《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 09-終端安全風(fēng)險(xiǎn)終端上網(wǎng)安全應(yīng)用控制技術(shù)；10-服務(wù)器安全風(fēng)險(xiǎn)與DOS攻擊檢測(cè)和防御技術(shù)

終端安全風(fēng)險(xiǎn)&終端上網(wǎng)安全應(yīng)用控制技術(shù)

了解終端安全風(fēng)險(xiǎn)了解終端上網(wǎng)安全應(yīng)用控制技術(shù)教學(xué)目標(biāo)終端安全風(fēng)險(xiǎn)目錄終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，90%以上的員工需要每天使用PC終端辦公，而終端是和互聯(lián)網(wǎng)“數(shù)據(jù)交換”的重要節(jié)點(diǎn)，且員工的水平參差不齊，因此企業(yè)網(wǎng)絡(luò)中80%的安全事件來(lái)自于終端。終端已經(jīng)成為黑客的戰(zhàn)略攻擊點(diǎn)。黑客攻擊的目的是獲取有價(jià)值的“數(shù)據(jù)”。他們控制終端以后，可以直接種植勒索病毒勒索客戶，更嚴(yán)重的是，黑客的目標(biāo)往往是那些存儲(chǔ)著重要“數(shù)據(jù)”的服務(wù)器。受控的終端將成為黑客的跳板，黑客將通過(guò)失陷主機(jī)橫向掃描內(nèi)部網(wǎng)絡(luò)，發(fā)現(xiàn)組織網(wǎng)絡(luò)內(nèi)部重要的服務(wù)器，然后對(duì)這些重要服務(wù)器發(fā)起內(nèi)部攻擊?；ヂ?lián)網(wǎng)出口實(shí)現(xiàn)了組織內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邏輯隔離。對(duì)于內(nèi)部網(wǎng)絡(luò)接入用戶來(lái)說(shuō)，僵尸網(wǎng)絡(luò)是最為嚴(yán)重的安全問(wèn)題，黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端，形成僵尸網(wǎng)絡(luò)，進(jìn)一步實(shí)現(xiàn)終端存儲(chǔ)的信息被竊取、終端被引導(dǎo)訪問(wèn)釣魚網(wǎng)站、終端被利用作為攻擊跳板危害其他的各類資源等問(wèn)題。終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)黑客可以利用僵尸網(wǎng)絡(luò)展開更多的危害行為，如APT攻擊最常采用的跳板就是僵尸網(wǎng)絡(luò)。黑客利用僵尸網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)滲透、監(jiān)視、竊取敏感數(shù)據(jù)等目的，危害非常大。僵尸網(wǎng)絡(luò)的主要危害有：看不見的風(fēng)險(xiǎn)高級(jí)持續(xù)威脅本地滲透擴(kuò)散敏感信息竊取脆弱信息收集終端安全風(fēng)險(xiǎn)總結(jié)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)目錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略功能概述在客戶網(wǎng)絡(luò)環(huán)境中，如果沒(méi)有對(duì)網(wǎng)絡(luò)流量進(jìn)行訪問(wèn)控制，容易造成非相關(guān)人員訪問(wèn)敏感數(shù)據(jù)或者登陸不相關(guān)的設(shè)備等。因此，需要防火墻來(lái)做邏輯上的隔離，允許其通過(guò)或丟棄數(shù)據(jù)包，過(guò)濾條件有源區(qū)域、目的區(qū)域、源地址、目的地址、目的服務(wù)和應(yīng)用。從而減少內(nèi)網(wǎng)外網(wǎng)環(huán)境帶來(lái)的威脅，更高效的管控網(wǎng)絡(luò)中的流量走向。財(cái)務(wù)服務(wù)器PCtrustDMZuntrustPC拒絕訪問(wèn)財(cái)務(wù)服務(wù)器和P2P應(yīng)用終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略工作過(guò)程根據(jù)自定義的應(yīng)用控制策略，當(dāng)數(shù)據(jù)包到達(dá)AF轉(zhuǎn)發(fā)時(shí)，從上往下依次匹配自定義的應(yīng)用控制策略，直到匹配上應(yīng)用控制策略為止，并根據(jù)應(yīng)用控制策略的動(dòng)作對(duì)數(shù)據(jù)包進(jìn)行允許或拒絕，同時(shí)創(chuàng)建一條會(huì)話。Web站點(diǎn)（:80）源地址目的地址目的端口80源區(qū)域untrust目的區(qū)域DMZ源地址目的地址服務(wù)80應(yīng)用any動(dòng)作允許源地址目的地址目的端口80PC（）DMZuntrust策略：終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類基于服務(wù)的控制策略通過(guò)匹配數(shù)據(jù)包的五元組（源地址、目的地址、協(xié)議號(hào)、源端口、目的端口）來(lái)進(jìn)行過(guò)濾動(dòng)作，對(duì)任何數(shù)據(jù)包都可以立即進(jìn)行攔截動(dòng)作判斷。基于應(yīng)用的控制策略通過(guò)匹配數(shù)據(jù)包特征來(lái)進(jìn)行過(guò)濾動(dòng)作，需要一定數(shù)量的包通行后才能判斷應(yīng)用類型，然后進(jìn)行攔截動(dòng)作的判斷。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類配置應(yīng)用控制策略的時(shí)候，需要同時(shí)選擇服務(wù)和應(yīng)用兩種類型，兩種類型之間為“與”關(guān)系，必須要兩者的條件都匹配，策略才會(huì)生效。例如：客戶需要拒絕部分用戶打開網(wǎng)頁(yè)，如果應(yīng)用控制配置的服務(wù)選擇TCP、應(yīng)用選擇DNS，就會(huì)導(dǎo)致策略不生效，原因是平常解析域名的DNS協(xié)議是基于UDP協(xié)議，應(yīng)用控制識(shí)別流量發(fā)現(xiàn)是UDP而非TCP，與策略的匹配條件不一致，策略就不會(huì)去攔截對(duì)應(yīng)的流量。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景客戶一臺(tái)內(nèi)網(wǎng)PC機(jī)(0)允許訪問(wèn)公司財(cái)務(wù)服務(wù)器(0),該站點(diǎn)開放了80端口訪問(wèn)界面。同時(shí)，該P(yáng)C允許訪問(wèn)互聯(lián)網(wǎng)，但是禁止訪問(wèn)P2P相關(guān)應(yīng)用，且只能8點(diǎn)至17點(diǎn)之間訪問(wèn)互聯(lián)網(wǎng)。財(cái)務(wù)服務(wù)器PC終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟創(chuàng)建應(yīng)用控制策略，允許PC訪問(wèn)公司財(cái)務(wù)服務(wù)器創(chuàng)建應(yīng)用控制策略，禁止PC訪問(wèn)P2P應(yīng)用創(chuàng)建應(yīng)用策略，允許PC在特定時(shí)間內(nèi)訪問(wèn)互聯(lián)網(wǎng)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1允許PC訪問(wèn)公司財(cái)務(wù)服務(wù)器，在【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略配置】，點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2禁止PC訪問(wèn)P2P應(yīng)用，在【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略配置】，點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3允許PC訪問(wèn)公司財(cái)務(wù)服務(wù)器，在【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略配置】，點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略--長(zhǎng)連接在一些特殊的環(huán)境下，實(shí)現(xiàn)服務(wù)器在一段時(shí)間中沒(méi)有收到客戶端的數(shù)據(jù)（應(yīng)用層數(shù)據(jù)），也不會(huì)斷開連接，這就需要AF配置長(zhǎng)連接，防止會(huì)話超時(shí)刪除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服務(wù)any應(yīng)用any長(zhǎng)連接3day策略：會(huì)話超時(shí)時(shí)間13day終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景某銀行數(shù)據(jù)庫(kù)服務(wù)器，提供下屬各個(gè)分支機(jī)構(gòu)的服務(wù)器對(duì)接，由于該數(shù)據(jù)庫(kù)服務(wù)器沒(méi)有重連機(jī)制，需要重啟等方式才能重新建立新連接。因此，為防止通信過(guò)程中AF會(huì)話超時(shí)，導(dǎo)致服務(wù)器重新連接造成會(huì)話異常，造成業(yè)務(wù)中斷，則需要保持連接。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)長(zhǎng)連接配置操作界面為【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略配置】，點(diǎn)擊進(jìn)入對(duì)應(yīng)策略，選擇高級(jí)選項(xiàng)設(shè)置。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略輔助功能應(yīng)用控制策略輔助功能主要用來(lái)協(xié)助我們分析、記錄和管理現(xiàn)有的策略。常用的輔助功能主要有以下幾個(gè)：標(biāo)簽管理：對(duì)同一類策略打上相同標(biāo)簽，可對(duì)標(biāo)簽進(jìn)行新增、編輯、刪除等操作策略變更原因記錄：在新增或修改策略時(shí)顯示變更原因輸入框，方便記錄變更原因模擬策略匹配：輸入五元組等信息，模擬策略匹配方式，給出最可能的匹配結(jié)果。可用于排查故障，或環(huán)境部署前的調(diào)試失效策略檢查：檢測(cè)因沖突、生效時(shí)間已過(guò)期、已超過(guò)一段時(shí)間未有匹配的等情況失效的策略實(shí)時(shí)沖突策略檢測(cè)：在新增、修改和移動(dòng)策略時(shí)，實(shí)時(shí)對(duì)策略的沖突進(jìn)行檢測(cè)并提醒。該功能啟用后，可能在策略數(shù)量過(guò)多時(shí)造成頁(yè)面加載延遲策略優(yōu)化：根據(jù)設(shè)置分析策略的等級(jí)，對(duì)所有的應(yīng)用控制策略進(jìn)行分析，給出目前策略配置不合理的相關(guān)提示，方便進(jìn)行快速優(yōu)化策略終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景某客戶網(wǎng)絡(luò)中，互聯(lián)網(wǎng)區(qū)域AF應(yīng)用控制策略經(jīng)過(guò)長(zhǎng)年的累積，策略數(shù)量較多，造成運(yùn)維難度加大，且主要存在以下問(wèn)題：存在較多失效策略同一類型策略存在多個(gè)，未對(duì)其進(jìn)行打標(biāo)簽標(biāo)識(shí)無(wú)法判斷流量匹配那條應(yīng)用控制策略策略修改無(wú)記錄存在較多沖突策略，無(wú)法進(jìn)行排查終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置案例某客戶核心網(wǎng)絡(luò)AF，存在過(guò)多的重復(fù)策略，且開放的端口較大，沒(méi)有進(jìn)行策略最小化原則配置，同時(shí)存在同一類型的訪問(wèn)策略未進(jìn)行分類，難以辨別。策略增刪改沒(méi)有記錄，無(wú)法追溯到最具人員。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟：?jiǎn)⒂檬Р呗詸z查；對(duì)同一類型的策略可以進(jìn)行打標(biāo)簽處理；進(jìn)行策略優(yōu)化，查找不合規(guī)則策略；策略的操作進(jìn)行記錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1啟用失效策略檢查，當(dāng)檢測(cè)到失效時(shí)狀態(tài)變?yōu)榧t色感嘆號(hào)。操作步驟為【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】，點(diǎn)擊更多操作，選擇輔助工具，啟用失效策略檢查。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2對(duì)同一類型策略進(jìn)行管理。操作步驟為【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】，點(diǎn)擊更多操作，選擇輔助工具，選擇進(jìn)行標(biāo)簽管理。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3策略優(yōu)化，尋找設(shè)置不合理的策略。操作步驟為【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略優(yōu)化】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情4應(yīng)用控制策略在指定查詢范圍內(nèi)的操作，進(jìn)行變更的記錄和展示，方便對(duì)日常的維護(hù)工作有相應(yīng)的記錄和溯源。操作步驟為【策略】→【訪問(wèn)控制】→【應(yīng)用控制策略】→【策略生命周期管理】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)注意事項(xiàng)開啟應(yīng)用控制策略的日志記錄功能，需要先在日志設(shè)置開啟應(yīng)用控制日志功能。默認(rèn)禁止策略無(wú)法刪除普通策略無(wú)法移到默認(rèn)策略之后終端上網(wǎng)安全應(yīng)用控制技術(shù)總結(jié)服務(wù)器安全風(fēng)險(xiǎn)

與DOS攻擊檢測(cè)和防御技術(shù)了解服務(wù)器安全風(fēng)險(xiǎn)了解DOS攻擊檢測(cè)和防御技術(shù)教學(xué)目標(biāo)服務(wù)器安全風(fēng)險(xiǎn)DOS攻擊檢測(cè)和防御技術(shù)目錄服務(wù)器安全風(fēng)險(xiǎn)服務(wù)器安全風(fēng)險(xiǎn)不必要的訪問(wèn)（如只提供HTTP服務(wù)）外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊（針對(duì)服務(wù)器操作系統(tǒng)等)根據(jù)軟件版本的已知漏洞進(jìn)行攻擊,口令暴力破解，獲取用戶權(quán)限；SQL注入、XSS跨站腳本攻擊、跨站請(qǐng)求偽造等等掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改應(yīng)用識(shí)別、控制防火墻漏洞攻擊防護(hù)服務(wù)器保護(hù)風(fēng)險(xiǎn)分析網(wǎng)站篡改防護(hù)服務(wù)器安全風(fēng)險(xiǎn)DOS攻擊檢測(cè)和防御技術(shù)目錄DOS攻擊檢測(cè)和防御技術(shù)DoS攻擊背景2016年10月21日，美國(guó)提供動(dòng)態(tài)DNS服務(wù)的DynDNS報(bào)告遭到DDoS攻擊，攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問(wèn)問(wèn)題，其中包括BBC、華爾街日?qǐng)?bào)、CNN、紐約時(shí)報(bào)等一大批新聞網(wǎng)站集體宕機(jī)，Twitter甚至出現(xiàn)了近24小時(shí)0訪問(wèn)的局面！此次事件中，黑客就是運(yùn)用了DNS洪水攻擊手段。DOS攻擊檢測(cè)和防御技術(shù)DoS/DDoS攻擊介紹DoS攻擊——Denial

of

Service,

是一種拒絕服務(wù)攻擊，常用來(lái)使服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手段。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。DDoS攻擊——Distributed

Denial

of

Service,

分布式拒絕服務(wù)攻擊。一般攻擊發(fā)起方式為利用網(wǎng)絡(luò)上已被攻陷的電腦作為“僵尸”，向某一特定的目標(biāo)設(shè)備發(fā)動(dòng)密集式的“拒絕服務(wù)”要求，用以把目標(biāo)設(shè)備的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，使之無(wú)法向真正正常請(qǐng)求的用戶提供服務(wù)。僵尸主機(jī)僵尸主機(jī)攻擊機(jī)服務(wù)器DOS攻擊DOS攻擊檢測(cè)和防御技術(shù)DoS/DDoS攻擊目的消耗帶寬消耗服務(wù)器性能引發(fā)服務(wù)器宕機(jī)DOS攻擊檢測(cè)和防御技術(shù)DOS攻擊類型DOS類型攻擊特征及影響ICMP、UDP、DNS洪水攻擊攻擊者通過(guò)發(fā)送大量所屬協(xié)議的數(shù)據(jù)包到達(dá)占據(jù)服務(wù)端帶寬，堵塞線路從而造成服務(wù)端無(wú)法正常提供服務(wù)。SYN洪水攻擊攻擊者利用TCP協(xié)議三次握手的特性，攻擊方大量發(fā)起的請(qǐng)求包最終將占用服務(wù)端的資源，使其服務(wù)器資源耗盡或?yàn)門CP請(qǐng)求分配的資源耗盡，從而使服務(wù)端無(wú)法正常提供服務(wù)?；螖?shù)據(jù)包攻擊攻擊者發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤的分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至宕機(jī)，如PingofDeath、TearDrop。CC攻擊攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰。CC主要是用來(lái)攻擊頁(yè)面的。慢速攻擊慢速攻擊是CC攻擊的一個(gè)變種，對(duì)任何一個(gè)開放了HTTP訪問(wèn)的服務(wù)器HTTP服務(wù)器，先建立了一個(gè)連接，指定一個(gè)比較大的content-length，然后以非常低的速度發(fā)包，比如1-10s發(fā)一個(gè)字節(jié)，然后維持住這個(gè)連接不斷開。如果客戶端持續(xù)建立這樣的連接，那么服務(wù)器上可用的連接將一點(diǎn)一點(diǎn)被占滿，從而導(dǎo)致拒絕服務(wù)。DOS攻擊檢測(cè)和防御技術(shù)SYNFlood攻擊過(guò)程SYNFlood攻擊圖示空閑資源+已占用資源內(nèi)存/CPU服務(wù)端正?？蛻舳藬?shù)據(jù)包交互……正常情況下服務(wù)器資源未耗盡，服務(wù)正常資源耗盡！++……+已占用資源內(nèi)存/CPU服務(wù)端正常客戶端無(wú)數(shù)據(jù)包交互……在隨機(jī)源地址源端口SYNFlooding攻擊下，服務(wù)端在SYN_RECEIVED超時(shí)前資源耗盡XSYNFlood!SYNACKSYN+ACKDOS攻擊檢測(cè)和防御技術(shù)SYNFlood防護(hù)原理通過(guò)Syn代理防御Syn洪水攻擊服務(wù)端正?？蛻舳藬?shù)據(jù)包交換，發(fā)送序號(hào)通過(guò)防火墻轉(zhuǎn)換服務(wù)端正常客戶端服務(wù)器沒(méi)有收到任何SYN攻擊包XSYNFlood!SYNACKSYN+ACK(Cookie)AFAFACKSYN+ACKSYNSYN+ACK(Cookie)DOS攻擊檢測(cè)和防御技術(shù)UDP防護(hù)原理通過(guò)丟棄超過(guò)閾值的包防御UDP、ICMP、DNS洪水攻擊服務(wù)端客戶端UDP包占滿帶寬，導(dǎo)致服務(wù)器無(wú)法提供服務(wù)UDPUDPUDP服務(wù)端客戶端UDP包超過(guò)閾值，將丟棄后續(xù)的包UDPAFUDPUDP超過(guò)閾值DROPUDPUDP內(nèi)存/CPU空閑資源+已占用資源DOS攻擊檢測(cè)和防御技術(shù)畸形數(shù)據(jù)包防護(hù)原理服務(wù)端客戶端畸形數(shù)據(jù)包，導(dǎo)致服務(wù)器無(wú)法正常處理占用資源等畸形數(shù)據(jù)包畸形數(shù)據(jù)包畸形數(shù)據(jù)包服務(wù)端客戶端檢測(cè)到畸形數(shù)據(jù)包后，將直接丟棄畸形數(shù)據(jù)包直接DROPAF內(nèi)存/CPU空閑資源+已占用資源DOS攻擊檢測(cè)和防御技術(shù)應(yīng)用場(chǎng)景外網(wǎng)對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)的攻擊防護(hù)企業(yè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)出口容易遭受到外網(wǎng)過(guò)來(lái)的DOS攻擊，導(dǎo)致出口帶寬占滿、消耗服務(wù)器的資源，從而導(dǎo)致業(yè)務(wù)異常。內(nèi)網(wǎng)終端向外網(wǎng)發(fā)起的攻擊防護(hù)企業(yè)網(wǎng)絡(luò)環(huán)境中，未進(jìn)行安全加固的內(nèi)網(wǎng)終端容易變成肉雞，對(duì)外