#原创分享#AF+EDR网络安全加固

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励60000+“

【前言】

前几天突然接到客户电话，说他们linux服务器被暴力破解了，服务器被人远程控制关机了，让我赶紧检查下AF上策略配置的有没有问题，还没等我远程上去，外网线就已经被客户拔了。既然没办法远程了，我就电话客户问下整个事情的详细经过，怎么判断服务器被暴力破解了，客户说是业务系统开发人员查看了系统日志发现的，于是我跟业务系统开发人员联系了下，从他们手中获取到了contos的系统日志。

日志从头看到尾，没看到被暴力破解成功登录的日志，于是电话系统开发人员，问他们是怎么判断被暴力破解成功的，他们的解释让我很无语，他们回答，日志里有很多不同用户名登录日志，服务器无故被关机，由此判断被人入侵，服务器被黑客控制关机。我。。。。讲话都不用负责吗？没有实质证据就敢信口开河。。。

部分contos日志截图：

日志显示183.101.241.118这个地址在不停地尝试登录服务器，但是都没有登录成功。

正常登录成功日志如下

可见系统并没有被暴力破解成功，在查日志的过程中，意外发现了一台内网问题主机，也在不停地对该业务系统进行暴力破解。

日志显示172.16.1.20在对服务器进行暴力破解截图

日志查完以后，跟用户解释了一下，并汇报了这台问题主机，客户稍微安心了一下，但是还是不放心，要求我们上门做一次安全加固。于是第二天我就上门了，接着发现了更大的意外。。。。

【上门处理过程】

客户业务系统之所以遭受到暴力破解，是因为系统开发工程师为了方便远程，把主机的22端口给映射给公网了，我给客户的第一个建议就是在出口设备上，把非业务端口关闭。在我的印象当中客户的出口设备是AD（之前帮客户远程过，曾打开过AD登录页面），但是在现场怎么也找不到AD设备，问客户也不知道有这个设备，他们说是防火墙直接连接着电信线路，我顺着线找了下，AF果真是直接连接电信猫的，难道我记错了？？？我心里起了一个大大的问号？

登进防火墙以后，发现了诡异的一幕。AF竟然是虚拟网线部署，出口设备哪里去了？？？AF上没有任何攻击显示（AF是有配置IPS，WAF，僵尸网络等功能），按理来说客户业务系统是提供给公网访问的，AF是上应该会后很多攻击信息，查日志，日志里近一个月都没有攻击日志，只在僵尸网络日志里发现了出口IP在访问恶意域名。

根据现场环境，初步得知网络拓扑如下：

内部用户通过专线访问业务，外部用户通过互联网访问业务。

近一个月，WAF日志为空（客户有买WAF模块）截图

近一个月，IPS日志为空截图

僵尸网络日志显示公网出口IP在访问恶意域名，这个日志很有意思。AF直接连接电信猫，虚拟网线部署，除了AF，现场没有找到别的路由设备，难道出口设备在超融合里？

僵尸网络日志截图

登录超融合，查看虚拟网络，AD果然部署在超融合中，网关模式部署。这种部署法有点大跌眼镜。

超融合里的逻辑拓扑，AD网关模式

完整的物理拓扑如下：

看到这个拓扑，我很不解。1.出口网关为什么不放在AF上，而是要放在超融合里面的AD上，难道要通过AD做出站负载？超融合上跑的都是服务器，不大用到出站负载，再说了外网线路只有一条，也没有必要做。2.这样部署法，对于AF来说trust区域就只有一个终端设备，出现问题难以溯源、定位原因；实时漏洞分析、应用控制策略等功能使用上存在问题。

为了解答我心中的疑惑，电话了下之前实施的工程师（该工程师已经离职）。得到的答案是，超融合里买了AD模块，客户要把买的东西都用起来，但是业务系统都只有一台，无法做服务器负载，所以这样部署了。。。我表示很无语。。。这样部署也就算了，AF防护策略里保护的对象是竟然是私有网段，而不是出口IP（内部服务器在AD上做了映射，对于AF来说后端的保护对象是出口公网IP），服务器相当于在裸奔，这也就解释了AF里为何看不到任何的攻击日志。

搞清了来龙去脉，我跟客户沟通了下，决定对网络架构进行整改，把出口网关移到AF上，使内网专线访问业务经过AF，这样AF可以同时防护来自外网和专线过来的威胁。这里解释下为何超融合和内网交换机之前还有连线，主要是因为超融合管理IP配置了内网的IP。

改造后网络拓扑如下：

确定好架构后，将AD原网关配置平移到AF上，对原AF（版本8.0.6）安全策略进行修改。

AF策略调整如下：

内网专线VPN区域与服务器trust区域双向放通，服务器trust区域与外网untrust区域单项放通，新增防勒索病毒应用控制策略，拒绝135、137-139、445、3389、22等危险端口

新增地域访问控制，只允许省内访问，可以过滤掉大部分攻击。

地域访问控制策略防护效果展示

新增外网对内网的DDOS防护，防止DOS攻击及IP、端口扫描

调整原安全防护策略区域，在原IPS、WAF、内网安全、僵尸网络等策略上；新增实时漏洞分析、网站防篡改、对高危行为进行联动封锁

EDR防护策略调整如下：

将服务器上被禁用的EDR客户端重新启用

新增EDR每天定时查杀功能

新增webshell定期检测，修改暴力破解、勒索防护、无文件攻击为自动处置

通过EDR对暴力破解的问题终端进行病毒查杀，EDR显示该主机中了挖矿病毒和木马，可以推断出该挖矿病毒通过对远程端口进行爆破的方式，来进行病毒的横向扩散。

【总结】

AF、EDR上都有暴力破解防护功能，由于AF策略配置错误，EDR被禁用，在此案例中都没有起到防护作用。一个合格的网络工程师应该对工作抱有敬畏之心、对客户认真负责。

从标准交付到价值交付，再到安全交付，我们交付给客户的不应该只是个铁盒子，我们要交付给客户的是可靠、安全的网络环境，设备的功能价值以及客户对我们的信任。

感谢楼主分享，楼主说的很对，一个合格的网络工程师应该对工作抱有敬畏之心、对客户认真负责。希望各位工程师们在给客户做设备上架部署时都能抱着一颗敬畏之心，首先考虑到客户的业务防护，而不是只为了图省事方便，只有这样才能更好的发挥设备的价值，也让客户能更加认可某公司。楼主的思路非常清晰，分析的也很详细，大家后续遇到此类问题可以按照楼主的这个思路来分析，期待楼主有更加精彩的分享~

您好，您的文章已被收录到原创分享计划并放到技术博客中，以便让更多的小伙伴们关注和学习，文章将交由专家评审小组评审，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！
发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679

卫哥666

出口线路进超融合，经过超融合里面的虚拟网络安全设备，虚拟网络安全设备作为网关，链接到内网核心交换机，可以实现无物理硬件设备，就能起到安全防护的功能吧

负责任的工程师

有一说一，我觉得是之前实施工程师的锅

要把AD用到业务的负载均衡上，得和开发一起配合做负载测试，让客户去推动一起配合完成。而且AD不止可以负载均衡，还有一些高级特性，如SSL 卸载、HTTP优化、前置调度等。

有责任心的工程师

学习了！

这么认真负责的技术比较少