#AF8.0.30新版本体验#SSH慢速暴力破解和黑客IP防护体验
  

TCN 43074人觉得有帮助

{{ttag.title}}

体验目标:
体验某公司AF8030的SSH慢速爆破联动封锁和黑客IP防护功能


目标分析:
SSH慢速爆破联动封锁需要有相关的安全策略设置
黑客IP防护功能是否有相关日志


实现过程:
1、准备一台LINUX测试机,并在公网做好端口映射,方便模拟公网攻击测试,这边是在AD上做的地址转换。
529215f2b6002a5b9d.png


2、在AF确认 安全策略模板--漏洞攻击防护 已勾选相关IPS选项【已选默认是全选】
993855f2b613dc920f.png


3、AF确认相关的安全安全防护策略已勾选相应的 漏洞攻击防护模板【动作拒绝】,且目的保护对象包含测试机。
244845f2b61e27b0b4.png


4、设置完毕,开启测试。AD上显示有匹配数,AF行为日志记录了公网对测试机的访问日志。
975905f2b62ac0e4cf.png


5、暴力破解会被AF直接联动拒绝,这里测试的是慢速暴力破解,时间间隔足够且不规律,所以AF会暂时允许外网尝试连接。
328585f2b6377be7b9.png


6、历时1个半小时后,AF成功将该公网IP联动封锁。日志详情内容也很丰富,说明该公网IP一开始攻击AF就进行了相关记录,达到一定阈值后最终确认为SSH服务器中低频暴力破解攻击。
511935f2b650bd6504.png


7、其他口令暴力破解攻击的日志对比
369055f2b6bb58f88b.png


8、至此, SSH慢速爆破联动封锁功能体验实现。下面开始体验黑客IP防护,其实比较简单,检查下安全日志就可以。
47875f2b716f76709.png


9、从日志类型 WEB应用防护,威胁类型为 黑客IP访问的日志可看到源IP是 101.89.239.216。
去AF 云端黑客IP防护列表中查询是否存在,确认无误。
194485f2b719ab172e.png


10、如果是AF误判,优先保障业务访问的话,可以勾选相关IP后选择禁用。
202385f2b71e94f824.png


总结:
新版本目前体验到的功能还是非常棒的,设备的安全保障能力又增强了,感谢相关工程师的辛勤工作!给你们点赞!











打赏鼓励作者,期待更多好文!

打赏
17人已打赏

Sangfor2419 发表于 2020-8-7 19:29
  
感谢楼主分享,目前大部分的勒索病毒都是通过暴力破解登录远程桌面进行投毒的,所以如何防止暴力破解就很重要了。虽然防火墙方面可以通过一些规则库进行防护,但是为了防止内网相互之间进行爆破,建议主机也使用强用户名和密码并且定期进行修改,这样可以尽可能的增强服务器的安全性。期待楼主有更加精彩的分享~
念友真爱 发表于 2020-8-7 10:11
  
这功能给力,研发的同志们辛苦了,加鸡腿。
司马缸砸了光 发表于 2020-8-7 13:24
  


学习一下
新手514694 发表于 2020-8-7 16:24
  
学习一下
一一氵 发表于 2020-8-7 16:50
  
感谢分享,学习一下。
新手052727 发表于 2020-8-7 16:53
  
非常棒,分享很给力
新手008318 发表于 2020-8-7 18:36
  
看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了!
沧海 发表于 2020-8-8 12:43
  
盖楼盖楼
ie5000 发表于 2020-8-8 22:25
  
学习,感谢分享新技能
发表新帖
热门标签
全部标签>
每日一问
GIF动图学习
信服课堂视频
项目案例
技术笔记
产品连连看
在线直播
SDP百科
技术咨询
专家分享
新版本体验
原创分享
VPN 对接
技术圆桌
问题分析处理
功能体验
畅聊IT
上网策略
答题自测
安装部署配置
SANGFOR资讯
产品预警公告
专家问答
MVP
网络基础知识
升级
安全攻防
测试报告
日志审计
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本

本版版主

397
97
58

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人