部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报 系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。
防火墙
防火墙作为网络安全防护的基础设备,发展到现在已成为能够全 面应对传统网络攻击和高级威胁的安全防护产品,被广泛运用于网络 边界防护领域,具有网络安全域隔离、精细化访问控制、高效威胁防 护和高级威胁检测等功能。防火墙可集成威胁情报搜集、大数据分析 和安全可视化等创新安全技术,并通过与网络威胁感知中心、安全管 理分析中心、终端安全管理系统等的智能协同,在网络边界构建威胁 防御平台。
1)基础能力:支持多种形式灵活部署,具备负载均衡、NAT(网 络地址转换)、IPv6支持、VPN、VSYS(虚拟防火墙)、HA(双机集群 系统)等功能,并可防护扫描、泛洪、异常数据包等传统网络攻击。
2)精细化应用控制:可精确识别网络应用及用户、终端、地理位 置、传输内容等信息,并可实现应用、用户、内容多维一体的精细化 管控。
3)高性能威胁防护:深度集成一体化威胁防护引擎,可针对流行 的病毒、漏洞利用攻击和间谍软件行为等提供高性能防护。
4)智能化协同防御:支持与云端、终端安全系统智能协同,实现 病毒云查杀、威胁情报实时处置、应急响应策略推送、高风险终端管 控等高级安全功能。
5)失陷检测及处置:可对网络流量产生的行为数据进行威胁情报 检测和深度分析,实时预警本地的失陷主机,并对受害IP、威胁源执 行一键处置。
6)可视化关联分析:能够将应用、用户、内容、威胁、地理位置 等多维信息以图形化形式关联呈现,并通过递进式的数据钻取实现高 效的安全分析。
防火墙作为最基础的安全防护设备,在实战演练中也发挥着重大 的作用,主要通过以下方式进行防护。
1)ACL配置:在网络内部通过对网络区域进行划分,明确各区域 的功能、各区域间实现明确的允许/拒绝ACL,实现严格的访问控制。 大量的攻防实战证明,区域间隔离能够在很大程度上限制攻击者横向 拓展的范围。
2)黑名单配置:部署在网络外层的防火墙,在实战中可以通过将 攻击者/可疑攻击者的IP地址加入黑名单中,从网络层阻止可疑的攻击 流量,阻止攻击者继续攻击,从而迫使攻击者变更攻击IP地址,延误 攻击者的进攻节奏。
3)实时联动:可以根据实际的部署环境,与流量感知及威胁感知 类产品进行联动处置,对分析出的恶意IP进行封禁。
4)自动化封禁:更进一步地,为了更加高效地应对扫描等攻击行 为,可以利用编程等方式实现自动化封禁的措施,提高封禁效率,减 缓处置人员的工作压力。
在实战演练中,在网络接入区、对外接入区、内部各安全域间部 署防火墙并按照最小授权原则做好控制策略,可有效地给攻击方造成 困扰。
入侵防御系统