AF——云威胁情报网关原理与部署
  

999的demo 1813

{{ttag.title}}
本帖最后由 999的demo 于 2024-6-24 00:39 编辑

云威胁情报网关的三大场景
通报预防
主要针对于外联通报
如果需要做漏洞通报预防、弱口令的通报预防等需要结合整体的云网端联合方案来做
上网安全
突破防火墙本地规则库限制,防火墙威胁检测与防御能力从百万级提升至百万亿级
特别是针对失陷主机外联、病毒文件、未知钓鱼网站的检测与防御能力有显著提升
病毒防护(源云鉴需求)
只是支持文件MD5的云端检测能力

云威胁情报网关的引流原理
将未知威胁引流到云威胁情报网关进行检测,然后返回结果给AF
云威胁情报网关引流方案的演进
需要注意在引流时不会拆分客户的数据,只是将五元组、域名等进行上传解析
早期的引流的是全引流-排流(所有流量都会引入到云上POP节点),可能会存在卡慢现象
现在8.0.85R2和8.0.90版本的引流都是绕流-智能引流,一般引流10个报文后会停止引流,避免引流过多影响性能,加重带宽成本。
具体的智能引流RT2.0方案
分为云慢路和云快路
云慢路(智能引流):SASE POP仅作为云上流量清洗服务不介入网络转发
云快路(节流功能):对于没有安全和审计需求的流量,本地直通,不做引流
蓝色路线为之前的全引流方案,红色为现在的云慢路(智能引流),绿色为现在的云快路(不引流)
注意事项
后续默认开授权的时候也是开的绕流的授权,如果之前是全流的方式(例如SASE-AC的引流)可以重新申请云威胁情报网关授权

引流步骤详解
第一步:客户上网请求或响应报文经过AF,将其送往POP节点
针对于8.0.90版本:当流量命中僵尸网络拒绝策略且未检出威胁时,且不在节流库(排流策略)中,则将报文封包发送给pop节点。更精细一点的引流原理如下
   l  当流量命中僵尸网络策略时,先匹配僵尸网络的黑库(黑名单-已知威胁),如果在黑库中则直接拦截
   l  如果不在黑库则匹配僵尸网络白库(白名单),如果在白名单中则直接放通,不引流
   l  如果不在黑库也不在白库,则表示为未知的威胁,会将该流量送到POP节点进行检测
针对于8.0.85R2版本:是否发送给pop节点跟是否命中僵尸网络拒绝策略没有关系,只跟是否配置了SASE引流策略有关。
即对于8.0.85R2版本,是否引流只与引流策略有关,与僵尸网络策略无关;并且该版本即使配置了僵尸网络策略,也不支持本地白库过滤功能。
白库:云端会定期同步域名/IP的白名单
第二步:检测后SASE将报文发回给AF,AF进行处置
云威胁情报能力的增长正循环流程:C—G—I—K—J—F
A、B:开通云威胁情报网关相关授权,并将AF接入到云威胁情报网关
D:表示设备不引流,直接转发(白名单、或者排流策略、或者SASE检测通过)
E、F:POP将检测的结果返回给AF
AF收到后进行解包,有以下几种情况:
1、AF继续引流:sase需要更多的包进行威胁检测,AF对会话的请求和响应继续引流
2、AF停止引流,sase检测结束了,放通流量,当前连接后续的报文直接AF转发(一般引流10个报文后会停止引流,避免引流过多影响性能,加重带宽成本)
3、AF停止引流:解包发现是SASE的拦截信息,则报文被SASE检测出威胁并拦截阻断了,AF根据拦截信息记录安全日志
G、I:AF将被引流的未知威胁数据上报给数据湖(上报的内容主要是url/domain/ip);数据湖将最新整理好的未知类型日志发送给情报中心TI
H、J:情报中心提供AF和SASE对应白库过滤包和云情报威胁包(AF周期5min拉取TI的过滤包;SASE周期5min从TI拉取云情报威胁包来判断未知威胁)
K:情报中心TI对本地无法对应的真正未知类型目标进行主动探测,记录探测结果
数据湖:负责存储海量的未知类型url/domain/ip上报
情报中心(TI):从数据湖收集最新整理好的未知类型日志,并对本地无法对应的真正未知类型目标进行主动探测,记录探测结果;并提供AF和SASE对应过滤包和云情报威胁包

云威胁情报网关部署相关概念
哪些版本的AF支持接入云威胁情报网关
目前只支持8085R和8090版本(需要设备能够联网)
8.0.85R版本,并且要打上KB_AF_sase_around_8085R补丁包(需要重启网络层服务10-15分钟,不会影响业务)
8.0.90版本,不需要打补丁包即可支持
注意:智能引流包不支持NXP-ARM设备和信创版本,NXP-ARM设备涉及型号为AF-1000-FH1200B/FH1300B/SK1305B,NXP-ARM设备和信创设备需升级90版本解决。

AF的部署模式对接入云威胁情报网关的影响
AF支持在以下部署场景接入云威胁情报网关
8085R在虚拟网线模式下不支持部署云威胁情报网关(8.0.90及之后版本支持)
以下场景不支持云威胁情报网关
旁路模式、非对称流量主主、混合模式、透明/虚拟网线部署在网络出口、IPSec/SSL VPN流量、代理等场景下不支持
注意事项
   l  当AF使用透明模式(85R2和90都支持)或虚拟网线模式(90支持)时AF不支持部署在互联网出口
   l  主备/主主的场景下需要在云端创建两个账号(因为配置云威胁情报网关需要绑定ID)
   l  Sase平台创建分支时需要为每台设备都创建一个分支(因为SASE是绑定网关ID的)

联网口、探测口、业务口的概念
联网口——设备自身上网的接口
设备默认路由所在接口就是联网口,来获取POP节点的信息
需要保证AF到sase(sase.sangfor.com.cn、rt-sase.sangfor.com.cn)的443、威胁网关(logcenter-sase.sangfor.com.cn)的6443、云图(x.sangfor.com.cn)的443网络是可达的
业务口——内网上网的出口
一般就和联网口复用(特定场景下不复用),通过该接口将数据流量封装发给POP节点
需要保证该接口能够访问到POP节点地址的UDP 12321端口,且AF上游设备无针对POP节点的流控
探测口——一个能够上网的三层口
负责持续探测pop节点状态,来判断对数据流量是封装还是逃生(当探测报文的丢包率过大时就会自动逃生,不引流)
需要保证该接口能够访问到POP节点地址的UDP 12321端口,且AF上游设备无针对POP节点的流控
   l  路由模式下会自动复用业务口
   l  透明模式下,探测口可以使用vanif,也可以另起一个三层口
   l  虚拟网线模式下,探测口要另起一个三层口
   l  该接口不能使用AF的eth0/管理口,因为默认的manage口无法配置线路探测
   l  由于探测口会影响到是否引流,因此探测口的连通性必须能够等效于业务口引流的连通性
   l  探测口的数量一般就是公网线路的数量

不同部署模式下联网/探测/业务口的选择
路由部署(85R2和90都支持)
透明部署(85R2和90都支持)
透明部署的情况下85R2的探测口只支持使用Vlanif接口,90支持使用三层口
双机主备部署(85R2和90都支持)
双主透明/虚拟网线部署(透明85R2和90都支持、虚拟网线只有90支持)
虚拟网线部署(90支持)
探测口接入上游
探测口接入下游

云威胁情报网关部署配置
部署的前置条件
1、设备的部署模式支持云威胁情报网关
2、设备的联网口、探测口、业务口都满足要求
3、云威胁情报网关是和云图-SASE产品关联,因此需要有一个云图账号(若没有需要注册)
4、云威胁情报网关相关的3个授权均已开通
5、AF开启隐私设置,授权云端安全防护及云威胁分析,并选项应为“上传所有威胁信息,云智更新安全能力库”或“上传HASH等非文件类型未知威胁,云智更新安全能力库”之一。
6、评估一下AF的性能能否足够支持接入云威胁情报网关(开了之后不会影响网速,只是会消耗防火墙性能--最多消耗性能不超过10%,一般5%左右)
注意事项
1、若客户之前使用过Sase AC,则必须提供云图id,联系xass授权,将sasc ac授权调整为威胁情报网关的授权(sase ac的引流后续也可以通过af去做了)
2、若客户有强防通报需求,可以考虑开启防通报严格模式(安全防护策略-高级设置-僵尸网络高级设置-启用防通报严格模式),该模式下,会额外拦截高可疑的情报,开启后可能会出现少量误拦截情况(0.5%-1%),误报原因是客户使用的某些域名或IP被开源情报标记为恶意,建议按需开启
3、若内网主机到内网服务器流量经过AF,且内网服务器未采用标准的内网地址,此时需要将该部分网段添加进排流策略,否则AF可能将其识别为境外IP引到云端,导致访问异常
4、排流策略优先级高于引流策略,也高于云情报的僵尸网络引流匹配
5、AF8.0.85R引流到SASE检测是通过云安全访问模块的引流策略抓取引流的流量;而AF8.0.90引流到SASE检测是通过匹配到僵尸网络拒绝策略,就会将报文送到sase检测,不需要手动配置引流策略。

云威胁网关授权
涉及三种授权
AF本地云威胁情报网关授权、云端SASE授权、未知威胁情报网关授权(此授权在SASE授权开通时会一并开通);当以上三种授权都正常时才可以使用云威胁情报网关
1、AF本地云威胁情报网关授权
测试设备授权
直接在W3的测试授权中申请(选择AF产品,然后选择云威胁情报网关订阅软件)
销售设备授权
登陆深信服授权中心(https://license.sangfor.com.cn),开通AF本地云威胁情报授权并激活AF本地云威胁情报网关授权(网关杀毒模块和云威胁情报网关模块都需要勾选)
授权成功后在AF查看本地云威胁情报网关授权
2-3、云端SASE授权
无论是测试还是销售设备都通过登录客户云图来开通云端SASE授权
1、点击订阅商店
2、选择云威胁情报网关开通
3、输入AF的“网关ID”,并选择AF设备所在地即可完成开通(需要注意未开通云威胁情报网关本地授权的AF网关ID不支持云端自动开通云情报网关授权)

策略配置
8.0.85R2配置思路
1、配置AF接入到SASE
通过云图登录到SASE云威胁情报网关,复制接入码
在AF上通过引流接入码接入到SASE云威胁情报网关
2、配置僵尸网络防护策略—可选(防通报场景必配,85R版本不配置不影响云威胁情报网关功能生效)
在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝
3、在云安全访问服务页面创建SASE引流线路
选择对应的联网/业务/探测口;出接口选择联网的接口,选择对应的PoP运营商
注意:路由部署且出口多条互联网线路并获取的POP节点IP相同时,需要配置策略路由,其他部署场景无需关注
4、在云安全访问服务页面配置引流策略
针对引流线路配置引流策略,每条引流线路需要配置境外IP引流和DNS引流两条引流策略
5、在云安全访问服务页面配置排流策略—可选(基于网络环境情况,按需配置)

8.0.90配置思路
1、配置AF接入到SASE
通过云图登录到SASE云威胁情报网关,复制接入码
在AF上通过引流接入码接入到SASE云威胁情报网关
2、配置僵尸网络防护策略;对于8.0.90来说是必配的
在安全防护策略中开启僵尸网络检测功能且动作配置为拒绝
此处云威胁情报网关功能与安全防护策略-僵尸网络强绑定,未被安全防护策略覆盖的流量将不会进行云威胁情报网关检查
3、在云安全访问服务页面创建SASE引流线路
配置业务接口和探测接口,当云情报一条线路不够时, 可到云安全访问服务补充引流线路,用于IOC引流(僵尸网络匹配)。
注意:路由部署且出口多条互联网线路并获取的POP节点IP相同时,需要配置策略路由,其他部署场景无需关注
4、在云安全访问服务页面配置排流策略—可选(基于网络环境情况,按需配置)
不需要配置引流策略了,只需要配置引流线路

报表展示
安全价值报表导出(右上角)
一般运行半个月或一个月可以给客户呈现
第一部分:整体安全运营工作总结,针对月度的恶意外联拦截情况、失陷主机检测情况、新型威胁更新情况进行汇总概括。
第二部分:基于四个维度,展开呈现安全价值。
1)风险概览:展示不同威胁等级/威胁载体的拦截情况和风险终端分布情况。
2)云威胁处置分析:展示平台AI引擎能力,以及分析热门威胁类型的拦截情况。
3)新型威胁更新动态:展示近七天更新趋势,以及最新更新的情报内容。
4)重点事件举证:分析展示TOP10威胁事件,以及TOP10的风险终端。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

水之蓝色 发表于 2024-6-14 22:36
  
每天学习一点点,每天进步一点点!
飞翔的苹果 发表于 2024-8-30 08:10
  
一起来学习,一起来学习
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
技术咨询
产品连连看
技术盲盒
纪元平台
新版本体验
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人