实例解析FirePower防火墙安全管理机制

■ 河南 郭建伟

编者按：传统的防火墙面对不断出现的新威胁，已经逐渐变得力不从心难以从容应对，面对日益复杂的网络安全形势，以FirePower为代表的下一代防火墙应运而生。和传统的ASA等防火墙不同，FirePower等防火墙本地基本上是不可管理的，只能为其配置一个网管IP地址，同时需要配置一个FMC网管中心，添加FirePower防火墙IP地址，由FMC统一进行管理。

搭建简单的实验环境

对于硬件FirePower设备来说，也可以激活其自身的设备管理功能，对其进行图形化管理。但是这种管理方式同FMC统一管理相比存在很多不足，FMC可以在各个设备上统一监控和配置，统一收集各种信息，可以对于内网的设备进行渗透测试，实现高级的自动化管理。也就是说，使用独立的网管方式将缺失很多安全功能。这里使用简单的例子来说明如何配置FirePower防火墙。

在某款FirePower防火墙的G0/0接口连接外部网络，其 IP为 200.101.1.10。G0/1接口连接内部网络，内网网段为192.168.1.0/24，G0/1接口的IP为192.168.1.110，FirePower防 火 墙管理端口IP为192.168.1.105，FMC管理主机的IP为192.168.1.106。 对FMC进行管理的客户机的IP为192.168.1.107，内 网 中 一台Windows Server 2008作为DNS服务器使用，IP为192.168.1.200。

配置FMC主机，设置管理密码和主机名（如“fmc.xxx.com”），DNS地址、域名、管理IP（如“192.168.1.105”），网关地址等信息。在配置FirePower时需要设置底层的管理密码、设备的全域名（如“ftd.xxx.com”）、DNS 地址、网管口地址等信息，为便于FMC集中管理，不需选择本地网管功能，将防火墙模式设为路由模式。

登录到FirePower设备，输入用户名（默认为“admin”）和密码，在“>”提示符下执行“show network”命令查看网络配置信息。执行“configure network”命令，可根据需要配置所需参数。例如执行“configure network ipv4”命令可配置和IPv4相关参数，执行“show managers”命令，如果显示“No Managers configured”信息，说明未配置管理信息，FMC中将无法添加本设备。执 行“configure manager add 192.168.1.106 xxx”命令添加管理信息，其中“192.168.1.106”为FMC主机IP。“xxx”为FMC管理密码。

配置和管理FTD防火墙

在内网中的客户机上打开浏览器，访问“https://192.168.1.106”地址，在FMC登录界面中输入账户名和密码，进入FMC网管中心界面。

值得说明的是，新款思科设备使用的都是Smart License授权模式。Smart License授权是指授权必须和用户的思科账户相关联，点击工具栏上的“System” →“License” →“Smart License”项，点击“Register”按钮来获取授权。当然设备必须在线关联用户的思科账户，通过该账户得到所需的授权信息，即授权信息是在线获取的。

点击工具栏上的“Policies” →“Access Control” →“Access Control”项，默认访问策略是空的，点击“Add a new policy”链接，在新建策略窗口中的“Name”栏总输入策略的名称（例如“FTDPolicy”），其余设置保持默认，点击“Save”按钮保存该策略。在列表中域该策略对应的“Default Action”列表中选择“Access Control:Trust All Traffic”项，允许放行所有的流量。点击工具栏上的“Devices”项，在右侧点击“Add”→“Device”项，在打开窗口中的“Host”栏中 输 入“192.168.1.105”，即FTD的网管地址。在“Display Name”栏中输入其名 称（例 如“FTDDevice”），在“Registration Key” 栏中输入FMC管理密码，在“Access Control Policy”栏中选择上述访问策略。在“Smart License”栏中选择“Malware”，“Threat”，“URL Filter”项，开启防恶意软件，入侵防御，地址过滤等功能，点击“Register”按钮，将该设备注册上来。

选中该设备，在右侧点击“Edit”按钮，在属性窗口 中 的“Interfaces” 面板中显示其拥有的接口信息，点击“GigabitEthernet 0/0”接口，在编辑窗口中的“Name”栏中输入名称（例 如“Outside”），选 择“Enabled”项，在“Security Zone”列表中选择“New…”项，输入新的Zone的名称（例 如“OutsideZone”），因为FirePower是基于区域的防火墙，所以必须创建对应的Zone。当然，在一个Zone中可以包含多个接口。在“IPv4”面板中的“IP Address”栏中输入外网网段（例 如“200.101.1.10/24”），点击“OK”按钮完成该该接口的配置。

对 应 的，在“Gigabit Ethernet 0/1”接口的编辑窗口中“Name”栏中输入其名称（例如“Inside”），选择“Enabled”项，在“Security Zone”列表中选择“New…”项，输入新的Zone的名称（例如“InsideZone”），在“IPv4”面 板 中 的“IP Address”栏中输入外网网段（例如“192.168.1.10/24”），点 击配置页面右上部的“Save”按钮保存配置信息。在该FTD设备边界界面的“Routing”面板左侧选择“Static Route”项，在右侧点击“Add Route”按钮，在打开窗口中的“Interface”列表中选择“Outside”项，在左侧列表中选择“any→ipv4”项，点击“Add”按钮将其导入进来。

在“Gateway”栏中输入网关地址（例如“200.101.1.254”），点击“OK”按钮保存配置。仅仅在FMC创建和保存FTD的参数信息，对于FTD设备来说是没有意义的，例如在FTD控制台中执 行“show interface ip brief”命令，可以看到接口没有任何配置信息。必须在FMC管理界面工具栏右侧点击“Deploy”按钮，才可以将上述配置信息推送到FTD设备上并生效。当部署成功后，在FTD控制台上执行“show running config route”命令，可以查看到预先配置的路由信息。

防御网络攻击行为

经过以上配置，仅仅是开启了FirePower防火墙的路由功能，允许内部和外部的用户可以通过FirePower防火墙进行访问。为了防御来自外部的攻击，需要在FMC管理界面工具栏打开上述“FTDPolicy”策略，在其所对应的“Default Action”列表中选择“Access Control:BlockAll Traffic”项，禁止所有的流量。之后根据需要，来创建对应的控制策略。

例如在“Mandatory”栏中点击“Add Rule”链接，在新建策略窗口中输入其名 称（例 如“PermitDns”），在“Action”列 表 中 选 择“Allow”项，在“Ports”面板左侧选择“DNS_over_UDP” 项， 点 击“Add to Destination”按钮，将其添加进来。点击“Add”按钮，就可以放行所有的DNS流量。选择该策略，在其右键菜单上点击“Insert new rule”项，创建新的规则，输入名称（例如“FIleShare”），在“Zones”面板左侧选择“Outside”项，点击“Add to Source”按钮将其添加进来。

选 择“Inside”项，点击“Add to Destination”按钮添加进来，则只允许来自外部访问内部网络。在“Networks”面板左侧点击“+”按钮，在弹出菜单中选择“Add Object”项，在打开窗口中输入该对象的名称（例如“wbwl”）， 在“Network”栏中输入其地址范围（例如“200.101.1.0/24”）， 点击“Save”按钮创建该对象。按照同样方法，创建新的对象，输入其名称（例如“FIleServer”） 及 IP（例如某台文件服务器，其地址为“192.168.1.109”）。 选择 上 述“wbwl”对 象，点击“Add to Source”按钮，将其添加进来。选择上述“FIleServer”对 象，点 击“Add to Destination”按钮，将其添加进来。

这样，只有指定IP范围的外部设备才可以访问指定的内网主机，在“Ports”面板左侧点击“+”按钮，在弹出菜单中选择“Add Object”项，创建一个新的对象，输入 其 名 称（例 如“DK1”），在“Protocol”栏 中 选 择“TCP”项，在“Port”栏中输入“445”。之后选择该对象，点击“Add to Destination”按钮，将其添加进来。这样，就允许上述外部设备访问内部指定主机的特定端口。

按照上述方法，创建新的规则，输入其名称（例如“ToInternet”），在“Zones”面板左侧选择“Outside”项，点击“Add to Destination”按钮，将其添加进来，选择“Inside”项，点击“Add to Source”按钮，将其添加进来，则只内网主机访问外部网络。点击工具栏上的“Deploy”按钮，将其部署到FDT防护墙上。这样，当外部用户试图对内部的主机进行渗透攻击时，就会遭到FirePower防火墙的拦截，导致其会话无法建立，自然无法进行有效攻击。当然，这里只是创建了很简单的控制规则，在实际使用中可以根据需要，创建更加数量更多更加复杂的规则。

拦截反弹型网络攻击

为了突破防火墙的限制，黑客可能会使用反弹攻击进行入侵。其特点是先连接到内部目标主机，之后由该主机主动和黑客主机进行连接，这样就可能突破防火墙的限制。例如黑客攻击了上述文件服务器，并其建立了连接，之后让该服务器主动和黑客建立连接，这样常规的控制方法就失效了。

为此可以使用FirePower防火墙的入侵防御机制，识别流量中的异常信息，来进行拦截。

在上述“ToInternet”规则右侧点击“编辑”按钮，在打开窗口的“Inspection”面板中的“Intrusion Policy”列表中显示自带的策略，包括“Maximum Detection”（最大防御）、“Connectivity Over Secure”（连接优于防御）、“Balanced Security and Connectivity”（平衡安全和连接）、“Security Over Connectivity”（安全优于连接）等。您可以根据需要进行选择，这里选择“Security Over Connectivity”策略，主要突出安全性。

点 击“Save”按 钮，可以看到上述规则右侧的主动防御图标处于激活状态。点击“Deploy”按钮，执行具体的部署操作。这样，当黑客试图执行反弹攻击时，就会被防火墙识别并拦截。点击工具栏上的“Analysis”→“Intrusions”→“Events”项，可以查看防火墙拦截的入侵行为。点击对应的事件项目，可以查看详细的报告信息。由此可以看出，仅仅拥有防火墙功能是不够的，必须和IPS功能有效结合，才可以有效保证内部网络的安全。

防御病毒入侵，保护数据安全

对于病毒等恶意软件来说，会对网络安全造成很大威胁。利用FirePower防火墙的防病毒功能可以有效进行防御。在FMC管理界面中点击“Policies”→“Access Control” →“Malware &File”项，点击“Add a new policy”链接，在新建策略窗口中输入其名称（例如“Antivirus”），点 击“Save”按钮创建该策略。对于这种策略来说，可以实现防病毒和放数据丢失双重任务。对于后者来说，禁止将企业内部的重要数据传输到外部。

点 击“Add Rule” 按钮，在创建规则窗口中的“Application Protocol”列表中选择合适的数据传输协议，在“Direction of Transfer”列表中选择传输的方式，包括上传、下载或所有方式等。在“Action”列表中选择控制方式，包括检测文件、阻止文件、云检测和拦截病毒等。在“File Type Categories”列表中选择文件的分类，在“File Type”列表中选择具体的文件类型，点击“Add”按钮，添加合适的文件类型。例如禁止Word类型的文件传输等。

注意，FirePower判断文件类型依据的是特征码，即使更改了文件后缀也无法避开检测。

对于FirePower等下一代防火墙来说，不仅使用特征码分析文件类型，对于具体的应用来说，不再采用具体的端口进行判断，是依据对应用特性和特征码进行分析进行检测的，和其究竟使用什么端口没有关系。对于加密文件来说，如果压缩的层级过多，或者使用了密码保护的话，都会被防火墙拦截，并且会将其单独保存起来，供之后进行分析之用。

这里主要介绍如何阻止恶意程序，所以在“Action”列表中选择“Block Malware”项，对病毒进行拦截。在其下选择分析引擎，包括分析EXE文件、动态分析、云端沙盒分析、本地分析等。

选 择“Reset Connection”项，表示如果发现问题，则将目标会话踢掉。如果发现问题，可以在“Store Files”栏中选择保存的文件类型，包括恶意软件和位置文件等。在“File Type Categories”列表中选择诸如Office文档，压缩文件。可执行文件，PDF文档，系统文件等。

注 意，对 于“Dynamic Analysis Capable” 类 型来说，可以在云端进行分析。 选 择“Local Malware Analysis Capable”项，只能在本地进行分析。点击“Save”按钮，保存该策略。

对于下一代防火墙来说，特点之一就是采用了单一策略管理机制，即对IPS、防病毒等策略必须在同一个访问控制规则中被统一调用。在FMC中打开上述上 述“FTDPolicy” 策 略，在其编辑窗口中选择上述“ToInternet”规 则，在 编辑界面中的“Users”面板中可以对用户进行控制，在“Applications”面板中对应用进行控制，在“URLs”面板中对网址进行过滤。

在“Inspection”面板中的“File Policy”列表中选择上述“Antivirus”策略，保存之后点击工具栏上的“Deploy”按钮，将其部署到FirePower防火墙上。

这样，当内网用户试图访问Internet上可疑文件（例如下载的文件件包含病毒等），就会防火墙直接拦截。当然，FirePower支持SSL卸载功能，可以拦截加密流量，这里限于篇幅就不再赘述了。点击“Analysis” →“File”→“Malware Events”项，可以查看和恶意文件拦截相关的日志信息。