防火墻入侵防御在目前出現(xiàn)的各種安全威脅當(dāng)中，惡意程序類別占有很高的比例，灰色軟件的影響也逐漸擴(kuò)大，而與惡意代碼有關(guān)的安全威脅已經(jīng)成為網(wǎng)絡(luò)安全的重要影響因素。目前用戶面臨的不再是傳統(tǒng)的病毒攻擊，“網(wǎng)絡(luò)威脅”經(jīng)常是融合了病毒、黑客入侵、木馬、僵尸和間諜等危害于一身的混合體，因此單靠以往的防病毒或者單一的安全技術(shù)往往難以抵御。本章節(jié)主要對(duì)入侵的概念以及華為防火墻產(chǎn)品入侵防御功能進(jìn)行介紹。學(xué)完本課程后，您將能夠：描述入侵防御的種類描述入侵防御基本原理應(yīng)用網(wǎng)絡(luò)反病毒策略入侵概述入侵防御網(wǎng)絡(luò)反病毒網(wǎng)絡(luò)威脅現(xiàn)狀根據(jù)CNCERT發(fā)布的《2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》，我國(guó)上半年境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP分布情況如下圖。網(wǎng)絡(luò)安全事件舉例現(xiàn)在大多數(shù)病毒等網(wǎng)絡(luò)威脅不再單純地攻擊電腦系統(tǒng)，而是被黑客攻擊和不法分子利用，成為他們獲取利益的工具。因此，傳統(tǒng)的電腦病毒等網(wǎng)絡(luò)威脅，正在向由利益驅(qū)動(dòng)的、全面的網(wǎng)絡(luò)威脅發(fā)展變化。案例一黑客攻擊了某國(guó)最大的成品油管道運(yùn)營(yíng)商，迫使該運(yùn)營(yíng)商一度關(guān)閉整個(gè)能源供應(yīng)網(wǎng)絡(luò)，極大影響了國(guó)家燃油能源供應(yīng)，同時(shí)導(dǎo)致了該國(guó)家首次因網(wǎng)絡(luò)攻擊而進(jìn)入國(guó)家緊急狀態(tài)。案例二某國(guó)公共部門的互聯(lián)網(wǎng)服務(wù)提供商遭到大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊，導(dǎo)致政府的內(nèi)部系統(tǒng)與面向公眾的網(wǎng)站全部離線，政府許多網(wǎng)站和服務(wù)被迫下線。案例三某計(jì)算機(jī)巨頭遭到了勒索軟件攻擊，勒索軟件團(tuán)伙成功入侵該巨頭的系統(tǒng)，并公布了部分該公司的財(cái)務(wù)電子表格及銀行對(duì)賬單，索要的贖金達(dá)到5000萬美元，是迄今為止已知數(shù)額最大的一筆贖金。入侵概述入侵是指未經(jīng)授權(quán)而嘗試訪問信息系統(tǒng)資源、篡改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為。入侵企圖破壞信息系統(tǒng)的完整性、機(jī)密性、可用性以及可控性。常見入侵手段有：利用系統(tǒng)及軟件的漏洞DDoS攻擊病毒及惡意軟件安全威脅

威脅

特征未經(jīng)授權(quán)訪問未經(jīng)授權(quán)篡改未經(jīng)授權(quán)破壞系統(tǒng)及軟件漏洞DDoS攻擊威脅病毒及惡意軟件漏洞威脅網(wǎng)絡(luò)攻擊者、企業(yè)內(nèi)部惡意員工利用系統(tǒng)及軟件的漏洞入侵服務(wù)器，嚴(yán)重威脅企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全。服務(wù)器內(nèi)部員工惡意員工交換機(jī)路由器攻擊者惡意員工入侵攻擊者入侵DDoS攻擊DDoS（DistributedDenialofService）即分布式拒絕服務(wù)。DDoS攻擊是指攻擊者通過控制大量的僵尸主機(jī)，向被攻擊目標(biāo)發(fā)送大量精心構(gòu)造的攻擊報(bào)文，造成被攻擊者所在網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕向正常用戶提供服務(wù)的效果。目前，互聯(lián)網(wǎng)中存在著大量的僵尸主機(jī)和僵尸網(wǎng)絡(luò)，在商業(yè)利益的驅(qū)使下，DDoS攻擊已經(jīng)成為互聯(lián)網(wǎng)面臨的重要安全威脅。遭受DDoS攻擊時(shí)，網(wǎng)絡(luò)帶寬被大量占用，網(wǎng)絡(luò)陷于癱瘓；受攻擊服務(wù)器資源被耗盡無法響應(yīng)正常用戶請(qǐng)求，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)，企業(yè)業(yè)務(wù)無法正常運(yùn)行。僵尸主機(jī)攻擊目標(biāo)跳板機(jī)攻擊者控制流量攻擊流量路由器惡意代碼入侵威脅惡意代碼包含病毒、木馬和間諜軟件等。惡意代碼可感染或附著在應(yīng)用程序或文件中，一般通過郵件或文件共享等方式進(jìn)行傳播，威脅用戶主機(jī)和網(wǎng)絡(luò)的安全。惡意代碼入侵威脅包括以下特點(diǎn)：瀏覽網(wǎng)頁(yè)和郵件傳輸是病毒、木馬、間諜軟件進(jìn)入內(nèi)網(wǎng)的主要途徑；病毒能夠破壞計(jì)算機(jī)系統(tǒng)，纂改、損壞業(yè)務(wù)數(shù)據(jù)；木馬使攻擊者不僅可以竊取計(jì)算機(jī)上的重要信息，還可以對(duì)內(nèi)網(wǎng)計(jì)算機(jī)破壞；間諜軟件搜集、使用并散播企業(yè)員工的敏感信息，嚴(yán)重干擾企業(yè)的正常業(yè)務(wù)；桌面型反病毒軟件難以從全局上防止惡意代碼泛濫。攻擊者企業(yè)內(nèi)網(wǎng)病毒入侵概述入侵防御入侵防御概述入侵防御配置舉例網(wǎng)絡(luò)反病毒安全設(shè)備在安全體系中的位置監(jiān)視器入侵檢測(cè)系統(tǒng)保安員掃描器、漏洞查找安全傳輸加密、VPN門禁系統(tǒng)身份認(rèn)證、訪問控制監(jiān)控室安全管理中心加固的房間系統(tǒng)加固、免疫門防火墻入侵防御概述入侵防御是一種安全機(jī)制。通過分析網(wǎng)絡(luò)流量，檢測(cè)入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。入侵防御功能通常用于防護(hù)來自內(nèi)部或外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)服務(wù)器和客戶端的入侵。PC服務(wù)器防火墻安全用戶黑客企業(yè)內(nèi)網(wǎng)TrustUntrust安全流量，放行不安全流量，阻斷PC防火墻網(wǎng)絡(luò)服務(wù)器1網(wǎng)絡(luò)服務(wù)器2企業(yè)內(nèi)網(wǎng)TrustUntrust保護(hù)內(nèi)網(wǎng)服務(wù)器保護(hù)內(nèi)網(wǎng)客戶端安全流量，放行不安全流量，阻斷入侵防御實(shí)現(xiàn)機(jī)制入侵防御的基本實(shí)現(xiàn)機(jī)制包括以下四塊內(nèi)容：重組應(yīng)用數(shù)據(jù)防火墻首先進(jìn)行IP分片報(bào)文重組以及TCP流重組，確保了應(yīng)用層數(shù)據(jù)的連續(xù)性，有效檢測(cè)出逃避入侵防御檢測(cè)的攻擊行為。協(xié)議識(shí)別和協(xié)議解析防火墻根據(jù)報(bào)文內(nèi)容識(shí)別多種常見應(yīng)用層協(xié)議。識(shí)別出報(bào)文的協(xié)議后，防火墻根據(jù)具體協(xié)議分析方案進(jìn)行更精細(xì)的分析，并深入提取報(bào)文特征。特征匹配防火墻將解析后的報(bào)文特征與簽名進(jìn)行匹配，如果命中了簽名，則進(jìn)行響應(yīng)處理。響應(yīng)處理完成檢測(cè)后，防火墻根據(jù)管理員配置的動(dòng)作對(duì)匹配到簽名的報(bào)文進(jìn)行處理。簽名入侵防御簽名用來描述網(wǎng)絡(luò)中攻擊行為的特征，防火墻通過將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來檢測(cè)和防范攻擊。自定義簽名預(yù)定義簽名預(yù)定義簽名是入侵防御特征庫(kù)中包含的簽名。預(yù)定義簽名的內(nèi)容是固定的，不能創(chuàng)建、修改或刪除。每個(gè)預(yù)定義簽名都有缺省的動(dòng)作，分別為：放行：指對(duì)命中簽名的報(bào)文放行，不記錄日志；告警：指對(duì)命中簽名的報(bào)文放行，但記錄日志；阻斷：指丟棄命中簽名的報(bào)文，阻斷該報(bào)文所在的數(shù)據(jù)流，并記錄日志。自定義簽名是指管理員通過自定義規(guī)則創(chuàng)建的簽名。新的攻擊出現(xiàn)后，其對(duì)應(yīng)的攻擊簽名通常都會(huì)晚一點(diǎn)才會(huì)出現(xiàn)。當(dāng)用戶自身對(duì)這些新的攻擊比較了解時(shí)，可以自行創(chuàng)建自定義簽名以便實(shí)時(shí)地防御這些攻擊。自定義簽名創(chuàng)建后，系統(tǒng)會(huì)自動(dòng)對(duì)自定義規(guī)則的合法性進(jìn)行檢查，避免低效簽名浪費(fèi)系統(tǒng)資源。自定義簽名的動(dòng)作分為阻斷和告警，可以在創(chuàng)建自定義簽名時(shí)配置簽名的響應(yīng)動(dòng)作。簽名過濾器由于設(shè)備升級(jí)簽名庫(kù)后會(huì)存在大量簽名，而這些簽名是沒有進(jìn)行分類的，且有些簽名所包含的特征本網(wǎng)絡(luò)中不存在，需要設(shè)置簽名過濾器對(duì)其進(jìn)行管理，并過濾掉。簽名過濾器是滿足指定過濾條件的集合。阻斷：丟棄命中簽名的報(bào)文，并記錄日志告警：對(duì)命中簽名的報(bào)文放行，但記錄日志簽名缺省動(dòng)作，但優(yōu)先級(jí)低于簽名過濾器動(dòng)作簽名類別對(duì)象協(xié)議嚴(yán)重性操作系統(tǒng)

……過濾條件簽名過濾器動(dòng)作例外簽名由于簽名過濾器會(huì)批量過濾出簽名，且通常為了方便管理會(huì)設(shè)置為統(tǒng)一的動(dòng)作。如果管理員需要將某些簽名設(shè)置為與簽名過濾器不同的動(dòng)作時(shí)，可將這些簽名引入到例外簽名中，并單獨(dú)配置動(dòng)作。例外簽名的動(dòng)作分為：阻斷：丟棄命中簽名的報(bào)文并記錄日志；告警：對(duì)命中簽名的報(bào)文放行，但記錄日志；放行：對(duì)命中簽名的報(bào)文放行，且不記錄日志；添加黑名單：是指丟棄命中簽名的報(bào)文，阻斷報(bào)文所在的數(shù)據(jù)流，記錄日志，并可將報(bào)文的源地址或目的地址添加至黑名單。例外簽名的動(dòng)作優(yōu)先級(jí)高于簽名過濾器。如果一個(gè)簽名同時(shí)命中例外簽名和簽名過濾器，則以例外簽名的動(dòng)作為準(zhǔn)。入侵防御對(duì)數(shù)據(jù)流的處理當(dāng)數(shù)據(jù)流命中的攻擊防御模板中包含入侵防御模板時(shí)，設(shè)備將數(shù)據(jù)流送到入侵防御模塊，并依次匹配入侵防御模板引用的簽名。數(shù)據(jù)流命中簽名查找簽名對(duì)應(yīng)的配置文件結(jié)束入侵防御處理流程采用簽名過濾器動(dòng)作采用例外簽名動(dòng)作是是否否命中簽名過濾器命中例外簽名簽名動(dòng)作a01告警a02告警a03阻斷a04告警簽名a01a02a03a04類型：預(yù)定義協(xié)議：HTTP動(dòng)作：告警其他：條件A類型：預(yù)定義協(xié)議：HTTP動(dòng)作：阻斷其他：條件A類型：預(yù)定義協(xié)議：UDP動(dòng)作：告警其他：條件B類型：預(yù)定義協(xié)議：UDP動(dòng)作：阻斷其他：條件B配置文件簽名過濾器1簽名過濾器2協(xié)議：HTTP其他：條件A采用簽名缺省動(dòng)作a01a02例外簽名1設(shè)置a02動(dòng)作為告警協(xié)議：UDP/HTTP其他：條件B動(dòng)作：阻斷a03a04a02a04例外簽名2設(shè)置a04動(dòng)作為告警簽名實(shí)際動(dòng)作入侵概述入侵防御入侵防御概述入侵防御配置舉例網(wǎng)絡(luò)反病毒入侵防御配置舉例(1)需求描述：某企業(yè)在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。在該組網(wǎng)中，內(nèi)網(wǎng)用戶可以訪問Internet的Web服務(wù)器。該企業(yè)需要在防火墻上配置入侵防御功能，用于防范內(nèi)網(wǎng)用戶訪問Internet的Web服務(wù)器時(shí)受到攻擊。例如，含有惡意代碼的網(wǎng)站對(duì)內(nèi)網(wǎng)用戶發(fā)起攻擊。GE0/0/3

/24Web服務(wù)器防火墻黑客內(nèi)網(wǎng)用戶/24TrustUntrustGE0/0/1

/24安全流量，放行不安全流量，阻斷交換機(jī)入侵防御配置舉例(2)配置思路：配置定時(shí)升級(jí)簽名特征庫(kù)，可以最大限度降低誤報(bào)和漏報(bào)概率；配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)的配置；創(chuàng)建入侵防御配置文件，配置簽名過濾器；配置安全策略，并將入侵防御配置文件應(yīng)用到安全策略中。加載/升級(jí)簽名特征庫(kù)基礎(chǔ)網(wǎng)絡(luò)配置創(chuàng)建入侵防御配置文件配置簽名過濾器創(chuàng)建安全策略并引用入侵防御配置文件開始結(jié)束入侵防御配置舉例(3)創(chuàng)建入侵防御配置文件，選擇“對(duì)象>安全配置文件>入侵防御>新建”。入侵防御配置舉例(4)在“入侵防御配置文件”中，單擊“新建”后，按如下參數(shù)配置。該配置將被從Trust區(qū)域到Untrust區(qū)域的安全策略引用。配置后單擊“確定”，完成入侵防御配置文件的配置。查看入侵及防御行為查看威脅日志，選擇“日志>威脅日志”。入侵概述入侵防御反病毒反病毒原理反病毒配置舉例計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有傳染性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。廣義的計(jì)算機(jī)病毒定義中常見的計(jì)算機(jī)病毒類型有三種，分別是病毒、蠕蟲和木馬。項(xiàng)目病毒蠕蟲木馬存在形式寄生在文件和引導(dǎo)中獨(dú)立個(gè)體植入在文件或者應(yīng)用中復(fù)制機(jī)制復(fù)制自身代碼復(fù)制自身代碼不自我復(fù)制傳染性宿主程序運(yùn)行依靠網(wǎng)絡(luò)和系統(tǒng)漏洞依據(jù)應(yīng)用或者傳輸載體傳染目標(biāo)針對(duì)計(jì)算機(jī)本地針對(duì)網(wǎng)絡(luò)上其它計(jì)算機(jī)針對(duì)下載植入木馬應(yīng)用或者文件的計(jì)算機(jī)觸發(fā)機(jī)制通過特定的條件觸發(fā)程序自身用戶執(zhí)行影響重點(diǎn)文件系統(tǒng)、硬件網(wǎng)絡(luò)性能、系統(tǒng)性能信息竊取或拒絕服務(wù)防治措施從宿主程序中摘除使用補(bǔ)丁程序（Patch）對(duì)系統(tǒng)加固防止木馬植入反病毒產(chǎn)生背景隨著網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用程序的日新月異，企業(yè)用戶越來越頻繁地開始在網(wǎng)絡(luò)上傳輸和共享文件，隨之而來的病毒威脅也越來越大。企業(yè)只有拒病毒于網(wǎng)絡(luò)之外，才能保證數(shù)據(jù)的安全和系統(tǒng)的穩(wěn)定。因此，保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)免受病毒的侵害，讓系統(tǒng)正常運(yùn)行便成為企業(yè)所面臨的一個(gè)重要問題。反病毒是一種安全機(jī)制，它可以通過識(shí)別和處理病毒文件來保證網(wǎng)絡(luò)安全，避免由病毒文件引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況發(fā)生。防火墻外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)病毒文件正常文件交換機(jī)主機(jī)A主機(jī)B自適應(yīng)安全引擎檢測(cè)(1)反病毒的處理流程主要包括自適應(yīng)安全引擎檢測(cè)和反病毒處理兩部分。自適應(yīng)安全引擎檢測(cè)步驟如下：流量深層分析智能感知引擎對(duì)流量進(jìn)行深層分析，識(shí)別出流量對(duì)應(yīng)的協(xié)議類型和文件傳輸?shù)姆较?。判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測(cè)防火墻支持對(duì)使用以下協(xié)議傳輸?shù)奈募M(jìn)行病毒檢測(cè)：FTP、HTTP、POP3、SMTP、IMAP、NFS、SMB。防火墻支持對(duì)不同傳輸方向上的文件進(jìn)行病毒檢測(cè)：上傳：指客戶端向服務(wù)器發(fā)送文件；下載：指服務(wù)器向客戶端發(fā)送文件。自適應(yīng)安全引擎檢測(cè)(2)判斷文件是否命中白名單病毒檢測(cè)智能感知引擎對(duì)符合病毒檢測(cè)的文件進(jìn)行特征提取，提取后的特征與病毒特征庫(kù)中的特征進(jìn)行匹配。如果匹配，則認(rèn)為該文件為病毒文件，并按照模板中的響應(yīng)動(dòng)作進(jìn)行處理；如果不匹配，則允許該文件通過。命中白名單后，防火墻將不對(duì)文件做病毒檢測(cè)。白名單由白名單規(guī)則組成，管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī)則，以此提高反病毒的檢測(cè)效率；白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件，每個(gè)反病毒配置文件都擁有自己的白名單。反病毒處理(1)當(dāng)防火墻檢測(cè)出傳輸文件為病毒文件時(shí)，需要進(jìn)行如下處理：判斷該病毒文件是否命中病毒例外判斷該病毒文件是否命中應(yīng)用例外如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動(dòng)作（放行、告警和阻斷）進(jìn)行處理。在配置響應(yīng)動(dòng)作時(shí)：如果只配置協(xié)議的響應(yīng)動(dòng)作，則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動(dòng)作；如果協(xié)議和應(yīng)用都配置了響應(yīng)動(dòng)作，則以應(yīng)用的響應(yīng)動(dòng)作為準(zhǔn)。當(dāng)用戶認(rèn)為已檢測(cè)到的某個(gè)病毒為誤報(bào)時(shí)，可以將該對(duì)應(yīng)的病毒ID添加到病毒例外。如果檢測(cè)結(jié)果命中了病毒例外，則該文件的響應(yīng)動(dòng)作為放行。反病毒處理(2)協(xié)議傳輸方向響應(yīng)動(dòng)作說明HTTP上傳/下載告警/阻斷告警：允許病毒文件通過，同時(shí)生成病毒日志。阻斷：禁止病毒文件通過，同時(shí)生成病毒日志。宣告：對(duì)攜帶病毒的郵件文件，允許該文件通過，但會(huì)在郵件正文中添加檢測(cè)到病毒的提示信息，同時(shí)生成病毒日志。刪除附件：對(duì)攜帶病毒的郵件文件，允許該文件通過，但設(shè)備會(huì)刪除郵件中的附件內(nèi)容并在郵件正文中添加宣告，同時(shí)生成病毒日志。FTP上傳/下載告警/阻斷NFS上傳/下載告警SMB上傳/下載告警/阻斷SMTP上傳告警/宣告/刪除附件POP3下載告警/宣告/刪除附件IMAP上傳/下載告警/宣告/刪除附件按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理如果病毒文件既沒命中病毒例外，也沒命中應(yīng)用例外，則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理。防火墻對(duì)不同協(xié)議在不同的文件傳輸方向上支持不同的響應(yīng)動(dòng)作。反病毒工作流程防火墻利用專業(yè)的智能感知引擎和不斷更新的病毒特征庫(kù)實(shí)現(xiàn)對(duì)病毒文件的檢測(cè)和處理。是應(yīng)用協(xié)議識(shí)別不做病毒檢測(cè)病毒檢測(cè)例外動(dòng)作（允許/告警/阻斷）告警阻斷放行病毒文件網(wǎng)絡(luò)流量支持的協(xié)議病毒例外應(yīng)用例外引擎檢測(cè)反病毒處理安全中心平臺(tái)是否是否檢測(cè)到病毒特征庫(kù)升級(jí)特征匹配否宣告附件刪除入侵概述入侵防御反病毒反病毒原理反病毒配置舉例防火墻反病毒配置舉例(1)需求描述：某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。內(nèi)網(wǎng)用戶需要通過Web服務(wù)器和POP3服務(wù)器下載文件和郵件，內(nèi)網(wǎng)FTP服務(wù)器需要接收外網(wǎng)用戶上傳的文件；公司利用防火墻提供的反病毒功能阻止病毒文件進(jìn)