|
防火墙运维手册 首先我们需要各位工程师明确几点: 第一:安全事件是不会杜绝的,因为网络中的不确定性,一个IP地址会不会对你产生攻击,取决于他想不想对你发生攻击,就好像一个看起来很安全的人,你并不会知道他会不会对你发起攻击,但是一旦对方发起攻击一拳向你打来,这个时候我们才能进行格挡或者反击。网络防火墙的防护也是如此,我们只能进行被动地防御,以及对那些看起来就很危险的攻击源提前进行防御。 第二:为什么安全防护策略一开,安全事件怎么这么多? 首先,其实两件事之间并无明显的关联关系,以往没有安全事件,是因为我们对这个安全事件不做防护,所以并不会产生安全事件,这并不意味着您的网络没有受到攻击,只是攻击事件你没有发现罢了,并且产生的影响较小,如果像是勒索病毒一样现象明显的攻击,感知就会十分明显。 第三:防火墙只能尽可能的智能,但是他不是百分百不会犯错的。这必然会存在误判的情况,所以安全防护是有可能对正常业务进行阻断,这shi'h 针对攻击事件,管理员首选要判断的是否为误判,因为根据防火墙规则,高危或者中威胁事件都已经制定了不同的执行动作,如果是误判,可以人工放通,如果不是误判,让防火墙自行处理即可。 web应用防护安全事件(WAF防护): 此类事件一般为对外发布的服务器业务受到外来攻击产生的。攻击内容如下: file:///C:\Users\vcc\AppData\Local\Temp\ksohtml21424\wps1.jpg 第一步:查看攻击源和被攻击对象的IP地址和端口。 第二步:判断攻击的服务器业务。 第三步:根据查看日志功能选项中的举证,判断是否是否为攻击行为。 第四步:查看是否有业务中断的状况。如果没有,则为正常的拦截。 漏洞攻击防护(IPS): file:///C:\Users\vcc\AppData\Local\Temp\ksohtml21424\wps2.jpg 通俗的理解就是通过操作系统或者业务系统本身存在的漏洞进行攻击,起到让业务瘫痪或者其他不良影响的效果。 1此类攻击若判断不为误判,建议严格处置,一经发现,执行拦截。 僵尸网络: 此类安全事件,主要是通过内网PC的访问行为去发现的,比如内网的某台PC,1秒中访问了几百个域名,首先我们可以判断一个正常人类是无法做到这种行为的,所以只能是程序设定的访问动作。由于误判较高,此类事件一般进行记录日志即可。 处置建议:管理员对日志中PC访问的域名进行拦截。 或者是策略中设置拦截,如果有误判产生,再进行放通。 内容安全: 此类防护主要针对用户,容易受到一些钓鱼链接,威胁邮件附件,不小心打开了一些危险网站等等的行为进行防护。 有带病毒的邮件发过来,会进行拦截,并且弹窗提示。或者打开了危险的网站,防火墙会自动进行拦截,此功能开启时,邮件中上传附件时也会进行检测,会导致邮件大附件的上传较慢。 file:///C:\Users\vcc\AppData\Local\Temp\ksohtml21424\wps3.jpg 处置建议:查看访问的url是否为具有安全威胁,如果存在误判,进行放通即可,其他行为无需进行人为干预,风险高的行为,防火墙自动拦截 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-2-7 09:43
技术员1级 
