APT防御

本帮助主要介绍以下内容:

特性简介

APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。设备通过与沙箱进行联动,将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,设备将对流量实施阻断等处理。

APT防御实现流程

在设备配置了APT防御功能的情况下,当流量经过设备时,设备将进行APT防御处理。处理流程如下图所示:

图-1 APT防御实现流程

  1. 外网的攻击者向企业内网发起APT攻击,攻击流量命中设备上的APT防御配置文件。

  2. 设备对攻击流量中的文件进行还原,并将还原后的文件送往沙箱进行威胁分析。

  3. 沙箱获取到文件后将运行该文件,并对运行后的行为进行检测分析。检测结束后,会向设备推送检测结果,并将检测结果缓存到APT缓存中。

  4. 如果检测结果是恶意流量,则设备将根据配置的防病毒配置文件对后续流量进行阻断或告警等处理,保护企业内网免遭攻击。

沙箱检测原理

沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,当未知文件上送沙箱处理后,沙箱会运行该文件,并会对运行后的行为进行记录。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配,最后给出文件是否为威胁的结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,形成的一套判断规则,它能够提供准确的检测结果。

与根据被检测对象的特征进行识别的检测技术(如防病毒)不同的是,沙箱检测是根据被检测对象的行为进行识别。因此具有可以识别未知文件的优点,可以更好的防御未知威胁。

APT防御功能与防病毒功能联动

设备收到沙箱推送的检测结果后,如果需要对攻击流量进行进一步的处理,则需要与防病毒功能进行联动。配置防病毒功能后,当后续恶意流量流经设备时,设备将识别恶意流量的应用层协议,并与防病毒配置文件进行匹配,再根据匹配到的防病毒配置文件中对应的协议报文执行的动作对恶意流量进行处理。

如果用户只想根据检测结果确定当前流量是否为恶意流量,而不需要对流量进行阻断,则对防病毒功能是否配置不作要求。

有关防病毒功能的详细介绍,请参见“防病毒联机帮助”。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

配置指南

配置思路

APT防御功能的配置思路如下图所示:

配置准备

在配置本特性之前,需要完成以下任务:

  • 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

  • 配置路由,保证路由可达。路由在“网络 > 路由”页面配置。

  • 创建安全域。安全域在“网络 > 安全域”页面配置。

  • 配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。

  • 配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。

缺省APT防御配置任务

设备上存在一个名称为default的APT防御配置文件,不可对其进行修改和删除操作。如果需要检测当前系统中的所有应用层协议、检测全部文件类型和送往沙箱检测的文件传输方向为上传和下载时,可使用缺省APT配置文件,从而简化操作并节省时间。

配置沙箱

沙箱的具体配置步骤如下:

  1. 选择“对象 > 安全配置文件 > APT防御 > 沙箱”。

  2. 沙箱的具体配置内容如下:

    图-2 沙箱配置

    表-1 沙箱配置参数

    参数

    说明

    连接状态

    显示沙箱的连接状态

    开启沙箱联动功能

    开启本功能后,设备将匹配APT防御配置文件的流量送往沙箱进行检测

    沙箱地址

    沙箱的IP地址或域名

    协议

    设备与沙箱传输数据的协议

    目前仅支持使用HTTPS协议,可为数据传输过程加密

    用户名

    登录沙箱的用户名

    密码

    登录沙箱的用户密码

    缓存记录条数

    设备会将沙箱返回的查询结果缓存在设备中,缓存中分为命中列表和非命中列表:

    • 非命中列表:表示该MD5值不属于威胁或不确定是否属于威胁

    • 命中列表:表示该MD5值属于威胁

    本参数用于配置两个列表中分别可以缓存的MD5条数

    配置送往沙箱检测的文件大小上限

    设置流量还原和文件检测支持的文件类型及大小上限

  3. 单击<应用>按钮,完成沙箱的配置。

在安全策略中引用APT配置文件

  1. 选择“对象 > 安全配置文件> APT防御 > 配置文件”。default的APT防御配置文件不可编辑。

    图-3 default APT防御配置文件

  2. 在安全策略的内容安全配置中引用此APT防御配置文件,有关安全策略的详细配置介绍请参见“安全策略”。

    图-4 安全策略引用配置文件

定制化APT防御配置任务

当缺省APT配置文件不满足需求时,管理员可以根据业务环境和安全要求,灵活调整自定义APT配置文件中的APT防御检测的应用层协议类型、沙箱检测的文件类型或者检测流量的方向设置,以更好地适应实际情况。

  1. 选择“对象 > 安全配置文件 > APT防御 > 配置文件”。

  2. 在“APT防御配置文件”页面单击<新建>按钮,进入“新建APT防御配置文件”页面。具体配置内容如下:

    图-5 新建APT防御配置文件

    表-2 APT防御配置文件参数

    参数

    说明

    名称

    APT防御配置文件的名称

    描述

    通过合理编写描述信息,便于管理员快速理解和识别APT防御配置文件的作用,有利于后期维护

    应用

    APT防御检测的应用层协议类型

    文件类型

    需要送往沙箱检测的文件类型

    方向

    需要检测流量的方向,取值包括:

    • 上传

    • 下载

    • 双向

  3. 单击<确定>按钮,新建APT防御配置文件成功,且会在“APT防御配置文件”页面中显示。

  4. 在安全策略的内容安全配置中引用此APT防御配置文件,具体配置步骤请参见“缺省APT防御配置任务”章节。