趋势入侵防御防火墙(IDF)功能介绍与应用测试报告.pdf

趋势入侵防御防火墙(IDF)功能介绍与应用测试报告目录IDF 产品简述.4安装部署：.41、OFFICESCAN10.6服务器插件 IDF（入侵防御防火墙）的安装：.42、客户端 IDF 插件安装部署：.5防火墙应用与测试案例：.9阻止域外非 XXX 内网外联：.9阻止域外文件共享和打印：.19小结：.23DPI 虚拟补丁测试 .23应用程序控制测试.24文档信息：版本记录：版本编号版本日期创建者/修改者说明1.0 2013-10-16 陈锦永文档说明：文档属性内容项目/任务名称项目/任务编号文档名称趋势入侵防御防火墙(IDF)功能介绍与应用测试报告文档版本号1.0 文档状态正式制作人陈锦永保密级别秘密管理人制作日期2013-10 复审人复审日期扩散范围内部使用IDF 产品简述趋势科技 IDF产品是一款适用于防毒墙网络版OfficeScan入侵防御防火墙高级入侵防御系统。它为安全防御体系中提供了最后一道且效果极佳的防线，可抵御利用商用和定制软件（包括Web 应用程序）中的漏洞进行的攻击、可有效的定义给予主机的防火墙规则（包括违规外联控制、阻止域外文件共享和打印）等功能；通过入侵防御防火墙(IDF)，您可以创建并执行主动式保护敏感数据、应用程序、计算机或网段的各种安全策略。如：通过规则保护漏洞（系统与应用程序）不受已知和未知攻击。每个规则定义预期的应用程序数据并根据其内容阻止恶意数据；通过检查已知应用程序流量，可根据需求进行应用程序限制；持续IDF 规则更新，自动提供最新的全面防护，抵御已知、未知的攻击；完善双向状态防火墙对所有网络通讯协议（TCP/UDP/ICMP)全面支持，防火墙可完全配置，以每个接口为基础允许或者拒绝网络通信，限制对允许的IP或者 MAC通信；分析通信中上、下文数据包的连接状态的正确性，可以防DDoS、SYN攻击、防御应用层攻击、SQL 脚本注入及Cross-site跨网站程序代码改写的攻击。安装部署：1、officescan10.6服务器插件IDF（入侵防御防火墙）的安装：登陆 officescan10.6 WEB 控制台，选择左边最下面的“插件管理器”，在“插件管理器”页面中的“入侵防御防火墙”有两按纽：“管理程序”和“下载”，下载安装完成后“下载”按纽将自动变为“卸载”，如下图：2、客户端 IDF 插件安装部署：服务器下发部署方式：1)通过 IDF控制台，点击相应的OfficeScan客户端进行直接的下发部署登陆 officescan10.6 WEB 控制台，选择“插件管理器”，在右侧的“入侵防御防火墙”页面中点击“管理程序”，进入 IDF插件管理，如下图：注：IDF控制台默认可以自动读取OfficeScan 控制台的客户端信息2)点击计算机选择需要部署的客户端（可以单选或多选）处理措施部署客户端插件；3)等待片刻后，控制台将会显示客户端已受管理，即部署完成。客户端IDF插件安装完成后“状态”将显示“被管理（联机）”，如下图：客户端离线安装部署方式：1)IDF 客 户 端 离 线 安 装 包 存 放 在officescan服 务 器 的C:Program FilesTrend MicroOfficeScanAddonIntrusion Defense FirewallClientproductchs中，有 32 位系统（IdfClientPlugin_i386.zip）和 64 位系统（IdfClientPlugin_x86_64.zip）两种安装包，将 IDF离线安装包文件复制到需要部署的OfficeScan 客户端上；2)解压后双击安装包程序即可自动完成安装；3)程序将会自动安装，安装完毕后IDF控制台即可看见该客户端信息。检查 IDF客户端是否安装成功：1、在客户端上右击officescan 图标中的“插件管理器”可确认IDF（入侵防御防火墙）插件是否安装成功：2、打开网卡本地连接属性，可以看到新增了一个驱动“Trend Micro DSA Filter Driver”：3、客户端IDF（入侵防御防火墙）插件安装完成后即可通过officescan 控制台中的插件管理器对客户端进行管理，点击计算机选择需要部署的客户端（可以单选或多选）处理措施中可进行多项管理操作，如“部署客户端插件”、“移除客户端插件”、“激活/重新激活”、“停用”等，如下图：防火墙应用与测试案例：阻止域外非XXX 内网外联：需求：防止行内计算机在域外通过非法违规途径（如3G 上网卡、无线网卡等）连接外网，加强管控行内计算机信息安全和病毒感染风险策略部署：先在 IDF 控制台组件IP 列表中新建一个IP 列表“XXX”，将 XXX内网的 IP 信息添加进去，如下图：在 IDF控制台防火墙防火墙规则中新建以下6 条规则：1、阻止域外非XXX内网外联传入：设置操作为：拒绝优先级：0-最低数据包流向：传入帧类型：IP 协议：任何数据包源和数据包目标均选“IP 列表”，在右则的下拉列表中选已设好的“XXX”IP列表（可点击“编辑”按扭编辑修改IP列表），再勾选最右则的复选框“非”。这条规则的作用就是拒绝非“XXX”IP列表的任何数据包传入。2、阻止域外非XXX内网外联传出：设置操作为：拒绝优先级：0-最低数据包流向：传出帧类型：IP 协议：任何数据包源和数据包目标均选“IP 列表”，在右则的下拉列表中选已设好的“XXX”IP列表（可点击“编辑”按扭编辑修改IP列表），再勾选最右则的复选框“非”。这条规则的作用就是拒绝非“XXX”IP列表的任何数据包传出。3、允许 XXX内网连接传入：设置操作为：强制允许优先级：4-最高数据包流向：传入帧类型：IP 协议：任何数据包源选“IP 列表”，在右则的下拉列表中选已设好的“XXX”IP列表。这条规则的作用就是强制允许“XXX”IP列表的任何数据包传入。4、允许 XXX内网连接传出：设置操作为：强制允许优先级：4-最高数据包流向：传出帧类型：IP 协议：任何数据包源选“IP 列表”，在右则的下拉列表中选已设好的“XXX”IP列表。这条规则的作用就是强制允许“XXX”IP列表的任何数据包传出。5、允许 DHCP传入：设置操作为：强制允许优先级：4-最高数据包流向：传入帧类型：IP 协议：任何数据包源选“IP 范围”，源 IP“0.0.0.0”，目标 IP“255.255.255.255”。这条规则的作用是强制允许DHCP数据包传入。6、允许 DHCP传出：设置操作为：强制允许优先级：4-最高数据包流向：传出帧类型：IP 协议：任何数据包目标选“IP列表”，在右则的下拉列表中选内置的“网络广播”。这条规则的作用是强制允许DHCP客户端可以网络广播以自动获取DHCP分配的 IP。在防火墙规则中还有个“选项”页面，用以设置规则启用的时间和位置感应，如下图在“上下文”下拉列表中选择“域外”，表示此防火墙规则只在客户端处于外网的情况下才起作用。在 IDF控制台计算机安全配置文件中新建一个“违规外联模板”方便将多条防火墙规则组合成一个模板以部署到客户端上。如下图：对需要控制违规外联的客户端，部署“违规外联模板”。如下图：测试结果：当安装有IDF插件的客户端使用别的非法违规途径（如3G上网卡、无线网卡等）访问外网时将无法与外网进行通信，“插件管理器”控制台会自动记录“警报”信息：“防火墙事件”也会产生相关的日志信息：阻止域外文件共享和打印：需求：防止客户端在域外共享或打印文件以致数据泄密或丢失。策略部署：1、阻止域外文件共享(传出)设置操作为：拒绝优先级：2-正常数据包流向：传出帧类型：IP 协议：TCP+UDP 数据包源选“端口列表”，在右则的下拉列表中选自定义的“文件共享”（文件共享用到的端口是：137、138、139、445）。这条规则的作用是拒绝客户端共享文件传出，网络上的其它客户端将无法浏览到这台客户端。2、阻止域外文件共享(传入)设置操作为：拒绝优先级：2-正常数据包流向：传入帧类型：IP 协议：TCP+UDP 数据包源选“端口列表”，在右则的下拉列表中选自定义的“文件共享”（文件共享用到的端口是：137、138、139、445）。这条规则的作用是拒绝客户端浏览网络上其它客户端共享的文件。3、阻止域外打印服务设置操作为：拒绝优先级：2-正常数据包流向：传出帧类型：IP 协议：TCP+UDP 数据包源选“端口列表”，在右则的下拉列表中选内置的“LPD”端口列表（网络打印机使用的端口与文件共享的端口一样，这里的 LPD端口是指打印服务端口515）。这条规则的作用是拒绝客户端通过打印服务端口打印。在这 3 条防火墙规则的“选项”页面中，如下图在“上下文”下拉列表中选择“域外”，表示防火墙规则只在客户端处于外网的情况下才起作用。小结：IDF 可在客户端源头上简单方便地通过设置防火墙规则有效实现对通讯协议、端口和数据的传入、传出控制。附：IDF插件中的另外两种功能测试：虚拟补丁和应用程序控制DPI 虚拟补丁测试针对操作系统或应用程序不能及时打补丁的主机，经常会面临病毒等恶意软件的攻击，但大量终端的补丁管理很难做到一步到位，并且新发布的补丁与业务系统的兼容性也需要验证的时间；IDF的 DPI虚拟补丁模块提供针对这些未防范的漏洞提供防护策略，避免恶意软件的威胁；通过使用该功能可以对一些病毒和漏洞攻击的行为从网络层阻断，避免计算机因为没有打关机补丁而操作破坏。测试方法：1)登录IDF 控制台，选择深度包检查选择DPI 规则，在右上角搜索栏中，输入MS08-067（飞客蠕虫病毒所利用的漏洞），勾选搜索结果的4 个漏洞。2)将勾选策略部署到需要测试是计算机上，如下图所示：3)采用相应的MS08-067 漏洞攻击工具，最计算机进行攻击测试。预期结果：在没有启用DPI策略时，可以攻击成功，启用IDF虚拟补丁防护的主机无法攻击成功，并有日志记录攻击过程。注：此处测试需要专业的测试工具（可能存在安全风险）和技术能力，不建议在客户的环境中测试使用，防病毒软件公司出于安全考虑无法提供攻击工具，请谅解。应用程序控制测试应用程序控制功能，可以检测和控制网络中使用的程序，如：QQ、MSN、bit、流媒体、SSH登录等应用。测试方法：一、检测或阻止MSN 程序应用：1)例如我们需要对计算机在MSN 使用进行检测或阻止；2)点击深度包检查DPI规则 Application Control，在右上角搜索MSN，并勾选包含MSN的选项，如下图所示；3)将定制好的策略应用到需要测试的计算机上；4)在测试计算机上使用MSN 进行聊天，稍等一会 IDF控制台上即可看见MSN的检测信息，如下图所示：二、检测或阻止QQ 程序应用：1、点击深度包检查DPI规则Application Control，在右上角搜索QQ，并勾选包含QQ的选项，如下图所示：2、将定制好的策略应用到需要测试的计算机上；3、Application Control 中的规则默认模式为“仅检测”，打开规则属性页面，将“仅检测”复选框中的勾选去掉即可将模式改为“阻止”状态，如下图所示：4、在测试计算机上使用QQ 进行登陆将发现QQ 无法登陆，稍等一会IDF控制台上即可看见 QQ 的阻止信息，如下图所示：