巧用自動化操作強化防火墻功能

■ 河南 許紅軍

編者按： 傳統上企業使用防火墻防御內網安全，但這往往只能被動的進行防護，無法實現“主動出擊”應對各種安全威脅。對于像FirePower等下一代防火墻來說，已經不再局限于被動防御，針對各種惡意行為的特點，其會采取各種策略主動的加以防御，巧妙化解形形色色的攻擊行為。這里就分析了FirePower防火墻的一些自動化特性，來說明其如何實現靈活的防御功能。

利用自動發現，洞察內網信息

使用FirePower提供的Network Discovery功能，可以自動收集網絡中和主機，應用以及用戶數據信息相關的信息，讓管理員對內網的情況了如指掌。

例如，可以發現諸如操作系統類型、主機流量、主機漏洞、應用流量、區域分類、攻擊源頭、攻擊目標、攻擊事件、攻擊軌跡、攻擊的詳細信息等內容，從而可以實現應用分析、地體定位等實用功能。

在FMC管理界面的工具 欄 上 點 擊“Policies”→“Network Discovery”項，可以看到默認已經激活了自動發現功能。但是默認的配置只是用來探測網絡中的應用信息的。

在默認項的編輯窗口中選擇“Host”和Users”項，激活針對用戶和主機的分析功能。在“Networks”面板中可以設置需要監控的網段范圍，默認針對整個內網。在“Zones”面板中定義需要監控的區域，在“Ports”面板中可以定義需要監控的端口。之后點擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

點擊工具欄上的“Analysis”→“Hosts”→“Network Map”項，可以對內網進行掃描，在左側的“Hosts”列表中按照和地址相關的編號，顯示內網中的所有的主機信息。

例如選擇“10”→“10.1”→“10.1.1.1”→“10.1.1.100”項，在右側顯示擁有該IP的主機的詳細信息，包括主機名、MAC地址、上次檢測到的時間、當前用戶、設備類型、操作系統類型、使用的協議、活動的應用程序、網絡連接信息，、最近下載的惡意軟件、存在的漏洞等內容。

點 擊“Scan Host” 按鈕，可以對其進行掃描。點擊工具欄上的“Analysis”→“Hosts”→“Applications”項，執行對應用的分析。在列表中顯示所有可用的應用程序。點擊工具欄上的“Analysis” →“Hosts” →“Hosts”項，執行對主機的分析等。

利用關聯特性，對抗安全威脅

利用FirePower防火墻的關聯特性，可以實時響應網絡中的安全威脅。即當發生了某個網絡攻擊或者安全事件的時候，就可以關聯一個規則，來對此進行有效的防御。

利用該特性，可以將各種操作進行有效關聯，從而實現防火墻的自動化功能。例如在指定的網段（例 如“10.1.1.0/24”）中，當利用防火墻的Network Discovery功能發現新的主機后，隨即對其進行NMAP掃描。這樣，就可以將發現新主機和自動掃描功能關聯起來。

登錄FMC主機上，在其管理界面中點擊工具欄上的“Policies”→“Actions”→“Modules”項，在列表中的“Nmap Remediation”項 右側點擊放大鏡圖標，在打開窗口中的“Configured Instances”欄中點擊“Add”按鈕，在“Edit Instances”窗口中輸入其名稱（例如“NewNmap”），點擊“Create”按鈕創建該實例。

在之后打開窗口中 的“Configured Remediations”欄 中 的“Add a new remediation of type”列表中選擇“Nmap Scan”項，點擊“Add”按鈕，在掃描設置窗口中輸入其名 稱（例 如“NewScan”），在“Scan Which Address From Event?”列表中選擇掃描的地址類型，包括源地址和目的地址、僅僅源地址、僅僅目的地址等，

這里選擇“Scan Source Address Only”項，僅僅掃描目標主機的源地址。在“Scan Type”列表中選擇掃描的類型，這里選擇“TCP Connect Scan”項，表示執行TCP連接掃描。其余設置保持默認，點擊“Create”按鈕創建檢測項。點擊工具欄上的“Policies”→“Actions”→“Groups”項，點擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Group1”），選 擇“Active”項及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項目，這里選擇上面的的“NewScan”項，點擊“>”按鈕，將其添加到“Responses In Group”列表中。

當然，在該組中可以添加多個行為項目。當出現某個事件后，可以調用該組中的所有行為加以應對，點擊“Save”按鈕保存該組。點擊工具欄上的“Policies”→“Correlation”項，在“Rule Management”面板中右側點擊“Creat Group”按鈕，輸入規則組的名稱（例如“RuleGrp”），點擊“Save”按鈕創建該組。

點擊“Create Rule”按鈕，在規則編輯窗口中輸入其名稱（例如“Findhost”），在“Rule Group”列表中選擇上述“RuleGrp”組，使其隸屬于該組。在“Select the type of event for this rule”欄中的選擇發生的事件類型，包括發生了一個入侵事件，發現新的設備，檢測到用戶活動，發生了某主機的輸入事件，發生了一個連接事件，流量變化，病毒入侵等。

這里選擇“a discovery event occurs”項，表示發現了一臺新主機。在其右側的列表中，選擇“a new IP host is detected”項，表示檢測到新的主機IP。在其下的列表中選擇“IP Address”和“is in”項，為其設置合適的地址段（例如“10.1.1.10/24”）。最后，點擊“Save”按鈕，保存該規則設置。

上面的操作定義了發生的時間以及具體的應對行為，接下來需要將兩者結合起來。

首 先， 在“Policy Management”面 板 中 點擊“Create Policy” 按鈕，輸入策略的名稱（例如“Policy1”），點 擊“Add Rules”按鈕，在打開窗口內右側選擇“Activate”項將其激活。

點擊“編輯”按鈕，在“Available Rules”窗口中的“rule_group”節點下選擇上述名為“Findhost”規則項，點擊“Add”按鈕將其添加進來。在該項目右側點擊“Responses”按鈕，在打開窗口中的“Unassigned Responses”欄中選擇上述“NewNmap”組，將其添加到可用列表中。點擊“Update”按鈕完成更新。

這樣，當檢測到新的主機后，就會調用指定的掃描項目，對其進行安全檢測。點擊工具欄上的“Deploy”按鈕，將其部署FirePower防火墻上。

當新的主機連入網絡后，FirePower防火墻即可對其進行掃描，點擊FMC管理界面右側的綠色按鈕，在打開窗口中的“Tasks”面板中顯示掃描提示信息。

點擊工具欄上的“Analy sis”→“Correlation”→“Corr elation Events”項，在關聯事件窗口顯示該主機的掃描信息，點擊工具欄上的“Analysis”→“Hosts”→“Network Map”項，在左側選擇該新主機的IP項目，在右側的“Scan Results”欄中顯示掃描的結果信息，例如該機開啟了哪些端口等。

配置合規白名單，實現嚴格管控

利用FirePower提供的合規性白名單功能，可以對目標主機進行嚴格的管控。例如可以規定其系統類型、允許安裝的應用類型、允許發生的流量類型（例如只能產生HTTP流量）等，如果超出了規定的管控范圍，就會觸發報警或者其他控制行為。

例如，針對某Windows服務器創建合規白名單，如果收到白名單之外的流量時，就會觸發Syslog報警，并將報警信息發送到指定主機上的Syslog日志數據庫中。

在FMC管理界面中依 次 點 擊“Policies”→“Actions”→ “Alerts”項，在打開窗口右上角點擊菜單“Create Alert”→“Create Syslog Alert” 項， 在“Edit Syslog Alert Configuration”窗口中輸入其名稱（例如“Alert1”），在“Host”欄中輸入運行Syslog服務的主機的IP（例如“192.168.1.200”），其余設置保持默認，點擊“Save”按鈕保存即可。

點擊工具欄上的“Policies”→“Actions”→“Groups”項，點擊右上角的“Create Group”按鈕，在打開窗口中輸入組名（例如“Alertgrp”），選擇“Active”項及其激活。

在“Select Response for Group”列表中顯示可用的所有行為項目，這里選擇上述“Alert1”項，點擊“>”按鈕將其添加進來。點擊工具欄上的“Polices”→“Correlation”項，在“White List”面板中右側點擊“New White List”按鈕，在“IP Address”欄中輸入目標主機IP（例如“192.168.1.100”）， 在“Netmask”欄中輸入“32”，點 擊“Add”按 鈕 添 加 該主 機。 在“White List Information”欄中輸入該白名單名稱（例如“Wlist”），在左側選擇該主機，在右側可以更改其名稱（例如“Server1”）。

在左側的“Allow Host Profiles”欄 點 擊“+”按鈕，在右側輸入該Profile的名稱（例如“Profile1”），在“OS Vendor”列表中選擇操作系統類型（例如選擇“Windows 7、Server 2008 R2”）。如果選擇“Allow all Application Protocols”項，允許所有的應用協議。當然，也可以單獨指定協議，在該項右側點擊“+”按鈕，在打開窗口中選擇“”項，點 擊“OK”按 鈕，在“Type”列表中選擇具體的協議類型。

選 擇“Allow all Clients”項，允許所有的客戶端。選擇“Allow all Web Applications”項，則可允許所有的網頁協議。當然，也可以單獨指定所需的客戶端和Web協議。

但要注意，不管以上如何選擇，是沒有ICMP協議的。

之后選擇點擊左側的“Save White List” 按鈕，完成保存該白名單配置信息。然后在“Policy Management”面板中點擊“Create Policy” 按鈕，并輸入其名稱（例如“WlistPolicy”），然后點擊“Save”按鈕保存該策略。

點 擊“Add Rule” 按鈕，按照上述方法，在“Available Rules” 窗 口中 的“White List Rules”欄 中選擇“Wlist”項，點擊“Add”按鈕將其添加進來。在該項目右側點擊“Responses”按 鈕，在 打開窗口中的“Unassigned Responses”欄中選擇上述“AlertGrp”組，將其添加到可用列表中。點擊“Update”按鈕完成更新。

這樣，就將該白名單和指定的組結合起來，當目標主機的行為超越了白名單管控的范圍，就會觸發指定組中的報警行為。

例如，當有人對該主機進行掃描時，因為產生的流量類型不符合白名單的范圍，就會觸發報警動作，并將其行為記錄到SysLog服務器上。