DMZ區防禦體系技戰法

dmz區域是什麼意思

一、實踐背景

近幾年，參加國家級、省級攻防演練藍隊主防大大小小10幾次，在各類政府、央企集團、大型國企等多樣且複雜的網路環境中，在前期需要花費大量精力梳理客戶資產，幫客戶建立一套縱深防禦系統。

在整個攻防演練對抗過程中，作為防守方不僅要防止外部突破，也要防止內部橫向滲透。最重要的是如何防守住外部突破的口子，通常對外的口子主要有：網際網路對外系統、VPN連線進內網、辦公網路、分支機構專線。本文主要分享網際網路DMZ區防護系統的關鍵點。

二、原則

1、確保業務生產連續性和防守平臺可用性

在備戰期加固整改過程中，署防守戰略和戰術的前提要確保業務生產安全穩定執行、防止系統性風險產生；並且確保防守平臺整體在實戰對抗期間7x24小時可用。

2、確保事件閉環機制

確保對態勢感知、流量檢測、主機防護、威脅情報、入侵防禦和溯源反制等系統的攻擊事件進行關聯分析與協同聯動，形成檢測-分析-阻斷-溯源-反制的事件閉環流程。

三、防禦體系建立思路

在靶標之外，網際網路DMZ區是防守的主要目標，圍繞防守目標系統，由外到內，由內到內構建縱深防禦體系，並透過安全狗態勢感知系統上報，實時發現各類攻擊行為或疑似攻擊行為。

縱向即由外到內：

（1）網際網路入口採用流量探針，對進出流量採集和檢測，部署具備不同檢測演算法和分析能力的檢測系統進行異構分析，實現對攻擊檢測和查證進行相互驗證、相互補短；

（2）下一代防火牆，透過深入洞察網路流量中的使用者、應用和內容，並藉助全新的高效能單路徑異構並行處理；

（3）Web應用防護系統，對來自Web應用程式客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷；

（4）安全狗網頁防篡改，採用第二代水印技術+第三代系統驅動級檔案保護技術雙結合，對網站安全進行雙重防護，當檢測到水印不匹配，秒級恢復杜絕篡改和上傳木馬風險。

橫向即由內到內：

（1）DMZ區核心交換部署流量探針，對上下行流量檢測；

（2）網路裝置上做好區域劃分；

（3）安全狗主機安全聯動蜜罐，主機安全平臺在區域內每一個伺服器主機、虛擬機器都有部署Agent客戶端，在Agent客戶端上引入“微蜜罐”誘餌功能，相當於每一臺主機都成為蜜罐誘餌點，從而極大提高攻擊者踩到蜜罐誘餌的機率；

（4）微隔離產品，做好應用系統之間、主機之間訪問最小化策略。

四、對抗過程中的實踐應用

1。 監測發現

監測預警組針對各種安全裝置做7*24監控，前期重點以網際網路入口為重心，主要加強網際網路流量探針、WAF、IPS、態勢上的告警做監控分析；一週後需要同步加強內部橫向的監控，主要有主機安全防護、內網流量探針、內網蜜罐、態勢上的告警分析。

態勢感知在攻防對抗中使用：

嘯天態勢感知平臺主要包含了對資產分析畫像、漏洞風險預警、攻擊事件監測和分析、追蹤溯源等功能。防守人員在實際的攻防對抗環節中，重點對攻擊事件模組進行關注。

操作如下：

開啟重保模組——攻擊事件核查處置，對所有告警事件進行監測。按照事件的型別，對暴力破解、網頁後門、遠端漏洞攻擊、本地提權事件進行重點關注。

流量分析裝置在攻防對抗中的使用：

在實際的攻防對抗環節，網路流量是整個攻擊發起的載體，所以威脅感知模組的告警事件需要重點去關注。操作如下：

開啟威脅感知—護網工作臺，對所有告警事件進行檢視，也可以根據需求篩選要檢視特定攻擊事件。按照攻擊類別，對CVE攻擊、Webshell、密碼暴力破解、WEB遠端執行程式碼、系統提權進行重點分析。如圖：

點開攻擊事件可檢視詳細的攻擊資訊，在根據情況決定是否提交給事件分析組做進一步溯源和處置。

2。 分析研判

（1）掃描探測類攻擊事件

主要來自流量分析裝置和WAF告警資訊，針對探測類攻擊，以防火牆遮蔽IP為主。

（2）社工類攻擊事件

主要為釣魚郵件或現場社工，根據情況明確事件影響及處置措施。

（3）明確的安全事件型別

比較明確的入侵安全事件型別主要有：網站木馬告警、許可權提升、內網蜜罐告警、內網橫向漏洞利用或掃描攻擊、異常登入監控等，按照涉事件單位網路安全分級分類管理辦法和應急處置預案確定事件性質及應有的處置方案。

3。 應急處置

應急處置主要分為三個階段：

（1）抑制攻擊：阻斷有效攻擊源（如IP、物理介面、服務等）；處置社會工程學攻擊的方式與效果。

（2）根除攻擊：漏洞定位與修復能力；清除或處理攻擊工具、異常賬號等攻擊載體。

（3）業務恢復：根據定位到的漏洞資訊，評估業務整改恢復時間。

4。 追蹤溯源

溯源主要任務為：

（1）、安全事件溯源：安全事件的溯源主要為定位分析、復現攻擊路徑，以便發現防禦體系的漏洞和風險，精準修復漏洞和增加防禦體系。在分析過程中透過縱深防禦系統，各安全裝置上的日誌，能快速精準的定位還原過程。

（2）、攻擊者溯源：綜合利用流量分析裝置、蜜罐、威脅情報資料，對攻擊者進行溯源畫像分析。採集如下資訊：

攻擊IP：真實IP、代理或跳板IP等

攻擊路徑：由外到內，由內到內，由內到外等所有攻擊路徑

攻擊行為：資訊收集、獲取許可權、橫向移動等

攻擊手法：Web滲透、0Day攻擊、漏洞利用、釣魚等

攻擊者身份畫像：虛擬身份、真實身份、聯絡方式、組織情況

5。 溯源反制

人力投入由不同目標名次決定。不同的目標，做法不一樣。如果想完整體會一次，建議配置三個人，一人負責整體組織，報告編制，以及部分反打工作；一人負責web方向，能進行常規反打、獲取社工庫資訊；一人負責二進位制和主機分析，熟悉應急響應套路；三人之間還要互相補位，比如尋找上傳點、分析登入行為、搭建CS服務端等等。在把握好度的基礎上，如果發現了高價值線索，可以臨時調撥更高階資源予以協助。例如需要高階木馬分析、0Day投放等等。

五、總結

在攻防演練實踐過程中，很重要一步的工作是需要對後續的風險進行下一步的安全規劃，加強建設縱深防禦體系，而要在日常運營過程中需要一套安全運營機制，才能達到提升安全事件監測預警能力，以及快速響應的閉環能力。