本帖最后由 999的demo 于 2024-6-24 00:39 编辑
云威胁情报网关的三大场景 通报预防 主要针对于外联通报 如果需要做漏洞通报预防、弱口令的通报预防等需要结合整体的云网端联合方案来做 上网安全 突破防火墙本地规则库限制,防火墙威胁检测与防御能力从百万级提升至百万亿级 特别是针对失陷主机外联、病毒文件、未知钓鱼网站的检测与防御能力有显著提升 病毒防护(源云鉴需求) 只是支持文件MD5的云端检测能力
云威胁情报网关的引流原理 将未知威胁引流到云威胁情报网关进行检测,然后返回结果给AF 云威胁情报网关引流方案的演进 需要注意在引流时不会拆分客户的数据,只是将五元组、域名等进行上传解析 早期的引流的是全引流-排流(所有流量都会引入到云上POP节点),可能会存在卡慢现象 现在8.0.85R2和8.0.90版本的引流都是绕流-智能引流,一般引流10个报文后会停止引流,避免引流过多影响性能,加重带宽成本。 具体的智能引流RT2.0方案 分为云慢路和云快路 云慢路(智能引流):SASE POP仅作为云上流量清洗服务不介入网络转发 云快路(节流功能):对于没有安全和审计需求的流量,本地直通,不做引流 蓝色路线为之前的全引流方案,红色为现在的云慢路(智能引流),绿色为现在的云快路(不引流) 注意事项 后续默认开授权的时候也是开的绕流的授权,如果之前是全流的方式(例如SASE-AC的引流)可以重新申请云威胁情报网关授权
引流步骤详解第一步:客户上网请求或响应报文经过AF,将其送往POP节点 针对于8.0.90版本:当流量命中僵尸网络拒绝策略且未检出威胁时,且不在节流库(排流策略)中,则将报文封包发送给pop节点。更精细一点的引流原理如下 l 当流量命中僵尸网络策略时,先匹配僵尸网络的黑库(黑名单-已知威胁),如果在黑库中则直接拦截 l 如果不在黑库则匹配僵尸网络白库(白名单),如果在白名单中则直接放通,不引流 l 如果不在黑库也不在白库,则表示为未知的威胁,会将该流量送到POP节点进行检测 针对于8.0.85R2版本:是否发送给pop节点跟是否命中僵尸网络拒绝策略没有关系,只跟是否配置了SASE引流策略有关。 即对于8.0.85R2版本,是否引流只与引流策略有关,与僵尸网络策略无关;并且该版本即使配置了僵尸网络策略,也不支持本地白库过滤功能。 白库:云端会定期同步域名/IP的白名单 第二步:检测后SASE将报文发回给AF,AF进行处置 云威胁情报能力的增长正循环流程:C—G—I—K—J—F A、B:开通云威胁情报网关相关授权,并将AF接入到云威胁情报网关 D:表示设备不引流,直接转发(白名单、或者排流策略、或者SASE检测通过) E、F:POP将检测的结果返回给AF AF收到后进行解包,有以下几种情况: 1、AF继续引流:sase需要更多的包进行威胁检测,AF对会话的请求和响应继续引流 2、AF停止引流,sase检测结束了,放通流量,当前连接后续的报文直接AF转发(一般引流10个报文后会停止引流,避免引流过多影响性能,加重带宽成本) 3、AF停止引流:解包发现是SASE的拦截信息,则报文被SASE检测出威胁并拦截阻断了,AF根据拦截信息记录安全日志 G、I:AF将被引流的未知威胁数据上报给数据湖(上报的内容主要是url/domain/ip);数据湖将最新整理好的未知类型日志发送给情报中心TI H、J:情报中心提供AF和SASE对应白库过滤包和云情报威胁包(AF周期5min拉取TI的过滤包;SASE周期5min从TI拉取云情报威胁包来判断未知威胁) K:情报中心TI对本地无法对应的真正未知类型目标进行主动探测,记录探测结果 数据湖:负责存储海量的未知类型url/domain/ip上报 情报中心(TI):从数据湖收集最新整理好的未知类型日志,并对本地无法对应的真正未知类型目标进行主动探测,记录探测结果;并提供AF和SASE对应过滤包和云情报威胁包
云威胁情报网关部署相关概念 哪些版本的AF支持接入云威胁情报网关 目前只支持8085R和8090版本(需要设备能够联网) 8.0.85R版本,并且要打上KB_AF_sase_around_8085R补丁包(需要重启网络层服务10-15分钟,不会影响业务) 8.0.90版本,不需要打补丁包即可支持 注意:智能引流包不支持NXP-ARM设备和信创版本,NXP-ARM设备涉及型号为AF-1000-FH1200B/FH1300B/SK1305B,NXP-ARM设备和信创设备需升级90版本解决。
AF的部署模式对接入云威胁情报网关的影响AF支持在以下部署场景接入云威胁情报网关 8085R在虚拟网线模式下不支持部署云威胁情报网关(8.0.90及之后版本支持) 以下场景不支持云威胁情报网关 旁路模式、非对称流量主主、混合模式、透明/虚拟网线部署在网络出口、IPSec/SSL VPN流量、代理等场景下不支持 注意事项 l 当AF使用透明模式(85R2和90都支持)或虚拟网线模式(90支持)时AF不支持部署在互联网出口 l 主备/主主的场景下需要在云端创建两个账号(因为配置云威胁情报网关需要绑定ID) l Sase平台创建分支时需要为每台设备都创建一个分支(因为SASE是绑定网关ID的)
联网口、探测口、业务口的概念联网口——设备自身上网的接口 设备默认路由所在接口就是联网口,来获取POP节点的信息 需要保证AF到sase(sase.sangfor.com.cn、rt-sase.sangfor.com.cn)的443、威胁网关(logcenter-sase.sangfor.com.cn)的6443、云图(x.sangfor.com.cn)的443网络是可达的 业务口——内网上网的出口 一般就和联网口复用(特定场景下不复用),通过该接口将数据流量封装发给POP节点 需要保证该接口能够访问到POP节点地址的UDP 12321端口,且AF上游设备无针对POP节点的流控 探测口——一个能够上网的三层口 负责持续探测pop节点状态,来判断对数据流量是封装还是逃生(当探测报文的丢包率过大时就会自动逃生,不引流) 需要保证该接口能够访问到POP节点地址的UDP 12321端口,且AF上游设备无针对POP节点的流控 l 路由模式下会自动复用业务口 l 透明模式下,探测口可以使用vanif,也可以另起一个三层口 l 虚拟网线模式下,探测口要另起一个三层口 l 该接口不能使用AF的eth0/管理口,因为默认的manage口无法配置线路探测 l 由于探测口会影响到是否引流,因此探测口的连通性必须能够等效于业务口引流的连通性 l 探测口的数量一般就是公网线路的数量
不同部署模式下联网/探测/业务口的选择
路由部署(85R2和90都支持) 透明部署(85R2和90都支持) 透明部署的情况下85R2的探测口只支持使用Vlanif接口,90支持使用三层口 双机主备部署(85R2和90都支持) 双主透明/虚拟网线部署(透明85R2和90都支持、虚拟网线只有90支持) 虚拟网线部署(90支持) 探测口接入上游 探测口接入下游
云威胁情报网关部署配置 部署的前置条件 1、设备的部署模式支持云威胁情报网关 2、设备的联网口、探测口、业务口都满足要求 3、云威胁情报网关是和云图-SASE产品关联,因此需要有一个云图账号(若没有需要注册) 4、云威胁情报网关相关的3个授权均已开通 5、AF开启隐私设置,授权云端安全防护及云威胁分析,并选项应为“上传所有威胁信息,云智更新安全能力库”或“上传HASH等非文件类型未知威胁,云智更新安全能力库”之一。 6、评估一下AF的性能能否足够支持接入云威胁情报网关(开了之后不会影响网速,只是会消耗防火墙性能--最多消耗性能不超过10%,一般5%左右) 注意事项 1、若客户之前使用过Sase AC,则必须提供云图id,联系xass授权,将sasc ac授权调整为威胁情报网关的授权(sase ac的引流后续也可以通过af去做了) 2、若客户有强防通报需求,可以考虑开启防通报严格模式(安全防护策略-高级设置-僵尸网络高级设置-启用防通报严格模式),该模式下,会额外拦截高可疑的情报,开启后可能会出现少量误拦截情况(0.5%-1%),误报原因是客户使用的某些域名或IP被开源情报标记为恶意,建议按需开启 3、若内网主机到内网服务器流量经过AF,且内网服务器未采用标准的内网地址,此时需要将该部分网段添加进排流策略,否则AF可能将其识别为境外IP引到云端,导致访问异常 4、排流策略优先级高于引流策略,也高于云情报的僵尸网络引流匹配 5、AF8.0.85R引流到SASE检测是通过云安全访问模块的引流策略抓取引流的流量;而AF8.0.90引流到SASE检测是通过匹配到僵尸网络拒绝策略,就会将报文送到sase检测,不需要手动配置引流策略。
云威胁网关授权涉及三种授权 AF本地云威胁情报网关授权、云端SASE授权、未知威胁情报网关授权(此授权在SASE授权开通时会一并开通);当以上三种授权都正常时才可以使用云威胁情报网关 1、AF本地云威胁情报网关授权 测试设备授权 直接在W3的测试授权中申请(选择AF产品,然后选择云威胁情报网关订阅软件) 销售设备授权 授权成功后在AF查看本地云威胁情报网关授权 2-3、云端SASE授权 无论是测试还是销售设备都通过登录客户云图来开通云端SASE授权 1、点击订阅商店 2、选择云威胁情报网关开通 3、输入AF的“网关ID”,并选择AF设备所在地即可完成开通(需要注意未开通云威胁情报网关本地授权的AF网关ID不支持云端自动开通云情报网关授权)
策略配置8.0.85R2配置思路 1、配置AF接入到SASE 通过云图登录到SASE云威胁情报网关,复制接入码 在AF上通过引流接入码接入到SASE云威胁情报网关 2、配置僵尸网络防护策略—可选(防通报场景必配,85R版本不配置不影响云威胁情报网关功能生效) 在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝 3、在云安全访问服务页面创建SASE引流线路 选择对应的联网/业务/探测口;出接口选择联网的接口,选择对应的PoP运营商 注意:路由部署且出口多条互联网线路并获取的POP节点IP相同时,需要配置策略路由,其他部署场景无需关注 4、在云安全访问服务页面配置引流策略 针对引流线路配置引流策略,每条引流线路需要配置境外IP引流和DNS引流两条引流策略 5、在云安全访问服务页面配置排流策略—可选(基于网络环境情况,按需配置)
8.0.90配置思路 1、配置AF接入到SASE 通过云图登录到SASE云威胁情报网关,复制接入码 在AF上通过引流接入码接入到SASE云威胁情报网关 2、配置僵尸网络防护策略;对于8.0.90来说是必配的 在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝 此处云威胁情报网关功能与安全防护策略-僵尸网络强绑定,未被安全防护策略覆盖的流量将不会进行云威胁情报网关检查 3、在云安全访问服务页面创建SASE引流线路 配置业务接口和探测接口,当云情报一条线路不够时, 可到云安全访问服务补充引流线路,用于IOC引流(僵尸网络匹配)。 注意:路由部署且出口多条互联网线路并获取的POP节点IP相同时,需要配置策略路由,其他部署场景无需关注 4、在云安全访问服务页面配置排流策略—可选(基于网络环境情况,按需配置) 不需要配置引流策略了,只需要配置引流线路
报表展示安全价值报表导出(右上角) 一般运行半个月或一个月可以给客户呈现 第一部分:整体安全运营工作总结,针对月度的恶意外联拦截情况、失陷主机检测情况、新型威胁更新情况进行汇总概括。 第二部分:基于四个维度,展开呈现安全价值。 1)风险概览:展示不同威胁等级/威胁载体的拦截情况和风险终端分布情况。 2)云威胁处置分析:展示平台AI引擎能力,以及分析热门威胁类型的拦截情况。 3)新型威胁更新动态:展示近七天更新趋势,以及最新更新的情报内容。 4)重点事件举证:分析展示TOP10威胁事件,以及TOP10的风险终端。 |