【2022争霸赛*干货满满】实战AF处置僵尸网络、恶意域名等问题

【背景介绍】

       某医院网络专线连接至所属集团总部，由集团总部信息中心建设DNS服务器，医院内PC需访问DNS服务器进行域名解析，集团有流量分析设备告警医院的访问流量有僵尸网络、恶意域名访问、漏洞攻击等行为，下发通报至该医院。

【网络拓扑】

     

【基本分析】

     集团接收到医院侧恶意的访问流量，说明办公网络的PC有感染病毒、木马的情况，故需要进行相关处置，达到以下几个目标：

1. 需要找感染的PC的IP地址进行杀毒处置

2. 对恶意的域名的访问进行阻断

3. 因医院也没有必须访问集团DNS服务器的需求，但终端的IP及DNS设置都是手动的，如何进行修改而 无需修改终端DNS设置

【处置步骤】

1.登录防火墙查看安全事件

    可以看到攻击行为及失陷的主机较多，但安全事件这边不全面，故需要查询日志

2.进入内置数据中心，获取1个月的安全日志并按照IP进行统计

    统计完成后点击右上角导出表格，交由甲方人员按照IP地址对问题终端进行杀毒处置

3.对失陷主机进行推送杀毒通知

   此时达成目标一。

4.对恶意的行为进行联动封锁，进入安全策略配置并修改联动封锁并修改封锁时间

5.对僵尸网络配置为拒绝并配置恶意域名重定向

    此时达成目标二。

5.通过设置DNS透明代理即可在不修改PC的DNS配置的情况将实际的DNS解析服务落在防火墙上，具体在本案例中，AF部署模式为透明模式，需要注意的是DNS透明代理功能无法在二层环境部署，与客户沟通后，后续将由AF取代路由器的功能，届时可开启此项功能。

【销售机会引导】

       客户环境终端没有杀毒软件，无法使用下发定时杀毒任务，故对客户推荐深信服EDR，讲述EDR的功能优势及与防火墙联动的便利性；客户大为意动，同意后续进行测试。

以上。

专家点评：感谢楼主分享，文章记录了AF处置僵尸网络/恶意域名的案例，期待带来更多优秀的案例分享。

每天学习一点，每天进步一点

思路清晰，步骤明确，感谢分享

坚持学习，每天都要收获

干货满满，学习啦~~~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享