Secpath安全设备Web与邮件过滤典型配置.doc

安全产品实验报告第一部分 Web 和邮件过滤1.1实验内容 防火墙Web 地址过滤、Web 内容过滤、SQL 注入攻击防范、邮件地址过滤、邮件主题过滤、邮件内容过滤、邮件附件过滤1.2实验目的由于大家会经常接到咨询内容过滤的问题，但由于操作手册及配置实例中解释稍欠详细，所以这次做了这个实验对一些配置中需要注意的地方特别在配置中标明。1.3Web和邮件过滤的介绍及原理 Web 和邮件过滤简介在传统的网络安全方案中，对网络攻击的防范主要针对于来自外部的各种攻击。但是随着网络在各行各业的普及，来自一个局域网内部的攻击也越来越多，这就要求网络设备能够应对构建安全内网的需求，需要增加内网安全特性。防火墙的Web 和邮件过滤功能可以阻止内部用户访问非法的网址或访问含有非法内容的网页，防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时，通过邮件告警功能，可以向网络管理员发送告警邮件，通知网络管理员采取相应措施。SecPath 防火墙还提供了对来自外部的SQL（Structure Query Language，结构化查询语言）注入攻击进行防范的功能。防火墙通过检查接收到的HTTP 报文中的HTTP 命令以判断其是否为对数据库的攻击，从而有效的保护网络中数据库的安全。 自己理解的原理Web和邮件过滤的实现是建立在aspf应用层传输层协议检测基础上的，状态防火墙ASPF（Application Specific Packet Filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。它能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。如上图所示，为了保护内部网络，一般情况下需要在安全网关上配置静态访问控制列表，以便允许内部网的主机的访问外部网络，同时拒绝外部网络的主机访问内部网络。但静态访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法正常建立。当在安全网关上配置了应用层协议检测后，ASPF 可以检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表（TACL）。状态表在检测到第一个外发报文时创建，用于维护了一次会话中某一时刻会话所处的状态，并检测会话状态的转换是否正确。临时访问控制列表的表项在创建状态表项的时候同时创建，会话结束后删除，它相当于一个扩展ACL 的permit 项。TACL 主要用于匹配一个会话中的所有返回的报文，可以为某一应用返回的报文在防火墙的外部接口上建立了一个临时的返回通道。而web和邮件过滤的原理就是，通过配置相应过滤关键字，打开对应的httpsnmptcp aspf应用检测，当数据包不和关键字匹配时动态的创建tacl建立临时通道，当关键字匹配时，不建立临时通道，以起到过滤功能。1.4实验设备 SecPath 1000F、SecEngine D200、s2016-ei1.5实验环境及组网 注：由于，公司对mac地址的限制，所以不能直接不能直接把防火墙连接到外网做过滤测试，所以我拿了一台支持web网管的设备作为web服务器做web测试，邮件过滤通过在和以前公司同事帮忙，在外网测试。1.6实验步骤1. 搭建网络环境，配置防火墙基本配置，设为透明模式，将相应接口加入区域，配置管理ip地址，确保下接pc能够正常访问web页面、发送邮件。2. 配置aspf策略，打开detect http，detect smtp ，detect tcp；配置web、邮件过滤命令。Quidwaydis cu# sysname Quidway# FTP server enable# dvpn service enable# firewall packet-filter enable# firewall url-filter host enable （使能Web 地址过滤功能） firewall url-filter host add deny （denypermit 添加web地址过滤地址） firewall url-filter parameter enable (使能SQL 注入攻击防范功能) firewall url-filter parameter add update (添加过sql注入过滤关键字) firewall url-filter parameter add select firewall url-filter parameter add insert firewall url-filter parameter add delete firewall url-filter parameter add drop firewall url-filter parameter add - firewall url-filter parameter add firewall url-filter parameter add exec firewall url-filter parameter add %27 firewall webdata-filter enable （使能Web 内容过滤功能） firewall webdata-filter load-file flash:/123 （装载Web 内容过滤文件） firewall webdata-filter add d200 （添加过滤关键字） firewall webdata-filter add 密码 （通过加载123文件得到的中文关键字） firewall smtp-filter rcptto enable （使能邮件地址过滤功能） firewall smtp-filter rcptto add deny （添加过滤地址） firewall smtp-filter subject enable （使能邮件主题过滤功能） firewall smtp-filter subject load-file flash:/321 （通过加载123过滤文件） firewall smtp-filter subject add password （添加过滤关键字） firewall smtp-filter subject add 华为 （通过加载123文件得到的中文关键字） firewall smtp-filter content enable （使能邮件内容过滤功能） firewall smtp-filter content add ar-18-20 （添加过滤关键字） firewall smtp-filter attach enable （使能邮件附件过滤功能） firewall smtp-filter attach add s6506 （添加过滤附件名）# firewall mode transparent （设置为透明模式/路由模式也可使用内容过滤） firewall system-ip # firewall statistic system enable#radius scheme system#domain system#local-user 123 password simple 123 service-type ftp#aspf-policy 1 （必须开启相应的aspf检测） detect http detect smtp detect tcp#interface Aux0 async mode flow#interface GigabitEthernet0/0 promiscuous firewall aspf 1 inbound （在接口应用aspf） firewall aspf 1 outbound#interface GigabitEthernet0/1 promiscuous firewall aspf 1 inbound firewall aspf 1 outbound#interface NULL0#interface LoopBack0 ip address #firewall zone local set priority 100#firewall zone trust add interface GigabitEthernet0/1 set priority 85#firewall zone untrust add interface GigabitEthernet0/0 set priority 5#firewall zone DMZ set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#user-interface con 0user-interface aux 0user-interface vty 0 4#return 3.访问以前可以访问的web网页并发送邮件，测试过滤是否生效，并打开调试命令查看。Quidwaydis firewall url-filter host all （显示每个关键字匹配的次数） Url host filter is enabled. Default method : permit. Url host filter has loaded file null , there are 1 item(s) in filter now.（显示没有加载过滤文件） There are 1 packet(s) be filtered. （显示一个符合过滤条件的报文被过滤） There are 76 packet(s) passed. （不符合过滤条件的有76个报文通过）Quidwaydis firewall url-filter host item-all （显示web地址过滤关键字） Quidwaydis firewall url-filter parameter cou de （显示sql过滤关键字及匹配次数） - update 0 select 0 insert 0 delete 0 （由于没有sql注入攻击工具没有进行测试匹配为0） drop 0 - 0 0 exec 0 %27 0Quidwaydis firewall webdata-filter all （显示Web 内容过滤信息） Webdata-filter is enabled. Webdata-filter has loaded file flash:/123 , there are 2 item(s) in filter now（显示123文件被加载）. There are 5packet(s) be filtered. （显示5个符合过滤条件的报文被过滤） There are 108 packet(s) passed. （显示108个不符合的报文通过）Quidwaydis firewall webdata-filter item-all （显示web内容过滤的关键字） d200 密码 Quidwaydis firewall smtp-f all （显示邮件所有过滤信息） Smtp-filter rcptto is enabled. （显示邮件地址过滤信息） Default method: permit. Rcptto has Loaded file null, there are 1 item(s) in filter now. There are 2 packet(s) be filtered. （显示有2个符合过滤条件的报文被过滤） Smtp-filter subject is enabled. （显示邮件主题过滤信息） Subject has Loaded file flash:/321, there are 2 item(s) in filter now. There are 0 packet(s) be filtered. Smtp-filter content is enabled. （显示邮件内容过滤信息） Content has Loaded file null, there are 1 item(s) in filter now. There are 0 packet(s) be filtered. Smtp-filter attach is enabled. （显示邮件附件名过滤信息） Attach has Loaded file null, there are 1 item(s) in filter now. There are 0 packet(s) be filtered. 当有满足过滤条件的报文被过滤后，系统会有相关的提示 %Jan 6 18:48:22:000 2010 Quidway SEC/5/HTTPFLT:web-filter type:Content Filt; from IP:00 ; begin time :2010/1/6 18:48:11; end time: 2010/1/6 18:48:15; total packets: 4;%Jan 6 18:48:52:000 2010 Quidway SEC/5/HTTPFLT:web-filter type:Content Filt; from IP:00 ; begin time :2010/1/6 18:48:25; end time: 2010/1/6 18:48:32; total packets: 2;中文显示%2010/1/6 18:49:22:000 Quidway SEC/5/HTTPFLT:网页过滤类型:网页内容过滤; 网页源IP地址:00 ; 开始时间 :2010/1/6 18:49:14; 结束时间: 2010/1/6 18:49:19; ?吮母鍪? 2;4.被过滤的web页面无法打开，被过滤的邮件内容，邮件没有发送成功，而没有包含过滤内容的web页面可以正常显示。5.实验配置中的经验总结5.1当被过滤的关键字是中文时,没有办法直接在vrp输入中文,这时可以用记事本 编辑一个包含中文关键字的文件,然后通过ftptftp导入flash中,然后用firewall url-filter host save-file | load-file file-namefirewall webdata-filter save-file | load-file file-namefirewall url-filter parameter save-file |load-file file-namefirewall smtp-filter rcptto save-file |load-file file-namefirewall smtp-filter subject save-file | load-file file-namefirewall smtp-filter content save-file | load-file file-namefirewall smtp-filter attach save-file | load-file file-name批量加载过滤文件,例如: firewall webdata-filter load-file flash:/123 （装载Web 内容过滤文件） firewall webdata-filter add d200 （添加过滤关键字） firewall webdata-filter add 密码 （通过加载123文件得到的中文关键字）5.2配置SQL 注入攻击防范时缺省情况下，系统预定义了以下关键字：select、insert、update、delete、drop、-、exec和%27。当执行firewall url-filter parameter add-default命令时，系统将自动添加以上这些缺省的关键字，方便了用户的输入，也防止用户无意中删除某些关键字，或者不恰当地使用firewall url-filter parameter clear 命令时可以很快地恢复缺省配置。5.3 URL-filter web地址过滤目前实现了对域名的过滤，不支持对IP地址的过滤。禁止的域名数量对性能影响较大，注意配置数目。目前可配置2K个 webfilter规则 所有过滤关键字匹配字串单词不分大小写。/据版本后期规划为区分大小写。在配置web内容过滤的时候,可以查考web页面的添加的Web 内容过滤关键字不能为HTML 语言的标记，例如、等等，否则合法的网页可能会被过滤掉5.4若要保存使用firewall url-filter parameter add 和firewall url-filter parameteradd-default 命令添加的关键字，必须使用firewall url-filter parameter save-file命令将关键字保存到过滤文件中，否则当前添加的关键字在防火墙下次启动时将丢失其他web域名过滤web内容过滤邮件各种过滤等都同上。5.5注意邮件各种过滤只是对发送的邮件进行过滤,防止网络内部保密资料外传(和公司邮件限制同理)邮件附件过滤只是对附件名进行过滤.第二部分 静态动态黑名单2.1实验内容动态、静态黑名单配置，熟悉防火墙防攻击检测及黑名单配置。黑名单，指根据报文的源IP 地址进行过滤的一种方式。同基于ACL 的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP 地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由SecPath 防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP 地址的攻击企图之后，通过主动修改黑名单列表从而将该IP 地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。2.2组网图 2.3配置步骤2.3.1静态手工加入黑名单# 配置客户机地址到黑名单表项中。Quidway firewall blacklist timeout 100# 使能黑名单功能。Quidway firewall blacklist enable经过以上配置，则在老化时间内（100 分钟），所有从客户机发出的报文都会被防火墙过滤掉。超过老化时间之后，该客户机的报文可以通过防火墙2.3.2动态加入黑名单dwaydis cu# sysname Quidway# FTP server enable# dvpn service enable# firewall packet-filter enable# firewall mode transparent firewall system-ip # firewall statistic system enable# firewall defend land firewall defend smurf firewall defend fraggle firewall defend winnuke firewall defend icmp-redirect firewall defend icmp-unreachable firewall defend source-route firewall defend route-record firewall defend tracert firewall defend ping-of-death firewall defend tcp-flag firewall defend ip-fragment firewall defend large-icmp firewall defend teardrop firewall defend ip-sweep max-rate 100 blacklist-timeout 1 (配置地址扫描攻击检测，配置最大扫描速率为100/包/秒，加入黑名单时间为1分钟。) firewall defend port-scan firewall defend arp-spoofing firewall defend arp-reverse-query firewall defend arp-flood firewall defend frag-flood firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable#radius scheme system#ystem#local-user 123 password simple 123 service-type ftp#aspf-policy 1 detect http detect smtp detect tcp#interface Aux0 async mode flow#interface GigabitEthernet0/0 promiscuous firewall aspf 1 inbound firewall aspf 1 outbound#interface GigabitEthernet0/1 promiscuous firewall aspf 1 inbound firewall aspf 1 outbound#interface NULL0#interface LoopBack0 ip address #firewall zone local set priority 100#firewall zone trust add interface GigabitEthernet0/1 set priority 85 statistic enable ip inzone statistic enable ip outzone#firewall zone untrust add interface GigabitEthernet0/0 set priority 5 statistic enable ip inzone statistic enable ip outzone#firewall zone DMZ set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#user-interface con 0user-interface aux 0user-interface vty 0 4#return 用扫描攻击软件在pc上扫描服务器测试，并打开调试信息查看当用扫描工具在内网进行测试时,显示一下提