4.4 入侵防御在UTM上的配置案例
下面举例介绍UTM设备中的入侵防御配置方式。
4.4.1 系统预置入侵防御事件集
入侵防御功能通常为用户预定义常用事件集,在图4-6中,用户可在安全防护表中根据自身需求直接引用这八个事件集。预定义事件集分为“All”、“Hot”、“Web”、“Mail”、“Attack”、“Protocol-analysis”、“Windows”、“Unix/Linux”八个分类,对相应的事件可以检测、阻断并报出日志。
图4-6 UTM中预定义的事件集
这八个系统预置事件集无法删除、改名、更改防护等级或更改事件动作。但用户可以自行建立新的事件集或直接复制某个预置事件集,新建或复制之后的事件集可删除、更改防护等级或更改事件动作。
4.4.2 用户自行建立新的事件集
在“入侵防御→特征”菜单下,单击“新建”按钮,用户可自行建立新的入侵防御事件集,如图4-7所示。
图4-7 新建入侵防御事件集
在“新建事件集”界面中,“名称”由用户自行定义,如图4-8中的“test”,必须与系统已有的事件集名称不同。“描述”由用户自行填写,也可不填。防护等级有三个预定义级别,分别是低、中、高,用户可根据需求自行选择合适的事件集防护等级。
图4-8 新建入侵防御事件集
在名称中输入新的事件集的名称,根据实际的需要选择相应的防护等级。
· 防护等级-高:事件发生后危害较高,系统把所有此类型事件的默认动作设置为“丢弃会话”,其他事件的默认动作设置为“通过”。提供最高等级的安全防护。即:所有事件级别在警告以上的入侵事件均被阻断。
· 防护等级-中:事件发生后危害很高,系统把此类型事件的默认动作设置为“丢弃会话”。其他事件的默认动作设置为“通过”。提供中等级的安全防护。即:所有事件级别在警告以上的入侵事件及部分高危害警告级别的入侵事件被阻断。
· 防护等级-低:事件一旦发生危害程度非常高,系统只把此类事件的默认动作设置为“丢弃会话”。其他事件的默认动作为“通过”。提供低等级的安全防护有效。
即:只有警告级别的入侵事件被阻断。
在建立了新事件集后,应为该事件集加入相应的入侵事件。单击事件集右侧的箭头图标可进入事件集管理界面。如图4-9所示,单击红线上方的箭头图标。
图4-9 事件集管理
对于新建立的事件集“test”来说,进入事件管理界面后应看不到任何具体的事件,界面显示“共0条”,此时单击红线上方的“添加事件”,如图4-10所示。
图4-10 添加新事件
单击“添加事件”后,会进入全部事件列表,此处用户可自行选择需要的事件或事件组,单击事件组左侧的三角形图标可展开并列出该组中的所有事件。鼠标单击事件组或某具体事件左侧的选择框,可将该事件组或某具体事件添加进此事件集。事件列表如图4-11所示。
图4-11 事件列表
默认状态下事件列表按照安全类型对事件进行划分,用户可通过单击左上角的“分类”菜单更改事件列表的划分方式。
选择完毕需要添加的事件后,单击界面下方的“提交”按钮,所选事件添加进该事件集中。此时系统会自动进入该事件集的事件列表界面,在该界面,用户可单击事件右侧的红叉按钮来删除已添加的事件,也可单击事件右侧的编辑按钮来更改相应事件的动作与日志。上述这些事件的管理如图4-12所示。
图4-12 事件管理
图4-13是某个事件的编辑界面,通过该界面,可更改事件的级别、动作、是否启用、是否发送日志等。如果选择某个事件组的编辑按钮,则可统一更改该事件组的级别、动作、是否启用、是否发送日志。
图4-13 编辑事件
4.4.3 建立安全防护表并引用IPS事件集
单击“防火墙→安全策略”菜单,单击上方的“安全防护表”进入相关界面,单击“新建”按钮,在“名称”中填写相应的名称,或编辑已有的安全防护表。选中“入侵防御”,在事件集中选择相应的事件集;选中“日志”,在方框中打钩,点开“日志”,根据需要在“入侵防御”的“本地日志”、“Syslog日志”、“E-mail报警”分别打钩。最后单击“提交”按钮,完成安全防护表的配置,新建安全防护表的情况如图4-14所示。
图4-14 新建安全防护表
新建名为“网关安全防护表”的安全防护表,开启入侵防御功能,并引用事件集“test”。在安全防护表中开启入侵防御功能的相关日志的情况如图4-15所示。
图4-15 在安全防护表中开启入侵防御功能的相关日志
4.4.4 在安全策略中引用安全防护表
单击“防火墙”菜单,编辑相关安全策略,选中安全防护并选择刚才设置好的安全防护表“网关安全防护表”,单击“提交”按钮。此时,所有匹配该策略的流量均被置于入侵防御功能的保护之下,所有匹配的入侵事件按照入侵事件集中定义的动作进行处理。编辑安全策略对话框的情况如图4-16所示。
图4-16 编辑安全策略
4.4.5 自定义入侵防御事件
对于不同的信息系统,对于异常的判定会具有较大的区别,从这个角度讲,一个标准化的UTM设备所提供的入侵防御特征库是不可能涵盖所有用户需求的,因此好的UTM设备往往提供用户自定义入侵特征的接口,允许用户通过自定义异常特征数据来灵活地改变UTM设备所能识别的攻击或者异常事件。
通常UTM设备会为用户提供如下选择,供用户实现下列的自定义入侵特征:
· 特征名称-用以用户识别自定义的特征事件;
· 特征级别-用户自定义特征的重要程度;
· 特征匹配条件-用户定义的特征匹配条件,是自定义特征的主要部分,它又包含:
㊣ 协议,如protocol=tcp,是制定匹配的最高层协议;
㊣ 逻辑条件,如与、或、非等条件,当具有多个匹配条件时,需要用逻辑条件予以连接;
㊣ 数据偏移,如icmp_payload[10,100]^abcde;
㊣ 运算符号,如等于=、大于>、小于<、不等于~、包含^等;
㊣ 转义符号,如十六进制转义符号%等。
总之,自定义特征一般都为用户提供了足够的特征编辑接口,便于用户定义自身所需要的特征,这里就不再一一赘述了,下面以FTP命令过滤为例,为读者展示自定义入侵防御事件的过程。
· FTP命令过滤
protocol=ftp,ftp_cmd^PORT|ftp_cmd^PASV,这是对FTP协议的命令的过滤,使用FTP用户端通过port或者pasv方式登录FTP服务器的事件都可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断FTP的登录。
protocol=ftp,ftp_cmd^RETR,这是对FTP协议的GET命令的过滤,可以选择动作为“丢弃”或“重置”,以阻断FTP文件的下载。
protocol=ftp,ftp_cmd^STOR,这是对FTP协议的PUT命令的过滤,可以选择动作为“丢弃”或“重置”,以阻断FTP文件的上传。
· 邮件命令过滤
SMTP内容过滤:protocol=smtp,smtp_content^aaa,这是对发送的邮件的内容中含有“aaa”的邮件的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的发送。
POP3内容过滤:protocol=pop3,pop3_content^aaa,这是对接收的邮件的内容中含有“aaa”的邮件的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的接收。
POP3收件人过滤:protocol=pop3,pop3_receiver^user1,这是对邮件的接收人为“user1”的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的接收。
POP3主题过滤:protocol=pop3,pop3_subject^test,这是对接收的邮件的主题中含有“test”的邮件的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的接收。
POP3附件名称过滤:protocol=pop3,pop3_filename^bbb,这是对接收的邮件附件的名称中含有“bbb”的邮件的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的接收。
SMTP附件名称过滤:protocol=smtp,smtp_filename^bbb,这是对发送的邮件的附件的名称中含有“bbb”的邮件的事件可以报出日志,可以选择动作为“丢弃”或“重置”,以阻断邮件的发送。
4.4.6 自定义事件的配置
进入“入侵防御→定制”,单击“新建”,进入到自定义特征界面。名称栏填写自定义事件的名称;特征一栏必须按照相关格式进行填写;级别、动作、日志和是否启用都由用户自行定义。如图4-17所示。
图4-17 定制入侵防御特征
用户自定义入侵特征为扩大UTM的网络适应范围,扩展UTM的入侵防御能力提供了无限的可能。利用入侵特征自定义,用户可以配置出更加适合信息系统的UTM设备,进一步增强UTM设备的安全防御能力。
通过上述分析,可以看出入侵防御功能在UTM中占有重要位置,是UTM进行2~7层立体防御的重要组成部分。入侵防御的技术的优势在UTM的应用中得到了加强,在部分程度上超越了单独的入侵防御设备,这对于网关安全是至关重要的。