攻防演练过程中防守方必备的关键安全设备

部署安全设备及系统是防守工作的必要条件之一，以下通过边界防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。

边界防御设备

防火墙

防火墙作为网络安全防护的基础设备，发展到现在已成为能够全面应对传统网络攻击和高级威胁的安全防护产品，被广泛运用于网络边界防护领域，具有网络安全域隔离、精细化访问控制、高效威胁防护和高级威胁检测等功能。防火墙可集成威胁情报搜集、大数据分析和安全可视化等创新安全技术，并通过与网络威胁感知中心、安全管理分析中心、终端安全管理系统等的智能协同，在网络边界构建威胁防御平台。

设备应具有的核心功能

1）基础能力：支持多种形式灵活部署，具备负载均衡、NAT（网络地址转换）、IPv6支持、VPN、VSYS（虚拟防火墙）、HA（双机集群系统）等功能，并可防护扫描、泛洪、异常数据包等传统网络攻击。

2）精细化应用控制：可精确识别网络应用及用户、终端、地理位置、传输内容等信息，并可实现应用、用户、内容多维一体的精细化管控。

3）高性能威胁防护：深度集成一体化威胁防护引擎，可针对流行的病毒、漏洞利用攻击和间谍软件行为等提供高性能防护。

4）智能化协同防御：支持与云端、终端安全系统智能协同，实现病毒云查杀、威胁情报实时处置、应急响应策略推送、高风险终端管控等高级安全功能。

5）失陷检测及处置：可对网络流量产生的行为数据进行威胁情报检测和深度分析，实时预警本地的失陷主机，并对受害IP、威胁源执行一键处置。

6）可视化关联分析：能够将应用、用户、内容、威胁、地理位置等多维信息以图形化形式关联呈现，并通过递进式的数据钻取实现高效的安全分析。

产品在实战中的应用

防火墙作为最基础的安全防护设备，在实战演练中也发挥着重大的作用，主要通过以下方式进行防护。

1）ACL配置：在网络内部通过对网络区域进行划分，明确各区域的功能、各区域间实现明确的允许/拒绝ACL，实现严格的访问控制。大量的攻防实战证明，区域间隔离能够在很大程度上限制攻击者横向拓展的范围。

2）黑名单配置：部署在网络外层的防火墙，在实战中可以通过将攻击者/可疑攻击者的IP地址加入黑名单中，从网络层阻止可疑的攻击流量，阻止攻击者继续攻击，从而迫使攻击者变更攻击IP地址，延误攻击者的进攻节奏。

3）实时联动：可以根据实际的部署环境，与流量感知及威胁感知类产品进行联动处置，对分析出的恶意IP进行封禁。

4）自动化封禁：更进一步地，为了更加高效地应对扫描等攻击行为，可以利用编程等方式实现自动化封禁的措施，提高封禁效率，减缓处置人员的工作压力。

在实战演练中，在网络接入区、对外接入区、内部各安全域间部署防火墙并按照最小授权原则做好控制策略，可有效地给攻击方造成困扰。

入侵防御系统

入侵防御系统（Intrusion Prevention System，IPS）是一部能够监视网络或网络设备的网络资料传输行为的网络安全设备，能够即时中断、调整或隔离一些不正常或是具有伤害性的网络传输行为。IPS 依赖高效的一体化引擎，实现对防护网络的流量分析、异常或攻击行为的告警及阻断、2～7层安全防护控制，以及用户行为、网络健康状况的可视化展示。IPS不但能发现攻击，而且能自动化、实时地执行防御策略，有效保障信息系统安全。由此可见，针对攻击特征来说，识别的准确性、及时性、全面性及高效性是衡量一款入侵防御产品可靠性的重要指标。

设备应具有的核心功能

1）攻击检测能力：内置特征条目，可以防范扫描、可疑代码、蠕虫、木马、间谍软件、DoS/DDoS等各类网络威胁。

2）抗DoS/DDoS能力：提供DoS/DDoS检测及预防机制，可以辨别合法数据包与DoS/DDoS攻击数据包，保证企业在遭受攻击时也能使用网络服务。

3）弹性管理能力：提供虚拟化、弹性化的管理方式。每一对实体接口都可配置不同的规则集，每一个规则集都可依据来源/目的端IP地址等对象信息来决定对应的处理方式。同时每个规则集皆可定义有效的运行时间，方便网络管理人员依据业务系统的规范要求进行规划和部署。

4）异常流量管理、带宽管理功能：针对通信协议异常、IP/端口的扫描异常、网络流量异常等进行动态管理，采取七层深度数据包分析技术，可以完整地做到应用程序级别的流量管理。

5）管理能力：具有强大且丰富的管理能力，能够贴近各种不同网络架构的需求，提供友好的管理接口以及多种实用的信息实时显示。

产品在实战中的应用实战中，由于攻击未知漏洞成本高，攻击方往往会在啃硬骨头的时候谨慎使用，而攻击成本较低的已知系统漏洞是最重要的一种攻击方式。利用已知系统漏洞攻击方式进行边界突破、内网横向拓展等攻击动作，IPS可通过防护规则进行有效防护。在实战前，对内部的开发部门进行调研，并根据业务系统的实际需要对防护策略进行定制、适配，设置相对严格的策略。可以自动化、实时地执行防御策略。

实战中在互联网入口、互联网接入区等位置部署IPS。IPS基本都是串联部署在网络中的，通用的部署方式是部署在防火墙产品的后面，形成边界安全产品解决方案中的一道安全屏障。

Web应用防火墙

Web应用防火墙是以网站或应用系统为核心的安全产品。通过对 HTTP或HTTPS的Web行为进行分析并拦截其中的攻击行为，不仅可以有效缓解网站及Web应用系统面临的威胁（如OWASP TOP 10中定义的常见威胁），还可以快速应对恶意攻击者对Web业务带来的冲击，让网站免遭Web攻击侵扰，并对网站代码进行合理加固。

设备应具有的核心功能

1）串联透明部署。可串联透明部署在Web服务器的前端，在物理层面是Web服务器的前端多部署了一台硬件设备，而在网络层面是Web 服务器的前端没有任何硬件设备。透明部署方式不改变参演单位的网络拓扑结构，Web服务器看到的都是浏览者的源地址，也不会造成审计类安全产品无法工作等问题。

2）细粒度特征库。提供细粒度的出现特征库，支持HTTP协议校验、Web特征库（基于OWASP TOP 10标准）、爬虫规则、防盗链规则、跨站请求规则、文件上传/下载、敏感信息、弱密码检测等多种细粒度检测的特征库匹配规则。

3）日志追溯。提供详细的数据分析与统计功能，提供攻击类型、验证级别、攻击源IP、攻击域名、攻击类型、攻击次数、CDN IP、XFF IP等详细分析数据，为攻击溯源、追踪攻击者源提供详细的技术依据。

产品在实战中的应用

在实战演练中，网站等应用系统是攻击方突破边界的重要手段。 Web应用防火墙系统部署在网站服务器的前端并且串联部署，对外来访问网站的流量进行过滤。Web应用防火墙的主要目标是保护Web服务器或网站服务器，对所有外来的HTTP或HTTPS访问流量进行过滤。通过深入业务，与应用系统的开发人员交流，确认开启的策略不会影响业务，并能有效阻断攻击方的攻击。

** Web应用安全云防护系统**

Web应用安全云防护系统是为云端网站提供安全防护的系统，为网站提供SaaS化的安全防护服务。它根据企业网站的实际安全需求及现状，将智能DNS解析能力、DDoS防护能力、Web应用攻击防护能力、CDN 加速能力、安全运营能力以及统一的配置管理能力整合到同一安全防护体系中，为企业网站提供云WAF、云抗D、云加速、CC攻击防护、反爬虫、全站镜像（重保只读）、实时监控告警、可视化安全等综合安全能力。可降低网站数据泄露、网页被篡改风险，提升网站链路可靠性，降低被上级主管单位/网络安全执法单位通报或处罚的概率。

设备应具有的核心功能

1）云WAF：可以防护网站面临的SQL注入攻击、跨站脚本攻击、命令注入攻击、Webshell木马后门上传、服务器敏感信息泄露、扫描攻击等常见的Web攻击，使网站免遭恶意篡改、信息泄露、服务器被恶意控制等应用层网站安全威胁。

2）云抗D：可以防御攻击者对网站发起的SYN Flood攻击、ACK Flood攻击、NTP反射放大攻击等大流量网络层DDoS攻击；提供DNS解析服务并提供高防DNS能力，以保护网站域名的正常解析。

3）云加速：将源站的JavaScript、CSS、图片、HTML等文件进行压缩和缓存，当后续有用户再次对这些文件资源发起请求时，可以就近选择高质量的节点机房，获取缓存在云防护节点的文件，从而大大提高访问效率，提升用户的访问体验，同时也能降低源站链路和服务器的负载。

4）CC攻击防护：可以针对应用层CC攻击进行防护。智能识别不同规模CC攻击，快速拦截，动态阈值防护，可触发HTTP协议验证、 JavaScript验证、图片验证、拦截IP的防护策略，并且可以与威胁情报中心联动。

5）反爬虫：可根据爬虫性质有针对性地进行爬虫防护。开启反爬虫功能后，即可基于复杂、精准的算法智能生成合适的防护配置。支持通过自服务平台针对URL进行单独的爬虫防护配置对抗爬虫攻击。

6）全站镜像（重保只读）：结合爬虫技术和数据缓存保护技术，在特殊时期或重要保障期间将全站内容镜像缓存到各个云端CDN节点中，当源站出现不稳定、被恶意篡改等不可预知异常情况时，访问者仍能正常访问网站的内容。

7）实时监控告警：可对网站的访问攻击数据及健康状况进行持续监控分析。云防护系统监测到网站数据异常时，会向管理员发送告警通知，为网站管理员第一时间对网站问题进行响应和处置提供有力保障，并支持管理员自定义设置网站受到攻击、出现异常时的告警阈值和告警方式。

8）可视化安全：通过可视化大屏动态展示网站实时攻击情况及历史攻击数据，实时攻击来源、目的、种类、强度等一目了然，全面展示网站安全威胁态势，洞悉网站及应用运行健康状态。

产品在实战中的应用

SaaS化网站云防护系统，不需要部署软件、硬件，通过CNAME接入和A记录接入的方式更新域名DNS解析，将网站访问流量转发到Web应用安全云防护系统上。防守方需要提前梳理所有对外提供服务的网站系统，尽量将对外提供服务的所有系统接入Web应用安全云防护系统进行防护，通过云防护系统对攻击者的攻击进行防护。

邮件威胁感知系统

在实战中，社工攻击是一种比较常见的攻击方式，而钓鱼邮件攻击是社工攻击中最常用的一种方式，它是一个绝佳的打开内网通道的入口点。邮件可以携带文字、图片、网址、附件等多种信息媒介，结合社工手段可以对安全意识薄弱的人员进行降维打击；而且钓鱼邮件一般具有很强的针对性，对于运维部门管理人员等高权限、高价值目标还可以做到精准打击。

因此，邮件威胁检测系统应采用多种病毒检测引擎，结合威胁情报及URL信誉库对邮件中的URL和附件进行恶意判定，并使用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。通过对海量数据建模、多维场景化对海量的邮件进行关联分析，对未知的高级威胁进行及时侦测。

设备应具有的核心功能

1）威胁情报：结合威胁情报数据，提高对邮件威胁的检测能力。

2）沙箱分析：沙箱模块可针对文件进行深度检测，采用静态检测、漏洞利用检测、行为检测多层次手法，构建基于沙箱技术的文件深度检测分析能力。静态检测模块通过多种检测引擎互为补充，增强静态检测能力。动态检测模块以硬件模拟器作为动态沙箱环境，分析过程中的所有数据获取和数据分析工作都在虚拟硬件层实现，全面分析恶意代码、恶意行为，细粒度检测漏洞利用和恶意行为。

3）邮件异常场景检测：异常场景包括发件异常、收件异常、暴力破解、单个IP登录多个邮箱、异地登录等，邮件威胁检测系统可根据需求自定义异常场景的检测条件，且支持全面分析仿冒邮件场景。

4）邮件多维分析：基于联系人之间收发关系的多维分析以及基于恶意文件/ URL的传输路径的多维分析。通过关键信息进行检索，实现数据之间的多维关系网。所有复杂的关系通过多维分析进行展现，数据一目了然。

5）海量数据存储和检索：快速检索匹配邮件主题或者正文中的关键字，结合统计学的相关理论，实现快速、精准的内容过滤和关键字分析，并配套大量的检索和分析软件以对数据做到高效分析。

产品在实战中的应用

在实战中，由于具有操作性好，易实施，一旦成功收益较大等特点，钓鱼邮件攻击成为社工攻击中最重要的一种攻击方式。钓鱼邮件攻击的方式多种多样，但主流的攻击方式大致可分为以下两种，邮件威胁感知系统在防护时可以根据这两种攻击方式进行针对性的配置和检测。

1）邮件正文插入恶意链接：这是一种最基础的攻击方式，就是在邮件正文中放入一个恶意诱导链接，等待用户点击，链接后面是一个伪造的网站，可能是一个恶意程序下载网站，或者一个用于伪造的登录入口等。攻击者常常利用一些近期的热点事件或者公司内部信息（如产品介绍、系统账号升级等）来提高内容可信度，诱导用户点击链接。他们也会对恶意链接进行伪装，常见伪装方式有短链接、使用 HTML标签伪造隐藏、近似URL、子域名、利用URL特性等，防守者需要对此重点防范。

2）邮件附件藏毒：这也是一种常见的攻击方式，攻击者的攻击载荷（payload）含在邮件附件里，载体有文档、图片、压缩包、脚本程序（exe、vbs、bat）等。发送脚本程序是最直接的，但是容易被邮箱安全机制拦截或被相关人员识破。因此，攻击者通常会使用一些伪装手段，如使用超长文件名隐藏后缀等，防守者在打开时要重点关注。

实战中可以通过串接部署的邮件代理转发模式、旁路部署的邮件暗抄模式或者SPAN流量镜像解析模式对邮件流量进行识别和控制，以防范钓鱼邮件的攻击。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南