网神NSG3000-TE25P-Q 漏洞CVE-2016-2183解决方案
网神NSG3000-TE25P-Q是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品,广泛运用于政府机构、各类企业和组织的业务网络边界,实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。在使用过程中如果客户不及时迭代设备版本可能会出现各种漏洞。此案例介绍NSG3000-TE25P-Q 漏洞CVE-2016-2183解决方案。
一、故障现象与影响
1.现象:客户在使用Nessus对全网设备做安全漏洞扫描和存潜在威胁识别时,发现网神下一代智慧防火墙 NSG3000-TE25P-Q 存在漏洞,代码为:CVE-2016-2183的漏洞。
2.影响:SSL/TLS是一种用于保障互联网通信安全的协议。它通过在客户端和服务器之间建立加密连接,确保数据传输的私密性和完整性。而CVE-2016-2183漏洞可以针对SSL/TLS协议中的某些加密算法,如DES和AES等。攻击者可以利用这些算法的弱点,通过中间人攻击(MITM)等方式,截获并解密网络传输中的敏感信息。该漏洞很大程度上威胁用户的数据安全。
二、CVE-2016-2183漏洞决方法
该漏洞有两种解决办法:更新软件版本、制定策略规避风险
1.该漏洞可以通过升级软件版本到V6.1.13.161715解决。
(1)登录防火墙Web配置界面。选择【系统配置】>【升级管理】,选择【系统升级】页签。在“升级类型”中选择“升级系统”。
(2)在“配置信息”一栏中,选择系统软件的导入方式,单击【确定】。
(3) 系统提示“上传中,请稍后…”,表明系统软件正在上传至防火墙。
当系统中已经有 2 个版本的系统时,系统会提示需要先删除一个,才能上传新版本。选择可以删除的版本,单击【确定】。
(4)系统提示“升级中,请稍候…”,表明系统正在升级。升级完成后,系统提示需要保存配置并重新启动,单击【确认】,系统重启。
(5)系统提示“处理中,请等待…”,表明系统正在保存配置并重启,等待系统重启完成后,系统升级完成。
2.配置策略:只有可信主机范文内的终端可以扫描到以及登录防火墙:进入防火墙 Web 配置页面,选择【系统配置】>【设备管理】>【管理主机】,添加需要的管理 IP,删除没必要管理的 IP。 输入管理防火墙所需要的 IP 地址,单击【确定】。可输入多个。
选中【启用】选项框,在弹出的二次确认窗口点击【确定】,启用可信主机。
3.版本V6.1.13.161715是最新的版本也是现存的版本 ,由于版本跨度较大升级有一定的风险可能会造成设备网络波动、业务中断、数据丢失、配置丢失、硬盘故障、设备宕机等等。
因客户的设备在生产中,有重要业务在线,客户选择了更低风险,更保险的的第二种方法:配置策略来规避漏洞带来的隐患。策略修改后,客户再使用Nessus对设备做安全漏洞扫描,未发现漏洞和潜在风险。
