1.方案概述
1.1项目背景
XXX有限公司成立于XXX年,总部位于XXX,目前是中国综合实力最强的XXX企业之一。作为我服的主要用户,对我服产品和服务也很是认可。 数据中心在大部分客户网络都存在广泛的机会,但目前针对大客户数据中心防护是一个相对空白但是体量极大的场景;我们在客户和友商的认知中,通常只能在传统通用网络的边缘场景中发力(互联网出口、分支出口等),而核心网一直进入不利。深信服下一代防火墙AF面向应用层设计,能够精确识别用户、应用和内容,具备完整的安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。客户通过对多个防火墙厂商的分析与测试对比,认为深信服下一代防火墙从运维、防护、易用性上都与其真实需求贴合,针对性强,因此最终采购了深信服下一代防火墙。
1.2.需求分析
项目前期,与贵单位XXX部XXX、XXX部XXX、XXX,就贵单位的业务环境和安全建设需求,进行深入的沟通了解。同时我司现场对贵单位提出的XXX、XXX、XXX等关键业务也做了详细的信息收集。
1.2.1.业务现状
根据客户网络以及业务现状进行描述(例):目前贵单位网络的骨干区域均为双机冗余部署,出口有XXX路由器,下接XXX的核心交换机,骨干区域暂无安全相关设备。
1.2.2 网络需求
需要保障网络的实时性和业务的可持续性,各网络设备必须支持高可用性的设计,能实现在其中一台设备出现故障自动切换到另一台设备正常运行。
1.2.3 安全需求
防监管单位通报
从XXX部XXX了解到,目前贵单位定期会收到XXX的相关通报,也被多次提及要求整改。就此需求,经过现场对通报文件了解,我们认为主要有两个原因导致:
- XXX会定期对贵单位对外发布的业务系统进行主动扫描,监视暴露在外的相关漏洞/风险;
- 贵单位内部存在感染病毒的主机,会外发一些异常数据,且被XXX监控到,导致被通报存在威胁点。
分级分域保护原则
根据《XXX外网建设和运行管理指南(试行)》要求,XXX外网应根据联接网络对象的不同,以及承载信息系统的安全等级的不同,划分不同的安全区域和边界,并根据等保2.0规范相关要求,实施不同强度的安全保护。
网络访问控制
根据《XXX外网建设和运行管理指南(试行)》要求,应在互联网接入区部署防火墙,实现网络边界保护和访问控制功能。防火墙应只开放XXX外网提供接入服务必需的服务端口,对流经互联网接入区域的网络数据进行合法性检查。为了保证业务的可服务性,防火墙需要双机部署,且支持性能的可扩容。防火墙需要支持IPv6协议栈、NAT64转换技术。
主动诱捕攻击
随着安全产品能力的不断增强,可以拦截识别到越来越多的攻击行为,但道高一尺魔高一丈,黑客的攻击手法也随之变得越加隐晦,从而增加了产品攻击溯源的难度。单靠产品的传统基于规则、引擎、甚至云脑威胁情报等防护识别方式,已很难百分百识别拦截所有的攻击行为,针对这种情况需要更为主动的防护方式来转移黑客的攻击行为,主动捕获黑客的攻击手法进行分析溯源。
数据中心防护
从XXX部XXX了解到,目前贵单位的安全设备仅出口的一台传统防火墙。而数据中心的相关业务也比较敏感,一旦被入侵泄露数据,对单位的影响会非常大,需要重点保护。同时,针对该需求我们也重点分析了当前的现状和风险,大致如下:
- 贵单位目前出口传统墙仅对数据中心做了相关ACL策略,对应用层无防护能力,完全无法应对当前频发的新型攻击方式;
- 贵单位目前暂时未发生过安全事件,但同时也不清楚是否期间已被攻击过,或者已被入侵,只是未发生进一步的威胁事件。主要原因是无相关的攻击日志可供参考。
上网终端防护
从XXX部XXX了解到,贵单位在上网终端方面也希望可以做到一些防护,特别是近期勒索病毒频发,目前单位还暂时未具备相应的防护能力,同时希望对上网终端感染病毒或者其它恶意软件后,能提供及时的处理或者有针对性的解决方案。针对该需求,现场沟通时,贵单位与我司达成如下一致建议:
- 不允许内网终端访问外部恶意链接,同时对已感染病毒的终端,阻断其与外部恶意CC服务器通信的过程;
- 安装的软件有漏洞或者是恶意软件,被外部利用并控制当成肉鸡,对外发起攻击。同时,外部非法用户通过终端获取内网权限,对内网重要数据进行窃取;
- 可以及时检测到上网终端是否已感染病毒或者威胁,同时针对已感染的终端可以提供相应的解决方案,及时处理威胁;
- 对于一些新型的病毒或者恶意软件,贵单位希望可以及时收到相应的预警,以便可以快速的响应布防。
1.2.4 其他需求
事件快速响应机制
我司了解到,目前贵单位暂无对安全事件有相应的管理或处置机制,而安全除了需要机器的防护外,同样也需要人员的响应,对相应事件的持续处理与加固。才能保障我们具备持续安全的能力。针对此情况,我们提出如下三点解决方式:
- 我司提供一套相对易操作的《安全运维手册》交付贵单位工程师,同时会培训该工具的使用场景及方法,后续贵单位可自行日常运维;
- 重大安全事件,我司会及时提供相应的预警及解决方案,确保贵单位遇到重大安全事件有提前的响应手段;
- 如贵单位需要主动对内网安全进行全面评估,可以采购我司的相关安全服务,由我司安全服务团队提供更全面的内网安全评估及整改建议。
1.3环境确认
确认客户具体的实施环境以及要求。
| 确认项目 | 确认要求 | 确认结果 | 备注 |
|---|---|---|---|
| 部署模式确认 | 必须确认 | ||
| 网络拓扑图 | 必须确认 | ||
| 互联网出口线路 | 可选确认 | ||
| 每条线路带宽 | 可选确认 | ||
| 机房电源确认 | 必须确认 | ||
| 与设备对接的网口类型 | 必须确认 | ||
| 特殊网络环境 | 必须确认 | ||
| 外部日志留存要求 | 可选确认 |
1.4项目目标
说明项目实施目的,描述该项目最终实现目标的成功画像,可以从销售、售前了解,也可以从《深信服下一代防火墙AF需求调研表》获取。
从技术角度来看,网络安全没有绝对。只要内网与外部存在交互,就可能存在被利用的漏洞或者风险。而安全,也并不是简单的黑与白,或者在相当程度上是处于灰色地带。我们的安全建设目标,实际上更多的是建设安全风险管理能力。持续阻止已知威胁、发现内网风险、加固内网安全,快速响应安全事件。
1.4.1持续阻止已知威胁
安全的防护相对会滞后于威胁的发生,特别类似于0day威胁。而防火墙,需要不断的完善自己的防护能力,针对已知威胁具备及时防护能力。确保入侵事件最小可能发生。
1.4.2 发现内网风险
随着单位内资产的持续变更、业务系统代码设计人员的思路不同。各项安全管理制度执行落地困难。导致内网存在一些风险,同时又很难可视。
防火墙通过实时被动分析网络流量,持续发现内网资产的新增、业务系统可能存在的相关漏洞、web网站是否已被入侵挂上黑链或者webshell、可能存在的弱密码。帮助贵单位快速分析了内网的安全风险,并提供与之对应的解决方案。
1.4.3 加固内网安全
防火墙的防护属于治标阶段,而治本的方式是内网自身具备相对安全的环境。如漏洞攻击,防火墙可以阻止针对服务器某个漏洞的攻击,但受限于物理位置的影响,并不能保证所有来源的攻击都可以防护到。而针对该漏洞的威胁,最有效的方式,是该服务器打上了针对此漏洞的补丁。
1.4.4快速响应安全事件
安全,是需要人员对事件做出响应,才能保障防护措施的完整有效。而响应安全事件,同样也需要一定的安全经验和方法。对此,一方面我司会提供相应的运维工具,简化安全运维工作。另一方面,重大事件我司会有技术人员主动协助贵单位进行事件响应。最后,如需专业的安全人员对相应事件进行溯源或者清查,我司可提供相应的有偿安全服务。
2.设备功能清单
2.1设备清单
| 设备名称 | 厂商 | 设备型号 | 数量 | 用途 |
|---|---|---|---|---|
| AF | 深信服 | B2000 | 2 | 边界隔离、安全防护 |
| 路由器 | XXX | XXX | ||
| 交换机 | XXX | XXX |
2.2设备版本
| 设备名称 | 厂商 | 软件版本号 | 备注 |
|---|---|---|---|
| AF | 深信服 | 8.0.45 | |
| 路由器 | XXXX | XXXX | |
| 交换机 | XXXX | XXXX |
2.3功能模块
| 功能模块 | 功能介绍 |
|---|---|
| IPV4/IPV6双栈 | 针对IPV6环境开启双栈功能,对IPV6的数据进行识别转发以及安全防护 |
| 应用控制策略 | 针对各个区域网络对象的具体服务和应用进行精细化的管控 |
| 地域访问控制 | 设置允许或拒绝指定国家或地区的IP流量访问AF设备保护的内网区域 |
| 本机访问控制 | 设置针对访问本机的数据,进行访问控制 |
| 连接数控制 | 设置单个IP的最大会话数。分为源IP连接数控制、目的IP连接数控制和双向IP连接数控制 |
| 地址转换 | 进行源地址转换、目的地址转换、双向地址转换和DNS-Mapping的设置 |
| 漏洞攻击防护 | 依靠对数据包的检测来发现对内网系统的潜在威胁,防止各种漏洞利用以及口令暴力破解等 |
| Web应用防护 | 针对内网的Web服务器设计的防攻击策略,可以防止系统命令注入、SQL注入、XSS攻击等各种针对Web应用的攻击行为,以及针对Web服务器进行防泄密设置 |
| 僵尸网络 | 用于发现和隔离内网感染了病毒、木马等恶意软件的PC,当病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志 |
| 内容安全 | 有邮件安全、URL过滤、文件安全三种安全设置:邮件安全包含邮件内容检测和邮件附件过滤、邮件附件杀毒;URL过滤主要是用于过滤符合设定条件的网页URL地址;文件安全包含文件过滤和文件杀毒 |
| 主动诱捕 | 主动诱导攻击者攻击“假”目标,延长对抗时间,保护真实资产安全。捕获到攻击IP后进行自动封锁,进而防止攻击者对内外网进行扫描等攻击行为。通过云端蜜罐深度溯源指纹信息、社交信息、位置信息等数据,精准勾勒攻击者画像,从攻击源头切断攻击。当检测到内部主机对不该访问的伪装业务发起恶意扫描,即可快速定位内网失陷主机,自动封锁,防止横向扩散感染核心业务 |
| Dos/DDos防护 | 可以防止外网对内网的DOS攻击,也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击 |
| 服务器访问认证 | 当经过AF访问服务器的后台时,需要进行访问认证,认证通过后才能够正常访问到服务器的后台,从而提高服务器的安全等级 |
| 风险分析 | 通过扫描对目标服务器进行风险分析,根据扫描结果来发现存在的问题和结合AF的安全策略分析访问关系,可视化的展示给用户服务器的风险详情 |
| 解密 | 用于内网用户通过设备上网,加密邮件和HTTPS数据的解密场景;以及内网有加密服务器,AF设备通过解密访问服务器的流量,对服务器进行保护的场景 |
| 流控 | 提供了带宽保证和带宽限制功能,通过带宽保证可以保证重要应用的访问带宽,通过带宽限制可以做到限制用户组/用户上下行总带宽、各种应用的带宽等 |
| 认证 | 对经过AF的用户进行相关的认证,保障接入的安全 |
| 业务资产管理 | 通过主动扫描,探测服务器在线的状态及端口使用情况,帮助用户梳理业务资产的访问关系,缩小策略开放端口,精简ACL策略 |
| 勒索专项防护 | 通过针对防护对象自动生成策略,全面防护勒索风险,过全面、可视化识别勒索风险,并提供处置建议和处置思路,让管理员敢处置勒索风险事件 |
| 云端黑客IP防护 | 连接到云端,通过主动拉取云端的黑客IP同步到本地,对防护列表中黑客IP进行防护 |
| 账号安全防护 | 是以客户的业务对象为视角,通过分析该个业务对象是否存在账号安全的风险,比如是否存弱口令、是否遭受过口令爆破攻击、是否存在过账号异常登录等异常现象,帮助客户可视化地分析账号的相关安全风险,并给予对应的修复防护意见,从源头阻断攻击行为,从而大大降低客户业务的安全风险。另外,还可帮助客户梳理所有业务资产的账号入口都有哪些,帮助客户可视化地分析内网业务是否开发了什么不必要的账号登录入口,并给予对应账号登录入口的管理建议,帮助客户有效梳理账号入口,减少资产暴露面 |
| 黑白名单 | 设置被设备信任的白名单和被设备不信任的黑名单,通过黑名单进行全局封锁,通过白名单进行全局放行 |
| 联动云图 | 深信服云图结合云端大数据分析能力和用户内网业务特点,一站式集中展示安全风险及联动云网端安全产品实现快速处置,提前防御潜在威胁行为、检测内网安全问题 |
| 联动EDR | 使EDR与AF共享安全信息,进而实现网络和端点的安全信息进行关联,从而能够使得威胁更可视,处置更便捷 |
| 联动SIP | 将AF日志发送到SIP平台,通过SIP进行统一的安全运营,从而能够使得威胁更可视,处置更便捷 |
| 高可用性 | 为了避免单点故障的隐患,采用双机模式是保证业务连续性的一种有效解决方案,能够在很大程度上避免了网络业务的中断 |
| SSL VPN | 解决远程用户访问公司敏感数据最简单最安全的解决技术,通过相对简易的方法实现信息远程连通,任何安装浏览器的设备都可以使用SSLVPN |
| IPSecVPN | 用于和深信服设备或第三方设备建立IPSecVPN连接,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全 |
2.4授权检视
| 授权模块 | 授权情况 | 备注 |
|---|---|---|
| 网关 | 已授权,有效日期永久,分支机构X个,多线路X条 | |
| SSL VPN | 已授权,有效日期永久,用户个数X个 | |
| 基础功能开通 | 已授权,有效日期永久 | |
| 增强功能开通 | 已授权,有效日期永久 | |
| 网关杀毒功能开通 | 已授权,有效日期永久 | |
| 杀毒引擎更新 | 已授权,有效日期XXXX-XX-XX | |
| 云智订阅软件 | 已授权,有效日期XXXX-XX-XX | |
| 云鉴订阅软件 | 已授权,有效日期XXXX-XX-XX | |
| 门户网站保护订阅服务 | 已授权,有效日期XXXX-XX-XX | |
| 云蜜罐订阅服务 | 已授权,有效日期XXXX-XX-XX | |
| 软件升级 | 已授权,有效日期XXXX-XX-XX |
3.方案总体设计
3.1总体设计原则
- 统一规范
由于业务系统的复杂性,所以应该在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从网络安全法、等保要求等各项技术规定,做好系统的标准化设计与施工。
- 成熟稳定
由于网络安全发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保项目实施完成后能够适应各方的需求,同时节约项目施工时间。
- 实用先进
为避免投资浪费,网络安全的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。
- 开放适用
由于下一代防火墙是为各业务系统以及各终端提供安全防护,会产生大量的安全日志,为符合监管要求同时提供开放的标准接口,供运维人员的特定使用。
- 安全可靠
本次项目涉及用户范围广、数量大,业务实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。
3.2总体功能架构
深信服下一代防火墙融合了多种安全技术,提供了L2-L7完整的安全防御体系以及能够进行主动诱捕,确保安全防护不存在短板,同时还能通过安全联动功能加强防御体系的时效性和有效性,包括和云端、终端的联动、各个模块间的联动等。此外,深信服下一代防火墙AF还广泛的开展第三方安全机构合作,与国家漏洞信息库、VirusTotal、恶意链接库等多来源威胁情报的输入,帮助用户能够在安全事件爆发之前就提前做好防御的准备。
3.3总体物理架构设计
整体网络分区四个区域:骨干接入域,数据中心安全域,终端上网域和无线接入域。
骨干接入域主要提供互联网的接入服务,供内网用户访问外网和互联网用户访问内网业务系统。
数据中心安全域是内网服务器为提供访问的业务区域,通过出口路由器进行业务的发布,是需要进行外部访问安全防护的重点区域。
终端上网域是内网有线终端上网区域。
无线接入域是无线接入终端的上网区域。
为了保障内网区域的安全,在内网区域透明部署两台主备AF,开启应用防护、IPS和waf等功能。
4. 规划设计
4.1部署规划设计
| 设备名称 | AF-1(默认主机) | |
|---|---|---|
| 管理地址 | https://X.X.X.X | |
| 子网掩码 | 255.255.255.0 | |
| 网关 | X.X.X.X | |
| 登录用户名 | admin | |
| 登录密码 | admin(默认) | |
| 各接口连接情况 | eth1 | 虚拟网线网口,接出口路由器 |
| eth2 | 虚拟网线网口,接中心交换机 | |
| eth3(管理口) | 路由网口,配置管理地址 | |
| eth4和eth5组成聚合口bond1 | 聚合模式:主备模式 | |
| 心跳地址:2.2.2.1-HA | ||
| 硬件物理位置 | XXX中心机房XXX机柜 |
| 设备名称 | AF-2(默认备机) | |
|---|---|---|
| 管理地址 | https://X.X.X.X | |
| 子网掩码 | 255.255.255.0 | |
| 网关 | X.X.X.X | |
| 登录用户名 | admin | |
| 登录密码 | admin(默认) | |
| 各接口连接情况 | eth1 | 虚拟网线网口,接出口路由器 |
| eth2 | 虚拟网线网口,接中心交换机 | |
| eth3(管理口) | 路由网口,配置管理地址 | |
| eth4和eth5组成聚合口bond1 | 聚合模式:主备模式 | |
| 心跳地址:2.2.2.2-HA | ||
| 硬件物理位置 | XXX中心机房XXX机柜 |
4.2流量设计
- 业务流量:出站流量
该部分主要为上网流量,具体走向如下:
用户终端→接入交换机→中心心交换机→防火墙(AF)→出口路由器,回程流量相反。
该流量路径中,防火墙保证上网用户安全,对经过的流量进行安全检测并阻断有危险的行为,也可以对上网用户进行认证。
- 业务流量:入站流量
该部分主要为外网访问数据中心服务器流量,具体走向如下:
外网终端→出口路由器→防火墙(AF)→中心心交换机→接入交换机→服务器,回程流量相反。
该流量路径中,防火墙保证服务器的业务安全,对经过的流量进行安全检测并阻断有危险的行为。
4.3.高可用设计
客户网络中出口路由器和中心交换机都做了双机冗余部署,为保证网络的高可用性,新接入网络的防火墙也需做双机主备部署设计,采用典型的口字形组网,常规故障下支持任意一台设备故障不影响网络,极端情况下支持单边设备全部故障不影响网络。
4.4功能设计
4.4.1终端防护设计
主要针对上网终端域和无线接入域中的上网终端进行安全防护,包括应用控制、僵尸网络防护、漏洞攻击防护和内容安全等,如需对终端进行认证可开启用户认证功能。
| 功能模块 | 功能介绍 | 是否配置 |
|---|---|---|
| 应用控制策略 | 针对各个区域网络对象的具体服务和应用进行精细化的管控 | |
| 漏洞攻击防护 | 依靠对数据包的检测来发现对内网系统的潜在威胁,防止各种漏洞利用以及口令暴力破解等 | |
| 僵尸网络 | 用于发现和隔离内网感染了病毒、木马等恶意软件的PC,当病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志 | |
| 内容安全 | 有邮件安全、URL过滤、文件安全三种安全设置:邮件安全包含邮件内容检测和邮件附件过滤、邮件附件杀毒;URL过滤主要是用于过滤符合设定条件的网页URL地址;文件安全包含文件过滤和文件杀毒 | |
| Dos/DDos防护 | 可以防止外网对内网的DOS攻击,也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击 | |
| 流控 | 提供了带宽保证和带宽限制功能,通过带宽保证可以保证重要应用的访问带宽,通过带宽限制可以做到限制用户组/用户上下行总带宽、各种应用的带宽等 | |
| 认证 | 对经过AF的用户进行相关的认证,保障接入的安全 |
4.4.2服务器防护设计
主要针对外部访问数据中心服务器进行安全防护,包括应用控制、地域访问控制、主动诱捕、WEB应用防护、僵尸网络、漏洞攻击防护、内容安全、勒索专项防护和服务器访问认证等,如服务器业务是https加密流量,需开启解密功能。
| 功能模块 | 功能介绍 | 是否配置 |
|---|---|---|
| 应用控制策略 | 针对各个区域网络对象的具体服务和应用进行精细化的管控 | |
| 地域访问控制 | 设置允许或拒绝指定国家或地区的IP流量访问AF设备保护的内网区域 | |
| 漏洞攻击防护 | 依靠对数据包的检测来发现对内网系统的潜在威胁,防止各种漏洞利用以及口令暴力破解等 | |
| Web应用防护 | 针对内网的Web服务器设计的防攻击策略,可以防止系统命令注入、SQL注入、XSS攻击等各种针对Web应用的攻击行为,以及针对Web服务器进行防泄密设置 | |
| 僵尸网络 | 用于发现和隔离内网感染了病毒、木马等恶意软件的PC,当病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志 | |
| 内容安全 | 有邮件安全、URL过滤、文件安全三种安全设置:邮件安全包含邮件内容检测和邮件附件过滤、邮件附件杀毒;URL过滤主要是用于过滤符合设定条件的网页URL地址;文件安全包含文件过滤和文件杀毒 | |
| 主动诱捕 | 主动诱导攻击者攻击“假”目标,延长对抗时间,保护真实资产安全。捕获到攻击IP后进行自动封锁,进而防止攻击者对内外网进行扫描等攻击行为。通过云端蜜罐深度溯源指纹信息、社交信息、位置信息等数据,精准勾勒攻击者画像,从攻击源头切断攻击。当检测到内部主机对不该访问的伪装业务发起恶意扫描,即可快速定位内网失陷主机,自动封锁,防止横向扩散感染核心业务 | |
| 服务器访问认证 | 当经过AF访问服务器的后台时,需要进行访问认证,认证通过后才能够正常访问到服务器的后台,从而提高服务器的安全等级 | |
| 风险分析 | 通过扫描对目标服务器进行风险分析,根据扫描结果来发现存在的问题和结合AF的安全策略分析访问关系,可视化的展示给用户服务器的风险详情 | |
| 解密 | 用于内网用户通过设备上网,加密邮件和HTTPS数据的解密场景;以及内网有加密服务器,AF设备通过解密访问服务器的流量,对服务器进行保护的场景 | |
| 流控 | 提供了带宽保证和带宽限制功能,通过带宽保证可以保证重要应用的访问带宽,通过带宽限制可以做到限制用户组/用户上下行总带宽、各种应用的带宽等 | |
| 业务资产管理 | 通过主动扫描,探测服务器在线的状态及端口使用情况,帮助用户梳理业务资产的访问关系,缩小策略开放端口,精简ACL策略 | |
| 勒索专项防护 | 通过针对防护对象自动生成策略,全面防护勒索风险,过全面、可视化识别勒索风险,并提供处置建议和处置思路,让管理员敢处置勒索风险事件 | |
| 云端黑客IP防护 | 连接到云端,通过主动拉取云端的黑客IP同步到本地,对防护列表中黑客IP进行防护 |
4.4.3联动设计
如有需要可和云图、EDR和SIP进行联动。
| 功能模块 | 功能介绍 | 是否配置 |
|---|---|---|
| 联动云图 | 深信服云图结合云端大数据分析能力和用户内网业务特点,一站式集中展示安全风险及联动云网端安全产品实现快速处置,提前防御潜在威胁行为、检测内网安全问题 | |
| 联动EDR | 使EDR与AF共享安全信息,进而实现网络和端点的安全信息进行关联,从而能够使得威胁更可视,处置更便捷 | |
| 联动SIP | 将AF日志发送到SIP平台,通过SIP进行统一的安全运营,从而能够使得威胁更可视,处置更便捷 |
5. 风险检视及应对措施
由于现有的两台设备部署为虚拟网线主备部署模式,理论上对业务的影响时间≤5分钟(对于需要花费大量时间排查的风险问题,需根据用户需求恢复对业务的访问,再进行分析排查),整个实施过程顺利情况下应小于60分钟,但考虑到其它排错时间及回退时间预留,建议申请2-3小时的实施窗口时间,以便充分应对变更过程中可能存在的各种未知风险。
项目实施过程可能预期的升级风险及应对措施如下:
| 序号 | 风险点 | 业务影响 | 应对措施 |
|---|---|---|---|
| 1 | 光模块无法识别 | ≤5分钟 | 1更换备用光模块;2联系专家、研发查看光模块适配情况,若只有其中一台AC识别有问题,可把流量切换到另一台AC上再进行排查,减少业务中断时间;若2台AC都无法识别,流量可临时跳开AC设备,再进行排查;3若判断实施窗口时间无法排查并解决问题,可执行回退方案。 |
| 2 | 双机同步异常 | ≤5分钟 | 1确认双机接线是否正常;2版本信息以及补丁信息是否完全一致;3高可用配置是否正确;4联系专家、研发进一步排查问题。 |
| 3 | 启用安全策略后互联网访问内网服务器业务异常 | ≤5分钟 | 1查看安全日志进行权限策略故障排查;2开启直通,观察拦截日志;3根据拦截日志调整访问权限策略。 |
| 4 | 启用安全策略后用户访问互联网业务异常 | ≤5分钟 | 1查看安全日志进行权限策略故障排查;2开启直通,观察拦截日志;3根据拦截日志调整访问权限策略。 |
| 5 | 启用解密服务器后,服务器访问异常 | ≤5分钟 | 1确认是否是双向认证,目前仅支持单向认证;2开启直通看是否能正常;3联系专家、研发进一步排查问题。 |
| 6 | 办公业务异常,访问速度慢 | ≤5分钟 | 1检查流量管理状态,确认线路带宽是否被其他应用占据;2检查流控策略,保障带宽策略应用是否包含客户业务应用,适用对象是否包含所有办公用户;3检查流控策略,限制带宽策略应用是否包含带宽高消耗应用,使用对象是否包含所有用户;4确认直通是否关闭。 |
| 7 | AF规则库无法更新 | ≤5分钟 | 1查看授权信息,对应规则库有效期;2从AF设备上PING测试云端IP是否能通;3前置设备是否有限制;4联系专家、研发进一步排查问题。 |
| 8 | 安全策略不生效 | ≤5分钟 | 1检查安全策略配置是否正确;2确认白名单信息是否正常;3确认直通是否关闭;4攻击流量是否经过AF;5对应规则库是否最新;6联系专家、研发进一步排查问题。 |
| 9 | 通用风险排查手段 | 1开启直通;2加白名单;3绕过AF。 |