終端安全風險終端上網安全應用控制技術

終端安全風險&終端上網安全應用控制技術

了解終端安全風險了解終端上網安全應用控制技術教學目標終端安全風險目錄終端安全風險終端安全風險對于一個企業(yè)來說，90%以上的員工需要每天使用PC終端辦公，而終端是和互聯(lián)網“數據交換”的重要節(jié)點，且員工的水平參差不齊，因此企業(yè)網絡中80%的安全事件來自于終端。終端已經成為黑客的戰(zhàn)略攻擊點。黑客攻擊的目的是獲取有價值的“數據”。他們控制終端以后，可以直接種植勒索病毒勒索客戶，更嚴重的是，黑客的目標往往是那些存儲著重要“數據”的服務器。受控的終端將成為黑客的跳板，黑客將通過失陷主機橫向掃描內部網絡，發(fā)現(xiàn)組織網絡內部重要的服務器，然后對這些重要服務器發(fā)起內部攻擊。互聯(lián)網出口實現(xiàn)了組織內部網絡與互聯(lián)網的邏輯隔離。對于內部網絡接入用戶來說，僵尸網絡是最為嚴重的安全問題，黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端，形成僵尸網絡，進一步實現(xiàn)終端存儲的信息被竊取、終端被引導訪問釣魚網站、終端被利用作為攻擊跳板危害其他的各類資源等問題。終端安全風險終端安全風險終端安全風險終端安全風險黑客可以利用僵尸網絡展開更多的危害行為，如APT攻擊最常采用的跳板就是僵尸網絡。黑客利用僵尸網絡來實現(xiàn)滲透、監(jiān)視、竊取敏感數據等目的，危害非常大。僵尸網絡的主要危害有：看不見的風險高級持續(xù)威脅本地滲透擴散敏感信息竊取脆弱信息收集終端安全風險總結終端上網的安全-應用控制技術目錄終端上網的安全-應用控制技術應用控制策略功能概述在客戶網絡環(huán)境中，如果沒有對網絡流量進行訪問控制，容易造成非相關人員訪問敏感數據或者登陸不相關的設備等。因此，需要防火墻來做邏輯上的隔離，允許其通過或丟棄數據包，過濾條件有源區(qū)域、目的區(qū)域、源地址、目的地址、目的服務和應用。從而減少內網外網環(huán)境帶來的威脅，更高效的管控網絡中的流量走向。財務服務器PCtrustDMZuntrustPC拒絕訪問財務服務器和P2P應用終端上網的安全-應用控制技術應用控制策略工作過程根據自定義的應用控制策略，當數據包到達AF轉發(fā)時，從上往下依次匹配自定義的應用控制策略，直到匹配上應用控制策略為止，并根據應用控制策略的動作對數據包進行允許或拒絕，同時創(chuàng)建一條會話。Web站點（10.1.2.1:80）源地址10.1.1.1目的地址10.1.2.1目的端口80源區(qū)域untrust目的區(qū)域DMZ源地址10.1.1.1目的地址10.1.2.1服務80應用any動作允許源地址10.1.1.1目的地址10.1.2.1目的端口80PC（10.1.1.1）DMZuntrust策略：終端上網的安全-應用控制技術應用控制策略分類基于服務的控制策略通過匹配數據包的五元組（源地址、目的地址、協(xié)議號、源端口、目的端口）來進行過濾動作，對任何數據包都可以立即進行攔截動作判斷?；趹玫目刂撇呗酝ㄟ^匹配數據包特征來進行過濾動作，需要一定數量的包通行后才能判斷應用類型，然后進行攔截動作的判斷。終端上網的安全-應用控制技術應用控制策略分類配置應用控制策略的時候，需要同時選擇服務和應用兩種類型，兩種類型之間為“與”關系，必須要兩者的條件都匹配，策略才會生效。例如：客戶需要拒絕部分用戶打開網頁，如果應用控制配置的服務選擇TCP、應用選擇DNS，就會導致策略不生效，原因是平常解析域名的DNS協(xié)議是基于UDP協(xié)議，應用控制識別流量發(fā)現(xiàn)是UDP而非TCP，與策略的匹配條件不一致，策略就不會去攔截對應的流量。終端上網的安全-應用控制技術應用場景客戶一臺內網PC機(172.16.10.10)允許訪問公司財務服務器(172.16.20.20),該站點開放了80端口訪問界面。同時，該PC允許訪問互聯(lián)網，但是禁止訪問P2P相關應用，且只能8點至17點之間訪問互聯(lián)網。財務服務器PC終端上網的安全-應用控制技術配置思路配置步驟創(chuàng)建應用控制策略，允許PC訪問公司財務服務器創(chuàng)建應用控制策略，禁止PC訪問P2P應用創(chuàng)建應用策略，允許PC在特定時間內訪問互聯(lián)網終端上網的安全-應用控制技術配置詳情1允許PC訪問公司財務服務器，在【策略】→【訪問控制】→【應用控制策略】→【策略配置】，點擊新增終端上網的安全-應用控制技術配置詳情2禁止PC訪問P2P應用，在【策略】→【訪問控制】→【應用控制策略】→【策略配置】，點擊新增終端上網的安全-應用控制技術配置詳情3允許PC訪問公司財務服務器，在【策略】→【訪問控制】→【應用控制策略】→【策略配置】，點擊新增終端上網的安全-應用控制技術應用控制策略--長連接在一些特殊的環(huán)境下，實現(xiàn)服務器在一段時間中沒有收到客戶端的數據（應用層數據），也不會斷開連接，這就需要AF配置長連接，防止會話超時刪除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服務any應用any長連接3day策略：會話超時時間13day終端上網的安全-應用控制技術應用場景某銀行數據庫服務器，提供下屬各個分支機構的服務器對接，由于該數據庫服務器沒有重連機制，需要重啟等方式才能重新建立新連接。因此，為防止通信過程中AF會話超時，導致服務器重新連接造成會話異常，造成業(yè)務中斷，則需要保持連接。終端上網的安全-應用控制技術長連接配置操作界面為【策略】→【訪問控制】→【應用控制策略】→【策略配置】，點擊進入對應策略，選擇高級選項設置。終端上網的安全-應用控制技術應用控制策略輔助功能應用控制策略輔助功能主要用來協(xié)助我們分析、記錄和管理現(xiàn)有的策略。常用的輔助功能主要有以下幾個：標簽管理：對同一類策略打上相同標簽，可對標簽進行新增、編輯、刪除等操作策略變更原因記錄：在新增或修改策略時顯示變更原因輸入框，方便記錄變更原因模擬策略匹配：輸入五元組等信息，模擬策略匹配方式，給出最可能的匹配結果?？捎糜谂挪楣收希颦h(huán)境部署前的調試失效策略檢查：檢測因沖突、生效時間已過期、已超過一段時間未有匹配的等情況失效的策略實時沖突策略檢測：在新增、修改和移動策略時，實時對策略的沖突進行檢測并提醒。該功能啟用后，可能在策略數量過多時造成頁面加載延遲策略優(yōu)化：根據設置分析策略的等級，對所有的應用控制策略進行分析，給出目前策略配置不合理的相關提示，方便進行快速優(yōu)化策略終端上網的安全-應用控制技術應用場景某客戶網絡中，互聯(lián)網區(qū)域AF應用控制策略經過長年的累積，策略數量較多，造成運維難度加大，且主要存在以下問題：存在較多失效策略同一類型策略存在多個，未對其進行打標簽標識無法判斷流量匹配那條應用控制策略策略修改無記錄存在較多沖突策略，無法進行排查終端上網的安全-應用控制技術配置案例某客戶核心網絡AF，存在過多的重復策略，且開放的端口較大，沒有進行策略最小化原則配置，同時存在同一類型的訪問策略未進行分類，難以辨別。策略增刪改沒有記錄，無法追溯到最具人員。終端上網的安全-應用控制技術配置思路配置步驟：啟用失效策略檢查；對同一類型的策略可以進行打標簽處理；進行策略優(yōu)化，查找不合規(guī)則策略；策略的操作進行記錄終端上網的安全-應用控制技術配置詳情1啟用失效策略檢查，當檢測到失效時狀態(tài)變?yōu)榧t色感嘆號。操作步驟為【策略】→【訪問控制】→【應用控制策略】，點擊更多操作，選擇輔助工具，啟用失效策略檢查。終端上網的安全-應用控制技術配置詳情2對同一類型策略進行管理。操作步驟為【策略】→【訪問控制】→【應用控制策略】，點擊更多操作，選擇輔助工具，選擇進行標簽管理。終端上網的安全-應用控制技術配置詳情3策略優(yōu)化，尋找設置不合理的策略。操作步驟為【策略】→【訪問控制】→【應用控制策略】→【策略優(yōu)化】終端上網的安全-應用控制技術配置詳情4應用控制策略在指定查