×

#原创分享#防火墙安全加固
  

小魚兒 61343人觉得有帮助

{{ttag.title}}
【原创分享计划8】最新榜单出炉;现金奖励下周发放,赶快创作起来,发布你的技术文章!


近期,某公司学院内有出相关产品安全加固的视频,针对安全功能较多的AF进行学习,下面是我对防火墙安全加固方面的学习总结:高兴:


防火墙安全加固分为以下四类:

  • 准备工作
  • 安全策略调优
  • 防护能力加强
  • 设备自身加固




一、准备工作
准备工作主要包括设备版本、硬件性能、相关测试工具、拓扑环境、资产梳理等前期准备

设备版本:目前有设备版本时间轴如下,针对目前已出版本及客户需求,建议升级对应版本
  1. <font size="3" face="微软雅黑">AF8.0.17(包含漏洞补丁包)-AF8.0.19(增加资产识别功能)-AF8.0.23(WAF功能增强,新SSLVPN版本及IPSEC IKE v2)-AF8.0.28(HW)</font>
复制代码
硬件性能:需要注意的是,部分功能开启时,如解密、增强级功能,设备性能是否能够支持开启,避免开启功能后,设备性能不足导致业务异常。
相关测试工具:主要包括X-HACK、D盾工具,用于验证策略及客户端WEBSHELL
拓扑环境:用于了解客户大致业务访问流量走向,更便于优化策略
资产梳理:便于后续更好的针对业务进行防范

二、安全策略调优
安全策略调优主要包括资产对象定义、业务策略调优、上网主机调优、排除策略检查等

资产对象定义:将前期准备工作中,已收集的资产对象定义好,便于后续策略调用
业务策略调优:主要分为WAF\IPS\ACL\地域控制访问\安全运营中心
  • WAF防护,主要针对WEB应用,配置中需注意以下几点(对外发布网站业务是否防护、非标准端口模板内是否定义、https网站是否解密、对外发布业务后台限制或关闭、应用隐藏配置是否开启、防扫描是否开启、暴力破解防护是否开启)
  • IPS防护,主要针对服务器、上网主机,配置优化有以下几点(对外发布网站\系统业务是否策略防护、策略内容是否正常开启,如可上网业务系统需开启恶意软件防范功能、非标准端口是否正常配置)
  • ACL控制,需要在权限最小化原则下,进行优化,因此不管是对外发布业务、或是业务系统需要上网时,对需针对其实际访问地址、端口进行配置。(注:需要在资产信息收集十分全面的前提下配置、所需消耗精力较多、如信息收集不全,可能存在部分业务异常)
  • 地域控制策略,明确业务访问源,进行相应控制
  • 安全运营中心,确认并处理运营中心代办事件



上网主机调优:针对上网终端进行安全防范,主要包括以下几点
  • 僵尸网络:针对有上网权限终端开启,杜绝访问外网恶意域名
  • 漏洞攻击模块:需确保防范对象、方向、内容正确
  • 杀毒模块:如有杀毒模块,建议开启邮件杀毒及文件杀毒功能
  • 安全运营中心:确认并处理运营中心代办事件



排除策略检查:有些用户之前排障、调试,可能针对部分网站、IP开了白名单,在HW期间,建议关闭,主要查看的地方有白名单、直通(定向数据流分析、全局直通分析、二层调试直通)和安全防护策略高级配置。


三、防护能力加强
针对策略防护能力方面,加强防护,开启联动封锁功能,可能导致业务使用异常,需谨慎。
注:代理环境下,部分策略不使用或者对应加白

WAF防扫描功能:开启WAF防扫描功能,如达到设置好的阈值,自动将访问IP联动封锁一定时间
IPS:针对业务防护策略、用户防护策略,开启高危行为联动封锁功能
整体防护功能:IPS针对整个业务网段做一个默认防护策略,ACL默认拒绝所有,好处、坏处如下
     好处:1.不担心漏配
               2.可防护后续新增业务系统
IPS
     坏处:1.防护范围过大,对设备性能有影响
               2.无法针对业务系统进行个性化防护

       好处:1.随时掌握资产新增情况
                 2.可对新增资产做个性化安全加强设置
ACL
       坏处:1.前期资产收集需全面,否则会对正常业务有影响
                 2.对ACL精细化控制有一定要求,所消耗时间精力较长
                 3.运维工作量较大,后续业务变更频繁,运维人员也需要随之调整策略

服务器风险排除:将主要包括两个方面WEBshell及远程管理
  • WEBSHELL可使用EDR或者D盾工具进行检查。
  • 远程管理禁止直接映射公网,建议使用AF自带SSL功能进行远程管理服务器操作,且需开启口令暴力破解防护功能




策略有效性检查:使用工具检查策略有效性,目前可使用xhack工具或者网站有效性评估工具-sec.sangfor.com.cn进行检查

四、设备自身加固
设备自身加固,主要包括以下几个方面
访问权限限制:针对访问防火墙权限进行限制,主要有接入方式以及接入源(禁止外网开启远程接入,且内网限制源管理防火墙)
管理员口令:检查设备上是否有多余账户、弱密码存在(建议HW期间,对密码进行修改)
外网端口关闭:对设备风险端口进行关闭,
其中AF8.0.17及以上版本:支持端口收敛功能,未开启功能的端口一律关闭
AF8.0.2及以上版本:本机应用控制功能进行关闭
全版本支持端口关闭方式:DNAT方式 将端口映射到不存在地址
风险端口:51111、4430、442
补丁修复:对已知漏洞进行补丁修复
  • DNS补丁
  • TLS重协商补丁修复
  • OPSENSSL补丁修复





以上就是我的学习总结,希望能在平常运维时,能够帮助大家更好的优化设备策略,做好防范呢:萌萌哒:

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

徐英俊ya 发表于 2020-5-28 23:27
  
牛逼啊鱼工
新手788776 发表于 2020-5-28 23:28
  
很强,感谢大神分享
新手182725 发表于 2020-5-28 23:29
  
鱼工,好棒,爱了爱了
Sangfor_闪电回_朱丽 发表于 2020-5-29 09:32
  
感谢您的分享,满满的干货,已将文章放入技术博客中!

社区技术博客征稿活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=103115
新手031815 发表于 2020-5-29 09:41
  
感谢分享
新手780102 发表于 2020-5-29 09:47
  

感谢分享
TCN 发表于 2020-5-29 10:01
  
非常赞的分享,可以修改标题#原创分享#参加活动
新手612152 发表于 2020-5-29 10:11
  
感谢分享
司马缸砸了光 发表于 2020-5-29 10:19
  

感谢分享
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人