|
一、项目背景 某政府客户采购了一台防火墙,客户由于没有专业的网络安全运维人员,针对防火墙部署想要实现的功能也没有明确的要求。客户网络主要用途是办公使用,内网没有对外映射的服务器业务,在此基础上要保证网络的稳定性,提升用户的访问体验。
二、实施方案 客户侧出口有负载,防火墙使用虚拟网线模式部署,通过虚拟网线功能,能提高AF设备数据转发的效率,同时数据仍然受各种安全策略的控制。
三、防火墙策略调优 按照接口及地址规划,完成设备网络部署配置,同时划分接口所属的防护区域,通过配置策略来实现防火墙的防护功能。往往在客户没有明确需求的情况下,我们需要对按照最佳实践去进行调试配置,尽可能缩小客户网络的暴露,实现高效可靠的安全防护。
1、网络对象定义 针对客户业务地址进行梳理,了解当前业务状况和数据,为后续AF配置防护策略提供依据。梳理客户使用的内网的IP段,域名,用户地址等信息,收集完成后进行对象自定义导入,定义好的网络对象可提供应用控制策略等调用。
2、应用控制策略 防火墙默认情况下,对数据流的策略是全部拦截,需要先完成相应应用控制的放通,才能保证上线后,业务的正常使用。可以根据梳理的客户业务实际情况以最小放通原则进行放通: a.针对终端上网的应用控制,从内网区域到外网区域的如无特殊情况,全放通 b.针对服务器上网的应用控制,了解服务器主动上网需要访问的目标IP,从内网区域到外网区域有针对性的放通。由于客户内网没有服务器,可以不配置 c.针对服务器对外发布的业务,根据实际业务信息,以最小放通原则,只放通从外网区域到内网区域明确发布的端口,部分高危端口可以在应用控制策略上配置拒绝。由于客户内网没有服务器,可以不配置 d.根据要拦截或放通的业务配置相应的服务和应用,且可以配置时间计划,让策略只在某些时间内生效,在高级设置中勾选会话开始时记录日志,便于后续进行溯源
3、安全防护策略 安全防护策略默认有用户防护策略和业务防护策略两种,通过流量方向进行精确防护,流量方向的正确性关系到对应的攻击行为是否能够检测出来。根据客户业务的情况,配置安全防护策略,匹配客户的安全需求: a.用户防护策略主要对客户的终端用户进行保护,防止终端遭受攻击,提高内网的安全性。用户保护策略主要有漏洞攻击防护、内容安全和僵尸网络等功能。一般配置内网终端到外网访问,根据实际的地址段进行配置。 b.业务防护策略主要对用户的业务进行保护,从而防止业务服务器遭受攻击,提高网络的安全性。业务防护策略主要有实时漏洞分析、漏洞攻击防护、内容安全、Web应用防护、僵尸网络和联动封锁模块组成。一般配置外网到内网服务器访问,根据实际的地址段进行配置。
4、地域访问控制 一般用于设置允许或拒绝指定国家或地区的IP流量访问AF设备保护的内网区域,也可以根据需求拒绝访问指定国家或地区的IP流量。 防火墙默认只支持允许或拒绝指定国家或地区访问内网区域,但政府单位一般都是禁止去访问国外IP地址的。可以通过在防火墙上打上定制补丁包,配置内网拒绝访问国外地址的策略,以此来实现该需求。
5、接入云图 云图结合云端大数据分析能力和用户内网业务特点,一站式集中展示安全风险及联动云网端安全产品实现快速处置,提前防御潜在威胁行为、检测内网安全问题。将防火墙接入云图后可以实现互联网侧登录,提升了客户和工程师运维的便捷程度。
四、总结 对于防火墙的上架调试其实很简单,但对于客户侧来讲如何能够合理的利用防火墙,实现防火墙的价值才是最重要的。我们需要根据每个客户不同的情况去进行灵活的调配,一般在不了解客户业务的情况下可以根据自己的梳理到的情况进行初步配置,并告知客户后续在使用过程中进行策略的优化,这样才能帮助客户做到真正的网络安全,实现防火墙的最大价值。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
