#每日一记#AF规则库离线更新
  

adds 7461人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2022-9-16 22:32 编辑

          162859o22nxxlnn1moaipx.jpg

    1、AF规则库离线更新
    1.1   规则库无法更新
   
     1.2   排查
      1)检查情报来源
      
     2)检测外网连接
     
     3)更改DNS
     
     4)离线更新
     排查发现该AF的WAN口IP没有访问外网权限,权限控制在上级单位。改为离线更新。
     规则库下载。
     
     离线更新完成:
     
   

    2、Linux修改时间校对
     linux运行在VMware Workstation上。
     突然linux时间与windows时间不一致。
     Linux时间:
      5479063229a3cde6cb.png
    windows时间:
      8744763229a6c662f3.png
     修改linux时间:
    21286632297e4e871d.png
    1666563229a8d7bc8f.png
    linux时间恢复正常:
      3869063229aa11faf6.png

   
   3 注意
   3.1  三化六防
   网络安全工作的“三化六防”措施,即实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施,进一步研究绘制网络空间地理信息图谱,构建国家网络空间综合防控系统,不断提升国家网络安全防御的能力和水平。
法律依据:《中华人民共和国网络安全法》 第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
   3.2VDI和IDV区别
   VDI:virutal Desktop Infrastructure,虚拟桌面基础架构。
   VDI为集中存储、集中运算的虚拟桌面基础架构,属于云桌面技术。该架构是把所有用户桌面的数据运算都集中在服务器端,用户的桌面接收的只是操作系统环境。
   IDV:Intelligent Desktop Virtualization,智能桌面虚拟化。
   IDV为集中存储、分布运算的架构,是Intel提出的虚拟化技术,但不属于云桌面技术。该架构下服务器端存放系统镜像,客机机通过本地虚拟化运行虚拟桌面,不需要大量的图像传输,支持系统离线运行。
   3.3  IPS、IDS、AV、WAF、UTM、AF之间的区别与联系学习分享:
IDS即入侵检测系统, 主要对攻击行为进行检测与告警;IPS即入侵防御系统,在IDS上增加了阻断攻击行为等防御应对手段;传统防火墙是针对与网络边界互访进行管控;还有就是AV,对各种协议栈中的数据进行病毒层面的检测;WEB应用防护WAF针对WEB应用进行防护;把以上安全组建集成在一起,就是统一威胁管理UTM。但是这种集成方式只是简单的堆叠,使用串行扫描方式,每个安全组件单独发挥作用,在各功能的联动配合、数据处理效率等方面存在较大问题;下一代防火墙AF则是以一体化的思想对各种安全组件进行整合,数据一次性完成检测与处置,能够将各安全功能进行联动。比如IPS检测攻击流量后联动防火墙访问控制功能将对应的流量来源进行阻断等。在功能性与性能上相对于UTM有着明显的提升。
    3.4   手机开热点问题
    目前有部分手机,在手机连接无线的情况下打开热点,连接热点的PC或移动端其流量走的不是手机的流量,而是手机连接的WIFI。比如小米11。
    3.5   投标
    报价作者一致,上传IP一致。这个都是大忌,会被客户拉黑的。
    3.6   小白趣事
    大白:去客户机房部署完设备,要确保局域网能访问到。小白:局域网是啥?
    大白:今天去机房把这个设备调一下。小白:需要带网线吗?
    大白:设备部署完了吗?小白:部署完了。大白:这个设备怎么登录?小白:去机房直连设备登录。
    3.7   我想让两个VPN互访?能实现吗?
    能,配置使用虚拟IP去访问。
      7368363038d3ea9dcc.png
     想让用户通过VPN网络访问互联网,可以实现吗?
     答案不可以。但是atrust。
      313716303909382141.png
     原理:你电脑本身有网络,会产生一条默认路由,如果VPN用户关联了一个0.0.0.0/0的资源,那你PC机就会产生两条8个0的路由,走本地,访问不了VPN的8个0,走VPN的,直接断网了。
    也可以使用L2TP去实现。
    508496303918b3e263.png
    L2TP会把PC机的默认路由的metric值调大,并产生一条去往VPN连接IP的明细路由,这样,连接VPN不会断,去往VPN 隧道的8个0路由的优先级高,优先走VPN。
   3.8   AF的漏洞特征识别库中启用严格规则检测和默认有什么区别 ?
   若选择【默认(系统初始状态)】,则将保留系统自带的规则状态;若选择【启用严格规则检测并拦截】,则对于所有防护规则的动作都将设置为“启用,检测后拦截”。
   对于危险等级为中的规则来说,系统默认的状态会放行的,危险等级为低的规则来说,系统默认的状态会禁用不进行检测,启用严格检测后,所有危险等级的规则都将设置成拦截。
   3.9  EDR安装最低要求为4C4G200G 。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

ggbang 发表于 2022-9-16 13:11
  
学习了
平凡的小网工 发表于 2022-9-17 00:12
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
山东_朱文鑫 发表于 2022-9-17 21:45
  
有助于学习!!!!!!!!!!!
Mr程 发表于 2022-9-18 00:10
  

总结 的很好  楼主辛苦
阿勒泰 发表于 2022-9-29 08:52
  
感谢分享,有助于工作,学习了!!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人