 漏洞攻击（针对服务器操作系统等) – 漏洞攻击防护

④ 根据软件版本的已知漏洞进行攻击, 口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪造等等 – 服务器保护

⑤ 扫描网站开放的端口以及弱密码 – 风险分析

⑥ 网站被攻击者篡改 – 网站篡改防护

2. DOS攻击检测和防御技术

1）需求背景

2016年10月21日，美国提供动态DNS服务的DynDNS报告遭到DDoS攻击，攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括BBC、华尔街日报、CNN、纽约时报等一大批新闻网站集体宕机，Twitter甚至出现了近24小时0访问的局面！此次事件中，黑客就是运用了DNS洪水攻击手段。

2）DOS攻击介绍

• DoS攻击——Denial of Service, 是一种拒绝服务攻击，常用来使服务器或网络瘫痪。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

• DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。

3）DOS目的 – 重点

① 消耗带宽 – 以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

② 消耗服务器性能 – 用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

③ 引发服务器宕机 – 攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如PingofDeath、TearDrop

– Ping of death死亡之ping ----- 发送一个超出设备能够处理最大报文长度，以至于设备系统直接崩溃

– Tear dorp鳄鱼的眼泪 ----- 报文分片，分片重组时重叠，系统直接崩溃

4）DOS类型 – 了解

5）SYN Flood – SYN洪水攻击流程

6）SYN代理

通过SYN代理防御SYN洪水攻击

7）配置思路

1.【系统】-【系统配置】-【通用配置】-【网络参数】开启【开启外网防Dos功能】

2.【策略】-【安全策略】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。

3.【源区域】选择外网区域。

4.【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。

5.【内网IP组】选择需要保护的服务器IP组。

6.【DoS/DDoS攻击类型】-勾选所有类型，一般按照默认即可，为体现测试效果可适当调低封锁阈值。

7.【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项，一般不建议勾选【IP数据块分片传输防护】，勾选了分片数据包都将被丢弃。

效果展示

【内置数据中心】-【日志查询】- 【Dos攻击】查看具体日志。

8）思考总结 - 每目的IP激活 / 丢包阈值

SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】指的是什么？

1、每目的IP激活阈值，指当针对策略设置的目的IP组内某IP发起的SYN请求速率数据包超过设定值，则触发AF的SYN代理功能。

2、每目的IP丢包阈值，指当针对策略设置的目的IP组内某IP发起的SYN请求速率数据包超过设定值，则AF不再启用SYN代理，直接丢弃SYN包。

3. 漏洞攻击防护入侵检测和防御技术

1）需求背景

2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入勒索病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。

2）IDS/漏洞攻击防护介绍 – 了解

网络安全漏洞是指在计算机软件、硬件或者网络架构中存在的弱点或错误

IDS——Intrusion Detection Systems，即入侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果。-- 无法防御

漏洞攻击防护——Intrusion Prevention Systems，即入侵防御系统，可对网络、系统的运行状况进行监视，并可发现阻止各种攻击企图、攻击行为。

3）IDS/漏洞攻击防护对比 – 重点

4）漏洞攻击防护常见入侵手段

• worm蠕虫

  worm 蠕虫程序是一种可以自我复制的恶意程序，可以通过网络进行传播，消耗网络和系统资 源。

• 网络设备、服务器漏洞

  网络设备、服务器漏洞是网络设备或服务器系统存在的可被恶意利用并入侵的漏洞。

• 后门、木马、间谍软件等

  后门、木马、恶意软件，可被攻击者收集获取被攻击电脑的数据并远程控制等。

• 口令暴力破解

  常见的暴力破解方法：

  • 字典法：黑客通过各种手段所获取一些网络用户所经常使用的密码，集合在一起的的一个文本文件

  • 规则破解：规则法是通过和账号或者用户的个人信息进行破解，如生日、电话等信息

5）漏洞攻击防护原理

? 漏洞攻击防护通过对数据包应用层里的数据内容进行威胁特征检查，并与漏洞攻击防护规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层漏洞攻击防护的防护。

6）漏洞攻击防护方式

漏洞攻击防护的保护对象

• 保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。

• 保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击；还用于阻止用户频繁登录指定协议服务器，防止暴力破解攻击。

漏洞攻击防护的规则识别分类

• 保护服务器和客户端（一般是系统有漏洞会容易被攻击）

  防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。

• 保护服务器软件（如应用服务器提供的应用）

  防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设 备进行的攻击和暴力破解。

• 保护客户端软件（如OA、IE等）

  防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。

7）配置思路

1.保护客户端：

①【对象】-【安全策略模板】-【漏洞攻击防护】-新增客户端防护的漏洞攻击防护模板，模板选择【保护客户端】及【恶意软件】

②【策略】-【安全策略】-【安全防护策略】新增用户防护策略，引用客户端防护的模板

③【源区域】选择内网客户端所在区域，源IP选择需要防护的客户端IP组

④【目的区域】选择外网区域，目的IP组选择全部

⑤ 选择允许或拒绝、是否联动封锁、是否日志记录，依具体情况而定（联动封锁功能在后面章节会单独介绍）

2.保护服务器：

①【对象】-【安全策略模板】-【漏洞攻击防护】-新增客户端防护的漏洞攻击防护模板，模板选择【保护服务器】及【口令暴力破解】

②【策略】-【安全策略】-【安全防护策略】新增业务防护策略，引用服务器防护的模板

③【源区域】选择外网区域，源IP组选择全部

④【目的区域】选择服务器所在区域，目的IP选择需要防护的服务器IP组

⑤ 选择允许或拒绝、是否联动封锁、是否日志记录，依具体情况而定（联动封锁功能在后面章节会单独介绍）

8）误判处置

? 漏洞攻击防护规则默认有致命、高、中、低、信息五个级别，可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了，造成一定的误判，此时又该如何修改漏洞攻击防护规则？

①配置漏洞攻击防护规则时，对于漏洞攻击防护日志勾选上“记录”

②根据数据中心的日志，查询到误判规则的漏洞ID

③【对象】-【安全防护规则库】-【安全规则库】-漏洞特征识别库中，修改相应漏洞ID的动作，如改成放行或禁用。

9）注意事项

1、配置漏洞攻击防护保护客户端和服务器时，源区域为数据连接发起的区域。

2、漏洞攻击防护保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的，因为攻击者针对服务器和客户端会使用不同的攻击手段。

4. WEB攻击检测和防御技术

1）需求背景

? 2015年04月22日，超30个省市卫生和社保系统爆出漏洞，黑客通过SQL注入，完成数千万用户的社保信息的拖库批量下载。社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息

? 以OWASP的top 10项目为例，其列出了对企业组织所面临的10项的最严重的web应用程序安全风险，由下图可以看到，注入和XSS攻击由07年直至17年始终位居前几位。

WEB十大安全漏洞：

1.失效的访问控制
2.加密机制失效
3.注入
4.不安全的设计
5.安全配置错误
6.易受攻击和过时的组件
7.识别和认证失败
8.软件和数据完整性故障
9.安全日志记录和监控失败
10.服务器端请求伪造（SSRF）

2）WAF定义

WAF——Web Application Firewall，即Web应用防护，主要用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。

3）WEB攻击手段

① SQL注入

SQL注入——就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

SQL注入攻击特点已经有初步认识了，要更深一步认识，需要搞清楚以下两个问题：

1、攻击数据出现在哪里（在哪里提交、如何提交）？

Web提交数据一般有两种形式，一种是get，一种是post。

? ① Get的特点，提交的内容经过URL编码直接在URL栏中显示

? ② Post的特点，提交的内容不会直接显示在URL部分，会在Post包的Data字段中

2、什么内容才是SQL注入攻击（提交什么内容才认为是SQL注入攻击）？

? 注入工具攻击：利用一些专业的SQL注入工具进行攻击，这些工具的攻击都是具有固定数据流特征的。

② CSRF攻击

CSRF——Cross Site Request Forgery，即跨站点请求伪造，攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

③ 信息泄露攻击

? 信息泄露漏洞是由于在没有正确处理一些特殊文件，通过访问这些文件或者路径，可以泄露web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息。

• 常见的信息泄漏有：

  • 应用错误信息泄露；
  • 备份文件信息泄露；
  • web服务器缺省页面信息泄露；
  • 敏感文件信息泄露；
  • 目录信息泄露。

• 信息泄露的几种原因：

  • web服务器配置存在问题
  • web服务器本身存在漏洞
  • web网站的脚本编写存在问题
  • 人员问题

4）WEB攻击手段的简介

SQL注入攻击是由于web应用程序开发中，没有对用户输入数据的合法性进行判断，攻击者可以通过互联网的输入区域（如URL、表单等），利用某些特殊结构的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据。

跨站脚本攻击（XSS)是由于web开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制，攻击者通过web页面向数据库或HTML页面提交恶意的html代码，当用户打开有恶意代码的连接或页面时，恶意代码会自动执行，从而到达攻击的目的。

网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个1木马。

网站扫描是对web站点扫描，对web站点的结构、漏洞进行扫描。

Webshell是web入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器web目录中，与正常网页混在一起。通过webshell，长期操纵和控制受害者网站。

跨站请求伪造（CSRF）通过伪装来自受信任用户的请求来利用受信任的网站。

系统命令注入 操纵系统命令攻击是攻击者提交特殊字符或者操作系统命令，web程序程序没有检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。

文件包含漏洞攻击是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严，没有判断参数是本地的还是远程主机上的时，我们就可以指定远程主机上的文件作为参数来提交给变量执行，而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话，文件中心的代码或PHP木马就会以web权限被成功执行。

目录遍历漏洞就是通过浏览器向web服务器任意目录附加“…/”,或者是在有特殊意义的目录附件“…/”，或者是附加“…/”的一些变形，编码，访问web服务器根目录之外的目录。

信息泄漏漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄漏web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。

5）配置思路

1.【对象】-【安全策略模板】-【web应用防护】新增Web应用防护策略模板

2.【端口】选择默认，如web服务器使用的是非标准端口80，则将对应端口填至HTTP选项

3.【防护类型】 选择全部，其他选项默认即可

4.【策略】-【安全策略】-【安全防护策略】新增业务防护策略，引用Web应用防护策略模板

5.【源区域】选择外网区域，源IP组选择全部

6.【目的区域】选择服务器所在区域，目的IP选择需要防护的服务器IP组

7.允许或拒绝、是否联动封锁、是否日志记录，依具体情况而定**（联动封锁功能在后面章节会单独介绍）**

6）误判处置

• 加入排除地址
• 禁用相应规则（库）
• 日志中添加例外

5. 联动封锁技术

1）联动封锁

联动封锁类型

从AF7.4版本开始，防火墙的联动封锁有两种类型：

高危行为联动封锁：仅封锁具有高危行为特征的IP，优先保证用户流畅上网、业务稳定的提供服务；

任意攻击行为联动封锁：对任意具有攻击特征的IP执行访问封锁，最大化业务和用户的安全防御能力。

联动封锁机制

1. 漏洞攻击防护/ WAF / DOS模块可以配置联动封锁

2. 高危行为联动封锁功能仅关联：漏洞攻击防护、WAF、DOS部分指定的高等级规则

3. 任意攻击行为联动功能关联：封锁漏洞攻击防护、WAF、DOS的“阻断”事件会触发联动封锁

4. 策略触发的联动封锁是针对数据包的会话（五元组）进行拦截，数据包的端口和目的ip发生变化不会拦截

5. 联动封锁的添加封锁攻击者ip或者添加到永久封堵是针对源ip进行阻断，与之前老版本的机制一样

6. 在联动封锁列表中的主机可访问AF控制台，无法访问数据中心

7. 联动封锁防火墙容量为20000条

8. 被联动封锁的拒绝记录在应用控制日志中查询

2）策略联动配置

入侵防护功能和web应用防护功能在安全防护策略中启用；

DOS防护、CC攻击及暴力破解功能单独配置联动封锁功能，以下配置只以DOS防护举例；

6. 网页防篡改技术

1）需求背景

随着Web应用的发展，使Web系统发挥了越来越重要的作用，与此同时，越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击，导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡，最终会给更多访问者造成伤害，带来严重损失。

网站篡改带来的后果

• 经济损失
• 名誉损失
• 政治风险

2）防篡改主流技术

• 定时循环扫描技术 – 外挂轮询

  • 定义：使用程序按用户设定的间隔，对网站目录进行定时扫描比对，如果发现篡改，就用备份进行恢复。

  • 缺点：耗费服务器性能、事后检测存在盲区、易被卸载、动态网页局限

• 时间触发技术

  • 定义：对网站进行监控，如需修改网站检测是否合法

  • 缺点：事后检测存在盲区、易被卸载

• 核心内嵌技术 – 数字水印

  • 定义：在用户请求访问网页之后，在系统正式提交网页内容给用户之前，对网页进行完整性检查。
  • 算法被破解、文件大场景局限、易被卸载

3）深信服网页防篡改 – 现版本AF已不支持该功能

深信服网页防篡解决方案采用文件保护系统+下一代防火墙紧密结合，文件监控+二次认证功能紧密联动，保证网站内容不被篡改，其中文件保护系统采用了业界防篡改技术中最先进的文件过滤驱动技术。

• 文件监控

  在服务器安装防篡改客户端 – 同步AF防改策略，服务器根据防篡改策略判断修改动作是否合法，合法执行，不合法拒绝执行，并上报志

  

• 二次认证 – 辅助认证：邮箱验证码

  ① 管理员认证流程：

  1. 访问网站后台http://www.xxx.com/dede/

  2. AF重定向提交管理员邮箱地址的认证页面

  3. 提交接收验证码的管理员邮箱wangboxkillman@sina.com

  4. 发送带有验证码的邮件至wangboxkillman@sina.com

  5.管理员登录邮箱获取验证码

  6.管理员提交验证码通过认证

  7.通过验证后自动跳转到后台页面

  ② 黑客认证流程：

  第3步时，黑客无法提交正确的管理员邮箱

  则无法正常登录网站后台，此过程

  除非黑客通过社工手段获取

  管理员邮箱地址，并且破解管理员

  邮箱后才可破解后台登录。

4）注意事项 – 了解

1. 防篡改客户端必须连接防火墙并匹配防篡改策略后才会生效，防篡改客户端生效后，即使防火墙不在线，功能依然生效。

2. 若网站本身有webshell未删除，则防篡改客户端无法拦截webshell的文件篡改行为。

3. Windows系统中，防篡改客户端无法通过控制面板-卸载程序进行卸载，需要使用安装目录中的tamper.exe进行卸载，卸载需要输入客户端密码。

4. Linux系统中，在防篡改功能开启前已经建立的会话或者连接，防篡改功能不会生效。新的会话或者连接才生效。

5. Linux系统中，已经被防篡改保护的会话或者连接，在防篡改进程停止的情况依然会生效，如果要关闭防篡改功能，请通过配置开关停掉防篡改功能。

6. Linux系统中，开启防篡改的服务器，如果需要完全消除防篡改的影响，先卸载防篡改程序后重启所有服务或者直接重启服务器。

7. Linux系统中， Agent自身的bypass机制，当服务器内存系统资源超过70%时，功能可以生效但是无法向AF同步安全日志。

4.5 安全评估与动态检测技术

[课件地址](…/SCSA_PPT/04-第四章 边界安全/4.5安全评估与动态检测技术.pptx)

1. 风险分析技术

风险：开放不必要的端口、系统漏洞、软件漏洞、弱密码等

分析风险方式

• IP地址和端口扫描 - 扫描服务器开放的端口和服务，关闭不必要的端口
• 漏洞扫描 - 扫描服务器漏洞，升级打补丁
• 弱密码扫描 - 扫描服务器是否存在弱口令

2. WEB扫描技术

WEB扫描 - AF使用WEB扫描，查看WEB服务器进行深度的安全扫描、指纹识别、漏洞验证等WEB安全现状

安全扫描 - 扫描漏洞和攻击 - SQL注入、XSS跨站脚本攻击、跨站点请求伪造、漏洞等

指纹识别 - 识别网站系统、软件版本，对比漏洞库，精准匹配

漏洞验证 - 验证漏洞、验证漏洞危害、给出解决方案

WEB扫描的注意事项 - 需授权才能使用

1. 目标URL如果有对应的WAF策略并开启拒绝，是不能扫描的，需要禁用或放行相应WAF策略和应用控制策略。
2. 双机不会同步web扫描器配置。
3. 需要登录才能扫描的场景只支持用户名和密码认证，不支持包含有验证码等场景。
4. 扫描完成后应及时导出报表，设备不会保存报表，开始新的扫描报表就会清空。
5. 扫描有破坏网站数据的风险，不能直接扫描生产网服务器，客户应提供一个镜像服务器用来扫漏洞。
6. 如果一定要直接扫描生产网服务器，扫描前备份网站数据与源代码，保证出现问题后能恢复原状。

3. 实时漏洞分析技术

实时漏洞分析 - 防火墙检测经过防火墙的应用场景，对应用流量进行分析识别是否有漏洞

优点：实时分析客户网络，不会对网络或服务器带来额外的流量和性能压力

实时漏洞分析原理（过程）

数据包经过防火墙 – 拆包，四层解析，应用识别 – 策略匹配，复制数据包 – 复制的数据包进行应用层协议分析 – 应用漏洞检测（对比漏洞库发现漏洞）

实时漏洞分析注意事项

1. 被动漏洞扫描依赖应用识别结果，需要此功能正常运行建议先开通应用识别库序列号。
2. 实时漏洞分析功能不支持集中管理。
3. 实时漏洞分析仅支持tcp协议，不支持udp协议分析，如dns等服务。
4. FTP与HTTP支持任意端口识别，其他服务仅支持标准端口，如mysql、ssh等服务。
5. 每条分析策略相互独立，若服务器IP组有重叠，则发现的漏洞也会有重复。

4. 热点事件预警与处置

热点事件预警和处置 – 热点事件搜集 – 信息推送 – 自动扫描 – 一建防护

原理：

注意事项

1. 热点事件预警与处置推送需要保证设备能够正常访问网络
2. 热点事件预警与处置扫描需保证AF和内网服务器路由可达
3. 热点事件预警与处置防护会生成拒绝动作的安全策略

5. 安全处理中心

需求背景

业务风险可视

攻击举证信息全面可视

攻击地图

4.6 主动诱捕 – 云蜜罐

1、蜜罐技术——本质上对攻击者的诱捕行为（欺骗行为），布置一些诱饵去诱捕攻击者，从而转移攻击行为，并识别攻击行为和攻击方法并更进安全策略，进行防御

2、蜜罐原理

• 防火墙生成伪装业务
• 黑客（外网攻击）或内网失陷主机攻击伪装业务
• 防火墙将访问伪装业务的流量引导云端
• 云端高级溯源分析：识别攻击轨迹、获取攻击者指纹
• 云端下发行为画像（轨迹和指纹）到防火墙，防火墙根据画像识别攻击行为并防御

3、注意事项