Shubham_Mishra 职位:员工公司:F5
技术提高的同时也对平安防护提出了种种挑战,因而须要企业制订相应策略,通过管制或限度资源共享来防备安全漏洞。
放行列表和阻断列表就是这样两种安全策略,可阻止未经受权的拜访,并有助于保护零碎的机密性。
什么是阻断列表?
阻断列表是一种安全策略,它通过定义一组规定来回绝被确定为零碎潜在威逼的可疑实体拜访利用 / 网络。
通常来说,在默认容许的状况下,管理员会采纳此类策略,这意味着除了阻断列表中表明的内容以外,容许拜访所有信息。
举例来说,当今的电子商务网站心愿吸引更多受众,在这种状况下,可将阻断列表用作一种搭配解决方案,疾速辨认和阻止可疑的歹意起源,同时容许其余起源拜访。
毛病:只管阻断列表策略易于部署,并可能无效防备已知威逼,但在应答未知威逼方面有时收效甚微。
什么是放行列表?
放行列表与阻断列表有着殊途同归之妙。相比拦挡威逼拜访的申请,该策略只容许可信 / 无效的实体用户进行拜访,其余所有用户均将被阻止。
放行列表与阻断列表有着殊途同归之妙。相比拦挡威逼拜访的申请,该策略只容许可信 / 无效的实体用户进行拜访,其余所有用户均将被阻止。
此类策略与阻断列表相比更为严格,并是在默认回绝的状况下应用,这意味着只容许已知的可信起源进行拜访,而阻止其余所有起源。
例如,公司特定的利用 / 网络 / 设施应仅可由其员工进行拜访,任何内部人员均不得拜访,在这种状况下,放行列表策略可作为一种可行解决方案。
毛病:这种策略更为严格,因而安全性更高,但部署起来十分盘根错节,尤其是在简单的环境中。
演示
在发展测试流动时,咱们参考了《API Discovery and Auto Generation of Swagger Schema(API 发现和 Swagger 计划主动生成)》一文进行基础架构创立和利用部署。
* 如您对此文章感兴趣,可拜访网址:https://sourl.cn/q99RLK
以下是测试阻断列表和放行列表个性的几个示例场景:
(注:测试在“软件版本:crt-20220217-1449”上进行)
场景 1
在该场景中,咱们将容许客户端应用咱们的服务策略依据其地理位置拜访利用。
预期后果:只有来自容许地理位置的客户端方可拜访利用。
在创立基础架构并部署利用后,须要遵循以下步骤:
1
第一步
关上 Home(主页)-> Web App & API Protection(Web 利用和 API 防护),而后抉择您的 namespace。
2
第二步
关上 Home(主页)-> Web App & API Protection(Web 利用和 API 防护)-> Manage(治理)-> Service Policies(服务策略)-> Service Policies(服务策略),而后点击 Add service policy(增加服务策略)。
3
第三步
输出新服务策略的名称,在“Server Selection(服务器抉择)”字段中,按需抉择任一选项,咱们抉择了默认选项“Any Sever(任意服务器)”。
4
第四步
创立 Service Policy Rule(服务策略规定),因为此处应用地理位置测试放行列表个性,所以咱们的配置如下方图 1 所示,而后 Save & Exit(保留并退出)。
5
第五步
关上 Home(主页)-> Web App & API Protection(Web 利用和 API 防护)-> Manage(治理)-> Load Balancers(负载均衡器)-> HTTP Load Balancers(HTTP 负载平衡器),而后转至您的负载均衡器,在 Manage Configuration(治理配置)下抉择 Action(动作)。
6
第六步
点击 Edit Configuration(编辑配置),在“Security Configuration(平安配置)”局部,抉择“Service Policies(服务策略)”字段的“Apply Specified Service Policies(利用指定的服务策略)”选项,点击 Configure(配置)。
7
第七步
将新创建的服务策略利用到负载均衡器(如图 2 所示),保留并退出。
图 1 — 服务策略创立
图 2 — 将服务策略利用到负载均衡器理论后果:如图 3 和图 4 所示,只有来自容许地理位置的客户端的流量才可拜访利用。结果表明,咱们可能胜利实现放行列表行为。
图 3 — 从容许的地理位置拜访利用
图 4 — 从不同的地理位置拜访利用
场景 2
在该场景中,咱们将应用咱们的服务策略依据 BGP ASN(自治零碎编号)回绝客户端拜访利用。
预期后果:阻止列表中 ASN 的客户端无法访问利用。
须要遵循以下步骤:
1
第一步
反复场景 1 中的第 1 步至第 3 步。
2
第二步
创立服务策略规定,因为此处应用 ASN 测试阻断列表个性,所以咱们的配置如图 5 和图 6 所示。
3
第三步
反复场景 1 中的第 5 步和第 6 步。
4
第四步
将新创建的服务策略利用到负载均衡器(如图 7 所示),保留并退出。
图 5 — 增加 ASN
图 6 — 应用 ASN 阻止客户端的服务策略规定
图 7 — 将服务策略利用到负载均衡器理论后果:如图 8 和图 9 所示,来自 ASN 被阻止的客户端的流量不容许拜访利用,因而结果表明,咱们可能胜利实现阻断列表行为。
图 8 — 通过 ASN 被阻止的客户端拜访利用
图 9 — — 申请的 JSON 日志
场景 3
在该场景中,咱们将采纳一种混合办法(即联合应用放行列表和阻断列表策略)。首先,咱们将容许客户端依据地理位置拜访利用,而后在这些容许的客户端中,咱们将依据 IPv4 前缀阻止某个客户端拜访利用。
预期后果:被阻止的客户端不能拜访利用。
须要遵循以下步骤:
1
第一步
遵循场景 1 中的步骤,实现放行列表行为。
2
第二步
关上 Home(主页)-> Web App & API Protection(Web 利用和 API 防护)-> Manage(治理)-> Load Balancers(负载均衡器)-> HTTP Load Balancers(HTTP 负载平衡器),而后转至您的负载均衡器,在 Manage Configuration(治理配置)下抉择 Action(动作)。
3
第三步
点击 Edit Configuration(编辑配置),在“Security Configuration(平安配置)”局部,开启“Show Advanced Fields(显示高级字段)”按钮。
4
第四步
在“Client Blocking Rules(客户端阻止规定)”中,点击 Configure(配置)。
5
第五步
点击 Add Item(增加我的项目),并填写条目,如图 10 所示。
图 10 — 将客户端阻止规定利用到负载均衡器
理论后果:如图 11 和图 12 所示,被阻止的客户端不容许拜访利用,即便处于同一容许的地理位置也无法访问。因而,结果表明,咱们可能实现阻断列表和放行列表安全策略的双重劣势。
图 11 — 从被阻止的客户端拜访利用
从未被阻止的客户端拜访利用
场景 4
在该场景中,咱们将基于“TLS 指纹值”来限度客户端拜访利用。
预期后果:被阻止 TLS 指纹的客户端不能拜访利用。
须要遵循以下步骤:
1
第一步
反复场景 1 中的第 1 步至第 3 步。
2
第二步
创立服务策略规定,因为此处应用“TLS 指纹值”测试阻断列表个性,所以咱们的配置如图 13 所示。
3
第三步
反复场景 1 中的第 5 步和第 6 步。
4
第四步
将新创建的服务策略利用到负载均衡器(如图 14 所示),保留并退出。
图 13 — 应用 TLS 指纹值阻止客户端的服务策略规定
图 14 — 将服务策略利用到负载均衡器
理论后果:如图 15 所示,TLS 指纹值被阻止的客户端已被回绝拜访,响应代码为 403。结果表明,咱们可能胜利实现预期动作。
图 15 — 安全事件 JSON 日志
结语
随着攻击者及其攻打办法一直降级,单纯地依赖一种安全策略来爱护整个利用是行不通的。咱们须要部署具备平安个性的混合环境来爱护利用。
请谨记,在现实状况下,联合利用“阻断列表和放行列表”策略可能更好地爱护最终利用。
因而,为了实现所列行为,“F5 分布式云控制台”提供了以下选项,以便您由此对客户端进行回绝 / 放行列表设置:
IPv4 子网前缀
ASN
地理位置
TLS 指纹值