SIP与Af联动封锁配置
  

新手1008686 1689

{{ttag.title}}
本帖最后由 新手1008686 于 2024-8-7 10:27 编辑

SIP&AF联动封锁
背景:
以被动方式去响应攻击事件,那么在这种情况下,对攻击事件的处置时效会降低。为了避免在这种场景下出现上述情况,可以通过AFsip的联动封锁功能提升效率,具体配置步骤如下:
AFsip联动配置
1.在【监控】-【设置】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”,然后在【安全感知系统设置】中查看和设置
2.在防火墙【系统】-【管理员账号】-【用户名】开启联动账号的web api,用于通过sipaf下发联动策略。(这里可以对admin账号开启,或者新建一个账号)
3.登陆sip,【系统设置】-【设备管理】选择刚才接入的af,开启双向认证,用于下发联动策略。
4.sip【系统设置】-【联动响应】-选择对应af版本的联动配置,输入在防火墙创建的账号

到此AFsip的联动配置完毕。
配置自动封锁策略
通过sip下发封锁:
1.SIP-【重保中心】-【联动封锁】-【自动封锁】开启自动封锁。
注意:在这里需要明确内网环境是否有反向代理,负载,出口映射设备等地址转换设备,以防把这些设备地址封锁了,导致业务异常。可以把这些地址添加到白名单中。
2.在这里的封锁策略中有时会有误判的问题,比如有些业务流量会被误判为攻击,所以建议只勾选比较高危常见的攻击类型,以防误封。



那么当合适的策略配置完毕后,通过sip安全日志匹配到我们的策略后自动封锁攻击源ip,不支持自动封锁代理ip
通过AF封锁:(不需要sip,建议在出口防火墙开启)
1.AF-【策略】-【安全防护策略】-选择外对内发防护策略(公网对内),开启联动封锁(只开启高位行为)。
2.那么此时af会根据自身的日志和防护规则去封锁高危攻击行为,如果在af前面有地址转换设备,需要把转换地址添加到af的【临时封锁】-【例外封锁】名单中,以防误封。
误封排查
SIP下发的封锁排查:
1.此场景下客户会反馈哪个用户对于什么业务不能访问,那么我们需要确认用户的ip,在sip的自动封锁名单中搜索这个ip,找到对应记录之后,检查他的安全日志确认安全日志类型,在封锁策略中排查这个攻击类型即可。
比如客户反馈112.32.59.64 用户无法访问业务了,那么检查他的安全日志,对应的安全日志类型是【流量异常-http流量异常】,那么在自动封锁策略中不勾选这个日志类即可。

AF自身封锁排查:
1.此场景下也会存在误封问题,此时询问客户是那个业务访问有异常,在sip的临时封锁名单中搜索对应的业务ip,(因为af的封锁模式是封锁源目的ip的),那么只需删除误封ip即可。
2.然后将这个封锁触发的日志添加例外就好了。

691166ac56164f601.png (100.02 KB, 下载次数: 86)

691166ac56164f601.png

4812166ac5709cc693.png (71.04 KB, 下载次数: 75)

4812166ac5709cc693.png

5806366ac5725ee8e9.png (30.16 KB, 下载次数: 82)

5806366ac5725ee8e9.png

3891266ac574a3ac8f.png (96.42 KB, 下载次数: 78)

3891266ac574a3ac8f.png

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

平凡的小网工 发表于 2024-9-29 20:57
  
图文结合,步骤清晰,有助于工作。
飞翔的苹果 发表于 2024-8-22 08:15
  
一起来学习,一起来学习
飞翔的苹果 发表于 2024-8-13 08:09
  
感谢分享有助于工资和学习!
Hellos 发表于 2024-8-6 10:32
  
一起来学习 一起来学习
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术盲盒
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
「智能机器人」
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
19
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人