SIP与Af联动封锁配置

SIP&AF联动封锁

背景：

以被动方式去响应攻击事件，那么在这种情况下，对攻击事件的处置时效会降低。为了避免在这种场景下出现上述情况，可以通过AF和sip的联动封锁功能提升效率，具体配置步骤如下：

AF与sip联动配置

1.在【监控】-【设置】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”，然后在【安全感知系统设置】中查看和设置

2.在防火墙【系统】-【管理员账号】-【用户名】开启联动账号的web api，用于通过sip给af下发联动策略。（这里可以对admin账号开启，或者新建一个账号）

3.登陆sip，【系统设置】-【设备管理】选择刚才接入的af，开启双向认证，用于下发联动策略。

4.在sip【系统设置】-【联动响应】-选择对应af版本的联动配置，输入在防火墙创建的账号

到此AF与sip的联动配置完毕。

配置自动封锁策略

通过sip下发封锁：

1.在SIP-【重保中心】-【联动封锁】-【自动封锁】开启自动封锁。

注意：在这里需要明确内网环境是否有反向代理，负载，出口映射设备等地址转换设备，以防把这些设备地址封锁了，导致业务异常。可以把这些地址添加到白名单中。

2.在这里的封锁策略中有时会有误判的问题，比如有些业务流量会被误判为攻击，所以建议只勾选比较高危常见的攻击类型，以防误封。

那么当合适的策略配置完毕后，通过sip安全日志匹配到我们的策略后自动封锁攻击源ip，不支持自动封锁代理ip。

通过AF封锁：（不需要sip，建议在出口防火墙开启）

1.在AF-【策略】-【安全防护策略】-选择外对内发防护策略（公网对内），开启联动封锁（只开启高位行为）。

2.那么此时af会根据自身的日志和防护规则去封锁高危攻击行为，如果在af前面有地址转换设备，需要把转换地址添加到af的【临时封锁】-【例外封锁】名单中，以防误封。

误封排查

SIP下发的封锁排查：

1.此场景下客户会反馈哪个用户对于什么业务不能访问，那么我们需要确认用户的ip，在sip的自动封锁名单中搜索这个ip，找到对应记录之后，检查他的安全日志确认安全日志类型，在封锁策略中排查这个攻击类型即可。

比如客户反馈112.32.59.64 用户无法访问业务了，那么检查他的安全日志，对应的安全日志类型是【流量异常-http流量异常】，那么在自动封锁策略中不勾选这个日志类即可。

AF自身封锁排查：

1.此场景下也会存在误封问题，此时询问客户是那个业务访问有异常，在sip的临时封锁名单中搜索对应的业务ip，（因为af的封锁模式是封锁源目的ip的），那么只需删除误封ip即可。

2.然后将这个封锁触发的日志添加例外就好了。

一起来学习 一起来学习

感谢分享有助于工资和学习！

一起来学习，一起来学习

图文结合，步骤清晰，有助于工作。