防火墙域名封禁失败问题优化处理
  

山东_陈昌运 1911

{{ttag.title}}
问题现象:
防火墙做了对www.wenshushu.com 域名拦截策略,客户反馈大部分用户访问www.wenshushu.com 都可以打开。


AF域名拦截存在场景问题,当AF使用应用访问控制策略或者黑名单拦截域名时因为解析IP很多(300多个),变化很快,防火墙记录不了那么多域名解析后的IP,导致用户可以正常访问
具体原理如下

故障产生原理解释
目前很多域名都使用CDN网络加速(CDN网络原理后面章节有解释),比如文叔叔,todesk、qq等面向终端用户的域名,使得这种域名的解析IP变得很多,如果在AF上设置应用访问控制策略或者黑名单拦截www.wenshushu.com 此时防火墙会记录此域名解析的IP(老架构防火墙默认记录15个,可以后台扩到100个;新架构防火墙默认记录30个,后台可以扩到200-300个),但是因为记录不全,IP变化太快导致还是无法完全封锁,还是会有用户成功访问


解决方案:
1.AF开启DNS代理功能时,终端的流量解析都到AF上进行解析,AF本地设置hosts将域名解析到一个不存在的IP上,此方案受到host上限影响,最多500条,再多需要联系研发进行定制扩容
2.AF为透明部署时,使用僵尸网络功能,僵尸网络可以将数据包的DNS请求包进行拦截,不对IP地址进行封禁,开启僵尸网络功能对设备性能有损耗,开启前进行性能评估。
3.如果出口有AC设备,使用上网权限策略,AC的上网权限策略域名封禁是拦截DNS实现的类似于AF的僵尸网络


CDN网络加速原理
CDN英文全称Content Delivery Network,中文翻译即为内容分发网络。它是建立并覆盖在承载网之上,由分布在不同区域的边缘节点服务器群组成的分布式网络。
CDN应用广泛,支持多种行业、多种场景内容加速,例如:图片小文件、大文件下载、视音频点播、直播流媒体、全站加速、安全加速。

借用阿里云官网的例子,来简单介绍CDN的工作原理。假设通过CDN加速的域名为www.a.com,接入CDN网络,开始使用加速服务后,当终端用户(北京)发起HTTP请求时,处理流程如下:
1.当终端用户(北京)向www.a.com下的指定资源发起请求时,首先向LDNS(本地DNS)发起域名解析请求。
2.LDNS检查缓存中是否有www.a.com的IP地址记录。如果有,则直接返回给终端用户;如果没有,则向授权DNS查询。
3.当授权DNS解析www.a.com时,返回域名CNAME www.a.tbcdn.com对应IP地址。
4.域名解析请求发送至阿里云DNS调度系统,并为请求分配最佳节点IP地址。
5.LDNS获取DNS返回的解析IP地址。
6.用户获取解析IP地址。
7.用户向获取的IP地址发起对该资源的访问请求。
如果该IP地址对应的节点已缓存该资源,则会将数据直接返回给用户,例如,图中步骤7和8,请求结束。
如果该IP地址对应的节点未缓存该资源,则节点向源站发起对该资源的请求。获取资源后,结合用户自定义配置的缓存策略,将资源缓存至节点,例如,图中的北京节点,并返回给用户,请求结束。
从这个例子可以了解到:
1.CDN的加速资源是跟域名绑定的。
2.通过域名访问资源,首先是通过DNS分查找离用户最近的CDN节点(边缘服务器)的IP
3.通过IP访问实际资源时,如果CDN上并没有缓存资源,则会到源站请求资源,并缓存到CDN节点上,这样,用户下一次访问时,该CDN节点就会有对应资源的缓存了。

HOST配置方式
以标准版本AF7.4-8.0.32版本操作路径示例: NGAF启用DNS代理功能,在【网络】-【高级网络配置】-【DNS】中查看和配置 NGAF配置HOSTS记录,在【网络】-【高级网络配置】-【HOSTS】中查看和配置
以标准版本AF8.0.35-8.0.85操作路径示例:在【网络】-【高级网络配置】--【DNS】启用【DNS代理】中查看和配置,NGAF配置HOSTS记录,在【系统】-【通用设置】-【HOSTS】中查看和配置

僵尸网络配置方法
1.配置僵尸网络防护策略
NGAF的用户防护策略支持配置僵尸网络防护功能,用于防护内网PC;
NGAF的业务防护策略支持配置僵尸网络防护功能,用于防护内网服务器;如“业务防护策略”里选择的源一般是外网区域,目标是内网区域, 僵尸网络能自动对策略选择的区域进行反向处理,最后僵尸网络的识别与处理,源是内网区域,目标是外网区域;
PS:AF僵尸网络源区域选择要防护的数据的发起方,如防护内网电脑异常去连接外网僵尸网络服务器,则源区域选择内网,反之选择外网;
具体配置如下:
标准版本AF7.4-AF8.0.95版本操作路径:可在【策略】-【安全策略】-【安全防护策略】-【用户防护策略】/【业务防护策略】中配置僵尸网络策略并勾选【僵尸网络】选择【默认模板】
标准版本AF7.3版本操作路径:在WEB控制台的【内容安全】-【僵尸网络】中查看和配置防护策略
2.配置僵尸网络自定义规则库
AF从8.0.5版本开始支持自定义僵尸网络识别库
截止标准版本AF8.0.95,AF自定义僵尸网络是有数量限制,最高可以自定义500条规则
以标准版本AF8.0.8-8.0.95版本操作路径示例:【对象】-【安全防护规则库】-【自定义规则库】点击新增自定义僵尸网络规则库,写入相关URL,自定义好规则。

AC上网权限策略配置方法
1.自定义URL
全网行为管理13.0.102版本:在【系统管理】-【对象定义】-【URL分类库】-【新增】,填写需要放通或拒绝的URL;
上网行为管理12.0.47和全网行为管理13.X及之后版本:在【系统管理】-【对象定义】-【URL分类库】-【新增】,填写需要放通或拒绝的URL;
上网行为管理12.0.47和全网行为管理13.X及之前版本:在【对象定义】-【URL分类库】-【新增】,填写需要放通或拒绝的URL;
2.配置上网权限策略
全网行为管理13.0.102版本:在【行为管理】-【访问权限策略】-【访问权限策略】-【应用控制】里面选择自定义的URL,动作设置允许/拒绝,适用对象关联给对应用户即可
12.0.47和13.X之后版本:在【行为管理】-【访问权限策略】-【访问权限策略】-【应用控制】里面选择自定义的URL,动作设置允许/拒绝,适用对象关联给对应用户即可;
11.X之后的版本:在【策略管理】-【上网策略】-【上网权限策略】-【应用控制】里面选择自定义的URL,动作设置允许/拒绝,适用对象关联给对应用户即可;
11.X之前的版本:在【用户与策略管理】-【上网策略】-【上网权限策略】-【应用控制】里面选择自定义的URL,动作设置允许/拒绝,适用对象关联给对应用户即可;

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

一个无趣的人 发表于 2024-9-25 15:39
  
多谢分享防火墙封禁域名失败的问题,学习了。
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
技术盲盒
干货满满
社区新周刊
每日一问
新版本体验
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人