新聞中心
HVV實踐:如何用開源防火墻,保障自動化運維系統(tǒng)
自動化運維系統(tǒng)是內網的核心管控平臺,其安全性十分重要。一旦該系統(tǒng)被攻破,攻擊者就能獲得“上帝視角”的超級權限,可能造成敏感數(shù)據(jù)泄露、關鍵業(yè)務中斷、被潛伏操控等嚴重損失。
防守方的網絡邊界一般會部署防火墻等安全設備,但數(shù)據(jù)中心內部、運維區(qū)域內部大都沒有設置網絡訪問規(guī)則,沒有充分收斂暴露面,仍然存在被攻擊的風險。
Firewalld是Linux操作系統(tǒng)標配的開源防火墻,其功能和性能都十分強大,可以為自動化運維系統(tǒng)提供全面防護,有效收斂系統(tǒng)暴露面,降低網絡安全風險。
在某大型銀行的HVV過程中,安博通安全服務團隊以開源防火墻Firewalld,保障自動化運維系統(tǒng)。實現(xiàn)高性價比部署、靈活定制使用,為自動化運維系統(tǒng)增加雙重防護。
1、防護準備
提前準備下列信息:
(1)可以登錄自動化運維系統(tǒng)后臺(SSH,22/TCP)的堡壘機IP地址、終端IP地址。
(2)可以登錄自動化運維系統(tǒng)前臺(HTTPS,443/TCP)的堡壘機IP地址、終端IP地址。
(3)與自動化運維系統(tǒng)對接的應用系統(tǒng)IP地址,即調用自動化運維系統(tǒng)API(HTTPS,443/TCP)的ITSM或OA系統(tǒng)IP地址。
(4)探活設備或網管終端的主機IP地址,其需要定期探測(通常為ICMP協(xié)議)自動化運維系統(tǒng)的狀態(tài)。
(5)自動化運維系統(tǒng)是否開啟了防火墻日志采集功能。
(6)分布式部署的自動化運維系統(tǒng)的各主機IP地址。
2、開源防火墻配置
將上述需要訪問自動化運維系統(tǒng)的IP地址,轉換為Firewalld可以識別的IP地址集和安全策略命令行,配置使其生效。
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ipset="https" port port="443" protocol="tcp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ipset="ssh" port port="22" protocol="tcp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ipset="web" port port="80" protocol="tcp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.112.228.180" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ipset="icmp" protocol value="1" accept'
firewall-cmd --permanent --add-port=514/udp
3、防護效果
在為期一個月的HVV行動中,自動化運維系統(tǒng)作為封禁處置的主力,快速封禁了數(shù)千個IP地址/段。該系統(tǒng)未被惡意掃描或攻擊,開源防火墻防護效果佳。
