本帖最后由 常鸿 于 2022-9-24 13:06 编辑
实用小技巧又来了
某某客户现场,购买了咱们的AF产品,还有态势感知平台,策略都调的很好,该拒绝的拒绝,该阻止的阻止。然后在某个夜晚,客户来电话了,嗯嗯嗯,被勒索了
上门应急一下,发现了,哥们是从web服务打进来的,AF没买授权防护不了web攻击呢,这怎么办,客户也没钱买waf授权了
作为一个资深工程师,这个是问题吗
想想两个产品的特性,SIP能看到不能拦截 AF是能拦截但是看不到,两个结合一下就可以完美防护了
方案如下:(以下截图非真实现场)
AF加入到SIP,配置双向联动(步骤省略,有手就会)
然后呢 重点来了
首先我们要配置联动防护,如果要起到WAF的那种防护效果,我们要配置自动联动
但是呢自动联动有个比较大的问题,就是误判太多,为了减少误判,还能自动防护,这里就需要配置的细致一些
首先呢 防火墙上配置一个及其容易被忽略的功能 地域访问控制 白送的功能,不用太亏了,这个一配置 能拒绝其余200多个国家的网络攻击行为,赚大了
然后让我们来配置SIP上的联动策略 新增一个联动策略
配置策略内容 选择自动执行 把执行条件里面对网站攻击的都选择上 然后把适用的目标选内网服务器,这样会减少误判
然后配置一下动作流
最后把配置的策略启用
这样一来针对web服务器的攻击事件,SIP发现以后,就可以调用AF来进行联动封锁 一个发现一个处置
当然这种方式还是有滞后性的,最好的防护还是在AF上开启WAF授权,可以直接把攻击拦截在墙外
|