本帖最后由 91135_周杰 于 2024-3-23 09:42 编辑
【问题处置】非法域名过AF未拦截问题处置流程
一、问题背景 接到客户问题,内网访问医院专网的数据,过防火墙设备,由于未对一个域名进行拦截,导致被上级监管单位的安全设备扫出有访问,所以被通报。 防火墙:8.0.45版本
二、处置流程 1、查看日志和规则库情况 通过查看安全日志,对该非法域名进行过滤发现,无拦截的安全日志产生。 通过查看规则库,规则库未更新到最新日期,----已协助客户完成规则库更新。
2、调整策略对非法域名进行限制 由于访问域名必须要经过dns服务器进行解析,通报的也是dns流量,这里需要在自定义僵尸网络中,新增该非法域名,完成对域名的限制。
调整策略后,在内网主动访问该域名,会直接被拦截,防火墙上安全日志也会被记录。
三、注意事项 1、这里注意,不要直接在黑名单中直接添加该域名,否则AF会主动去访问dns服务器去解析该域名,然后使用该域名对应的IP地址进行拦截。 2、也可以在内容安全中的URL库中新增该域名,但是需要重新在策略模板中引用到该域名才能生效。 |