本帖最后由 身骑白马陈庆之 于 2023-8-27 16:05 编辑
正常来说,数据在经过第一台防火墙被拦截后,第二台防火墙不应该出现拦截日志,但偏偏就是发生了。
起初,研发排查后表示: 第一台由于启用了恶意域名重定向,导致日志记录有问题,实际是允许的,但是日志记录为拒绝。由于第二台AF联动了EDR,所以无论策略是拒绝还是允许,都会拒绝掉,设计上就是这样。
研发给出的解释是不是很合理,但是,如果真是如此的话,为啥客户上级单位也能检测到相同攻击。并且,第一台AF也是联动EDR了的。 恰巧此时我做了一个操作,第一台的安全防护日志全部由拒绝变为允许了(这个稍后再讲,当时自己也没意识到原因,只觉得和这个功能肯定有关系) 在第二台AF上开启直通后也没有发现拦截日志(客户环境存在持续访问恶意域名的情况)
所以我提出疑问,研发再次展开排查,后来400问我,是否有单独启用禁用【启用内网DNS服务器场景优化】功能。我说是的。然后,就对这个展开测试,400在此功能输入DNS的文本框中加入了一个IP后,在保存,日志就全部由拒绝变为允许了!(没错,第一台也是由于我在文本框中修改了IP,所以第一台的日志正常了) 经过研发的解释: 单独启用禁用【启用内网DNS服务器场景优化】功能开关,这个开关会下发不下去,需要改一下输入ip那里才可以下发下去。
所以本次问题,其实两台防火墙都没有拦截,两台防火墙的日志都记录出错。最后按照客户需求,在两台防火墙上将僵尸网络防护策略动作改为拒绝。第一台僵尸网络防护日志为拒绝,第二台不再产生相同日志。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-28 16:20
技术员2级 
