深信服社区»版块 综合类 畅所欲言 求助 深信服af怎么设置拒绝远控木马

求助 深信服af怎么设置拒绝远控木马

查看数: 3516 | 评论数: 32 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
帖子模式
    组图打开中,请稍候......
本主题由 System 于 2025-2-20 18:58 审核通过
新手651068
发布时间: 2025-2-20 18:58

正文摘要:

近期查日志时发现有1条木马远控日志,处理动作是允许,请问怎么设置处理动作为拒绝啊。谢谢大佬了

回复

新手981388 发表于 2025-3-4 09:19
要设置深信服防火墙(AF)拒绝远控木马,您需要手动配置相关策略以调用僵尸网络防护功能。以下是具体步骤和功能说明:

    启用僵尸网络防护:AF的僵尸网络防护功能可以识别和隔离内网感染了病毒、木马等恶意软件的PC或服务器。当这些恶意软件试图与外部网络通信时,AF会识别出该流量,并根据用户策略进行阻断和记录日志[1]。

    配置策略:您需要手动配置相关的安全策略,以便AF能够检测到异常流量。例如,常见的异常情况是终端主动向外网的恶意域名或地址发起连接[1]。

    支持的功能:
        木马远控
        恶意链接
        移动安全
        异常流量检测[1]。

请确保您使用的是AF标准版本AF5.6或更高版本,因为在此版本中,APT功能已更名为僵尸网络,并一直使用该名称[1]。
虾米没有虾 发表于 2025-2-24 12:50
将木马远控日志的处理动作设置为拒绝,可以按照以下步骤进行操作:

查询日志:首先,您需要在日志中找到匹配的木马远控攻击的防护规则ID。

修改规则库动作:

如果您使用的是AF7.3版本,可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则,将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本,可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库],然后找到对应的规则,将动作改为“检测并拦截”。
是小鲤鱼哦 发表于 2025-2-24 12:19
如果您使用的是AF7.3版本,可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则,将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本,可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库],然后找到对应的规则,将动作改为“检测并拦截”。
小小胖吃不胖 发表于 2025-2-21 15:09
将木马远控日志的处理动作设置为拒绝,可以按照以下步骤进行操作:

查询日志:首先,您需要在日志中找到匹配的木马远控攻击的防护规则ID。

修改规则库动作:

如果您使用的是AF7.3版本,可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则,将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本,可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库],然后找到对应的规则,将动作改为“检测并拦截”。
日出 发表于 2025-2-21 14:54
修改规则库动作:

如果您使用的是AF7.3版本,可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则,将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本,可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库],然后找到对应的规则,将动作改为“检测并拦截”。
朱墩2 发表于 2025-2-21 14:51
将木马远控日志的处理动作设置为拒绝,可以按照以下步骤进行操作:

查询日志:首先,您需要在日志中找到匹配的木马远控攻击的防护规则ID。
王老师 发表于 2025-2-21 11:10
在深信服 AF(应用防火墙)中,如果发现木马远控的日志处理动作是“允许”,需要通过配置安全策略来将此类行为的处理动作设置为“拒绝”。以下是具体的操作步骤:



一、确认日志来源
1. 登录深信服 AF 的管理界面。
2. 导航到 日志中心 > 安全日志 或 威胁情报日志,找到对应的木马远控日志。
3. 记录下日志中的关键信息:
   - 源 IP 地址
   - 目的 IP 地址或域名
   - 使用的协议(如 HTTP、HTTPS、DNS 等)
   - 目的端口
   - 威胁类型或规则名称



二、调整安全策略

#方法 1:配置入侵防御策略
如果木马远控行为被入侵防御系统(IPS)检测到但未阻断,可以通过以下步骤调整策略:
1. 导航到 安全防护 > 入侵防御 > 策略配置。
2. 找到与木马远控相关的策略(可以根据日志中的规则名称或威胁类型查找)。
3. 编辑该策略,将 动作 设置为 拒绝。
4. 如果没有现成的策略匹配该行为,可以新建一条策略:
源地址:指定源 IP 或选择任意。
目的地址:指定目的 IP 或域名。
服务:选择对应的协议和端口。
动作:选择 拒绝。
5. 保存并应用策略。



#方法 2:配置应用控制策略
如果木马远控行为通过特定的应用程序或协议进行通信,可以通过应用控制策略进行限制:
1. 导航到 安全防护 > 应用控制 > 策略配置。
2. 找到与木马远控相关的行为(例如某些恶意软件使用 DNS 隧道或非标准端口通信)。
3. 编辑策略,将 动作 设置为 拒绝。
4. 如果需要新增策略:
源地址:指定源 IP 或选择任意。
目的地址:指定目的 IP 或域名。
应用类型:选择相关的应用类型(如 DNS、HTTP 等)。
动作:选择 拒绝。
5. 保存并应用策略。



#方法 3:配置威胁情报拦截
如果木马远控的目标 IP 或域名已被威胁情报识别,但未自动阻断,可以通过威胁情报功能进行拦截:
1. 导航到 安全防护 > 威胁情报 > 策略配置。
2. 编辑现有的威胁情报策略,确保 动作 设置为 拒绝。
3. 如果需要新增策略:
匹配条件:选择具体的威胁类型(如木马远控、恶意域名等)。
动作:选择 拒绝。
4. 保存并应用策略。



#方法 4:配置 URL 过滤或 DNS 防护
如果木马远控通过访问恶意 URL 或域名进行通信,可以通过 URL 过滤或 DNS 防护进行阻断:
1. URL 过滤:
   - 导航到 安全防护 > URL 过滤 > 策略配置。
   - 新增或编辑策略,将恶意域名加入黑名单,并将 动作 设置为 拒绝。
2. DNS 防护:
   - 导航到 安全防护 > DNS 防护 > 策略配置。
   - 将恶意域名或 IP 添加到 DNS 黑名单,并设置 动作 为 拒绝。



三、验证配置
1. 在完成上述配置后,重新触发相关行为(例如模拟木马远控通信),观察日志是否变为“拒绝”。
2. 导航到 日志中心 > 安全日志,检查新的日志记录,确认处理动作为“拒绝”。



四、注意事项
1. 误报排查:在调整策略时,注意避免误拦截正常的业务流量。可以通过测试环境验证策略的有效性和影响范围。
2. 定期更新威胁情报:确保深信服 AF 的威胁情报库是最新的,以便更准确地识别和阻断木马远控行为。
3. 终端联动防护:建议结合终端安全软件(如 EDR)进行联动防护,进一步提升安全性。

如果仍有疑问或问题无法解决,可以联系深信服的技术支持团队获取进一步帮助。
cfly 发表于 2025-2-21 10:05


将木马远控日志的处理动作设置为拒绝,可以按照以下步骤进行操作:

查询日志:首先,您需要在日志中找到匹配的木马远控攻击的防护规则ID。

修改规则库动作:

如果您使用的是AF7.3版本,可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则,将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本,可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库],然后找到对应的规则,将动作改为“检测并拦截”
不离不弃 发表于 2025-2-21 10:02
要设置拒绝远控木马,首先要确定是否有特征库授权,然后可以通过深信服的防火墙进行相关配置。以下是具体的步骤和方法:
  • 启用僵尸网络防护:深信服的防火墙(AF)提供了僵尸网络防护功能,可以识别和隔离内网感染了木马等恶意软件的设备。当木马试图与外部网络通信时,防火墙会识别出该流量,并根据用户策略进行阻断和记录日志。
  • 配置IPS和僵尸网络策略

      在AF的管理界面中,您需要进入[IPS](入侵防护系统)模块,配置相关的防护策略。
      在[内容安全]中找到[僵尸网络],查看和配置防护策略。
  • 具体操作路径

      对于标准版本AF7.3,您可以在[IPS]-[IPS]中配置策略。
      对于AF7.4-8.0.85版本,您可以在[对象]-[安全策略模版]-[漏洞攻击防护]中配置模板,然后在[策略]-[安全策略]-[安全防护策略]中配置业务防护策略以及用户防护策略。
  • 监控和测试:配置完成后,您可以通过监控流量和进行telnet测试,确保外网地址无法访问内网的相关服务,从而有效阻止远控木马的活动。
  • 相关配置图片说明

2543267b7de6843856.png (71.07 KB, 下载次数: 10)

2543267b7de6843856.png