问题5
Q:防火墙里面有大量的僵尸网络主机,动辄上千次报警,但是我用sangfor Antibot有时候却查不出来有任何异常,我想咨询下这个防火墙有报警,软件查不出任何记录这个是什么原因造成的?
A:关于AF的僵尸主机查杀,建议您可以通过AF首页的【用户安全】这个功能里面,给出的风险等级评级,并且比较高的终端进行优先查杀,这里是我们AF对僵尸网络日志进行数据归并和分析后给出的结论,更方便运维和处置。不建议通过查询的单条日志来进行查杀,一方面是日志量大,找不到重点,另一方面是日志比较杂,如果只是单条同类的日志的话,有可能访问网站弹出的一些广告等也会被拦截记录下来。
问题6
Q:防火墙的解密功能解密有什么用?
A:例如邮件是加密的,如果邮件包含了病毒文件,没有这个防火墙这个解密功能就不能检测到邮件里的内容及附件,也就起不到防护效果。解密的功能:加密邮件安全、https杀毒、https URL过滤,还有个就是对外发布的站点是用的https协议的。也要依靠防火墙的解密功能来达到防护的功能;
Q:使用问题:多次尝试,从未成功。正常来说,先检查是否有解密序列号,已经有的,然后下发证书给用户,在AF上已经启用了用户在认证前必须安装证书,然后用户装好了证书后,我也在防火墙依据解密的配置文档进行相关配置。结果用户访问一些https站点就不正常,并且AF的日志中心也没有什么日志;如果防火墙配置好解密后,解密范围勾选了“web邮箱”,然后就可以像AC一样,审计到邮件里的内容?
A:您好,目前解密分两类,一类是内网主动访问外网加密的https网站进行解密,这种不需要提供相关的服务器证书等,但需要在终端上安装好相应的AF下发的证书,原理类似于AF做了证书替换,来识别加密内容。需要注意的是默认是不会对HSTS的加密网站进行解密,需要看一下这块有没有做过修改。还有一类是内网对外发布的网站是https加密的,需要防护外部对这类网站的攻击,这种需要提供该加密网站对应的证书,上传到AF后,AF才能进行识别并防护相应攻击。
另外关于您提到的,是否可以像AC一样记录邮件的里的内容。AF毕竟还是侧重以安全防护为主,不会记录邮件里的内容,但在AF8.0.5版本,可以检测并防护邮件正文里携带的一些恶意链路等url域名。
问题7
Q:防火墙的不同物理接口可以配置同一个IP段的IP ,这样有可能会导致数据的路由混乱,请问在什么样的场景下需要这样配置呢?一般来说,在一个设备上是不能配置两个相同网段的IP的。
A:目前AF确实会有这个问题,两个路由口允许配置同一网段的地址,同时导致产生两条一样的直连路由却不是同一下一跳。目前这个功能我们研发测试部正在收集是否确实有场景需要,如果收集结果是没有需求,我们后续会考虑把该功能做限制,不允许两个路由口配置同一网段地址。
问题8
Q:有些客户问过,AF到底哪些功能不建议开启,开启后会影响设备性能以及内网。如果后期出现问题需要开启该功能,有什么补救方法?
A:AF里确实有些功能会有一些特定的使用场景,开启可能会对设备性能有些影响,比如流审日志,或者开启了acl允许类策略的日志记录,产生大量的acl日志这些,如果确实需要,可以建议配置一套外置数据中心,来同步这类日志,不留存在本地内置数据,降低设备性能损耗,同时满足日志留存需求。
问题9
Q:AF配置VPN功能时有什么注意事项?
A:您好,我们关于ipsec vpn的注意事项有做过相应的总结,具体您可以参考一下。如下:
1、VPN内网接口配置必须要进行设置,而且不建议使用管理口作为内网接口,因为对端有可能同为AF设备,从而造成管理口网段冲突,VPN无法建立。
2、内网接口使用lan属性接口,外网接口在AF8.0.2版本以前,需要使用wan属性接口。在AF8.0.2以后,可以不需要使用wan属性接口
3、AF默认没有建立虚拟ip池,如果使用pdlan接入则需手动配置虚拟ip池。
4、多线路环境下,建立第三方对接需注意的事项:1)配置到对端ip指定的具体路由;2)配置VPN第一阶段的出接口线路3)配置对应外网接口。
5、VPN建立后如果网段不通,可以考虑是否AF策略影响,建议同时开启直通和排除列表确认是否正常。
6、若发现有些网段不通,检查是否有配置多子网列表。
7、VPN不通,注意检查连接端口是否可达,使用telnet命令测试TCP端口是否可达。单臂模式下注意采用UDP连接需要确保总部网关UDP端口映射。
8、VPN不通情况下可以检查两端dlan日志,确认报错情况。在普通日志无法排查下,可以考虑打开调试日志,检查连接失败前几条调试日志。第三方对接失败同样采用检查日志方式排错。问题10
Q:在linux服务器,配置了防篡改客户端,但不生效,这是怎么回事呀?不懂怎么重启防篡改程序?
A:您好,关于linux防篡改这块,我们也做过类似的不生效的总结,建议您有条件可以先依次排查一下,如下:
1、完成安装后,需要退出当前账号再次登录后,再可生效
2、在防篡改功能开启前已经建立的会话或者连接,防篡改功能不会生效
3、服务器上安装的Agent程序,自身有bypass机制,当客户环境中内存系统资源超过70%时,功能不生效
您可以都先看一下有没有问题,如果还不生效,建议可以联系400协助排查一下,另外关于重启防篡改程序,也不建议直接操作,可以让400协助处理。问题11
Q:防篡改客户端针对动态网站有没有什么好的办法防护?如:客户服务器直接部署在公网,搭建的客户业务网站,客户也不知道业务通过哪些服务来运行的?
A:您好,之前的防篡改1.0版本在动态网站方面可能会有一些需要频繁更新设备缓存文件的缺陷。但目前AF带的防篡改2.0版本,可以有效的对动态网站进行篡改防护。另外后续我们将推出的版本,会合入云端联动检测篡改的相关功能,更全面的实现防篡改效果。
问题12
Q:让AF具备防病毒功能,通过第三方实现吗?8.0.5是否支持查杀病毒?
A:您好,AF自身带的防病毒功能,我们即将发布的AF8.0.5版本,会合入我司自主研发的save引擎。非第三方实现。805可以支持的,但需要开通模块,默认是未开通的,请知悉。
问题13
Q:请问下一代防火墙AF是如何查杀勒索病毒的,是自动拦截还是?
A:您好,不是自动拦截的,需要额外配置,目前对勒索病毒防护有效的功能模块有:杀毒、僵尸网络、漏洞防护、封高危端口(如135、137、138、139、445、3389),每个模块在勒索病毒传播感染的不同阶段,有不同的防护效果,最理想的环境是这些功能可以同时启用起来,这样可以完整的从传播、部分横向传播(流量需要经过AF),感染后的执行等各方面进行有效的防护。
问题14
Q:近期AF推出了很多的新产品,请人眼花潦乱。比如:云脑、云守、云盾、云镜、云眼,这几个名字听着差不多,但社区很难找到相关的介绍资料,因此,想问下,怎么简单理解这几个产品的功能?
A:您好,这些都是云端安全产品,在https://saas.sangfor.com.cn会有介绍,我简单讲一下我对这几个产品的理解,云脑是我们全球大数据威胁分析平台,可以快速、精准的分析当前的一些热门威胁、未知威胁及一些持续性威胁等,同时给我们的端点的设备进行持续赋能,包括AF也是其中之一。而云守主要是辅助AF安全运维的产品。云盾可以持续对抗网络中的威胁,实时响应处置,云眼可以实时监测业务的风险,专家在线值守,及时响应威胁事件并推送用户进行处置。最后是云镜,可以对内网的业务资产进行主动扫描检查,提前预知风险,针对内网脆弱性问题给出相应的举证材料并给出应对的解决方案。 当然,我这里说的还只是这些功能的一些主要使用场景,功能完全不止这些。有类似需求的可以在上面的那个网站看了解一下,会有一些各产品大致功能的介绍。希望可以帮到您。
问题15
Q:在平常的项目实施中,会将客户购买的af配置好安全策略。但有时候还是会发生网站被篡改,数据库被删的情况,而去查防火墙的日志,只能看到被防住的攻击日志,而对于被绕过或检测不到的日志,是看不到的。
想问下如何在服务器端去确认攻击行为、攻击时间以及病毒或木马是否依然存在?
针对绕过的攻击或已经存在的攻击,af有什么办法防护?A:您好,不排除您说的这种情况,还有些情况是设备安全策略上线前,服务器上已经存在相关威胁,如webshell后门等。具体是如何绕过或者相关 溯源,可以与区域相关的安服 工程师沟通处理。
另外对于安服工程师给出的溯源结果,如果是上AF之前存在的威胁,那做相关清除即可,如果确实是因为某些原因AF未防护住,提交到区域某公司工程师,进行规则更新或者规则自定义。