“当前已有100+用户参与分享,共计发放奖励100000+“
背景:
AF有一个功能叫做地域控制策略,这个功能经常被大家遗忘,每当问起,都说不知道、没用过、有啥用等等 今天要说的是这个功能很重要,也很强大。 学习前准备工作: 首先我们打开百度,输入一个IP地址,就可以显示出这个地址的归属地 或者我们在AF设备的IP地址库里查询地址归属地 地域控制原理: 根据数据包的源ip判断该请求的归属地,匹配策略允许或者拒绝。 为什么说地域控制策略重要: 原因一: 某公司报道,根据某公司的监测数据显示,在木马和僵尸网络方面,2018年位于美国的1.4万余台木马或僵尸网络控制服务器,控制了中国境内334万余台主机,控制服务器数量较2017年增长90.8%。在网站木马方面,2018年位于美国的3325个IP地址向中国境内3607个网站植入木马,向中国境内网站植入木马的美国IP地址数量较2017年增长43%。根据对控制中国境内主机数量及控制中国境内遭植入木马的网站数量统计,在境外攻击来源地排名中,美国“独占鳌头”。有关专家表示,一直以来,美国都指责中国是美国网络安全的主要威胁,但从上述数据可以看出,美国才是网络攻击的最大来源国。 原因二: 黑客攻击通常采用代理服务器的方式进行,且以境外的代理服务器更受黑客欢迎。而我们了解到,用户大多数业务系统实际并不需要对境外提供服务,或者只是很少量的境外需要提供服务,更有些特殊的业务系统,只需要对境内个别省份提供服务。 原因三: 思维方式问题,安全应有的方式是所有的都是拒绝的,哪个需要我才会放通哪个。现在大部分客户甚至安全工程师去做安全的时候基本上都是全放通,禁用高危端口和非法及不良等,这种出发点就是错误的。地域控制就是一个很好地切入点,哪些地区需要访问,就只允许哪些区域 配置方法: 第一步:在策略-地域访问控制策略-新增 第二步:配置具体的控制策略,示例:拒绝北美地区访问客户的门户网站 第三步:有些内部地址会导致是被错误,而被拦截,我们可以通过修改归属地来解决 第四步:查看已拒绝的ip地址列表 注意事项: 1、需要提前了解某个IP属于哪个国家/地区,可通过【地域访问控制】——【归属地查询】,查询后了解 2、AF能上网环境下,该地址库会自动更新,但也不排除有IP有误判,如出现误判,可通过日志里的排除或纠正来进行处理 3、地域访问控制只针对外网区域访问内网区域方向的流量生效 总结: 看到这里大家还觉得这个功能很鸡肋吗?可以拦截大部分网络攻击何乐而不为呢?赶紧配置起来吧
| 
发表于 2022-8-20 20:02
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
