华为防火墙 / 日志 / SOC/拦截完整红队攻击链（蓝队实战版）

华为防火墙 / 日志 / SOC

一、总体防御架构

[互联网]
   ↓
华为防火墙（USG / HiSecEngine）
   ↓
DMZ（Web / VPN）
   ↓
内网核心区
   ↓
数据库 / AD / 核心系统

安全中枢：

• 防火墙日志
• 服务器日志
• AD 日志
• 数据库审计 👉 统一送往 SOC

二、攻击链 vs 防守点总览

三、阶段 1：外网打点 & 扫描

🔴 红队行为

• 端口扫描
• 业务接口探测
• VPN/运维系统识别

🔵 华为防火墙如何拦

① IPS 入侵防御

• 启用 扫描类特征库
• 自动识别：
  • 端口扫描
  • 指纹探测
  • 服务枚举

📌 防火墙表现

• 日志类型：IPS 攻击
• 动作：告警 / 阻断

📌 SOC 视角

“同一源 IP 短时间访问多端口”

② 策略层拦截（极重要）

• DMZ 最小开放原则
• VPN / 运维端口 不对公网直开

四、阶段 2：弱口令 / 初始访问

🔴 红队行为

• VPN / 管理系统口令尝试
• 自动化登录测试

🔵 防火墙 + 日志联动

① 防火墙登录防护

• 开启：
  • 登录失败次数限制
  • 登录速率限制
  • 黑名单联动

📌 防火墙日志

同一IP 多次认证失败

② SOC 关联分析（关键）

SOC 规则示例（逻辑）：

IF
  同一IP 5分钟内 登录失败 > N
THEN
  判定：暴力破解
  动作：封禁IP + 告警

📌 这一步是“攻防分水岭”

• 有 SOC：红队卡死
• 无 SOC：红队进内网

五、阶段 3：内网探测 & 横向移动

🔴 红队行为

• 内网扫描
• SMB / RDP 连接
• 利用账号横向

🔵 华为防火墙（内网同样重要）

⚠️ 重点：防火墙不是只放在出口

① 内网区间防护（东西向流量）

• 核心交换区 → 防火墙
• 划分：
  • 办公网
  • 服务器区
  • 管理区

📌 策略原则

办公区 ≠ 服务器区
服务器之间 ≠ 全互通

② 异常流量检测

防火墙可识别：

• 非运维时间 RDP
• 办公网访问数据库端口
• 突然的 SMB 扫描

📌 日志关键字

• 横向访问
• 异常会话建立

六、阶段 4：域控攻击（红队“皇冠目标”）

🔴 红队行为

• 登录域控
• 获取域管权限

🔵 蓝队三层防护（非常关键）

① 防火墙层（登录来源）

• 只允许管理区访问域控
• 禁止：
  • 办公网 → 域控
  • 非白名单 IP → 域控

📌 效果

红队即便拿到凭证，也“连不上域控”

② AD 日志（致命证据）

重点日志事件：

📌 SOC 关联规则

IF
  普通用户主机
  登录域控
  且具备高权限
THEN
  高危告警

③ SOC 行为画像（高级）

• 用户画像：
  • 平时不登录域控
  • 突然登录
• 时间异常：
  • 凌晨
  • 非运维窗口

七、阶段 5：数据库访问 & 数据外传

🔴 红队行为

• 登录数据库
• 查询核心数据

🔵 蓝队多重拦截

① 数据库审计（必须）

审计内容：

• 登录账号
• SQL 类型
• 数据量

📌 SOC 告警示例

非业务账号
大量 SELECT

② 防火墙出向流量控制

• 数据库服务器：
  • ❌ 不允许直连公网
• 只允许：
  • 应用服务器
  • 备份地址

📌 拦截点

红队“拿到数据 ≠ 能传出去”

八、SOC 如何“串起整条攻击链”

🔗 SOC 时间线还原

Day 1：IPS 扫描告警
Day 1：VPN 登录失败
Day 2：异常内网连接
Day 3：域控特权登录
Day 3：数据库异常访问

👉 单条日志没用，串起来才是攻击

九、蓝队终极经验总结

红队最怕什么？

✅ MFA

✅ 内网不互通

✅ 域控隔离

✅ 日志集中

✅ SOC 有规则