實例解析FirePower防火墻安全管理機制

■ 河南 郭建偉

編者按：傳統的防火墻面對不斷出現的新威脅，已經逐漸變得力不從心難以從容應對，面對日益復雜的網絡安全形勢，以FirePower為代表的下一代防火墻應運而生。和傳統的ASA等防火墻不同，FirePower等防火墻本地基本上是不可管理的，只能為其配置一個網管IP地址，同時需要配置一個FMC網管中心，添加FirePower防火墻IP地址，由FMC統一進行管理。

搭建簡單的實驗環境

對于硬件FirePower設備來說，也可以激活其自身的設備管理功能，對其進行圖形化管理。但是這種管理方式同FMC統一管理相比存在很多不足，FMC可以在各個設備上統一監控和配置，統一收集各種信息，可以對于內網的設備進行滲透測試，實現高級的自動化管理。也就是說，使用獨立的網管方式將缺失很多安全功能。這里使用簡單的例子來說明如何配置FirePower防火墻。

在某款FirePower防火墻的G0/0接口連接外部網絡，其 IP為 200.101.1.10。G0/1接口連接內部網絡，內網網段為192.168.1.0/24，G0/1接口的IP為192.168.1.110，FirePower防 火 墻管理端口IP為192.168.1.105，FMC管理主機的IP為192.168.1.106。 對FMC進行管理的客戶機的IP為192.168.1.107，內 網 中 一臺Windows Server 2008作為DNS服務器使用，IP為192.168.1.200。

配置FMC主機，設置管理密碼和主機名（如“fmc.xxx.com”），DNS地址、域名、管理IP（如“192.168.1.105”），網關地址等信息。在配置FirePower時需要設置底層的管理密碼、設備的全域名（如“ftd.xxx.com”）、DNS 地址、網管口地址等信息，為便于FMC集中管理，不需選擇本地網管功能，將防火墻模式設為路由模式。

登錄到FirePower設備，輸入用戶名（默認為“admin”）和密碼，在“>”提示符下執行“show network”命令查看網絡配置信息。執行“configure network”命令，可根據需要配置所需參數。例如執行“configure network ipv4”命令可配置和IPv4相關參數，執行“show managers”命令，如果顯示“No Managers configured”信息，說明未配置管理信息，FMC中將無法添加本設備。執 行“configure manager add 192.168.1.106 xxx”命令添加管理信息，其中“192.168.1.106”為FMC主機IP?！皒xx”為FMC管理密碼。

配置和管理FTD防火墻

在內網中的客戶機上打開瀏覽器，訪問“https://192.168.1.106”地址，在FMC登錄界面中輸入賬戶名和密碼，進入FMC網管中心界面。

值得說明的是，新款思科設備使用的都是Smart License授權模式。Smart License授權是指授權必須和用戶的思科賬戶相關聯，點擊工具欄上的“System” →“License” →“Smart License”項，點擊“Register”按鈕來獲取授權。當然設備必須在線關聯用戶的思科賬戶，通過該賬戶得到所需的授權信息，即授權信息是在線獲取的。

點擊工具欄上的“Policies” →“Access Control” →“Access Control”項，默認訪問策略是空的，點擊“Add a new policy”鏈接，在新建策略窗口中的“Name”欄總輸入策略的名稱（例如“FTDPolicy”），其余設置保持默認，點擊“Save”按鈕保存該策略。在列表中域該策略對應的“Default Action”列表中選擇“Access Control:Trust All Traffic”項，允許放行所有的流量。點擊工具欄上的“Devices”項，在右側點擊“Add”→“Device”項，在打開窗口中的“Host”欄中 輸 入“192.168.1.105”，即FTD的網管地址。在“Display Name”欄中輸入其名 稱（例 如“FTDDevice”），在“Registration Key” 欄中輸入FMC管理密碼，在“Access Control Policy”欄中選擇上述訪問策略。在“Smart License”欄中選擇“Malware”，“Threat”，“URL Filter”項，開啟防惡意軟件，入侵防御，地址過濾等功能，點擊“Register”按鈕，將該設備注冊上來。

選中該設備，在右側點擊“Edit”按鈕，在屬性窗口 中 的“Interfaces” 面板中顯示其擁有的接口信息，點擊“GigabitEthernet 0/0”接口，在編輯窗口中的“Name”欄中輸入名稱（例 如“Outside”），選 擇“Enabled”項，在“Security Zone”列表中選擇“New…”項，輸入新的Zone的名稱（例 如“OutsideZone”），因為FirePower是基于區域的防火墻，所以必須創建對應的Zone。當然，在一個Zone中可以包含多個接口。在“IPv4”面板中的“IP Address”欄中輸入外網網段（例 如“200.101.1.10/24”），點擊“OK”按鈕完成該該接口的配置。

對 應 的，在“Gigabit Ethernet 0/1”接口的編輯窗口中“Name”欄中輸入其名稱（例如“Inside”），選擇“Enabled”項，在“Security Zone”列表中選擇“New…”項，輸入新的Zone的名稱（例如“InsideZone”），在“IPv4”面 板 中 的“IP Address”欄中輸入外網網段（例如“192.168.1.10/24”），點 擊配置頁面右上部的“Save”按鈕保存配置信息。在該FTD設備邊界界面的“Routing”面板左側選擇“Static Route”項，在右側點擊“Add Route”按鈕，在打開窗口中的“Interface”列表中選擇“Outside”項，在左側列表中選擇“any→ipv4”項，點擊“Add”按鈕將其導入進來。

在“Gateway”欄中輸入網關地址（例如“200.101.1.254”），點擊“OK”按鈕保存配置。僅僅在FMC創建和保存FTD的參數信息，對于FTD設備來說是沒有意義的，例如在FTD控制臺中執 行“show interface ip brief”命令，可以看到接口沒有任何配置信息。必須在FMC管理界面工具欄右側點擊“Deploy”按鈕，才可以將上述配置信息推送到FTD設備上并生效。當部署成功后，在FTD控制臺上執行“show running config route”命令，可以查看到預先配置的路由信息。

防御網絡攻擊行為

經過以上配置，僅僅是開啟了FirePower防火墻的路由功能，允許內部和外部的用戶可以通過FirePower防火墻進行訪問。為了防御來自外部的攻擊，需要在FMC管理界面工具欄打開上述“FTDPolicy”策略，在其所對應的“Default Action”列表中選擇“Access Control:BlockAll Traffic”項，禁止所有的流量。之后根據需要，來創建對應的控制策略。

例如在“Mandatory”欄中點擊“Add Rule”鏈接，在新建策略窗口中輸入其名 稱（例 如“PermitDns”），在“Action”列 表 中 選 擇“Allow”項，在“Ports”面板左側選擇“DNS_over_UDP” 項， 點 擊“Add to Destination”按鈕，將其添加進來。點擊“Add”按鈕，就可以放行所有的DNS流量。選擇該策略，在其右鍵菜單上點擊“Insert new rule”項，創建新的規則，輸入名稱（例如“FIleShare”），在“Zones”面板左側選擇“Outside”項，點擊“Add to Source”按鈕將其添加進來。

選 擇“Inside”項，點擊“Add to Destination”按鈕添加進來，則只允許來自外部訪問內部網絡。在“Networks”面板左側點擊“+”按鈕，在彈出菜單中選擇“Add Object”項，在打開窗口中輸入該對象的名稱（例如“wbwl”）， 在“Network”欄中輸入其地址范圍（例如“200.101.1.0/24”）， 點擊“Save”按鈕創建該對象。按照同樣方法，創建新的對象，輸入其名稱（例如“FIleServer”） 及 IP（例如某臺文件服務器，其地址為“192.168.1.109”）。 選擇 上 述“wbwl”對 象，點擊“Add to Source”按鈕，將其添加進來。選擇上述“FIleServer”對 象，點 擊“Add to Destination”按鈕，將其添加進來。

這樣，只有指定IP范圍的外部設備才可以訪問指定的內網主機，在“Ports”面板左側點擊“+”按鈕，在彈出菜單中選擇“Add Object”項，創建一個新的對象，輸入 其 名 稱（例 如“DK1”），在“Protocol”欄 中 選 擇“TCP”項，在“Port”欄中輸入“445”。之后選擇該對象，點擊“Add to Destination”按鈕，將其添加進來。這樣，就允許上述外部設備訪問內部指定主機的特定端口。

按照上述方法，創建新的規則，輸入其名稱（例如“ToInternet”），在“Zones”面板左側選擇“Outside”項，點擊“Add to Destination”按鈕，將其添加進來，選擇“Inside”項，點擊“Add to Source”按鈕，將其添加進來，則只內網主機訪問外部網絡。點擊工具欄上的“Deploy”按鈕，將其部署到FDT防護墻上。這樣，當外部用戶試圖對內部的主機進行滲透攻擊時，就會遭到FirePower防火墻的攔截，導致其會話無法建立，自然無法進行有效攻擊。當然，這里只是創建了很簡單的控制規則，在實際使用中可以根據需要，創建更加數量更多更加復雜的規則。

攔截反彈型網絡攻擊

為了突破防火墻的限制，黑客可能會使用反彈攻擊進行入侵。其特點是先連接到內部目標主機，之后由該主機主動和黑客主機進行連接，這樣就可能突破防火墻的限制。例如黑客攻擊了上述文件服務器，并其建立了連接，之后讓該服務器主動和黑客建立連接，這樣常規的控制方法就失效了。

為此可以使用FirePower防火墻的入侵防御機制，識別流量中的異常信息，來進行攔截。

在上述“ToInternet”規則右側點擊“編輯”按鈕，在打開窗口的“Inspection”面板中的“Intrusion Policy”列表中顯示自帶的策略，包括“Maximum Detection”（最大防御）、“Connectivity Over Secure”（連接優于防御）、“Balanced Security and Connectivity”（平衡安全和連接）、“Security Over Connectivity”（安全優于連接）等。您可以根據需要進行選擇，這里選擇“Security Over Connectivity”策略，主要突出安全性。

點 擊“Save”按 鈕，可以看到上述規則右側的主動防御圖標處于激活狀態。點擊“Deploy”按鈕，執行具體的部署操作。這樣，當黑客試圖執行反彈攻擊時，就會被防火墻識別并攔截。點擊工具欄上的“Analysis”→“Intrusions”→“Events”項，可以查看防火墻攔截的入侵行為。點擊對應的事件項目，可以查看詳細的報告信息。由此可以看出，僅僅擁有防火墻功能是不夠的，必須和IPS功能有效結合，才可以有效保證內部網絡的安全。

防御病毒入侵，保護數據安全

對于病毒等惡意軟件來說，會對網絡安全造成很大威脅。利用FirePower防火墻的防病毒功能可以有效進行防御。在FMC管理界面中點擊“Policies”→“Access Control” →“Malware &File”項，點擊“Add a new policy”鏈接，在新建策略窗口中輸入其名稱（例如“Antivirus”），點 擊“Save”按鈕創建該策略。對于這種策略來說，可以實現防病毒和放數據丟失雙重任務。對于后者來說，禁止將企業內部的重要數據傳輸到外部。

點 擊“Add Rule” 按鈕，在創建規則窗口中的“Application Protocol”列表中選擇合適的數據傳輸協議，在“Direction of Transfer”列表中選擇傳輸的方式，包括上傳、下載或所有方式等。在“Action”列表中選擇控制方式，包括檢測文件、阻止文件、云檢測和攔截病毒等。在“File Type Categories”列表中選擇文件的分類，在“File Type”列表中選擇具體的文件類型，點擊“Add”按鈕，添加合適的文件類型。例如禁止Word類型的文件傳輸等。

注意，FirePower判斷文件類型依據的是特征碼，即使更改了文件后綴也無法避開檢測。

對于FirePower等下一代防火墻來說，不僅使用特征碼分析文件類型，對于具體的應用來說，不再采用具體的端口進行判斷，是依據對應用特性和特征碼進行分析進行檢測的，和其究竟使用什么端口沒有關系。對于加密文件來說，如果壓縮的層級過多，或者使用了密碼保護的話，都會被防火墻攔截，并且會將其單獨保存起來，供之后進行分析之用。

這里主要介紹如何阻止惡意程序，所以在“Action”列表中選擇“Block Malware”項，對病毒進行攔截。在其下選擇分析引擎，包括分析EXE文件、動態分析、云端沙盒分析、本地分析等。

選 擇“Reset Connection”項，表示如果發現問題，則將目標會話踢掉。如果發現問題，可以在“Store Files”欄中選擇保存的文件類型，包括惡意軟件和位置文件等。在“File Type Categories”列表中選擇諸如Office文檔，壓縮文件?？蓤绦形募?，PDF文檔，系統文件等。

注 意，對 于“Dynamic Analysis Capable” 類 型來說，可以在云端進行分析。 選 擇“Local Malware Analysis Capable”項，只能在本地進行分析。點擊“Save”按鈕，保存該策略。

對于下一代防火墻來說，特點之一就是采用了單一策略管理機制，即對IPS、防病毒等策略必須在同一個訪問控制規則中被統一調用。在FMC中打開上述上 述“FTDPolicy” 策 略，在其編輯窗口中選擇上述“ToInternet”規 則，在 編輯界面中的“Users”面板中可以對用戶進行控制，在“Applications”面板中對應用進行控制，在“URLs”面板中對網址進行過濾。

在“Inspection”面板中的“File Policy”列表中選擇上述“Antivirus”策略，保存之后點擊工具欄上的“Deploy”按鈕，將其部署到FirePower防火墻上。

這樣，當內網用戶試圖訪問Internet上可疑文件（例如下載的文件件包含病毒等），就會防火墻直接攔截。當然，FirePower支持SSL卸載功能，可以攔截加密流量，這里限于篇幅就不再贅述了。點擊“Analysis” →“File”→“Malware Events”項，可以查看和惡意文件攔截相關的日志信息。