《网络安全设备原理与应用》 课件 09-终端安全风险终端上网安全应用控制技术；10-服务器安全风险与DOS攻击检测和防御技术

终端安全风险&终端上网安全应用控制技术

了解终端安全风险了解终端上网安全应用控制技术教学目标终端安全风险目录终端安全风险终端安全风险对于一个企业来说，90%以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80%的安全事件来自于终端。终端已经成为黑客的战略攻击点。黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。终端安全风险终端安全风险终端安全风险终端安全风险黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：看不见的风险高级持续威胁本地渗透扩散敏感信息窃取脆弱信息收集终端安全风险总结终端上网的安全-应用控制技术目录终端上网的安全-应用控制技术应用控制策略功能概述在客户网络环境中，如果没有对网络流量进行访问控制，容易造成非相关人员访问敏感数据或者登陆不相关的设备等。因此，需要防火墙来做逻辑上的隔离，允许其通过或丢弃数据包，过滤条件有源区域、目的区域、源地址、目的地址、目的服务和应用。从而减少内网外网环境带来的威胁，更高效的管控网络中的流量走向。财务服务器PCtrustDMZuntrustPC拒绝访问财务服务器和P2P应用终端上网的安全-应用控制技术应用控制策略工作过程根据自定义的应用控制策略，当数据包到达AF转发时，从上往下依次匹配自定义的应用控制策略，直到匹配上应用控制策略为止，并根据应用控制策略的动作对数据包进行允许或拒绝，同时创建一条会话。Web站点（:80）源地址目的地址目的端口80源区域untrust目的区域DMZ源地址目的地址服务80应用any动作允许源地址目的地址目的端口80PC（）DMZuntrust策略：终端上网的安全-应用控制技术应用控制策略分类基于服务的控制策略通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对任何数据包都可以立即进行拦截动作判断。基于应用的控制策略通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。终端上网的安全-应用控制技术应用控制策略分类配置应用控制策略的时候，需要同时选择服务和应用两种类型，两种类型之间为“与”关系，必须要两者的条件都匹配，策略才会生效。例如：客户需要拒绝部分用户打开网页，如果应用控制配置的服务选择TCP、应用选择DNS，就会导致策略不生效，原因是平常解析域名的DNS协议是基于UDP协议，应用控制识别流量发现是UDP而非TCP，与策略的匹配条件不一致，策略就不会去拦截对应的流量。终端上网的安全-应用控制技术应用场景客户一台内网PC机(0)允许访问公司财务服务器(0),该站点开放了80端口访问界面。同时，该PC允许访问互联网，但是禁止访问P2P相关应用，且只能8点至17点之间访问互联网。财务服务器PC终端上网的安全-应用控制技术配置思路配置步骤创建应用控制策略，允许PC访问公司财务服务器创建应用控制策略，禁止PC访问P2P应用创建应用策略，允许PC在特定时间内访问互联网终端上网的安全-应用控制技术配置详情1允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情2禁止PC访问P2P应用，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情3允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术应用控制策略--长连接在一些特殊的环境下，实现服务器在一段时间中没有收到客户端的数据（应用层数据），也不会断开连接，这就需要AF配置长连接，防止会话超时删除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服务any应用any长连接3day策略：会话超时时间13day终端上网的安全-应用控制技术应用场景某银行数据库服务器，提供下属各个分支机构的服务器对接，由于该数据库服务器没有重连机制，需要重启等方式才能重新建立新连接。因此，为防止通信过程中AF会话超时，导致服务器重新连接造成会话异常，造成业务中断，则需要保持连接。终端上网的安全-应用控制技术长连接配置操作界面为【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击进入对应策略，选择高级选项设置。终端上网的安全-应用控制技术应用控制策略辅助功能应用控制策略辅助功能主要用来协助我们分析、记录和管理现有的策略。常用的辅助功能主要有以下几个：标签管理：对同一类策略打上相同标签，可对标签进行新增、编辑、删除等操作策略变更原因记录：在新增或修改策略时显示变更原因输入框，方便记录变更原因模拟策略匹配：输入五元组等信息，模拟策略匹配方式，给出最可能的匹配结果。可用于排查故障，或环境部署前的调试失效策略检查：检测因冲突、生效时间已过期、已超过一段时间未有匹配的等情况失效的策略实时冲突策略检测：在新增、修改和移动策略时，实时对策略的冲突进行检测并提醒。该功能启用后，可能在策略数量过多时造成页面加载延迟策略优化：根据设置分析策略的等级，对所有的应用控制策略进行分析，给出目前策略配置不合理的相关提示，方便进行快速优化策略终端上网的安全-应用控制技术应用场景某客户网络中，互联网区域AF应用控制策略经过长年的累积，策略数量较多，造成运维难度加大，且主要存在以下问题：存在较多失效策略同一类型策略存在多个，未对其进行打标签标识无法判断流量匹配那条应用控制策略策略修改无记录存在较多冲突策略，无法进行排查终端上网的安全-应用控制技术配置案例某客户核心网络AF，存在过多的重复策略，且开放的端口较大，没有进行策略最小化原则配置，同时存在同一类型的访问策略未进行分类，难以辨别。策略增删改没有记录，无法追溯到最具人员。终端上网的安全-应用控制技术配置思路配置步骤：启用失效策略检查；对同一类型的策略可以进行打标签处理；进行策略优化，查找不合规则策略；策略的操作进行记录终端上网的安全-应用控制技术配置详情1启用失效策略检查，当检测到失效时状态变为红色感叹号。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，启用失效策略检查。终端上网的安全-应用控制技术配置详情2对同一类型策略进行管理。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，选择进行标签管理。终端上网的安全-应用控制技术配置详情3策略优化，寻找设置不合理的策略。操作步骤为【策略】→【访问控制】→【应用控制策略】→【策略优化】终端上网的安全-应用控制技术配置详情4应用控制策略在指定查询范围内的操作，进行变更的记录和展示，方便对日常的维护工作有相应的记录和溯源。操作步骤为【策略】→【访问控制】→【应用控制策略】→【策略生命周期管理】终端上网的安全-应用控制技术注意事项开启应用控制策略的日志记录功能，需要先在日志设置开启应用控制日志功能。默认禁止策略无法删除普通策略无法移到默认策略之后终端上网安全应用控制技术总结服务器安全风险

与DOS攻击检测和防御技术了解服务器安全风险了解DOS攻击检测和防御技术教学目标服务器安全风险DOS攻击检测和防御技术目录服务器安全风险服务器安全风险不必要的访问（如只提供HTTP服务）外网发起IP或端口扫描、DDOS攻击等漏洞攻击（针对服务器操作系统等)根据软件版本的已知漏洞进行攻击,口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪造等等扫描网站开放的端口以及弱密码网站被攻击者篡改应用识别、控制防火墙漏洞攻击防护服务器保护风险分析网站篡改防护服务器安全风险DOS攻击检测和防御技术目录DOS攻击检测和防御技术DoS攻击背景2016年10月21日，美国提供动态DNS服务的DynDNS报告遭到DDoS攻击，攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括BBC、华尔街日报、CNN、纽约时报等一大批新闻网站集体宕机，Twitter甚至出现了近24小时0访问的局面！此次事件中，黑客就是运用了DNS洪水攻击手段。DOS攻击检测和防御技术DoS/DDoS攻击介绍DoS攻击——Denial

of

Service,

是一种拒绝服务攻击，常用来使服务器或网络瘫痪的网络攻击手段。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击——Distributed

Denial

of

Service,

分布式拒绝服务攻击。一般攻击发起方式为利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标设备发动密集式的“拒绝服务”要求，用以把目标设备的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。僵尸主机僵尸主机攻击机服务器DOS攻击DOS攻击检测和防御技术DoS/DDoS攻击目的消耗带宽消耗服务器性能引发服务器宕机DOS攻击检测和防御技术DOS攻击类型DOS类型攻击特征及影响ICMP、UDP、DNS洪水攻击攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务。SYN洪水攻击攻击者利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。畸形数据包攻击攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如PingofDeath、TearDrop。CC攻击攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的。慢速攻击慢速攻击是CC攻击的一个变种，对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。DOS攻击检测和防御技术SYNFlood攻击过程SYNFlood攻击图示空闲资源+已占用资源内存/CPU服务端正常客户端数据包交互……正常情况下服务器资源未耗尽，服务正常资源耗尽！++……+已占用资源内存/CPU服务端正常客户端无数据包交互……在随机源地址源端口SYNFlooding攻击下，服务端在SYN_RECEIVED超时前资源耗尽XSYNFlood!SYNACKSYN+ACKDOS攻击检测和防御技术SYNFlood防护原理通过Syn代理防御Syn洪水攻击服务端正常客户端数据包交换，发送序号通过防火墙转换服务端正常客户端服务器没有收到任何SYN攻击包XSYNFlood!SYNACKSYN+ACK(Cookie)AFAFACKSYN+ACKSYNSYN+ACK(Cookie)DOS攻击检测和防御技术UDP防护原理通过丢弃超过阈值的包防御UDP、ICMP、DNS洪水攻击服务端客户端UDP包占满带宽，导致服务器无法提供服务UDPUDPUDP服务端客户端UDP包超过阈值，将丢弃后续的包UDPAFUDPUDP超过阈值DROPUDPUDP内存/CPU空闲资源+已占用资源DOS攻击检测和防御技术畸形数据包防护原理服务端客户端畸形数据包，导致服务器无法正常处理占用资源等畸形数据包畸形数据包畸形数据包服务端客户端检测到畸形数据包后，将直接丢弃畸形数据包直接DROPAF内存/CPU空闲资源+已占用资源DOS攻击检测和防御技术应用场景外网对内部业务系统的攻击防护企业网络环境中，网络出口容易遭受到外网过来的DOS攻击，导致出口带宽占满、消耗服务器的资源，从而导致业务异常。内网终端向外网发起的攻击防护企业网络环境中，未进行安全加固的内网终端容易变成肉鸡，对外