终端安全风险终端上网安全应用控制技术

终端安全风险&终端上网安全应用控制技术

了解终端安全风险了解终端上网安全应用控制技术教学目标终端安全风险目录终端安全风险终端安全风险对于一个企业来说，90%以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80%的安全事件来自于终端。终端已经成为黑客的战略攻击点。黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。终端安全风险终端安全风险终端安全风险终端安全风险黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：看不见的风险高级持续威胁本地渗透扩散敏感信息窃取脆弱信息收集终端安全风险总结终端上网的安全-应用控制技术目录终端上网的安全-应用控制技术应用控制策略功能概述在客户网络环境中，如果没有对网络流量进行访问控制，容易造成非相关人员访问敏感数据或者登陆不相关的设备等。因此，需要防火墙来做逻辑上的隔离，允许其通过或丢弃数据包，过滤条件有源区域、目的区域、源地址、目的地址、目的服务和应用。从而减少内网外网环境带来的威胁，更高效的管控网络中的流量走向。财务服务器PCtrustDMZuntrustPC拒绝访问财务服务器和P2P应用终端上网的安全-应用控制技术应用控制策略工作过程根据自定义的应用控制策略，当数据包到达AF转发时，从上往下依次匹配自定义的应用控制策略，直到匹配上应用控制策略为止，并根据应用控制策略的动作对数据包进行允许或拒绝，同时创建一条会话。Web站点（10.1.2.1:80）源地址10.1.1.1目的地址10.1.2.1目的端口80源区域untrust目的区域DMZ源地址10.1.1.1目的地址10.1.2.1服务80应用any动作允许源地址10.1.1.1目的地址10.1.2.1目的端口80PC（10.1.1.1）DMZuntrust策略：终端上网的安全-应用控制技术应用控制策略分类基于服务的控制策略通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对任何数据包都可以立即进行拦截动作判断。基于应用的控制策略通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。终端上网的安全-应用控制技术应用控制策略分类配置应用控制策略的时候，需要同时选择服务和应用两种类型，两种类型之间为“与”关系，必须要两者的条件都匹配，策略才会生效。例如：客户需要拒绝部分用户打开网页，如果应用控制配置的服务选择TCP、应用选择DNS，就会导致策略不生效，原因是平常解析域名的DNS协议是基于UDP协议，应用控制识别流量发现是UDP而非TCP，与策略的匹配条件不一致，策略就不会去拦截对应的流量。终端上网的安全-应用控制技术应用场景客户一台内网PC机(172.16.10.10)允许访问公司财务服务器(172.16.20.20),该站点开放了80端口访问界面。同时，该PC允许访问互联网，但是禁止访问P2P相关应用，且只能8点至17点之间访问互联网。财务服务器PC终端上网的安全-应用控制技术配置思路配置步骤创建应用控制策略，允许PC访问公司财务服务器创建应用控制策略，禁止PC访问P2P应用创建应用策略，允许PC在特定时间内访问互联网终端上网的安全-应用控制技术配置详情1允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情2禁止PC访问P2P应用，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情3允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术应用控制策略--长连接在一些特殊的环境下，实现服务器在一段时间中没有收到客户端的数据（应用层数据），也不会断开连接，这就需要AF配置长连接，防止会话超时删除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服务any应用any长连接3day策略：会话超时时间13day终端上网的安全-应用控制技术应用场景某银行数据库服务器，提供下属各个分支机构的服务器对接，由于该数据库服务器没有重连机制，需要重启等方式才能重新建立新连接。因此，为防止通信过程中AF会话超时，导致服务器重新连接造成会话异常，造成业务中断，则需要保持连接。终端上网的安全-应用控制技术长连接配置操作界面为【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击进入对应策略，选择高级选项设置。终端上网的安全-应用控制技术应用控制策略辅助功能应用控制策略辅助功能主要用来协助我们分析、记录和管理现有的策略。常用的辅助功能主要有以下几个：标签管理：对同一类策略打上相同标签，可对标签进行新增、编辑、删除等操作策略变更原因记录：在新增或修改策略时显示变更原因输入框，方便记录变更原因模拟策略匹配：输入五元组等信息，模拟策略匹配方式，给出最可能的匹配结果。可用于排查故障，或环境部署前的调试失效策略检查：检测因冲突、生效时间已过期、已超过一段时间未有匹配的等情况失效的策略实时冲突策略检测：在新增、修改和移动策略时，实时对策略的冲突进行检测并提醒。该功能启用后，可能在策略数量过多时造成页面加载延迟策略优化：根据设置分析策略的等级，对所有的应用控制策略进行分析，给出目前策略配置不合理的相关提示，方便进行快速优化策略终端上网的安全-应用控制技术应用场景某客户网络中，互联网区域AF应用控制策略经过长年的累积，策略数量较多，造成运维难度加大，且主要存在以下问题：存在较多失效策略同一类型策略存在多个，未对其进行打标签标识无法判断流量匹配那条应用控制策略策略修改无记录存在较多冲突策略，无法进行排查终端上网的安全-应用控制技术配置案例某客户核心网络AF，存在过多的重复策略，且开放的端口较大，没有进行策略最小化原则配置，同时存在同一类型的访问策略未进行分类，难以辨别。策略增删改没有记录，无法追溯到最具人员。终端上网的安全-应用控制技术配置思路配置步骤：启用失效策略检查；对同一类型的策略可以进行打标签处理；进行策略优化，查找不合规则策略；策略的操作进行记录终端上网的安全-应用控制技术配置详情1启用失效策略检查，当检测到失效时状态变为红色感叹号。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，启用失效策略检查。终端上网的安全-应用控制技术配置详情2对同一类型策略进行管理。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，选择进行标签管理。终端上网的安全-应用控制技术配置详情3策略优化，寻找设置不合理的策略。操作步骤为【策略】→【访问控制】→【应用控制策略】→【策略优化】终端上网的安全-应用控制技术配置详情4应用控制策略在指定查