華三防火牆_安全相關
之前沒有配置過IPS、AV相關的內容,最近要學一下,那么如何學習這種沒有人教,只能自已查資料來學的東西呢?,我認為最好的方式是先自已理解並寫出來,這樣會逼迫自已思考,之后再看資料來印證自已的理解,對於不解之處,可以通過咨詢用過的人進行學習。
*關於華三防火牆的學習,我發現資料還是很好找的,它自帶的右上角的小問號就能解決很多的疑惑,同時輕輕松松配安全的配置手冊也寫的挺好的,B站上也有科技袁發布的經典配置的配置視頻。
無論是IPS還是AV,都只能防范已知的攻擊和病毒,對於未知的病毒無能為力,這是其中的一個局限性,此外還有另外一個局限性,那就是對於https的報文無能為力,防火牆並不能打開https的報文,所以無法識別https內部的報文內容,但是現在很多應用、很多網站都是通過https進行通信的,所以在防火牆上的安全,無論做的策略再嚴密、細致,也僅僅是部分安全。這與人是很相似的,有用不完的錢就意味着人生就百分之百充滿了安全感嗎?也並不這樣的。
已知的攻擊特征庫和病毒特征庫來自哪里?這個病毒庫是來自於廠商的,廠商會有一些安全人員分析收集市面上常見的攻擊手段和病毒,然后提取出特征放置到一個庫里面,這些庫是免費使用的嗎?也不是免費使用,由於這些庫里面的內容,往往是是純人工,而且需要專業的安全人員分析和提取特征並驗證,人力成本也是相當高的,所以不會給客戶免費使用,用戶想要使用這些病毒庫是需要交一定的費用的。
如何調用這些攻擊征特征和病毒特征呢?其實這些病毒特性和攻擊特征是可以分類的,比如SMB、NFS這兩類可以歸為文件傳輸類,mysql、mairadb可以歸為數據庫類,所以一定也會存在一些應用集的。
IPS特征庫分析
從上圖這個IPS特征庫當中的特征詳情的第一行,我們可以看出來,這個病毒特征庫是針對客戶端IE瀏覽器的跨站腳本攻擊,也就說保護的具體對象是windows系統上的IE瀏覽器,而使用windows上網的通常是客戶端,也可以說保護的對象就是客戶端。
我們要注意的是,我們會發現,華三的廠商在定義攻擊特征庫的時候,會把檢測到這個特征后的動作也給定義好了,這合理嗎?想想也是合理的,面對這種數據流,我們已經清楚的知道他就是跨站腳本攻擊,難道還能看着這種數據流正常通過嗎?當然不行,直接重置這個數據流即可。
同一種攻擊有強弱嗎?什么程度攻擊是必須阻斷的?正是基於這樣的考慮,即使像SQL注入的攻擊,也有強弱,面對強的采取什么動作?面對弱的又采取什么動作?於是層次等級就產生了,即使像SQL注意這樣的攻擊也有程度的划分,強的、中等的,弱的,面對強的肯定是阻斷了,面對中等可能僅是重置了。
我們有必要所有的特征庫都調用嗎?特征庫有沒有可能誤傷?調用所有的庫真的好嗎?默認華三將所有的特征庫寫入到一個叫default的配置文件當中,這也是華三比較推薦的調用方式,廠商給我們內置好了;特征庫當然是有可能誤傷的,如果誤傷了怎么辦呢?其實這事就像是深信服的AC類似,拒絕之后會產生日志,我們可以通過日志找到是被哪一條規則庫拒絕掉,只要找到規則庫的ID之后,就可以在調用的配置文件當中的排除選項給排除,在排除時也是也是可以指定動作的,這時排除的動作優先級就會比特性庫里面還要高。
既然規則庫當中都定義了針對哪種攻擊的級別、采取的動作,那為什么在新建的配置文件當中還要我們進行指定呢?如果兩者沖突了那應該以誰為准呢?其實不是這樣的,在配置文件當中我們是無法指定規則的種種特性的,只能做篩選,也就是配置文件當中的那些級別什么的,其實都是篩選。