我们沐浴在党的阳光下,迎来了中华人民共和国成立的第70个年头!(先来几张高清大图) 全国人民喜气洋洋,都在为大阅兵紧锣密鼓地筹备当中! 献礼祖国70周年大庆,保障大庆期间网络安全——您的工作很重要! 突然感觉责任重大,无从下手?别慌!--某公司来助阵! 1、上网行为管理AC 1.1、查看相关序列号,确定规则库为最新版本 注:若客户序列号过期,规则库不是最新版本建议客户购买相关授权,保证功能。 1.2、上网控制策略配置 注:应用控制中如成人内容、代理工具、关键字如法轮功,反党反共等内容一定要禁用,尽量只开需要使用的端口号等。 1.3、上网审计策略配置 注:上网审计策略一定要配置,保障有迹可循。 1.4、终端管理配置、网关杀毒配置 注:网关杀毒比较消耗性能,个人觉得最好使用专用的杀毒软件,如某公司的EDR。 2、下一代防火墙NGAF 2.1、查看相关序列号,确定规则库为最新版本 注:设备版本建议升级到AF8.0.6及以上版本,保证安全功能的全面性,序列号开通增强级与杀毒功能,且各类规则库已更新至最新。 2.2、用户关键资产定义 注:针对梳理出来的业务资产,完成相关业务对象的定义,方便快速定位目标业务系统,方便后续日志分析。 2.3、安全策略调优 2.3.1、应用控制策略 注:应用控制策略中对外发布业务遵循权限最小化原则,需要对外发布什么业务,就只开放什么端口;有上网权限的业务系统,指定访问的目的,需要访问外网什么地址,就开放什么地址权限。 2.3.2、地域访问控制 注:确定业务系统需要提供服务的区域,不需要提供服务区域的访问请求,建议全部拦截 2.3.3、安全策略 注:正常情况,要求所有经过防火墙上网的数据,都需要在IPS策略防护范围内;内容安全中邮件杀毒和文件杀毒都需要把功能开启起来,检测的文件类型默认即可;“web应用防护”模块,确保这些模板的防扫描功能均已有效开启。 2.4、设备自身加固 2.4.1、访问权限设置 注:①连接外网的区域,建议把所有的接入方式都关闭,包括:WEBUI、SSH、SNMP; ②连接内网的区域,建议只开启WEBUI的接入方式,SSH和SNMP关闭; ③管理设备的IP地址,建议只设置有管理设备权限的IP地址或地址段。 2.4.2、设备自查 注:①确认是否存在多余账号,如有,建议删除,保留有明确使用人的账号; ②检查并确认,已有账号是否存在弱密码的情况,如有,需要进行密码的修改。且建议在国庆前最好能做一次密码的修改。 3、终端检测与响应EDR 3.1、查看授权,确定病毒库是否为最新 3.2、基本策略配置 3.3、病毒查杀 3.4、实时防护 3.5、漏洞修复 注:EDR在扫描与查杀的过程中,可能会有误报,策略优化后误报的可能性更大,建议国庆过后还原到最初的策略或者策略进行相关的修改补充。 4、SSL VPN 4.1、版本查看,设备检查 注:SSL设备建议升级到7.6.3版本并打上sp1优化包,设备版本信息检查7.6.6R1及之前的版本的信息是否含有以下字段 ssl-sp 20190713_svpn_SSLPl__SP或ssl-sp 20190812_svpn_SSLPI_SP ssl-sp 20190713_svpn_SSLWP__SP或ssl-sp 20190813_svpn_SSLWP__SP ssl-sp 20190625_svpn_SSLRP_SP或ssl-sp 20190812_svpn_SSLRP__SP 若没有请联系400协助打上优化包,实施会重启SSL VPN服务,请和客户确定好时间,提前和400确定好实施时间。 4.2、认证配置 注:建议开启密码安全策略,限定密码最小长度建议设置为8位,其他的保持默认即可,检查本地用户中是否有“test”等测试帐号,建议与客户协商删除或禁用该测试帐号。 4.3、关闭匿名用户 在控制台【SSL VPN设置】-【认证设置】-【匿名登录设置】中关闭匿名登录。 4.4、开启防暴力破解 在控制台【SSL VPN设置】-【认证设置】-【密码认证选项设置】中开启防止暴力破解选项,配置保持默认即可。 4.5、资源管理 注:①使用最小权限的原则分配资源。非必要场景,不要将L3VPN全网资源、WEB全网资源、泛域名全网资源分配给用户并禁用该资源。 ②在配置资源时,保障访问资源的客户端类型最小化,建议在配置资源的时候选择好允许访问资源的客户端类型,不需要访问资源类型的客户端禁止访问(必须是7.6.1及以后的版本)。 4.6、接入配置 注:①关闭TLS1.0可能会对Windows XP、Windows 7系统有影响,关闭后可能会影响使用,需调整浏览器TLS设置,需要跟客户确认好。 ②修改传输协议、关闭HTTP端口接入需要重启SSL VPN服务,请合理安排时间。 4.7、管理配置 注:建议关闭远程维护;建议不要使用HTTP端口登录控制台,使用更安全的https访问控制台;控制台超时时间不要设置太长,建议10分钟为宜,根据实际使用情况调整。 4.8、日志设置 注:建议搭建外置数据中心或将日志传送到syslog服务器以保证日志合规和后期溯源,建议使用外置数据中心,一定要在策略组中要勾选记录访问日志 5、态势感知 5.1、镜像确认 在镜像时一定需要考虑是否镜像全目标IP网段被访问的流量,避免漏掉攻击方过来的流量。 5.2、探针日志说明 注:探针默认情况的日志传输模式为标准,即只上传安全日志,不上传审计日志,所以需要修改上传所有的日志信息。包括所有的安全检测日志、所有的访问检测日志、所有的协议审计日志。 5.3、SIP平台查看 补充:(1)某公司EDR、AF等产品能联动,若产品包含其中,建议升级,彼此之间能够互相联动。 (2)注意异常流量、日志记录的相关信息。
最后祝大家国庆快乐,不会接到客户电话!!! |