巧用自动化操作强化防火墙功能

■ 河南 许红军

编者按： 传统上企业使用防火墙防御内网安全，但这往往只能被动的进行防护，无法实现“主动出击”应对各种安全威胁。对于像FirePower等下一代防火墙来说，已经不再局限于被动防御，针对各种恶意行为的特点，其会采取各种策略主动的加以防御，巧妙化解形形色色的攻击行为。这里就分析了FirePower防火墙的一些自动化特性，来说明其如何实现灵活的防御功能。

利用自动发现，洞察内网信息

使用FirePower提供的Network Discovery功能，可以自动收集网络中和主机，应用以及用户数据信息相关的信息，让管理员对内网的情况了如指掌。

例如，可以发现诸如操作系统类型、主机流量、主机漏洞、应用流量、区域分类、攻击源头、攻击目标、攻击事件、攻击轨迹、攻击的详细信息等内容，从而可以实现应用分析、地体定位等实用功能。

在FMC管理界面的工具 栏 上 点 击“Policies”→“Network Discovery”项，可以看到默认已经激活了自动发现功能。但是默认的配置只是用来探测网络中的应用信息的。

在默认项的编辑窗口中选择“Host”和Users”项，激活针对用户和主机的分析功能。在“Networks”面板中可以设置需要监控的网段范围，默认针对整个内网。在“Zones”面板中定义需要监控的区域，在“Ports”面板中可以定义需要监控的端口。之后点击工具栏上的“Deploy”按钮，将其部署到FirePower防火墙上。

点击工具栏上的“Analysis”→“Hosts”→“Network Map”项，可以对内网进行扫描，在左侧的“Hosts”列表中按照和地址相关的编号，显示内网中的所有的主机信息。

例如选择“10”→“10.1”→“10.1.1.1”→“10.1.1.100”项，在右侧显示拥有该IP的主机的详细信息，包括主机名、MAC地址、上次检测到的时间、当前用户、设备类型、操作系统类型、使用的协议、活动的应用程序、网络连接信息，、最近下载的恶意软件、存在的漏洞等内容。

点 击“Scan Host” 按钮，可以对其进行扫描。点击工具栏上的“Analysis”→“Hosts”→“Applications”项，执行对应用的分析。在列表中显示所有可用的应用程序。点击工具栏上的“Analysis” →“Hosts” →“Hosts”项，执行对主机的分析等。

利用关联特性，对抗安全威胁

利用FirePower防火墙的关联特性，可以实时响应网络中的安全威胁。即当发生了某个网络攻击或者安全事件的时候，就可以关联一个规则，来对此进行有效的防御。

利用该特性，可以将各种操作进行有效关联，从而实现防火墙的自动化功能。例如在指定的网段（例 如“10.1.1.0/24”）中，当利用防火墙的Network Discovery功能发现新的主机后，随即对其进行NMAP扫描。这样，就可以将发现新主机和自动扫描功能关联起来。

登录FMC主机上，在其管理界面中点击工具栏上的“Policies”→“Actions”→“Modules”项，在列表中的“Nmap Remediation”项 右侧点击放大镜图标，在打开窗口中的“Configured Instances”栏中点击“Add”按钮，在“Edit Instances”窗口中输入其名称（例如“NewNmap”），点击“Create”按钮创建该实例。

在之后打开窗口中 的“Configured Remediations”栏 中 的“Add a new remediation of type”列表中选择“Nmap Scan”项，点击“Add”按钮，在扫描设置窗口中输入其名 称（例 如“NewScan”），在“Scan Which Address From Event?”列表中选择扫描的地址类型，包括源地址和目的地址、仅仅源地址、仅仅目的地址等，

这里选择“Scan Source Address Only”项，仅仅扫描目标主机的源地址。在“Scan Type”列表中选择扫描的类型，这里选择“TCP Connect Scan”项，表示执行TCP连接扫描。其余设置保持默认，点击“Create”按钮创建检测项。点击工具栏上的“Policies”→“Actions”→“Groups”项，点击右上角的“Create Group”按钮，在打开窗口中输入组名（例如“Group1”），选 择“Active”项及其激活。

在“Select Response for Group”列表中显示可用的所有行为项目，这里选择上面的的“NewScan”项，点击“>”按钮，将其添加到“Responses In Group”列表中。

当然，在该组中可以添加多个行为项目。当出现某个事件后，可以调用该组中的所有行为加以应对，点击“Save”按钮保存该组。点击工具栏上的“Policies”→“Correlation”项，在“Rule Management”面板中右侧点击“Creat Group”按钮，输入规则组的名称（例如“RuleGrp”），点击“Save”按钮创建该组。

点击“Create Rule”按钮，在规则编辑窗口中输入其名称（例如“Findhost”），在“Rule Group”列表中选择上述“RuleGrp”组，使其隶属于该组。在“Select the type of event for this rule”栏中的选择发生的事件类型，包括发生了一个入侵事件，发现新的设备，检测到用户活动，发生了某主机的输入事件，发生了一个连接事件，流量变化，病毒入侵等。

这里选择“a discovery event occurs”项，表示发现了一台新主机。在其右侧的列表中，选择“a new IP host is detected”项，表示检测到新的主机IP。在其下的列表中选择“IP Address”和“is in”项，为其设置合适的地址段（例如“10.1.1.10/24”）。最后，点击“Save”按钮，保存该规则设置。

上面的操作定义了发生的时间以及具体的应对行为，接下来需要将两者结合起来。

首 先， 在“Policy Management”面 板 中 点击“Create Policy” 按钮，输入策略的名称（例如“Policy1”），点 击“Add Rules”按钮，在打开窗口内右侧选择“Activate”项将其激活。

点击“编辑”按钮，在“Available Rules”窗口中的“rule_group”节点下选择上述名为“Findhost”规则项，点击“Add”按钮将其添加进来。在该项目右侧点击“Responses”按钮，在打开窗口中的“Unassigned Responses”栏中选择上述“NewNmap”组，将其添加到可用列表中。点击“Update”按钮完成更新。

这样，当检测到新的主机后，就会调用指定的扫描项目，对其进行安全检测。点击工具栏上的“Deploy”按钮，将其部署FirePower防火墙上。

当新的主机连入网络后，FirePower防火墙即可对其进行扫描，点击FMC管理界面右侧的绿色按钮，在打开窗口中的“Tasks”面板中显示扫描提示信息。

点击工具栏上的“Analy sis”→“Correlation”→“Corr elation Events”项，在关联事件窗口显示该主机的扫描信息，点击工具栏上的“Analysis”→“Hosts”→“Network Map”项，在左侧选择该新主机的IP项目，在右侧的“Scan Results”栏中显示扫描的结果信息，例如该机开启了哪些端口等。

配置合规白名单，实现严格管控

利用FirePower提供的合规性白名单功能，可以对目标主机进行严格的管控。例如可以规定其系统类型、允许安装的应用类型、允许发生的流量类型（例如只能产生HTTP流量）等，如果超出了规定的管控范围，就会触发报警或者其他控制行为。

例如，针对某Windows服务器创建合规白名单，如果收到白名单之外的流量时，就会触发Syslog报警，并将报警信息发送到指定主机上的Syslog日志数据库中。

在FMC管理界面中依 次 点 击“Policies”→“Actions”→ “Alerts”项，在打开窗口右上角点击菜单“Create Alert”→“Create Syslog Alert” 项， 在“Edit Syslog Alert Configuration”窗口中输入其名称（例如“Alert1”），在“Host”栏中输入运行Syslog服务的主机的IP（例如“192.168.1.200”），其余设置保持默认，点击“Save”按钮保存即可。

点击工具栏上的“Policies”→“Actions”→“Groups”项，点击右上角的“Create Group”按钮，在打开窗口中输入组名（例如“Alertgrp”），选择“Active”项及其激活。

在“Select Response for Group”列表中显示可用的所有行为项目，这里选择上述“Alert1”项，点击“>”按钮将其添加进来。点击工具栏上的“Polices”→“Correlation”项，在“White List”面板中右侧点击“New White List”按钮，在“IP Address”栏中输入目标主机IP（例如“192.168.1.100”）， 在“Netmask”栏中输入“32”，点 击“Add”按 钮 添 加 该主 机。 在“White List Information”栏中输入该白名单名称（例如“Wlist”），在左侧选择该主机，在右侧可以更改其名称（例如“Server1”）。

在左侧的“Allow Host Profiles”栏 点 击“+”按钮，在右侧输入该Profile的名称（例如“Profile1”），在“OS Vendor”列表中选择操作系统类型（例如选择“Windows 7、Server 2008 R2”）。如果选择“Allow all Application Protocols”项，允许所有的应用协议。当然，也可以单独指定协议，在该项右侧点击“+”按钮，在打开窗口中选择“”项，点 击“OK”按 钮，在“Type”列表中选择具体的协议类型。

选 择“Allow all Clients”项，允许所有的客户端。选择“Allow all Web Applications”项，则可允许所有的网页协议。当然，也可以单独指定所需的客户端和Web协议。

但要注意，不管以上如何选择，是没有ICMP协议的。

之后选择点击左侧的“Save White List” 按钮，完成保存该白名单配置信息。然后在“Policy Management”面板中点击“Create Policy” 按钮，并输入其名称（例如“WlistPolicy”），然后点击“Save”按钮保存该策略。

点 击“Add Rule” 按钮，按照上述方法，在“Available Rules” 窗 口中 的“White List Rules”栏 中选择“Wlist”项，点击“Add”按钮将其添加进来。在该项目右侧点击“Responses”按 钮，在 打开窗口中的“Unassigned Responses”栏中选择上述“AlertGrp”组，将其添加到可用列表中。点击“Update”按钮完成更新。

这样，就将该白名单和指定的组结合起来，当目标主机的行为超越了白名单管控的范围，就会触发指定组中的报警行为。

例如，当有人对该主机进行扫描时，因为产生的流量类型不符合白名单的范围，就会触发报警动作，并将其行为记录到SysLog服务器上。