×

【AF】某大学8.0.90防火墙云威胁情报网关功能测试
  

王旭泽 75081人觉得有帮助

{{ttag.title}}
本帖最后由 王旭泽 于 2024-4-9 11:16 编辑

一、需求背景:
监管单位通过探针形式检测出某大学有疑似主机外联恶意IP的挖矿行为,上级单位发文要求整改,但是受限与该单位网络运维人员匮乏,通报迟迟不能及时处置闭环

二、需求描述:
想实现对内网主机外联恶意IP提前感知并进行阻断闭环。

三、解决思路:
8.0.75版本的防火墙依赖本地规则库无法实时更新并检测阻断恶意IP通信,将防火墙版本升级至8.0.90并订阅云威胁情报网关功能,通过独创的主动探测引擎+海量威胁情报+高价值流量引流方案,对威胁流量进行实时检测&拦截,使所有流量在出网前均经过威胁情报的检测并已明确结果,实现恶意流量不出网。

四、现网拓扑
1、监管单位探针旁路部署在核心路由处
2、深信服防火墙二层部署在下游汇聚到核心交换机之间
3、被通报主机主要集中在信息系统区

五、实施过程
1、前置准备:
(1) 防火墙升级至8.0.85或者8.0.90支持云威胁情报网关,优先建议使用8.0.90进行交付,90版本相较85版本支持模式更多、适应场景更广,对客户网络带宽、流量走向影响更小,网络复杂或带宽负载较高时优先建议使用90版本进行交付;
(2) 确认型号是否支持,开启云威胁情报网关功能模块,在开启IPS的性能上,应用层吞吐会再下降5%-10%;
(3) 确认防火墙部署模式为二层或三层,不支持主主、旁路场景,支持主备部署(主备都需要接入),AF8.0.85版本支持部署模式为路由模式、透明模式;AF8.0.90版本额外支持虚拟网线模式;
(4) 云威胁情报网关为saas化服务,因此需要有一个云图账号;
(5) 开通SASE-AC模块并开通线路带宽,开通云威胁情报网关序列号,二者有效期必须一致,有一个过期都会导致功能失效;
(6) 开启隐私设置,授权云端安全防护及云威胁分析,并选项应为“上传所有威胁信息,云智更新安全能力库”或“上传HASH等非文件类型未知威胁,云智更新安全能力库”之一;
2、实施步骤
(1) 以防火墙虚拟网线部署为例,使用该功能需要有一个额外的三层接口,(根据每个工程师习惯不同,如平常带外管理口使用的是非eth0可忽略以上描述,复用带外管理口即可),配置能够上网的IP,将其连接到上游设备(推荐)或下游设备。该接口出网的上游出口应尽量与实际业务流量上游出口一致,以保障AF与POP节点的连通性,保证客户的业务不会因为连通性而受影响。
(2) AF接入SASE(以8.0.90为例
进入SASE控制台-【管理】-【接入管理】-【接入隧道】,复制接入码;

(3) 进入AF,【安全运营】-【下一代安全体系】-【网云联动】-【云安全访问服务】,选择通过引流码接入,粘贴刚才复制的接入码,确定后进入引流配置页面;
(4) 返回SASE控制台,【管理】-【接入管理】-【分支管理】-【新增】,创建分支,填写分支名称、地理位置、所属分组、选择授权带宽(这里的授权带宽就是之前说要开通的线路带宽,如果不选择节点将无法生效,下拉框没有任何显示表明未开通,此处授权带宽仅云端统计用,实际客户流量不受限制),接入设备选择手动配置,选择设备类型并填写网关ID,确定后节点生效;
(5) 返回AF,配置僵尸网络防护策略。在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝。(此处云威胁情报网关功能与安全防护策略-僵尸网络强绑定,未被安全防护策略覆盖的流量将不会进行云威胁情报网关检查);
(6) 【安全运营】-【下一代安全体系】-【网云联动】-【云威胁情报网关防护】,点击立即获取;
(7) 情报对接接口为上游出网接口,状态检测接口选择三层上网接口;例如eth19为普通管理口,且可以访问外网,eth8/ eth9 分别为虚拟网线 内/外 网侧接口。则此时情报对接接口应选择eth9,状态检测接口应选择eth19。
(8) 等待1-2分钟后,查看已获取POP节点;
(9) 若该三层接口连接到下游设备,即从该接口发出的数据包需要先经过防火墙再出网,则需要额外配置二次穿透,以便该状态检测数据包可以正常通过防火墙。网络-高级网络-多次穿越,创建两条该接口ip和pop地址间的穿越设置:
1.源地址:三层接口ip    目的地址:pop节点    数据包入接口:af内网侧虚拟网线接口
2.源地址:pop节点    目的地址:三层接口ip    数据包入接口:af外网侧虚拟网线接口
例如若eth1接口接到AF下游,意味着从该接口发出的链路探测数据包需要先经过防火墙再出网,则:
1.源地址:eth1接口ip  目的地址:pop节点ip(接入情报网关后得到)数据包入接口:eth2
2.源地址:pop节点ip  目的地址:eth1接口ip    数据包入接口:eth3
六、效果呈现:
七、注意事项:
1. 8.0.90版本不需要配置引流策略。
2. 客户若是新上架的防火墙,建议先正常跑一段时间业务,再做相关策略配置。
3. 防火墙虚拟网线部署模式时,不能部署在出口设备的上游。因为经过出口设备发生地址转化,可能会导致链路探测流量和业务流量混淆,使二次穿透无法正常生效,最终可能导致网络受影响。
4. 若创建引流线路或通过“云威胁情报网关防护”界面接入情报网关后,5分钟左右仍未获取到PoP服务器IP,则应检查是否已在SASE平台创建分支。
5. 若获取到PoP服务器IP,链路状态5分钟后仍为已断开状态,检查af是否可以与PoP点正常通讯,可能上游设备会当防火墙与PoP通信流量大了后出现拦截阻断情况,建议将PoP IP在上游设备加白。(若条件允许,可将防火墙IP加白)。
6. 云威胁情报网关需额外放通域名,在云图或云鉴等云端服务均连接状态正常,但情报网关一直连接不到SASE平台时,尝试AF是否可以正常访问以下域名,若无法访问检查上游设备是否存在拦截:(使用 ping 和 curl 进行测试:curl https://domain:port --insecure)
rt-sase.sangfor.com.cn 443
        logcenter-sase.sangfor.com.cn 6443
        sase.sangfor.com.cn 443
7. 如果4、5、6条都确认配置无误仍然无法获取节点或者节点状态异常,建议协调400排查。
8. 防火墙僵尸网络拦截优先级为 本地安全-云鉴安全-云威胁情报网关。大部分优先被本地和云鉴拦截。由于云鉴和情报网关用的都是同一个云端库。只不过因为架构不同,导致云情报网关有实时拦截的能力,云鉴没有。若无云鉴,则会被云情报网关拦截。因此统计效果时两者可以一起统计,都算AF额外增加的情报拦截能力。

深信服下一代防火墙云威胁情报网关交付指导.zip

2.66 MB, 下载次数: 30

打赏鼓励作者,期待更多好文!

打赏
28人已打赏

UP 发表于 2024-4-9 18:06
  
一起来学习!!!!!!
zjwshenxian 发表于 2024-4-9 21:12
  
一起来学习!!!!!!
嘀嘀柠柠 发表于 2024-4-9 23:16
  
每天坚持打卡学习签到!!
新手078326 发表于 2024-4-9 23:58
  


一起来学习!!!!!!
王蒙召 发表于 2024-4-10 08:09
  
每天坚持打卡学习签到!!
暗夜星空 发表于 2024-4-10 08:15
  
多谢分享
韩_鹏 发表于 2024-4-10 08:31
  
感谢分享                                    
蜜蜂 发表于 2024-4-10 09:04
  
666666666666666666666
飞翔的苹果 发表于 2024-4-10 09:14
  
感谢分享,学习一下~
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人