IP的声誉
IP信誉是一种识别发送不需要请求的IP地址的工具。使用IP信誉列表,您可以拒绝来自声誉不佳的IP地址的请求。通过过滤您不想处理的请求来优化Web应用程序防火墙的性能。重置、删除请求,甚至配置响应器策略以采取特定的响应器操作。
以下是一些使用IP信誉可以防止的攻击:
- 受病毒感染的个人电脑.(家用电脑)是互联网上最大的垃圾邮件来源。IP信誉可以识别发送不需要的请求的IP地址。IP声誉对于阻止来自已知感染源的大规模DDoS、DoS或异常SYN洪水攻击尤其有用。
- 集中管理和自动化僵尸网络.窃取密码的攻击者越来越受欢迎,因为数百台计算机协同工作不需要很长时间就能破解你的密码。很容易发动僵尸网络攻击,找出使用常用字典单词的密码。
- 妥协的网络服务器.攻击并不常见,因为意识和服务器安全性提高了,所以黑客和垃圾邮件发送者寻找更容易的目标。黑客仍然可以利用网络服务器和在线表单来发送垃圾邮件(如病毒和色情)。这样的活动更容易检测和快速关闭,或阻止声誉列表,如SpamRats。
- Windows利用.(例如提供或分发恶意软件、外壳代码、rootkit、蠕虫或病毒的Active ip)。
- 已知的垃圾邮件制造者和黑客.
- 大规模电子邮件营销活动.
- 网络钓鱼代理(IP地址托管钓鱼网站,和其他欺诈,如广告点击欺诈或游戏欺诈)。
- 匿名的代理(ip提供代理和匿名服务,包括洋葱路由器,又名TOR)。
一个Citrix ADC设备使用Webroot目录作为动态生成的恶意IP数据库和这些IP地址的元数据的服务提供者。元数据可能包括地理位置详细信息、威胁类别、威胁计数等等。Webroot威胁情报引擎从数百万个传感器接收实时数据。它使用先进的机器学习和行为分析,自动连续地捕获、扫描、分析和评分数据。有关威胁的情报是不断更新的。
Citrix ADC设备使用Webroot的使用IP信誉数据库验证传入请求的不良信誉。数据库中有大量基于IP威胁分类的IP地址。以下是IP威胁的分类及其描述。
- 垃圾邮件的来源。垃圾邮件来源包括通过代理隧道垃圾邮件,异常SMTP活动,论坛垃圾邮件活动。
- Windows使用。Windows漏洞利用类别包括提供或分发恶意软件、外壳代码、rootkit、蠕虫或病毒的活跃IP地址
- 网络攻击。Web攻击包括跨站脚本攻击、iFrame注入攻击、SQL注入攻击、跨域注入攻击、域密码暴力破解攻击等
- 僵尸网络攻击僵尸网络类别包括僵尸网络C&C通道和受僵尸主机控制的受感染僵尸机
- 扫描仪。扫描器类别包括所有侦察,如探针,主机扫描,域扫描和密码暴力攻击
- 拒绝服务。拒绝服务类别包括DOS, DDOS,异常同步洪水,异常流量检测
- 的声誉。拒绝目前已知已感染恶意软件的IP地址的访问。此类别还包括平均较低的Webroot声誉指数得分的ip。启用此类别将阻止已识别的源访问到联系恶意软件分发点
- 网络钓鱼。网络钓鱼类别包括托管网络钓鱼网站的IP地址,其他类型的欺诈活动,如广告点击欺诈或游戏欺诈
- 代理。代理类别包括提供代理和防御服务的IP地址。
- 移动的威胁。移动威胁类别包括恶意和不需要的移动应用程序的IP地址。此类别利用了来自Webroot移动威胁研究团队的数据。
- 托代理。Tor代理类别包括作为Tor网络出口节点的IP地址。出口节点是代理链上的最后一个点,并直接连接到发起者的预期目的地。
当在网络中的任何地方检测到威胁时,IP地址被标记为恶意,连接到网络的所有设备立即受到保护。利用先进的机器学习技术,快速准确地处理IP地址的动态变化。
正如Webroot的数据表所述,Webroot的传感器网络识别了许多关键的IP威胁类型,包括垃圾邮件源、Windows漏洞、僵尸网络、扫描仪等。(见数据表上的流程图。)
Citrix ADC设备使用iprep客户端进程从Webroot获取数据库。的iprep客户端第一次使用HTTP GET方法从Webroot获取绝对IP列表。之后,它每5分钟检查一次增量更改。
重要的是:
在使用IP信誉特性之前,请确保Citrix ADC设备具有Internet访问和DNS配置。
要访问Webroot数据库,必须能够连接到Citrix ADC设备api.bcti.brightcloud.com在端口443.HA或集群部署中的每个节点都从Webroot获取数据库,并且必须能够访问这个完全合格的域名(FQDN)。
Webroot目前将其声誉数据库托管在AWS上。因此,Citrix ADC必须能够解析用于下载声誉数据库的AWS域。此外,防火墙必须为AWS域打开。
注意:
当启用IP信誉特性时,每个包引擎至少需要4gb才能正常工作。
高级策略表达式。通过在支持的模块(如Web Application Firewall、responder)绑定的策略中使用高级策略表达式(advanced policy expressions)配置IP信誉特性。下面两个示例展示了用于检测客户端IP地址是否为恶意的表达式。
- CLIENT.IP.SRC.IPREP_IS_MALICIOUS:如果客户端包含在恶意IP列表中,此表达式的计算结果为TRUE。
- CLIENT.IP.SRC。IPREP_THREAT_CATEGORY(类别):当客户端IP为恶意IP且属于指定的威胁类别时,该表达式计算为TRUE。
- CLIENT.IPV6.SRC。IPREP_IS_MALICIOUS和CLIENT.IPV6.SRC.IPREP_THREAT_CATEGORY:当客户端IP类型为IPv6,且为指定威胁类别中的恶意IP地址时,该表达式计算为TRUE。
以下是威胁类别的可能值:
Spam_sources, windows_exploit, web_attacks,僵尸网络,扫描器,dos,信誉,网络钓鱼,代理,网络,cloud_providers, mobile_threats, tor_proxy。
注意:
IP信誉特性同时检查源IP地址和目的IP地址。它检测报头中的恶意ip。如果策略中的PI表达式能够识别IP地址,则通过IP信誉检查判断该IP地址是否为恶意IP地址。
IPRep日志信息。的/var/log/iprep.log文件包含有用的消息,这些消息捕获了与Webroot数据库通信的信息。这些信息可以是关于Webroot通信期间使用的凭据,与Webroot连接失败,更新中包含的信息(例如数据库中的IP地址数量)。
使用策略数据集创建ip的禁止列表或允许列表.您可以维护允许列表,以允许访问在Webroot数据库中被阻止的特定IP地址。您还可以创建一个自定义的IP地址阻止列表,以补充Webroot信誉检查。这些列表可以通过使用策略来创建数据集.数据集是一种特殊形式的模式集,非常适合IPv4或IPv6地址匹配。要使用数据集,首先创建数据集并为其绑定IPv4或IPv6地址。在配置用于比较数据包中的字符串的策略时,请使用适当的操作符并将模式集或数据集的名称作为参数传递。
创建一个允许地址列表,在IP信誉评估期间将其视为例外:
- 配置策略,即使允许列表中的地址被Webroot(或任何服务提供商)列为恶意地址,PI表达式也会计算为False。
启用或禁用IP信誉。IP信誉是一般信誉特性的一部分,它是基于许可的。当您启用或禁用信誉特性时,它将启用或禁用IP信誉。
一般程序.部署IP信誉包括以下任务
- 验证Citrix ADC设备上安装的许可证是否具有IP信誉支持。高级和独立应用防火墙许可证支持IP信誉特性。
- 启用IP信誉和应用防火墙特性。
- 添加应用程序防火墙配置文件。
- 添加应用防火墙策略,通过PI表达式识别IP信誉数据库中的恶意IP地址。
- 将应用程序防火墙策略绑定到适当的绑定点。
- 验证从恶意地址收到的任何请求是否已登录到
ns.log文件显示请求已按照配置文件中指定的方式处理。
通过CLI配置IP信誉特性
在命令提示符下,输入:
启用特性声誉禁用特性声誉
下面的示例展示了如何使用PI表达式添加应用防火墙策略来识别恶意地址。您可以使用内置的概要文件,或者添加一个概要文件,或者配置一个现有的概要文件,以便在请求与策略匹配时调用所需的操作。
示例3和4展示了如何创建策略数据集来生成IP地址的块列表或允许列表。
示例1:
创建一个策略,用于识别恶意IP地址,并在触发匹配时阻止请求。
添加appfw策略pol1 CLIENT.IP.SRC。IPREP_IS_MALICIOUS APPFW_BLOCK添加appfw策略pol1 CLIENT.IPv6.SRC。IPREP_IS_MALICIOUS APPFW_BLOCK添加appfw策略pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\") . typecast_ipv6_address_at。IPREP_IS_MALICIOUS”APPFW_RESET
示例2:
下面的命令创建一个策略,该策略使用信誉服务来检查客户端IP地址X-Forwarded-For头,如果触发匹配,则重置连接。
>添加appfw策略pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\"). typecast_ip_address_at。IPREP_IS_MALICIOUS”APPFW_RESET * *
示例3:
下面的示例展示了如何添加一个列表来添加允许指定IP地址的例外:
>添加策略数据集Allow_list1
> bind policy dataset Allow_list1 10.217.25.17 -index 1
> bind policy dataset Allow_list1 10.217.25.18 -index
下面的示例展示了如何添加一个列表来添加允许指定IPv6地址的例外:
添加策略数据集Allow_list_ipv6 ipv6绑定策略数据集Allow_list_ipv6 fe80::98c7:d8ff:fe3a:b562 -index 1绑定策略数据集Allow_list_ipv6 fe80::98c7:d8ff:fe3a:b563 -index 2 示例4:
添加自定义列表,将指定的IP地址标记为恶意IP,示例如下:
>添加策略数据集Block_list1
> bind policy dataset Block_list1 10.217.31.48 -index 1
> bind policy dataset Block_list1 10.217.25.19 -index
举例说明如何添加自定义列表,将指定IPv6地址标记为恶意地址。
添加策略数据集Block_list_ipv6 ipv6绑定策略数据集Block_list_ipv6 fe80::98c7:d8ff:ff3b:b562 -index 1绑定策略数据集Block_list_ipv6 fe80::ffc7:d8ff:fe3a:b562 -index 2 例5:
以下示例展示了在以下情况下阻断客户端IP的策略表达式:
- 它匹配自定义Block_list1中配置的IP地址(示例4)
- 它匹配Webroot数据库中列出的IP地址,除非通过将其包含在Allow_list1中而放松(示例3)。
>添加appfw策略"Ip_Rep_Policy" ((CLIENT.IP.SRC.)IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY(\"Block_list1\")) && !(CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY(\“Allow_list1 \”)))”APPFW_BLOCK < !——NeedCopy >以下示例展示了在以下情况下阻断客户端IPv6的策略表达式:
- 它匹配自定义Block_list_ipv6(例4)中配置的IPv6地址。
- 它匹配Webroot数据库中列出的Ipv6地址,除非通过在Allow_list_ipv6中包含放宽(示例3)。
添加appfw策略"Ip_Rep_v6_Policy" ((CLIENT.IPV6.SRC.)IPREP_IS_MALICIOUS || CLIENT.IPV6.SRC.TYPECAST_TEXT_T.CONTAINS_ANY(\"Block_list_ipv6\")) && !(CLIENT.IPV6.SRC.TYPECAST_TEXT_T.CONTAINS_ANY(\“Allow_list_ipv6 \”)))”APPFW_BLOCK < !——NeedCopy >使用代理服务器:
如果Citrix ADC设备没有直接访问internet,并且连接到代理,则配置IP Reputation客户端以向代理发送请求。
在命令提示符下,输入:
设置信誉设置-proxyServer <代理服务器ip> -proxyPort <代理服务器端口>
例子:
> set信誉设置proxyServer 10.102.30.112 proxyPort 3128
设置信誉设置-proxyServer testproxy.citrite.net -proxyPort 3128
>取消信誉设置-proxyserver -proxyport
> sh reputation Settings
注意:
代理服务器IP可以是IP地址或FQDN (fully qualified domain name)。
使用Citrix ADC GUI配置IP信誉
- 导航到“系统>设置”.在模式与特点节,单击链接可访问配置高级特性窗格,并启用声誉复选框。
- 点击好吧.
通过使用Citrix ADC GUI配置代理服务器
- 在configuration选项卡上,导航到安全>信誉.下设置,点击更改信誉设置配置代理服务器。您还可以启用或禁用信誉特性。代理服务器可以是IP地址或fully qualified domain name (FQDN)。代理端口取值范围在[1-65535]之间。
使用GUI创建一个允许列表和一个客户端IP地址块列表
- 在配置选项卡,导航到AppExpert >数据集.
- 点击添加.
- 在创建数据集(或配置数据集)窗格,为IP地址列表提供一个有意义的名称。名称必须反映列表的目的。
- 选择类型作为IPv4或IPv6.
- 点击插入添加一个条目。
- 在配置策略数据集绑定2 .在“值”输入框中添加IPv4或IPv6格式的IP地址。
- 提供一个索引。
- 添加注释,解释列表的目的。此步骤是可选的,但建议使用,因为描述性注释有助于管理列表。
类似地,您可以创建一个阻止列表并添加被认为是恶意的IP地址。
也看到,模式集和数据集有关使用数据集和配置高级策略表达式的详细信息。
通过Citrix ADC GUI配置应用防火墙策略
- 在配置选项卡,导航到安全>应用防火墙>策略>防火墙.点击添加添加使用PI表达式使用IP信誉的策略。
还可以使用Expression编辑器构建自己的策略表达式。该列表显示用于使用威胁类别配置表达式的预配置选项。
突出了
- 快速准确地阻止来自已知恶意IP地址构成不同类型威胁的网络边缘的不良流量。您可以在不解析正文的情况下阻止请求。
- 为多个应用程序动态配置IP信誉功能。
- 在不损失性能的情况下保护您的网络免受数据泄露,并使用快速简便的部署将保护整合到单个服务结构中。
- 您可以对源IP和目标IP进行IP信誉检查。
- 还可以通过检测报文头来检测恶意ip。
- 正向代理和反向代理部署都支持IP信誉检查。
- IP信誉进程与Webroot连接,每5分钟更新一次数据库。
- 高可用性(HA)或集群部署中的每个节点都从Webroot获取数据库。
- IP信誉数据在管理分区部署中的所有分区之间共享。
- 您可以使用AppExpert数据集创建IP地址列表,以便为Webroot数据库中被封锁的IP添加例外情况。您还可以创建自定义的阻止列表,将特定ip指定为恶意ip。
- 文件中创建iprep.db
/var/nslog/iprep文件夹中。一旦创建,即使该特性被禁用,它也不会被删除。 - 启用信誉特性后,将下载Citrix ADC Webroot数据库。之后,每5分钟更新一次。
- Webroot数据库主版本号为version: 1。
- 次要版本每天更新。更新版本每5分钟递增一次,小版本递增时复位为1。
- PI表达式使您能够将IP声誉与其他功能一起使用,例如响应器和重写。
- 数据库中的IP地址为十进制格式。
调试技巧
- 如果您无法在GUI中看到信誉特性,请验证您是否拥有正确的许可证。
- 监视中的消息
var / log / iprep.log进行调试。 - Webroot连接如果你看到
无法连接/解析WebRoot消息,确保设备具有internet访问和DNS配置。 - 代理服务器如果你看到
Ns iprep: iprep_curl_download: 88 curl_easy_perform failed。错误码:5 Err msg:无法解析代理名称消息,请确保代理服务器配置是准确的。 - IP信誉功能不工作:启用信誉特性后,IP信誉进程大约需要5分钟启动。IP信誉功能在此期间可能无法工作。
- 数据库下载:启用IP信誉特性后,如果下载IP DB数据失败,日志中会显示如下错误。
Iprep: iprep_curl_download:86 curl_easy_perform failed.日志含义错误码:7错误信息:无法连接到服务器
解决方案:允许出方向的流量访问以下url或配置代理解决问题。