【AF】某大学8.0.90防火墙云威胁情报网关功能测试

一、需求背景：

监管单位通过探针形式检测出某大学有疑似主机外联恶意IP的挖矿行为，上级单位发文要求整改，但是受限与该单位网络运维人员匮乏，通报迟迟不能及时处置闭环

二、需求描述：

想实现对内网主机外联恶意IP提前感知并进行阻断闭环。

三、解决思路：

8.0.75版本的防火墙依赖本地规则库无法实时更新并检测阻断恶意IP通信，将防火墙版本升级至8.0.90并订阅云威胁情报网关功能，通过独创的主动探测引擎+海量威胁情报+高价值流量引流方案，对威胁流量进行实时检测&拦截，使所有流量在出网前均经过威胁情报的检测并已明确结果，实现恶意流量不出网。

四、现网拓扑

1、监管单位探针旁路部署在核心路由处

2、深信服防火墙二层部署在下游汇聚到核心交换机之间

3、被通报主机主要集中在信息系统区

五、实施过程

1、前置准备：

(1) 防火墙升级至8.0.85或者8.0.90支持云威胁情报网关，优先建议使用8.0.90进行交付，90版本相较85版本支持模式更多、适应场景更广，对客户网络带宽、流量走向影响更小，网络复杂或带宽负载较高时优先建议使用90版本进行交付；

(2) 确认型号是否支持，开启云威胁情报网关功能模块，在开启IPS的性能上，应用层吞吐会再下降5%-10%；

(3) 确认防火墙部署模式为二层或三层，不支持主主、旁路场景，支持主备部署（主备都需要接入），AF8.0.85版本支持部署模式为路由模式、透明模式；AF8.0.90版本额外支持虚拟网线模式；

(4) 云威胁情报网关为saas化服务，因此需要有一个云图账号；

(5) 开通SASE-AC模块并开通线路带宽，开通云威胁情报网关序列号，二者有效期必须一致，有一个过期都会导致功能失效；

(6) 开启隐私设置，授权云端安全防护及云威胁分析，并选项应为“上传所有威胁信息，云智更新安全能力库”或“上传HASH等非文件类型未知威胁，云智更新安全能力库”之一；

2、实施步骤

(1) 以防火墙虚拟网线部署为例，使用该功能需要有一个额外的三层接口，（根据每个工程师习惯不同，如平常带外管理口使用的是非eth0可忽略以上描述，复用带外管理口即可），配置能够上网的IP，将其连接到上游设备（推荐）或下游设备。该接口出网的上游出口应尽量与实际业务流量上游出口一致，以保障AF与POP节点的连通性，保证客户的业务不会因为连通性而受影响。

(2) AF接入SASE（以8.0.90为例）

进入SASE控制台-【管理】-【接入管理】-【接入隧道】，复制接入码；

(3) 进入AF，【安全运营】-【下一代安全体系】-【网云联动】-【云安全访问服务】，选择通过引流码接入，粘贴刚才复制的接入码，确定后进入引流配置页面；

(4) 返回SASE控制台，【管理】-【接入管理】-【分支管理】-【新增】，创建分支，填写分支名称、地理位置、所属分组、选择授权带宽（这里的授权带宽就是之前说要开通的线路带宽，如果不选择节点将无法生效，下拉框没有任何显示表明未开通，此处授权带宽仅云端统计用，实际客户流量不受限制），接入设备选择手动配置，选择设备类型并填写网关ID，确定后节点生效；

(5) 返回AF，配置僵尸网络防护策略。在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝。（此处云威胁情报网关功能与安全防护策略-僵尸网络强绑定，未被安全防护策略覆盖的流量将不会进行云威胁情报网关检查）；

(6) 【安全运营】－【下一代安全体系】-【网云联动】-【云威胁情报网关防护】，点击立即获取；

(7) 情报对接接口为上游出网接口，状态检测接口选择三层上网接口；例如eth19为普通管理口，且可以访问外网，eth8/ eth9 分别为虚拟网线 内/外 网侧接口。则此时情报对接接口应选择eth9，状态检测接口应选择eth19。

(8) 等待1-2分钟后，查看已获取POP节点；

(9) 若该三层接口连接到下游设备，即从该接口发出的数据包需要先经过防火墙再出网，则需要额外配置二次穿透，以便该状态检测数据包可以正常通过防火墙。网络-高级网络-多次穿越，创建两条该接口ip和pop地址间的穿越设置：

1.源地址：三层接口ip    目的地址：pop节点    数据包入接口：af内网侧虚拟网线接口

2.源地址：pop节点    目的地址：三层接口ip    数据包入接口：af外网侧虚拟网线接口

例如若eth1接口接到AF下游，意味着从该接口发出的链路探测数据包需要先经过防火墙再出网，则：

1.源地址：eth1接口ip  目的地址：pop节点ip（接入情报网关后得到）数据包入接口：eth2

2.源地址：pop节点ip  目的地址：eth1接口ip    数据包入接口：eth3

六、效果呈现：

七、注意事项：

1. 8.0.90版本不需要配置引流策略。

2. 客户若是新上架的防火墙，建议先正常跑一段时间业务，再做相关策略配置。

3. 防火墙虚拟网线部署模式时，不能部署在出口设备的上游。因为经过出口设备发生地址转化，可能会导致链路探测流量和业务流量混淆，使二次穿透无法正常生效，最终可能导致网络受影响。

4. 若创建引流线路或通过“云威胁情报网关防护”界面接入情报网关后，5分钟左右仍未获取到PoP服务器IP，则应检查是否已在SASE平台创建分支。

5. 若获取到PoP服务器IP，链路状态5分钟后仍为已断开状态，检查af是否可以与PoP点正常通讯，可能上游设备会当防火墙与PoP通信流量大了后出现拦截阻断情况，建议将PoP IP在上游设备加白。（若条件允许，可将防火墙IP加白）。

6. 云威胁情报网关需额外放通域名，在云图或云鉴等云端服务均连接状态正常，但情报网关一直连接不到SASE平台时，尝试AF是否可以正常访问以下域名，若无法访问检查上游设备是否存在拦截：（使用 ping 和 curl 进行测试：curl https://domain:port --insecure）

rt-sase.sangfor.com.cn 443
        logcenter-sase.sangfor.com.cn 6443
        sase.sangfor.com.cn 443

7. 如果4、5、6条都确认配置无误仍然无法获取节点或者节点状态异常，建议协调400排查。

8. 防火墙僵尸网络拦截优先级为 本地安全-云鉴安全-云威胁情报网关。大部分优先被本地和云鉴拦截。由于云鉴和情报网关用的都是同一个云端库。只不过因为架构不同，导致云情报网关有实时拦截的能力，云鉴没有。若无云鉴，则会被云情报网关拦截。因此统计效果时两者可以一起统计，都算AF额外增加的情报拦截能力。

一起来学习！！！！！！

一起来学习！！！！！！

每天坚持打卡学习签到！！

一起来学习！！！！！！

每天坚持打卡学习签到！！

多谢分享

感谢分享                                    

666666666666666666666

感谢分享，学习一下~