13-APT防御配置
本章节下载: 13-APT防御配置 (274.38 KB)
目 录
APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。
设备通过与沙箱进行联动,将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,设备将对流量实施阻断等处理。
设备配置了APT防御功能后,当流量经过设备时,设备将进行APT防御处理。处理流程如图1-1所示。
图1-1 APT防御实现流程
(1) Internet中的攻击者向企业内部发起APT攻击,设备对攻击流量进行应用层协议识别以及文件识别。
(2) 设备对攻击流量中的文件进行还原,并将还原后的文件送往沙箱进行威胁分析。
(3) 沙箱获取到文件后将运行该文件,并对运行后的行为进行检测分析。检测结束后,会向设备推送检测结果,并将检测结果缓存到APT缓存中。
(4) 如果检测结果是恶意流量,则设备将根据配置的防病毒策略对后续流量进行阻断或告警等处理,保护企业内网免遭攻击。
仅当满足如下所有条件时,设备才会对报文中的文件进行还原。
· 报文匹配APT防御策略:如果未配置APT防御策略,则可忽略此条件。
· 报文中文件的大小符合送往沙箱检测的文件大小限制。
· 设备与沙箱已经成功建立连接。
文件还原成功后,设备会将还原后的文件上送沙箱检测。
沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,当未知文件上送沙箱处理后,沙箱会运行该文件,并会对运行后的行为进行记录。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配,最后给出文件是否为威胁的结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,形成的一套判断规则,它能够提供准确的检测结果。
与根据被检测对象的特征进行识别的检测技术(如防病毒)不同的是,沙箱检测是根据被检测对象的行为进行识别。因此具有可以识别未知文件的优点,可以更好的防御未知威胁。
设备收到沙箱推送的检测结果后,如果需要对攻击流量进行进一步的处理,则需要与防病毒功能进行联动。配置防病毒功能后,当后续恶意流量流经设备时,设备将识别恶意流量的应用层协议,并与防病毒策略进行匹配,再根据匹配到的防病毒策略中对应的协议报文执行的动作对恶意流量进行处理。
如果用户只想根据检测结果确定当前流量是否为恶意流量,而不需要对流量进行阻断,则对防病毒功能是否配置不作要求。
有关防病毒功能的详细介绍,请参见“DPI深度安全配置指导”中的“防病毒”。
APT防御配置任务如下:
(1) 配置沙箱联动功能
(2) 配置APT防御策略
(4) 引用DPI应用profile
请选择以下一项任务进行配置:
设备需要配置如下内容实现与沙箱的联动:
· 沙箱的基本参数:包括沙箱地址、登录沙箱的用户名和密码。
· 开启沙箱联动功能。
· 触发设备与沙箱建立连接:当修改沙箱的基本参数或开启/关闭沙箱联动功能后,都将导致与沙箱的连接中断,需要重新触发与沙箱建立连接。
设备根据RBM配置同步是否支持同步沙箱配置,分为如下两种沙箱视图:
· sandbox:沙箱视图,当设备进行RBM配置同步时,此视图下的所有配置都支持同步。
· sandbox-local:沙箱本地视图,当设备进行RBM配置同步时,此视图下的所有配置都不支持同步。
上述两种视图下支持配置的内容完全一致,包括沙箱的基本参数、开启沙箱联动功能以及触发设备与沙箱建立连接,请根据实际需求选择相应的视图进行配置。
有关RBM的详细介绍,请参见“可靠性配置指导”中的“双机热备(RBM)配置”。
本功能中沙箱本地视图(sandbox-local)的支持情况与设备型号有关,具体请参见命令参考。
用户需要根据实际情况自行判断,在RBM配置同步时,是否需要同步沙箱相关参数。如需同步,则沙箱相关参数必须在沙箱视图下进行配置;否则,沙箱相关参数必须在沙箱本地视图下进行配置。例如,在RBM主备场景中,两台设备分别连接不同的沙箱(即两台设备的沙箱配置参数不同),用于提升APT防御能力。此时,RBM配置同步时,则不需要同步沙箱相关参数。所以,沙箱相关的参数均需要在沙箱本地视图(sandbox-local)下进行配置。
两种沙箱视图互斥,视图间切换时需要执行如下操作:
· 如果已经在沙箱视图下配置了沙箱参数,需要切换到沙箱本地视图时,则需要先在沙箱视图下执行undo sandbox命令,删除沙箱视图下的所有配置并退回到系统视图,再执行sandbox-local命令,进入沙箱本地视图配置相应的参数。
· 如果已经在沙箱本地视图下配置了沙箱参数,需要切换到沙箱视图时,则可直接在系统视图下执行sandbox命令,系统会出现提示:“All sandbox local settings wil be lost. Continue? [Y/N]:Y”。用户需要选择“Y”,确认删除沙箱本地视图下的所有配置后,进入沙箱视图配置相应的参数。
(1) 进入系统视图。
system-view
(2) 选择如下任意一种视图进行配置:
¡ 进入沙箱视图。
sandbox
¡ 进入沙箱本地视图。
sandbox-local
(3) 配置沙箱地址。
sandbox-address address-string
缺省情况下,未配置沙箱地址。
(4) 配置沙箱登录用户名。
username user-name
缺省情况,未配置沙箱登录用户名。
(5) 配置沙箱登录密码。
password { cipher | simple } string
缺省情况下,未配置登录沙箱的密码。
(6) (可选)配置送往沙箱检测的文件大小上限。
file file-type max-size max-file-size
缺省情况下,未配置送往沙箱检测的文件大小上限,设备使用各类文件类型大小上限的缺省值。
为了降低沙箱的检测压力,上传到沙箱检测的文件大小需要一定限制,不符合文件大小限制的文件不上送沙箱检测。用户可以根据自己的需求进行设置,不同文件类型的大小限制不同。
(7) 开启沙箱联动功能。
linkage enable
缺省情况下,沙箱联动功能处于关闭状态。
(8) 触发设备与沙箱建立连接。
linkage try
(9) 退回到系统视图。
quit
(10) (可选)配置APT防御缓存记录的上限。
apt cache size cache-size
缺省情况下,APT防御缓存区可缓存记录的上限为10万条。
在APT防御策略中可以配置上送沙箱检测的文件需要符合的条件,包括应用层协议、文件类型和传输方向。仅当文件报文符合所有条件后,才认为成功匹配APT防御策略。
(1) 进入系统视图。
system-view
(2) 创建APT防御策略。
apt policy policy-name
(3) (可选)配置APT防御策略描述信息。
description description-string
缺省情况下,未配置APT防御策略的描述信息。
(4) 配置送往沙箱检测的文件的应用层协议。
application { all | type { ftp | http | https | imap | nfs | pop3 | smb | smtp } * }
缺省情况下,未配置需要送到沙箱检测的应用层协议类型。
(5) 配置送往沙箱检测的文件类型。
file-type { all | name &<1-8> }
缺省情况下,未配置需要送往沙箱检测的文件类型。
(6) 配置送往沙箱检测的文件传输方向。
file-direction { both | download | upload }
缺省情况下,送往沙箱检测的文件传输方向为both。
DPI应用profile是一个安全业务的配置模板,为使APT防御策略生效,需要在DPI应用profile中引用指定的APT防御策略。一个DPI应用profile中只能引用一个APT防御策略,如果重复配置,则新的配置会覆盖已有配置。
与防病毒策略联动时,需要在同一个DPI应用profile中同时引用防病毒策略和APT防御策略。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用APT防御策略。
apt apply policy policy-name
缺省情况下,DPI应用profile中未引用APT防御策略。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
(1) 进入系统视图。
system-view
(2) 进入对象策略视图。
object-policy { ip | ipv6 } object-policy-name
(3) 在对象策略规则中引用DPI应用profile。
rule [ rule-id ] inspect app-profile-name
缺省情况下,在对象策略规则中未引用DPI应用profile。
(4) 退回系统视图。
quit
(5) 创建安全域间实例,并进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。
(6) 应用对象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情况下,安全域间实例内不应用对象策略。
完成上述配置后,在任意视图下执行display命令可以显示配置后APT防御的运行情况,通过查看显示信息验证配置的效果。
表1-1 APT防御显示和维护
操作 |
命令 |
显示APT防御缓存中的信息 |
(独立运行模式) display apt cache [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display apt cache [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
显示设备与沙箱的连接状态 |
display apt linkage state |
如图1-2所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。企业内网中部署了沙箱,且沙箱与Device路由可达。现需要Device与沙箱联动,保护内网用户免受APT攻击,当沙箱检测到APT攻击时,对攻击流量执行阻断操作。
图1-2 在安全策略中引用APT防御策略配置组网图
(7) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(8) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(9) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(10) 配置沙箱联动功能
[Device] sandbox
[Device-sandbox] sandbox-address 192.168.2.4
[Device-sandbox] username admin
[Device-sandbox] password simple 123456abc
[Device-sandbox] linkage enable
[Device-sandbox] linkage try
(11) 配置APT防御策略
# 创建一个名称为apt1的APT防御策略,并配置需要送往沙箱检测的应用层协议为HTTP、文件类型为PE、文件传输方向为upload。
[Device] apt policy apt1
[Device-apt-policy-apt1] application type http
[Device-apt-policy-apt1] file-type pe
[Device-apt-policy-apt1] file-direction upload
[Device-apt-policy-apt1] quit
(12) 配置DPI应用profile引用APT防御策略和防病毒策略,具体配置步骤如下(本举例假设设备上已经配置了名称为antivirus1的防病毒策略,策略中将所有传输病毒文件的协议报文的动作设置为阻断,有关防病毒功能的详细介绍,请参见“DPI深度安全配置指导”中的“防病毒”。)
# 创建名为sec的DPI应用profile,并在其中引用名称为apt1的APT防御策略和名称为antivirus1的防病毒策略。
[Device] app-profile sec
[Device-app-profile-sec] apt apply policy apt1
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
(13) 配置安全策略
¡ 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行APT防御
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置名称为sandboxlocalout的安全策略规则,使设备可将待检测流量上送到沙箱服务器进行检测
[Device-security-policy-ip] rule name sandboxlocalout
[Device-security-policy-ip-11-sandboxlocalout] source-zone local
[Device-security-policy-ip-11-sandboxlocalout] destination-zone dmz
[Device-security-policy-ip-11-sandboxlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-11-sandboxlocalout] action pass
[Device-security-policy-ip-11-sandboxlocalout] quit
¡ 配置名称为sandboxlocalin的安全策略规则,使沙箱服务器可将检测结果下发到设备
[Device-security-policy-ip] rule name sandboxlocalin
[Device-security-policy-ip-12-sandboxlocalin] source-zone dmz
[Device-security-policy-ip-12-sandboxlocalin] destination-zone local
[Device-security-policy-ip-12-sandboxlocalin] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-sandboxlocalin] action pass
[Device-security-policy-ip-12-sandboxlocalin] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,Device将与沙箱联动,保护内网用户免受APT攻击,当沙箱检测到APT攻击时,对后续攻击流量执行阻断操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!