#原创分享#防火墙安全加固

【原创分享计划8】最新榜单出炉；现金奖励下周发放，赶快创作起来，发布你的技术文章！

近期，某公司学院内有出相关产品安全加固的视频，针对安全功能较多的AF进行学习，下面是我对防火墙安全加固方面的学习总结:高兴:

防火墙安全加固分为以下四类：

• 准备工作
• 安全策略调优
• 防护能力加强
• 设备自身加固

  
  
  
  

一、准备工作
准备工作主要包括设备版本、硬件性能、相关测试工具、拓扑环境、资产梳理等前期准备

设备版本：目前有设备版本时间轴如下，针对目前已出版本及客户需求，建议升级对应版本

1. <font size="3" face="微软雅黑">AF8.0.17(包含漏洞补丁包)-AF8.0.19（增加资产识别功能）-AF8.0.23（WAF功能增强,新SSLVPN版本及IPSEC IKE v2)-AF8.0.28（HW）</font>

复制代码

硬件性能：需要注意的是，部分功能开启时，如解密、增强级功能，设备性能是否能够支持开启，避免开启功能后，设备性能不足导致业务异常。

相关测试工具：主要包括X-HACK、D盾工具，用于验证策略及客户端WEBSHELL

拓扑环境：用于了解客户大致业务访问流量走向，更便于优化策略

资产梳理：便于后续更好的针对业务进行防范

二、安全策略调优

安全策略调优主要包括资产对象定义、业务策略调优、上网主机调优、排除策略检查等

资产对象定义：将前期准备工作中，已收集的资产对象定义好，便于后续策略调用

业务策略调优：主要分为WAF\IPS\ACL\地域控制访问\安全运营中心

• WAF防护，主要针对WEB应用，配置中需注意以下几点（对外发布网站业务是否防护、非标准端口模板内是否定义、https网站是否解密、对外发布业务后台限制或关闭、应用隐藏配置是否开启、防扫描是否开启、暴力破解防护是否开启）
• IPS防护，主要针对服务器、上网主机，配置优化有以下几点（对外发布网站\系统业务是否策略防护、策略内容是否正常开启，如可上网业务系统需开启恶意软件防范功能、非标准端口是否正常配置）
  
• ACL控制，需要在权限最小化原则下，进行优化，因此不管是对外发布业务、或是业务系统需要上网时，对需针对其实际访问地址、端口进行配置。（注：需要在资产信息收集十分全面的前提下配置、所需消耗精力较多、如信息收集不全，可能存在部分业务异常）
• 地域控制策略，明确业务访问源，进行相应控制
• 安全运营中心，确认并处理运营中心代办事件
  

  
  

  
  
  
  

上网主机调优：针对上网终端进行安全防范，主要包括以下几点

• 僵尸网络：针对有上网权限终端开启，杜绝访问外网恶意域名
• 漏洞攻击模块：需确保防范对象、方向、内容正确
• 杀毒模块：如有杀毒模块，建议开启邮件杀毒及文件杀毒功能
• 安全运营中心：确认并处理运营中心代办事件

  
  

  
  
  
  

排除策略检查：有些用户之前排障、调试，可能针对部分网站、IP开了白名单，在HW期间，建议关闭，主要查看的地方有白名单、直通（定向数据流分析、全局直通分析、二层调试直通）和安全防护策略高级配置。

三、防护能力加强

针对策略防护能力方面，加强防护，开启联动封锁功能，可能导致业务使用异常，需谨慎。

注：代理环境下，部分策略不使用或者对应加白

WAF防扫描功能：开启WAF防扫描功能，如达到设置好的阈值，自动将访问IP联动封锁一定时间

IPS：针对业务防护策略、用户防护策略，开启高危行为联动封锁功能

整体防护功能：IPS针对整个业务网段做一个默认防护策略，ACL默认拒绝所有，好处、坏处如下

     好处：1.不担心漏配

               2.可防护后续新增业务系统

IPS

     坏处：1.防护范围过大，对设备性能有影响

               2.无法针对业务系统进行个性化防护

       好处：1.随时掌握资产新增情况

                 2.可对新增资产做个性化安全加强设置

ACL

       坏处：1.前期资产收集需全面，否则会对正常业务有影响

                 2.对ACL精细化控制有一定要求，所消耗时间精力较长

                 3.运维工作量较大，后续业务变更频繁，运维人员也需要随之调整策略

服务器风险排除：将主要包括两个方面WEBshell及远程管理

• WEBSHELL可使用EDR或者D盾工具进行检查。
• 远程管理禁止直接映射公网，建议使用AF自带SSL功能进行远程管理服务器操作，且需开启口令暴力破解防护功能

  
  

  
  

  
  
  
  

策略有效性检查：使用工具检查策略有效性，目前可使用xhack工具或者网站有效性评估工具-sec.sangfor.com.cn进行检查

四、设备自身加固

设备自身加固，主要包括以下几个方面

访问权限限制：针对访问防火墙权限进行限制，主要有接入方式以及接入源（禁止外网开启远程接入，且内网限制源管理防火墙）

管理员口令：检查设备上是否有多余账户、弱密码存在（建议HW期间，对密码进行修改）

外网端口关闭：对设备风险端口进行关闭，

其中AF8.0.17及以上版本：支持端口收敛功能，未开启功能的端口一律关闭

AF8.0.2及以上版本：本机应用控制功能进行关闭

全版本支持端口关闭方式：DNAT方式 将端口映射到不存在地址

风险端口：51111、4430、442

补丁修复：对已知漏洞进行补丁修复

• DNS补丁
• TLS重协商补丁修复
• OPSENSSL补丁修复

  
  

  
  

  
  
  
  

以上就是我的学习总结，希望能在平常运维时，能够帮助大家更好的优化设备策略，做好防范呢:萌萌哒:

牛逼啊鱼工

很强，感谢大神分享

鱼工，好棒，爱了爱了

感谢您的分享，满满的干货，已将文章放入技术博客中！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

感谢分享

感谢分享

非常赞的分享，可以修改标题#原创分享#参加活动

感谢分享

感谢分享