引言
我们写了,写了,我们的手指累了。 为什么我们突然决定从这对儿童对联开始? 一切都非常简单。 在本文中,我们想向读者介绍我们最先进的网络安全解决方案-Zyxel ATP系列防火墙的功能。 例如,选择了生产线的中间模型-ATP500。 基于此,我们计划不仅要对整个防火墙系列的功能进行高质量的描述,而且还要通过在执行最典型的用户筛选操作时测量设备的性能来共享测试结果。 在查看了所获得的材料的数量之后,我们决定将文本分为两篇甚至三篇文章:今天我们将描述主要的安全功能,并熟悉设备设置,并将所有测量和设计推迟到下一次发布。
材料的数量与Zyxel防火墙提供的多级保护功能的数量有关:沙盒代码执行,机器学习,当前威胁云的使用,入侵防御系统,用于应用程序和Web的安全系统等等-更多。
因此,让我们开始吧!
更新资料
在开始讨论与设备功能相关的问题之前,我们想再次提醒读者,不仅需要及时更新防病毒签名数据库,而且需要及时更新设备本身的固件。 对于安全设备,这非常重要,因为新版本的固件不仅可以修复固件代码中的潜在漏洞,而且可以扩展功能并增加用户流量检查的数量和质量。 使用“ SERVICE”菜单的“ File Manager”项目的“ Firmware Management”选项卡更改固件版本。
设备上一次有两个固件:当前固件和备份固件。 如果在固件更新期间出现问题,则管理员可以轻松地返回到固件的先前(显然可以正常工作)的版本。 我们在这里没有发明两个固件的轮子,这是该级别大多数设备的标准方法。
更新本身可以手动,半自动和全自动完成。 每个管理员都可以选择最适合他的更新模式。 例如,可以在网络负载最小的时间内(例如,在晚上或周末)根据计划自动更新远程办公室的防火墙,而对于在关键网段中更新防火墙,则可以采用手动更换固件的方法。
在固件升级过程中,设备需要重启。 这是替换微代码的非常标准的方法。 在重新启动期间,很明显防火墙无法转发用户流量。 这是否意味着在重新引导期间用户将无法访问网络? 当使用单个防火墙时,可以,服务中断的持续时间将大致对应于ATP重新启动时间。 显然,重新启动设备所需的时间取决于许多因素,例如操作系统的版本,所包含的服务数量,硬件平台等等。 在撰写本文时,我们使用默认配置和最新固件版本测量了ATP500型号的启动时间。
加载时间为138秒,即大约两分之四分钟。 就像我们在一开始就承诺的那样,本文不再赘述!
值得注意的是,如果使用高可用性工具构建网络,则服务中断将大大缩短。 相应的设置在“配置”菜单的“设备备份”项目中可用。
Zyxel ATP系列防火墙不仅支持固件的两个副本,还支持多个配置文件。 是的,当然,这并不直接适用于更新固件和签名的过程,但是我们只能这样说。 管理员始终可以回滚到以前的设置版本。
为了使许多服务正常运行,例如防病毒扫描,应用程序监视,僵尸网络过滤器和入侵防御系统,有必要拥有包含有关恶意软件信息的最新签名数据库。 您可以使用“配置”菜单的“许可”组中的“签名更新”项执行半自动更新或设置自动更新的时间表。
在本节结束时,我们想吸引读者注意“配置”菜单的“系统”组的“日期/时间”项。 管理员可以使用此项目设置时间同步参数。 很难高估这种同步的重要性。 这与使用日记信息(日志)的便利无关。 首先,日期和时间会在设备上配置的所有计划中使用。
我们认为,由于防火墙的固件更新,因此没有管理员愿意在工作日中间意外重启设备。 但是,更重要的是检查用户从受保护网络访问的那些服务器的HTTPS证书的有效时间。
现在我们来考虑特定的网络安全功能。
异常现象
Zyxel ATP系列防火墙可让您检测传输数据中的异常并阻止此类流量。 但是这些异常类型可以检测ATP吗? 这里只是几个例子。 也许,任何网络管理员都会同意,某些主机的端口扫描当然不能归因于典型的流量,当然,很少有例外。 各种虚假(洪水)流量的出现也属于这种类型的异常。 每个网络和传输(TCP / UDP / ICMP)协议都有其自己的异常集。 因此,例如,在IP协议的异常中,可以注意到片段重叠,并且对于TCP,Header Length字段保留(未使用)值-该字段的最小值为5。
您可以使用“配置”菜单的“安全策略”组的“ ADP”项的“基本设置”选项卡,启用或禁用检查来自特定安全区域的流量。 此处,异常检测配置文件链接到该区域。
配置文件本身在同一菜单项的“配置文件”选项卡上进行管理。
对于每个配置文件,您可以选择要检测的流量异常以及检测后要采取的措施。
从发现最简单的异常开始,让我们继续对流量进行更深入的研究。
政客
配置菜单的“安全策略”组的“策略”项使管理员能够管理应用于通过防火墙的用户数据的流量过滤策略。
应当指出,存在对非对称路由的支持。 对于大型和复杂的网络,可能需要这种支持。 但是,相当标准的建议适用于此,即应尽可能避免非对称路由。
要应用该策略,可以根据以下标准选择流量:数据发送方和接收方的区域,发送方和接收方的IP地址,调度,经过身份验证的用户以及某些服务的流量。 您可以同时创建多个策略。 依序执行检查流量是否符合策略条款的操作。 应用第一个匹配策略。
可以将遵循特定处理策略的流量传输到以下机制进行处理:应用程序巡逻,内容过滤和SSL检查。 我们将进一步详细介绍每种列出的机制。
会话控制
当然,限制会话数的能力与保护网络免受各种恶意软件的感染没有直接关系。 但是,在防火墙上的负载过大的情况下(例如,发生DDoS攻击时),此功能很有用。 通常,来自一台或几台主机的同时打开的连接数量急剧增加(相对于初始水平-基线)可能间接表明在活动阶段出现了新的危险代码。 限制允许的会话数将稍微减少感染的传播,例如,如果设备已成为僵尸网络的一部分; 或减轻她的伤害
在“配置”菜单的“安全策略”组的“会话控制”项中配置常规限制。 对于IPv4和IPv6,流量限制是独立施加的。
可以为每个具有特定IP地址的用户或设备分别设置最大会话数。
尽管限制活动会话的最大数量通常会对感染或攻击的整体情况产生积极影响,但我们还是建议针对每种特定情况使用专用工具。
应用巡逻
该服务的签名数据库包含有关数千种不同应用程序和在线服务的信息。 此外,应用程序签名数据库会定期更新,从而使管理员能够过滤越来越多的服务流量。
通过在“配置”菜单的“安全服务”组的“应用程序巡逻”项中设置适当的配置文件,可以执行知名应用程序的流量控制。
每个概要文件都包含一个应用程序列表以及需要对其执行的操作。 也许值得解释一下放置动作和拒绝动作之间的区别。 如果选择丢弃选项,数据包将被丢弃而不会发送任何通知,而拒绝选项还将发送一条有关丢弃数据包的消息。
现在考虑内容过滤的可能性。
内容过滤
内容过滤允许管理员控制对某些网站或包含某些数据的资源的访问。 内容过滤策略可以与时间相关联,这就是为什么预先配置与NTP服务器的时间同步仍然很重要的原因。 通过应用策略计划,您可以阻止员工在工作时间内访问某些资源(例如,社交网络),反之亦然,以允许其在工作日结束后或午餐期间访问。
当然,不同的员工需要访问不同类型的信息。 例如,人力资源员工应始终使用相同的社交网络,因为他们使用这些网站执行其直接职责。
在“配置”菜单的同一组“安全服务”的页面上配置内容过滤。
创建或更改内容过滤配置文件时,您可以立即检查特定资源所属的类别。
值得注意的是,筛选配置文件不仅确定允许或禁止用户访问的站点,而且还允许允许网页的哪些元素(Active X,Java,Cookie,Web代理)。 另外,访问阻止可以通过关键字来完成。
自然,管理员有机会明确允许或拒绝访问某些资源,无论它们属于什么类别。 相应的设置在“受信任的网站”和“禁止的网站”选项卡上可用。
限制员工访问某些类别的站点是保护本地网络免受恶意软件攻击的预防措施之一。
恶意软件防护
防病毒流量扫描可能是Zyxel ATP系列防火墙提供的最有趣和最受欢迎的选项之一。 立即值得一提的是,我们正在谈论检查以下协议:在标准端口上工作的HTTP,FTP,POP3和SMTP。 是否会检查HTTPS流量? 是的,如果您激活SSL检查选项,它将在后面讨论。
那么可以检测到哪些类型的恶意软件? 病毒是恶意代码,旨在破坏或更改其他软件产品和/或操作系统的功能。 蠕虫是一种自我传播的病毒,可利用已安装的软件或操作系统中的漏洞。 间谍软件旨在跟踪用户,他们拦截通信,输入的命令,密码等。
无论恶意软件的类型如何,防病毒扫描模块都会计算文件或其部分的哈希总和,并将其与位于防火墙上的数据库进行比较。 这就是为什么能够定期更新已知病毒签名的数据库如此重要的原因。 目前,使用MD5算法执行哈希计算。 值得注意的是,内置的防病毒模块甚至可以检测多态病毒。
您可以使用“配置”菜单的“安全服务”组中的“反恶意软件保护”项来更改反病毒保护设置。
关于可用设置,也许应该说几句话。 如果管理员需要检查防病毒模块的功能,则可以使用测试“病毒” EICAR,它是ASCII字符的常规文本字符串。 这条线如下图所示。 为了避免Zyxel ATP用户受到防病毒保护的误报,我们特意以非文本格式发布该文档。
所有传输的文件即使已存档,也要进行防病毒扫描。 管理员可以启用或禁用ZIP和RAR存档的验证。
另外,使用“云查询”选项,防火墙可以将哈希量发送到云以与云数据库进行比较。 仅当本地数据库不包含有关正在检查的文件的信息时,才执行这种检查。
在这个地方,我们好奇的读者可能会问一个合理的问题,即在存在本地签名数据库的情况下为什么需要访问云。 我必须说,这个问题是非常合理的。 答案非常简单:本地防火墙数据库虽然经常更新,但仍然不是实时的。 在将更新的恶意软件的主体发送到受保护的网络时,防火墙签名的本地数据库中可能尚未包含任何新的病毒修改。 在这种情况下,云服务将抢救起来,其中包含最完整的一组不断更新的签名集。 不仅可以由防病毒专家手动添加云签名,还可以使用称为沙箱的机制添加云签名,我们将在以下部分之一中进行讨论。
但是我们在说什么时间间隔? 病毒签名数据库每小时最多更新一次。 分析新的未知恶意软件所花费的时间不超过15分钟。 因此,连接访问云防病毒数据库的功能可以使您从十几分钟到几小时的宝贵时间中获胜。
管理员可以手动指定允许或禁止传输的文件黑白列表。
如果我们没有提到使用同一菜单项的“签名”选项卡执行的在签名数据库中搜索信息的可能性,那么有关防病毒模块的故事将无法完成。
至此,我们结束了对Zyxel ATP对传输文件进行防病毒扫描的功能的讨论,然后继续讨论阻止僵尸网络。
僵尸网络过滤器
我们以经典定义开始本节:僵尸网络是受远程控制的受感染计算机的网络。 这个定义早已过时。 在现代世界中,它需要大大扩展,因为不仅可以感染和管理个人计算机,服务器和笔记本电脑,而且可以感染和管理平板电脑和手机,网络摄像头,路由器,咖啡机,冰箱,机器人吸尘器和许多其他小工具我们自愿让他们进入我们的房子。 受到灯泡或空调的袭击感觉如何? 不幸的是,许多网络管理员对于由家用电器和类似设备组成的僵尸网络轻描淡写。 , . – . , , , . , .
. (C&C servers) . p2p -, .
Zyxel的僵尸网络过滤服务使您可以阻止受保护的网络与管理服务器之间的所有连接,或使用僵尸网络的已知IP地址进行阻止。如有必要,管理员可以独立选择应使用的锁。相关设置收集在“配置”菜单的“安全服务”组的“僵尸网络过滤器”项目中。值得一提的是,尽管仅僵尸网络过滤服务可能无法保护您免受恶意软件感染,但它将阻止您的节点随后可能参与僵尸网络。也许值得注意另一个微妙的地方。在僵尸网络的帮助下,通常会进行DDoS攻击-一种旨在拒绝服务的分布式攻击。尽管使用该选项来过滤僵尸网络,管理员仍可以保护用户工作站和其他设备免于参与地理分布的僵尸网络,但这不能完全保护受保护的网络免受来自外部的DDoS攻击。也就是说,尽管节点本身不会参与DDoS攻击,但是在对公司的公共资源进行外部DDoS攻击时,可能需要与提供商完全不同的保护设备和支持。因此,例如,如果没有具有出色连接性和宽上行链路的高级提供商的参与,就无法击败大规模的体积攻击。但这是一个完全不同的故事。Zyxel ATP . « » .
, Zyxel , , .
Zyxel ATP . , .
, , . ATP500 .
, , - 113503. , , .
我们还开始从WAN接口扫描开放的TCP和UDP端口。有关此类扫描的信息必定会出现在防火墙日志中。就像我们在文章开头承诺的那样,这次我们将不会共享任何测试结果,这似乎使我们有些措手不及。总之,回到可能性的描述。沙盒
最小设置,最大收益。这样的东西可以描述我们的新服务-沙箱(sandbox)。服务的含义是什么?-检测新的(0天,0天)威胁,从一开始就阻止它们的传播,从而压垮芽中的感染。使用相同名称的菜单项配置沙箱操作参数。有时,某个特定文件包含新版本(尚未研究)的恶意软件或全新病毒。由于它对杀毒产品的新颖性和模糊性,感染最初可能以惊人的速度传播。当有关此威胁的信息进入防病毒数据库时,可能为时已晚-许多设备将被感染。显然,对付这种流行病最简单的方法是在一开始,而其影响的后果却没有那么广泛。沙盒服务追求的正是这些目标-减少病毒无法识别的时间。但是,如何发现未开发的恶意软件呢?这个问题的答案非常简单-启动并观察动作。不,当然,这绝对不值得在您的工作站上进行;因此,Zyxel软件会在隔离的环境中启动可疑文件:ATP系列防火墙会分析传输的文件,如果检测到任何可疑代码,则将此文件发送到制造商的云实验室进行进一步分析。在云中,该文件被隔离,启动并进一步自动调查。研究结果将报告给发送设备,并在必要时输入已知病毒特征码的数据库。这种方法可最大程度地缩短检测时间并保护受攻击的网络。被感染,危险,可疑的对象可以通过完全不同类型的文件进行传输。它可以是普通的可执行文件,档案,办公文档或PDF文件。Zyxel ATP防火墙使管理员可以选择要搜索可疑代码的文件类型并指定要采取的措施。对于自动行为研究,发送的文件大小从32字节到8兆字节不等。云服务最多需要15分钟才能完成并全面分析从防火墙接收到的可疑数据。电邮安全
. , . Zyxel ATP : POP3 SMTP. .
, , , Zyxel ATP ( HTTP/HTTPS ), ( POP3/SMTP ).
, HTTP/HTTPS . , ATP .
IMAP, , SMTP.
« » « » «». , , , .
黑名单和白名单使您可以考虑电子邮件标题,邮件地址和服务器地址的各个字段。理想的解决方案是将邮件服务器托管在DMZ中,该服务器可使用POP3和SMTP协议进行访问。在这种情况下,Zyxel ATP防火墙将检查服务器与Internet之间以及用户与服务器之间的邮件流量。在这种情况下,有可能防止恶意消息在公司内部传播并使用防火墙的最大功能。SSL检查
. , «» – . Let's Encrypt HTTPS 80% (https://letsencrypt.org/stats/#percent-pageloads) HTTP . , Firefox.
加密使上述检查的重要部分变得毫无意义,这仅仅是因为所有防御机制都看不到正在传输的实际数据。但是,Zyxel ATP系列防火墙为管理员提供了对传输数据进行解密以进行验证的功能。使用CONFIGURATION菜单的Security Service组的SSL Inspection项目的Profile选项卡,管理员可以管理加密流量的检查配置文件。Zyxel ATP -, , , , .
, « SSL» . «» « ».
, . « » .
, , . , .
使用“配置”菜单的“对象”组中的“证书”项可以访问证书本身。例如,在管理员希望将Zyxel ATP连接到现有公司证书颁发机构的情况下,此项目将很有用。现在,我们转向统计信息收集服务。统计资料
事件日志记录和统计信息收集需要其他处理器资源。而且,尽管在网络设备资源严重短缺的网络中,禁用统计信息收集会稍微增加可用带宽;在这种情况下,管理员将没有足够的监视工具,也将无法找出网络上到底发生了什么。因此,我们强烈建议不要紧急禁用所使用的安全工具的统计信息。使用“监视”菜单的“安全系统统计信息”组中的项目执行统计信息的管理和查看。尽管我们承诺今天不谈论测试,但我们不禁要与读者分享一个Zyxel ATP500保护小型局域网的示例。, , Zyxel; - - ? - : , - . , – – Zyxel SecuReporter. , , . .
至此,本节结束并进行总结。结论
在本文中,我们试图足够详细地描述Zyxel ATP系列防火墙的功能。 当然,该说明并不涉及所有设备功能,而仅涉及与网络保护和检查用户流量相关的危险指令相关的功能。
由于大量的各种功能为网络外围提供了全面的保护,因此该材料非常繁多。 当然,Zyxel ATP防火墙也可以用于过滤Intranet通信,但是,正如我们在一开始所承诺的,我们将所有拓扑问题放在单独的文章中。
我们还决定与读者分享我们在不久的将来的计划,并提供一些小内幕消息。 因此,为方便网络管理员,计划引入Zyxel ATP网络安全设备对我们的Zyxel Nebula云管理系统的支持。 这种支持将允许统一执行网络设备的集中管理任务。 在具有许多小型分支机构和远程办公室的地理分布网络中,将特别需要这种系统。 Zyxel防火墙的用户知道我们已经有了Cloud CNM集中式管理系统,但是该系统仅允许您管理安全设备。 对于Zyxel Nebula,管理员将能够控制各种各样的设备。
因此,Zyxel ATP系列防火墙为管理员提供了基于最新解决方案和技术的多种多样的网络安全方法。 多层次的流量检查系统将使攻击者无法成功,从而使公司具有不断提供服务和开展业务的能力。
如果您对Zyxel公司网络设备的运行有疑问,需要建议或支持-欢迎来到我们的电报聊天室 :@zyxelru