发新话题
打印

安全网关网络防勒索病毒技术要点

安全网关网络防勒索病毒技术要点

一、网络分段 
1.1 多网卡安全网关连接并隔离内网
  • 可以做细粒度的ACL,符合最小特权原则
  • 可以做全部内网流量的日志记录
  • 可以划分VLAN,单臂路由
  • 基于VLAN的双机热备,替换核心交换机
  • 可多路并行透明接入,在边界路由器和交换机之间,不需要改现有网络配置
  • 透明网桥接入时,有bypass功能,需要时开,不需要时关,不需要拔网线
1.2 交换机划分VLAN
  • 缺点1:无法做细粒度ACL,445端口要么全部放行,要么全部阻拦(影响网络打印机)
  • 缺点2:无法做全部流量的日志记录
二、在线主机+会话状态 
2.1 发现异常流量(威胁猎杀)
      一般是PC后台进程发包,找到可疑源IP所在PC,杀病毒,封USB
  • 上传流量:扫描
  • 持续流量:后门
三、实时监控 
3.1 发现具体流量特征
       找到可疑源IP所在PC,杀病毒,封USB
  • 目的地址随机,目的端口445/TCP
  • 目的地址第三位顺序增长,目的端口445/TCP
四、会话控制
  • 按照流量性质分类控制每用户每应用的并发会话数:DNS:50,WEB:300,TCP:50,UDP:50,...
  • 定义工作流量,优先级别最高,非工作流量无需保证QoS
  • 不需要7层特征识别,性能好,好维护,没有误杀
五、包过滤日志
  • 完整的收发数据包记录,全部IP、TCP、UDP、ICMP层信息,及部分内容信息
  • 内置存储,按天数、压缩保存,可以下载解压,并用专门的软件查看搜索
六、Netflow网络流量监控
  • 网关处会话结束后生成Netflow记录,数据小,性能好
  • 专用日志服务器接收留存Netflow记录,方便查询,不影响网关工作
七、网络审计
  • ARP、DNS、WEB、WEBPOST、TELNET、POP3、SMTP、QQ等
  • 基于会话的在线式旁路监听,不参与转发,性能好
  • 日志留存:找到可疑源IP所在PC,杀病毒,封USB
八、DNS日志审计
  • 发现木马后门CC控制服务器域名:找到可疑源IP所在PC,杀病毒,封USB
九、DNS过滤
  • 大规模域名库:广告、病毒、黑客
  • 自定义域名解析
  • 日志留存:找到可疑源IP所在PC,杀病毒,封USB
十、WEB协议过滤 
10.1 透明接入过滤HTTP及HTTPS流量
  • 后缀名过滤:防止下载.exe等可能是免杀的木马后门病毒文件
  • MIME类型:阻拦application/octet-stream类型的文件下载,即使其后缀名是.jpg
  • 目的端口过滤
  • 域名过滤
  • URL过滤
  • CONNECT、POST等方法过滤:防止用户或中毒PC外发信息
10.2 日志留存
       找到可疑源IP所在PC,杀病毒,封USB 
十一、WEB内容过滤 
11.1 页面关键词过滤
  • 解gz压缩网页,旁路监听的不行
  • 不同encode的关键词过滤,不需要网址库:UTF-8、GB2312、BIG5、日本、韩国、朝鲜文字
  • 防病毒过滤:800万特征库、实时在线更新
  • 缺点:硬件要求高,会增加延时
十二、Email内容过滤 
12.1 POP3、SMTP内容过滤
  • 删除附件:钓鱼邮件附件可能是免杀的木马后门病毒文件
  • 防病毒过滤
  • 防垃圾邮件过滤
  • 日志留存:找到可疑源IP所在PC,杀病毒,封USB
  • 缺点:硬件要求高,会增加延时
十三、IDS/IPS入侵检测与防御
  • 开启远程探测攻击、木马后门文件等特征检测:找到可疑源IP所在PC,杀病毒,封USB
  • 获取最新特征签名,防御0day攻击
十四、WebDAV文件共享
  • 替换微软netbios网络共享
  • 和微软网络共享一样的挂载使用体验
  • 可以在内网及互联网上远程使用,不会被ISP过滤阻拦
  • 基于HTTPS协议
  • 真实域名CA证书
  • 自签名CA证书
  • 非Windows系统的单独的用户认证
  • 基于用户角色的读写删权限
  • 详细的读写删日志记录

思维导图:
参考
[ 本帖最后由 Zeus 于 2020-1-10 17:16 编辑 ]

TOP

发新话题