本帖最后由 王旭泽 于 2024-4-9 11:16 编辑
一、需求背景: 监管单位通过探针形式检测出某大学有疑似主机外联恶意IP的挖矿行为,上级单位发文要求整改,但是受限与该单位网络运维人员匮乏,通报迟迟不能及时处置闭环
二、需求描述: 想实现对内网主机外联恶意IP提前感知并进行阻断闭环。
三、解决思路: 8.0.75版本的防火墙依赖本地规则库无法实时更新并检测阻断恶意IP通信,将防火墙版本升级至8.0.90并订阅云威胁情报网关功能,通过独创的主动探测引擎+海量威胁情报+高价值流量引流方案,对威胁流量进行实时检测&拦截,使所有流量在出网前均经过威胁情报的检测并已明确结果,实现恶意流量不出网。
四、现网拓扑 1、监管单位探针旁路部署在核心路由处 2、深信服防火墙二层部署在下游汇聚到核心交换机之间 3、被通报主机主要集中在信息系统区
五、实施过程 1、前置准备: (1) 防火墙升级至8.0.85或者8.0.90支持云威胁情报网关,优先建议使用8.0.90进行交付,90版本相较85版本支持模式更多、适应场景更广,对客户网络带宽、流量走向影响更小,网络复杂或带宽负载较高时优先建议使用90版本进行交付; (2) 确认型号是否支持,开启云威胁情报网关功能模块,在开启IPS的性能上,应用层吞吐会再下降5%-10%; (3) 确认防火墙部署模式为二层或三层,不支持主主、旁路场景,支持主备部署(主备都需要接入),AF8.0.85版本支持部署模式为路由模式、透明模式;AF8.0.90版本额外支持虚拟网线模式; (4) 云威胁情报网关为saas化服务,因此需要有一个云图账号; (5) 开通SASE-AC模块并开通线路带宽,开通云威胁情报网关序列号,二者有效期必须一致,有一个过期都会导致功能失效; (6) 开启隐私设置,授权云端安全防护及云威胁分析,并选项应为“上传所有威胁信息,云智更新安全能力库”或“上传HASH等非文件类型未知威胁,云智更新安全能力库”之一; 2、实施步骤 (1) 以防火墙虚拟网线部署为例,使用该功能需要有一个额外的三层接口,(根据每个工程师习惯不同,如平常带外管理口使用的是非eth0可忽略以上描述,复用带外管理口即可),配置能够上网的IP,将其连接到上游设备(推荐)或下游设备。该接口出网的上游出口应尽量与实际业务流量上游出口一致,以保障AF与POP节点的连通性,保证客户的业务不会因为连通性而受影响。 (2) AF接入SASE(以8.0.90为例) 进入SASE控制台-【管理】-【接入管理】-【接入隧道】,复制接入码;
(3) 进入AF,【安全运营】-【下一代安全体系】-【网云联动】-【云安全访问服务】,选择通过引流码接入,粘贴刚才复制的接入码,确定后进入引流配置页面; (4) 返回SASE控制台,【管理】-【接入管理】-【分支管理】-【新增】,创建分支,填写分支名称、地理位置、所属分组、选择授权带宽(这里的授权带宽就是之前说要开通的线路带宽,如果不选择节点将无法生效,下拉框没有任何显示表明未开通,此处授权带宽仅云端统计用,实际客户流量不受限制),接入设备选择手动配置,选择设备类型并填写网关ID,确定后节点生效; (5) 返回AF,配置僵尸网络防护策略。在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝。(此处云威胁情报网关功能与安全防护策略-僵尸网络强绑定,未被安全防护策略覆盖的流量将不会进行云威胁情报网关检查); (6) 【安全运营】-【下一代安全体系】-【网云联动】-【云威胁情报网关防护】,点击立即获取; (7) 情报对接接口为上游出网接口,状态检测接口选择三层上网接口;例如eth19为普通管理口,且可以访问外网,eth8/ eth9 分别为虚拟网线 内/外 网侧接口。则此时情报对接接口应选择eth9,状态检测接口应选择eth19。 (8) 等待1-2分钟后,查看已获取POP节点; (9) 若该三层接口连接到下游设备,即从该接口发出的数据包需要先经过防火墙再出网,则需要额外配置二次穿透,以便该状态检测数据包可以正常通过防火墙。网络-高级网络-多次穿越,创建两条该接口ip和pop地址间的穿越设置: 1.源地址:三层接口ip 目的地址:pop节点 数据包入接口:af内网侧虚拟网线接口 2.源地址:pop节点 目的地址:三层接口ip 数据包入接口:af外网侧虚拟网线接口 例如若eth1接口接到AF下游,意味着从该接口发出的链路探测数据包需要先经过防火墙再出网,则: 1.源地址:eth1接口ip 目的地址:pop节点ip(接入情报网关后得到)数据包入接口:eth2 2.源地址:pop节点ip 目的地址:eth1接口ip 数据包入接口:eth3 六、效果呈现: 七、注意事项: 1. 8.0.90版本不需要配置引流策略。 2. 客户若是新上架的防火墙,建议先正常跑一段时间业务,再做相关策略配置。 3. 防火墙虚拟网线部署模式时,不能部署在出口设备的上游。因为经过出口设备发生地址转化,可能会导致链路探测流量和业务流量混淆,使二次穿透无法正常生效,最终可能导致网络受影响。 4. 若创建引流线路或通过“云威胁情报网关防护”界面接入情报网关后,5分钟左右仍未获取到PoP服务器IP,则应检查是否已在SASE平台创建分支。 5. 若获取到PoP服务器IP,链路状态5分钟后仍为已断开状态,检查af是否可以与PoP点正常通讯,可能上游设备会当防火墙与PoP通信流量大了后出现拦截阻断情况,建议将PoP IP在上游设备加白。(若条件允许,可将防火墙IP加白)。 6. 云威胁情报网关需额外放通域名,在云图或云鉴等云端服务均连接状态正常,但情报网关一直连接不到SASE平台时,尝试AF是否可以正常访问以下域名,若无法访问检查上游设备是否存在拦截:(使用 ping 和 curl 进行测试:curl https://domain:port --insecure) rt-sase.sangfor.com.cn 443
logcenter-sase.sangfor.com.cn 6443
sase.sangfor.com.cn 443 7. 如果4、5、6条都确认配置无误仍然无法获取节点或者节点状态异常,建议协调400排查。 8. 防火墙僵尸网络拦截优先级为 本地安全-云鉴安全-云威胁情报网关。大部分优先被本地和云鉴拦截。由于云鉴和情报网关用的都是同一个云端库。只不过因为架构不同,导致云情报网关有实时拦截的能力,云鉴没有。若无云鉴,则会被云情报网关拦截。因此统计效果时两者可以一起统计,都算AF额外增加的情报拦截能力。
| 
发表于 2024-6-10 17:46
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
