AF本身功能导致自身做攻击:
1、AF配置了基于恶意域名应用控制策略的主动查询,导致AF主动解析恶意域名
//老架构需要检查应用控制策略是否开启主动查询,新架构需要检查对象中所配置的恶意域名是否有配置主动查询
2、AF开启了勒索专项防护扫描,导致AF主动扫描
3、AF开启了业务资产管理的主动扫描,导致AF主动扫描
4、AF开启了热点事件预警与处置的新事件爆发后自动扫描,导致AF主动扫描
5、在被通报的时间点有手动开启过风险分析,导致AF主动扫描
AF未拦截住的场景(优先检查AF自身功能是否攻击):
1、AF做了源/双向地址转换导致AF代理了第三方的攻击
//请检查AF是否存在白名单、安全功能排除、分析黑盒是否存在安全进程未运行,导致有部分攻击被放通,在通过防火墙的源IP转换发出去;
PS:同时,若您配置了源地址转换或者双向地址转换(源地址转换基于外网通报场景,双主地址转换是基于内网通报场景),可单独记录这个策略的日志到syslog服务器去,下次复现时即可判断真实源IP
原理:防火墙默认记录不了NAT日志在设备本身,因为NAT日志量太多,且防火墙本身的设备磁盘并不很多,需要借助syslog日志服务器看NAT日志
2、SSL VPN场景,用户接入防火墙的SSL VPN后,防火墙代理攻击,导致AF被误判攻击
//检查SSL VPN是否开启使用设备的IP地址作为源地址访问资源,若有,则先勾选未使用虚拟IP访问,然后便能看到是否SSL VPN用户在做攻击
三、产品问题
1、防火墙做了SNAT或双向NAT,存在攻击漏判导致防火墙将攻击数据包的源IP转成了自己的IP,被第三方/SIP捕捉到
//攻击漏判问题请参考xx功能漏判典型场景
