實(shí)例解析FirePower防火墻安全管理機(jī)制

■ 河南 郭建偉

編者按：傳統(tǒng)的防火墻面對不斷出現(xiàn)的新威脅，已經(jīng)逐漸變得力不從心難以從容應(yīng)對，面對日益復(fù)雜的網(wǎng)絡(luò)安全形勢，以FirePower為代表的下一代防火墻應(yīng)運(yùn)而生。和傳統(tǒng)的ASA等防火墻不同，F(xiàn)irePower等防火墻本地基本上是不可管理的，只能為其配置一個網(wǎng)管IP地址，同時需要配置一個FMC網(wǎng)管中心，添加FirePower防火墻IP地址，由FMC統(tǒng)一進(jìn)行管理。

搭建簡單的實(shí)驗(yàn)環(huán)境

對于硬件FirePower設(shè)備來說，也可以激活其自身的設(shè)備管理功能，對其進(jìn)行圖形化管理。但是這種管理方式同F(xiàn)MC統(tǒng)一管理相比存在很多不足，F(xiàn)MC可以在各個設(shè)備上統(tǒng)一監(jiān)控和配置，統(tǒng)一收集各種信息，可以對于內(nèi)網(wǎng)的設(shè)備進(jìn)行滲透測試，實(shí)現(xiàn)高級的自動化管理。也就是說，使用獨(dú)立的網(wǎng)管方式將缺失很多安全功能。這里使用簡單的例子來說明如何配置FirePower防火墻。

在某款FirePower防火墻的G0/0接口連接外部網(wǎng)絡(luò)，其 IP為 200.101.1.10。G0/1接口連接內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)網(wǎng)段為192.168.1.0/24，G0/1接口的IP為192.168.1.110，F(xiàn)irePower防 火 墻管理端口IP為192.168.1.105，F(xiàn)MC管理主機(jī)的IP為192.168.1.106。 對FMC進(jìn)行管理的客戶機(jī)的IP為192.168.1.107，內(nèi) 網(wǎng) 中 一臺Windows Server 2008作為DNS服務(wù)器使用，IP為192.168.1.200。

配置FMC主機(jī)，設(shè)置管理密碼和主機(jī)名（如“fmc.xxx.com”），DNS地址、域名、管理IP（如“192.168.1.105”），網(wǎng)關(guān)地址等信息。在配置FirePower時需要設(shè)置底層的管理密碼、設(shè)備的全域名（如“ftd.xxx.com”）、DNS 地址、網(wǎng)管口地址等信息，為便于FMC集中管理，不需選擇本地網(wǎng)管功能，將防火墻模式設(shè)為路由模式。

登錄到FirePower設(shè)備，輸入用戶名（默認(rèn)為“admin”）和密碼，在“>”提示符下執(zhí)行“show network”命令查看網(wǎng)絡(luò)配置信息。執(zhí)行“configure network”命令，可根據(jù)需要配置所需參數(shù)。例如執(zhí)行“configure network ipv4”命令可配置和IPv4相關(guān)參數(shù)，執(zhí)行“show managers”命令，如果顯示“No Managers configured”信息，說明未配置管理信息，F(xiàn)MC中將無法添加本設(shè)備。執(zhí) 行“configure manager add 192.168.1.106 xxx”命令添加管理信息，其中“192.168.1.106”為FMC主機(jī)IP?！皒xx”為FMC管理密碼。

配置和管理FTD防火墻

在內(nèi)網(wǎng)中的客戶機(jī)上打開瀏覽器，訪問“https://192.168.1.106”地址，在FMC登錄界面中輸入賬戶名和密碼，進(jìn)入FMC網(wǎng)管中心界面。

值得說明的是，新款思科設(shè)備使用的都是Smart License授權(quán)模式。Smart License授權(quán)是指授權(quán)必須和用戶的思科賬戶相關(guān)聯(lián)，點(diǎn)擊工具欄上的“System” →“License” →“Smart License”項(xiàng)，點(diǎn)擊“Register”按鈕來獲取授權(quán)。當(dāng)然設(shè)備必須在線關(guān)聯(lián)用戶的思科賬戶，通過該賬戶得到所需的授權(quán)信息，即授權(quán)信息是在線獲取的。

點(diǎn)擊工具欄上的“Policies” →“Access Control” →“Access Control”項(xiàng)，默認(rèn)訪問策略是空的，點(diǎn)擊“Add a new policy”鏈接，在新建策略窗口中的“Name”欄總輸入策略的名稱（例如“FTDPolicy”），其余設(shè)置保持默認(rèn)，點(diǎn)擊“Save”按鈕保存該策略。在列表中域該策略對應(yīng)的“Default Action”列表中選擇“Access Control:Trust All Traffic”項(xiàng)，允許放行所有的流量。點(diǎn)擊工具欄上的“Devices”項(xiàng)，在右側(cè)點(diǎn)擊“Add”→“Device”項(xiàng)，在打開窗口中的“Host”欄中 輸 入“192.168.1.105”，即FTD的網(wǎng)管地址。在“Display Name”欄中輸入其名 稱（例 如“FTDDevice”），在“Registration Key” 欄中輸入FMC管理密碼，在“Access Control Policy”欄中選擇上述訪問策略。在“Smart License”欄中選擇“Malware”，“Threat”，“URL Filter”項(xiàng)，開啟防惡意軟件，入侵防御，地址過濾等功能，點(diǎn)擊“Register”按鈕，將該設(shè)備注冊上來。

選中該設(shè)備，在右側(cè)點(diǎn)擊“Edit”按鈕，在屬性窗口 中 的“Interfaces” 面板中顯示其擁有的接口信息，點(diǎn)擊“GigabitEthernet 0/0”接口，在編輯窗口中的“Name”欄中輸入名稱（例 如“Outside”），選 擇“Enabled”項(xiàng)，在“Security Zone”列表中選擇“New…”項(xiàng)，輸入新的Zone的名稱（例 如“OutsideZone”），因?yàn)镕irePower是基于區(qū)域的防火墻，所以必須創(chuàng)建對應(yīng)的Zone。當(dāng)然，在一個Zone中可以包含多個接口。在“IPv4”面板中的“IP Address”欄中輸入外網(wǎng)網(wǎng)段（例 如“200.101.1.10/24”），點(diǎn)擊“OK”按鈕完成該該接口的配置。

對 應(yīng) 的，在“Gigabit Ethernet 0/1”接口的編輯窗口中“Name”欄中輸入其名稱（例如“Inside”），選擇“Enabled”項(xiàng)，在“Security Zone”列表中選擇“New…”項(xiàng)，輸入新的Zone的名稱（例如“InsideZone”），在“IPv4”面 板 中 的“IP Address”欄中輸入外網(wǎng)網(wǎng)段（例如“192.168.1.10/24”），點(diǎn) 擊配置頁面右上部的“Save”按鈕保存配置信息。在該FTD設(shè)備邊界界面的“Routing”面板左側(cè)選擇“Static Route”項(xiàng)，在右側(cè)點(diǎn)擊“Add Route”按鈕，在打開窗口中的“Interface”列表中選擇“Outside”項(xiàng)，在左側(cè)列表中選擇“any→ipv4”項(xiàng)，點(diǎn)擊“Add”按鈕將其導(dǎo)入進(jìn)來。

在“Gateway”欄中輸入網(wǎng)關(guān)地址（例如“200.101.1.254”），點(diǎn)擊“OK”按鈕保存配置。僅僅在FMC創(chuàng)建和保存FTD的參數(shù)信息，對于FTD設(shè)備來說是沒有意義的，例如在FTD控制臺中執(zhí) 行“show interface ip brief”命令，可以看到接口沒有任何配置信息。必須在FMC管理界面工具欄右側(cè)點(diǎn)擊“Deploy”按鈕，才可以將上述配置信息推送到FTD設(shè)備上并生效。當(dāng)部署成功后，在FTD控制臺上執(zhí)行“show running config route”命令，可以查看到預(yù)先配置的路由信息。

防御網(wǎng)絡(luò)攻擊行為

經(jīng)過以上配置，僅僅是開啟了FirePower防火墻的路由功能，允許內(nèi)部和外部的用戶可以通過FirePower防火墻進(jìn)行訪問。為了防御來自外部的攻擊，需要在FMC管理界面工具欄打開上述“FTDPolicy”策略，在其所對應(yīng)的“Default Action”列表中選擇“Access Control:BlockAll Traffic”項(xiàng)，禁止所有的流量。之后根據(jù)需要，來創(chuàng)建對應(yīng)的控制策略。

例如在“Mandatory”欄中點(diǎn)擊“Add Rule”鏈接，在新建策略窗口中輸入其名 稱（例 如“PermitDns”），在“Action”列 表 中 選 擇“Allow”項(xiàng)，在“Ports”面板左側(cè)選擇“DNS_over_UDP” 項(xiàng)， 點(diǎn) 擊“Add to Destination”按鈕，將其添加進(jìn)來。點(diǎn)擊“Add”按鈕，就可以放行所有的DNS流量。選擇該策略，在其右鍵菜單上點(diǎn)擊“Insert new rule”項(xiàng)，創(chuàng)建新的規(guī)則，輸入名稱（例如“FIleShare”），在“Zones”面板左側(cè)選擇“Outside”項(xiàng)，點(diǎn)擊“Add to Source”按鈕將其添加進(jìn)來。

選 擇“Inside”項(xiàng)，點(diǎn)擊“Add to Destination”按鈕添加進(jìn)來，則只允許來自外部訪問內(nèi)部網(wǎng)絡(luò)。在“Networks”面板左側(cè)點(diǎn)擊“+”按鈕，在彈出菜單中選擇“Add Object”項(xiàng)，在打開窗口中輸入該對象的名稱（例如“wbwl”）， 在“Network”欄中輸入其地址范圍（例如“200.101.1.0/24”）， 點(diǎn)擊“Save”按鈕創(chuàng)建該對象。按照同樣方法，創(chuàng)建新的對象，輸入其名稱（例如“FIleServer”） 及 IP（例如某臺文件服務(wù)器，其地址為“192.168.1.109”）。 選擇 上 述“wbwl”對 象，點(diǎn)擊“Add to Source”按鈕，將其添加進(jìn)來。選擇上述“FIleServer”對 象，點(diǎn) 擊“Add to Destination”按鈕，將其添加進(jìn)來。

這樣，只有指定IP范圍的外部設(shè)備才可以訪問指定的內(nèi)網(wǎng)主機(jī)，在“Ports”面板左側(cè)點(diǎn)擊“+”按鈕，在彈出菜單中選擇“Add Object”項(xiàng)，創(chuàng)建一個新的對象，輸入 其 名 稱（例 如“DK1”），在“Protocol”欄 中 選 擇“TCP”項(xiàng)，在“Port”欄中輸入“445”。之后選擇該對象，點(diǎn)擊“Add to Destination”按鈕，將其添加進(jìn)來。這樣，就允許上述外部設(shè)備訪問內(nèi)部指定主機(jī)的特定端口。

按照上述方法，創(chuàng)建新的規(guī)則，輸入其名稱（例如“ToInternet”），在“Zones”面板左側(cè)選擇“Outside”項(xiàng)，點(diǎn)擊“Add to Destination”按鈕，將其添加進(jìn)來，選擇“Inside”項(xiàng)，點(diǎn)擊“Add to Source”按鈕，將其添加進(jìn)來，則只內(nèi)網(wǎng)主機(jī)訪問外部網(wǎng)絡(luò)。點(diǎn)擊工具欄上的“Deploy”按鈕，將其部署到FDT防護(hù)墻上。這樣，當(dāng)外部用戶試圖對內(nèi)部的主機(jī)進(jìn)行滲透攻擊時，就會遭到FirePower防火墻的攔截，導(dǎo)致其會話無法建立，自然無法進(jìn)行有效攻擊。當(dāng)然，這里只是創(chuàng)建了很簡單的控制規(guī)則，在實(shí)際使用中可以根據(jù)需要，創(chuàng)建更加數(shù)量更多更加復(fù)雜的規(guī)則。

攔截反彈型網(wǎng)絡(luò)攻擊

為了突破防火墻的限制，黑客可能會使用反彈攻擊進(jìn)行入侵。其特點(diǎn)是先連接到內(nèi)部目標(biāo)主機(jī)，之后由該主機(jī)主動和黑客主機(jī)進(jìn)行連接，這樣就可能突破防火墻的限制。例如黑客攻擊了上述文件服務(wù)器，并其建立了連接，之后讓該服務(wù)器主動和黑客建立連接，這樣常規(guī)的控制方法就失效了。

為此可以使用FirePower防火墻的入侵防御機(jī)制，識別流量中的異常信息，來進(jìn)行攔截。

在上述“ToInternet”規(guī)則右側(cè)點(diǎn)擊“編輯”按鈕，在打開窗口的“Inspection”面板中的“Intrusion Policy”列表中顯示自帶的策略，包括“Maximum Detection”（最大防御）、“Connectivity Over Secure”（連接優(yōu)于防御）、“Balanced Security and Connectivity”（平衡安全和連接）、“Security Over Connectivity”（安全優(yōu)于連接）等。您可以根據(jù)需要進(jìn)行選擇，這里選擇“Security Over Connectivity”策略，主要突出安全性。

點(diǎn) 擊“Save”按 鈕，可以看到上述規(guī)則右側(cè)的主動防御圖標(biāo)處于激活狀態(tài)。點(diǎn)擊“Deploy”按鈕，執(zhí)行具體的部署操作。這樣，當(dāng)黑客試圖執(zhí)行反彈攻擊時，就會被防火墻識別并攔截。點(diǎn)擊工具欄上的“Analysis”→“Intrusions”→“Events”項(xiàng)，可以查看防火墻攔截的入侵行為。點(diǎn)擊對應(yīng)的事件項(xiàng)目，可以查看詳細(xì)的報(bào)告信息。由此可以看出，僅僅擁有防火墻功能是不夠的，必須和IPS功能有效結(jié)合，才可以有效保證內(nèi)部網(wǎng)絡(luò)的安全。

防御病毒入侵，保護(hù)數(shù)據(jù)安全

對于病毒等惡意軟件來說，會對網(wǎng)絡(luò)安全造成很大威脅。利用FirePower防火墻的防病毒功能可以有效進(jìn)行防御。在FMC管理界面中點(diǎn)擊“Policies”→“Access Control” →“Malware &File”項(xiàng)，點(diǎn)擊“Add a new policy”鏈接，在新建策略窗口中輸入其名稱（例如“Antivirus”），點(diǎn) 擊“Save”按鈕創(chuàng)建該策略。對于這種策略來說，可以實(shí)現(xiàn)防病毒和放數(shù)據(jù)丟失雙重任務(wù)。對于后者來說，禁止將企業(yè)內(nèi)部的重要數(shù)據(jù)傳輸?shù)酵獠俊?/p>

點(diǎn) 擊“Add Rule” 按鈕，在創(chuàng)建規(guī)則窗口中的“Application Protocol”列表中選擇合適的數(shù)據(jù)傳輸協(xié)議，在“Direction of Transfer”列表中選擇傳輸?shù)姆绞?，包括上傳、下載或所有方式等。在“Action”列表中選擇控制方式，包括檢測文件、阻止文件、云檢測和攔截病毒等。在“File Type Categories”列表中選擇文件的分類，在“File Type”列表中選擇具體的文件類型，點(diǎn)擊“Add”按鈕，添加合適的文件類型。例如禁止Word類型的文件傳輸?shù)取?/p>

注意，F(xiàn)irePower判斷文件類型依據(jù)的是特征碼，即使更改了文件后綴也無法避開檢測。

對于FirePower等下一代防火墻來說，不僅使用特征碼分析文件類型，對于具體的應(yīng)用來說，不再采用具體的端口進(jìn)行判斷，是依據(jù)對應(yīng)用特性和特征碼進(jìn)行分析進(jìn)行檢測的，和其究竟使用什么端口沒有關(guān)系。對于加密文件來說，如果壓縮的層級過多，或者使用了密碼保護(hù)的話，都會被防火墻攔截，并且會將其單獨(dú)保存起來，供之后進(jìn)行分析之用。

這里主要介紹如何阻止惡意程序，所以在“Action”列表中選擇“Block Malware”項(xiàng)，對病毒進(jìn)行攔截。在其下選擇分析引擎，包括分析EXE文件、動態(tài)分析、云端沙盒分析、本地分析等。

選 擇“Reset Connection”項(xiàng)，表示如果發(fā)現(xiàn)問題，則將目標(biāo)會話踢掉。如果發(fā)現(xiàn)問題，可以在“Store Files”欄中選擇保存的文件類型，包括惡意軟件和位置文件等。在“File Type Categories”列表中選擇諸如Office文檔，壓縮文件?？蓤?zhí)行文件，PDF文檔，系統(tǒng)文件等。

注 意，對 于“Dynamic Analysis Capable” 類 型來說，可以在云端進(jìn)行分析。 選 擇“Local Malware Analysis Capable”項(xiàng)，只能在本地進(jìn)行分析。點(diǎn)擊“Save”按鈕，保存該策略。

對于下一代防火墻來說，特點(diǎn)之一就是采用了單一策略管理機(jī)制，即對IPS、防病毒等策略必須在同一個訪問控制規(guī)則中被統(tǒng)一調(diào)用。在FMC中打開上述上 述“FTDPolicy” 策 略，在其編輯窗口中選擇上述“ToInternet”規(guī) 則，在 編輯界面中的“Users”面板中可以對用戶進(jìn)行控制，在“Applications”面板中對應(yīng)用進(jìn)行控制，在“URLs”面板中對網(wǎng)址進(jìn)行過濾。

在“Inspection”面板中的“File Policy”列表中選擇上述“Antivirus”策略，保存之后點(diǎn)擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

這樣，當(dāng)內(nèi)網(wǎng)用戶試圖訪問Internet上可疑文件（例如下載的文件件包含病毒等），就會防火墻直接攔截。當(dāng)然，F(xiàn)irePower支持SSL卸載功能，可以攔截加密流量，這里限于篇幅就不再贅述了。點(diǎn)擊“Analysis” →“File”→“Malware Events”項(xiàng)，可以查看和惡意文件攔截相關(guān)的日志信息。