#原创分享#被人忽略的功能-地域控制
  

酒慰风尘 190338人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与分享,共计发放奖励100000+“



背景:

AF有一个功能叫做地域控制策略,这个功能经常被大家遗忘,每当问起,都说不知道、没用过、有啥用等等
今天要说的是这个功能很重要,也很强大。
学习前准备工作:
首先我们打开百度,输入一个IP地址,就可以显示出这个地址的归属地
884215fa0c87c7bb6c.png
或者我们在AF设备的IP地址库里查询地址归属地
657125fa0c9e67999b.png
地域控制原理:
248385fa0cb34695c3.png
根据数据包的源ip判断该请求的归属地,匹配策略允许或者拒绝。
为什么说地域控制策略重要:
原因一:
某公司报道,根据某公司的监测数据显示,在木马和僵尸网络方面,2018年位于美国的1.4万余台木马或僵尸网络控制服务器,控制了中国境内334万余台主机,控制服务器数量较2017年增长90.8%。在网站木马方面,2018年位于美国的3325个IP地址向中国境内3607个网站植入木马,向中国境内网站植入木马的美国IP地址数量较2017年增长43%。根据对控制中国境内主机数量及控制中国境内遭植入木马的网站数量统计,在境外攻击来源地排名中,美国“独占鳌头”。有关专家表示,一直以来,美国都指责中国是美国网络安全的主要威胁,但从上述数据可以看出,美国才是网络攻击的最大来源国。
原因二:
黑客攻击通常采用代理服务器的方式进行,且以境外的代理服务器更受黑客欢迎。而我们了解到,用户大多数业务系统实际并不需要对境外提供服务,或者只是很少量的境外需要提供服务,更有些特殊的业务系统,只需要对境内个别省份提供服务。
原因三:
思维方式问题,安全应有的方式是所有的都是拒绝的,哪个需要我才会放通哪个。现在大部分客户甚至安全工程师去做安全的时候基本上都是全放通,禁用高危端口和非法及不良等,这种出发点就是错误的。地域控制就是一个很好地切入点,哪些地区需要访问,就只允许哪些区域
配置方法:
第一步:在策略-地域访问控制策略-新增
570085fa0cd590993e.png
第二步:配置具体的控制策略,示例:拒绝北美地区访问客户的门户网站
599005fa0cd8875a00.png
第三步:有些内部地址会导致是被错误,而被拦截,我们可以通过修改归属地来解决
966065fa0cdf43f180.png
第四步:查看已拒绝的ip地址列表
392645fa0ce3da2dea.png
注意事项:
1需要提前了解某个IP属于哪个国家/地区,可通过【地域访问控制】——【归属地查询】,查询后了解
2AF上网环境下,该地址库会自动更新,但也不排除有IP有误判,如出现误判,可通过日志里的排除或纠正来进行处理
3、地域访问控制只针对外网区域访问内网区域方向的流量生效
总结:
看到这里大家还觉得这个功能很鸡肋吗?可以拦截大部分网络攻击何乐而不为呢?赶紧配置起来吧

打赏鼓励作者,期待更多好文!

打赏
53人已打赏

Sangfor2419 发表于 2020-11-10 19:16
  

评论是对作者最大的鼓励! +8 S豆 详情>

感谢楼主分享,确实重要的业务系统应该只允许需要的人访问,很多时候大家往往都为了方便做了全放通,殊不知这样将业务系统暴露到目前的网络环境中是有非常大的风险的,建议大家在部署AF的时候一定要遵循最小权限原则做好相应的策略配置。同时如果大家配置了地域访问控制拦截,但是允许其他一部分人访问时可以添加地域访问控制排除,在添加访问排除时要注意,排除列表只针对源ip生效,排除目的ip无效。期待楼主有更加精彩的分享~
小猪要上树 发表于 2020-11-13 10:10
  
感谢楼主的分享,地域控制确实会被很多人忽视,降低业务系统的暴露面也是一个不可忽视的措施
再次感谢,期待您更多的分享
灵峰气韵 发表于 2020-11-3 13:39
  
学会了先拒绝美国的
新手769346 发表于 2020-11-4 10:16
  
确实很容易忽略的一个功能 我先配置一下试试
暗夜星空 发表于 2020-11-5 08:04
  
感觉这个功能有些鸡肋
car 发表于 2020-11-5 08:25
  
地址库好像万年不更新
旭please 发表于 2020-11-5 08:48
  
还好吧,多少可以限制下,比如说自己的服务只提供给国内用户的话这个功能就可以用起来了。
新手769346 发表于 2020-11-5 10:48
  
学会了  哈哈
新手170263 发表于 2020-11-5 18:35
  
学习学习,不错~
冰窟蚂蚁 发表于 2020-11-7 11:02
  
这个功能用过只限制国内访问
发表新帖
热门标签
全部标签>
每日一问
每周精选
技术盲盒
干货满满
技术笔记
安全攻防
秒懂零信任
新版本体验
产品连连看
自助服务平台操作指引
技术咨询
技术晨报
2023技术争霸赛专题
GIF动图学习
通用技术
功能体验
标准化排查
社区帮助指南
齐鲁TV
迁移
信服课堂视频
安装部署配置
问题分析处理
排障笔记本
深信服技术支持平台
天逸直播
畅聊IT
答题自测
功能咨询
地址转换
技术争霸赛
卧龙计划
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
虚拟机
存储
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
答题榜单公布
纪元平台
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播

本版版主

396
134
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人