1. 场景说明
客户网络中存在单独的数据中心区域,用于与其他部门或者单位内部以及互联网用户进行信息交互,满足用户单位组织管理、安全生产、调度指挥等需要建设的专用数据网络,为内外部提供业务访问,需要在数据中心边界购买网络安全设备对信息访问加以管控,并保障日常业务的连续可用性。
2. 业务梳理
首先,我们需要针对使用AF进行防护的业务情况以及需求进行全面梳理,了解当前业务状况和数据,为后续AF配置防护策略提供依据。
| 梳理项 | 说明 |
|---|---|
| 业务的主要用户群体(例如,访问用户的主要来源地区) | 判断非法攻击来源,后续可使用地域访问控制功能屏蔽非法来源地区 |
| 业务是否为C/S架构 | 如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端 |
| 业务是否为B/S架构 | 如果是B/S架构,进一步明确是否有使用HTTPS访问,是否是单向认证,如是单向认证需要开启解密功能才能进行识别防护 |
| 业务是否存在长连接 | 如果存在长连接,需要在AF应用控制策略中配置长连接 |
| 业务端口 | 判断业务端口是否在AF支持的端口范围内 |
| 业务交互过程 | 了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略 |
| 业务是否需要支持IPv6协议 | 判断是否需要AF开启双栈协议支持IPv6协议 |
| 业务是否遭受过大流量攻击及攻击类型 | 判断是否需要开启DDoS攻击防护 |
| 业务类型及业务特征 | 便于在后续攻防过程中分析攻击特征,是否存在大文件传输、是否要进行文件过滤等 |
| 访问源是否存在代理或者CDN环境 | 判断安全防护策略是否需要选择CDN环境,如果存在WEB业务,在此环境下需要启用X-Forwarded-For才能识别真实源地址并进行攻击防护 |
| 单用户、单IP的入方向流量范围和连接情况 | 帮助后续判断是否可针对单个IP制定流量控制限速策略 |
| 活跃用户数量 | 便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施 |
| 区域隔离 | 将数据中心区域和其他区域进行隔离,防止横向扩散,只开放允许的业务端口 |
| 业务系统漏洞管理 | 判断业务系统是否存在漏洞,开启实时漏洞分析功能,对业务漏洞进行整体分析并给出评估报告 |
| 高可用性 | 根据网络环境使用两台AF进行双机部署,保证冗余性 |
| 业务系统密码 | 判断是否存在弱密码或者明文密码,通过账号安全功能进行防护和分析 |
| 病毒防护 | 判断是否存在病毒感染风险,开启内容安全SAVE杀毒,针对勒索病毒开启勒索病毒专项防护 |
| 日志记录 | 按《网络安全法》的要求,日志记录需保留180天或以上,所以需要定期评估内置DC的存储空间是否满足180天的存储要求,如不够,需通过外置DC或者syslog三方存储机制,来满足日志记录的要求 |
| 三级等保 | 根据等保测评后的结果,再开启对应功能 |
3. 准备工作
3.1. 甲方准备
| 准备工作 | 详细描述 |
|---|---|
| 上线设备安装位置 | 提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试 |
| 电源准备 | 确保机房能够为AF提供电源 |
| 设备IP规划 | 为深信服提供设备接入网络用到的IP地址,并确保该IP地址可以访问互联网 |
| 测试终端的网络接入 | 为深信服工程师提供测试网络接入,以便设备上线后测试网络连通性 |
| 协助下一代防火墙上架所需工作 | 服务器地址和对应使用的端口,业务类型名称,以及防护具体需求向我司工程师提供AF临时用户名密码贵单位确认或协助我司工程师确认服务器本身没有木马后门 |
| 实施工程师进入机房许可 | 向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项 |
3.2. 乙方准备
| 准备工作 | 详细描述 |
|---|---|
| 上线部署方案 | 为本次项目提供上线部署方案 |
| 功能验证方案 | 为本次项目上线实施提供功能验证方案 |
| 上架前准备 | 确认现场实施环境与业务环境 |
4. 防火墙配置
4.1. 基础网络配置
按照规划好的接口及地址,完成设备上架部署配置,同时划分接口所属的防护区域。建议划分至少两个区域,如外网区域和内网区域,数据中心所在区域为内网区域。后续的安全策略均会针对区域来完成。
4.2. 网络对象定义
对象定义相对耗时,建议放在线下完成。根据客户的网络情况,服务器的相关对象提前定义出来,以供后续的安全策略引用。建议对象定义可以遵循以下原则来进行:
- 服务器建议先定义整个服务器所在IP网段的对象,方便后续做整体的安全防护策略;
- 关键业务系统建议每个业务都定义一个对象,方便后续针对每个关键业务,制定定制化的安全防护策略。
4.3. 高可用性配置
完成两台深信服防火墙的双机主备冗余配置,配置步骤大致如下:
AF-1(默认主机)
完成心跳口及地址配置;
完成双机部署配置;
完成配置同步配置;
完成配置后,配置同步角色设置为主控。
AF-2(默认备机)
完成心跳口及地址配置;
完成双机部署配置;
完成配置同步配置;
完成配置后,配置同步角色设置为备控。
4.4. 应用控制策略
防火墙默认情况下,对数据流的策略是全部拦截,所以上线前,需要先完成相应应用控制的放通,才能保证上线后,业务的正常使用。服务器端口放通建议遵循以下原则:
- 针对服务器上网的应用控制,了解服务器主动上网需要访问的目标IP,从内网区域到外网区域有针对性的放通;
- 针对服务器对外发布的业务,根据前期确认的业务信息采集表,以最小放通原则,只放通从外网区域到内网区域明确发布的端口。
4.5. 地域访问控制
针对全球来源IP地理位置进行自定义地域访问控制。可以根据业务的用户分布情况,屏蔽不需要的访问来源地区,只让受信任的地区源IP能够访问数据中心服务器。
4.6. 安全防护策略
针对数据中心的服务器,根据前面的业务梳理,提出如下防火墙的业务防护安全策略,匹配客户的安全需求:
- 如果访问源存在经过CDN代理的环境,在“策略优化项”需要选择访问源经过源地址转换或CDN,如不存在该环境则选择访问源未经过源地址转换或CDN;
- 针对服务器网段业务系统漏洞和弱口令等,开启实时漏洞分析,对内网服务器的漏洞、弱密码、黑链、webshell等风险进行实时监控;
- 针对服务器网段漏洞利用攻击和口令暴力破解攻击,关联漏洞攻击防护模板,开启“保护服务器”和“暴力破解”,有效防止对外发布的服务如RDP、SSH、SMB等漏洞被外网利用,对外开放业务被暴力破解;
- 针对B/S架构服务器网段,关联web应用防护模板,端口识别启用“自动识别”,同时开启应用隐藏、WEB弱口令检测和WEB口令防护暴破等,防止服务器对外发布的WEB网站被入侵,当存在访问源存在CDN代理的情况下,需要启用“X-Forwarded-For”,同时可以填入受信任的CDN代理IP;
- 针对服务器网段,关联僵尸网络模板,防止服务器自身感染病毒后,被外部非法用户控制并利用;
- 针对提供网页服务、FTP服务、SMB服务和邮件服务的服务器网段,关联内容安全模板,针对网页服务、FTP服务、SMB服务和邮件服务上传/下载的内容进行SAVE引擎杀毒,并禁止不允许的文件传输;
- 针对https加密的网站服务器,提前开启解密功能,确保防火墙可以识别并防护该网站。
4.7. 业务资产管理
通过配置业务资产管理功能轻松完成数据中心服务器的离线资产、端口风险、访问关系的精细化管控,减少数据中心风险暴露面,提升数据中心安全效果。
4.8. 勒索专项防护
针对数据中心的服务器,开启勒索专项防护功能,梳理资产暴露面,屏蔽勒索入侵进入点,对勒索常用端口、勒索常用漏洞、弱口令做事前的识别,自动生成web应用防护、漏洞防护、内容安全、慢速爆破检测的全面防护策略对勒索病毒做全面防御。
5. 测试验证
5.1. 业务可用性测试
| 测试项 | 是否通过 |
|---|---|
| 测试服务器PING外网期望可达地址是否正常 | |
| 测试对外发布业务(包括Web、App客户端、Windows客户端、Linux客户端、其他环境的客户端),需要客户按照正常业务访问场景进行使用,是否能够正常访问 | |
| 测试其他业务访问是否正常 | |
| 测试放通上网权限的服务器(如有放通)是否能够正常访问开通的权限 | |
| 管理终端通过https:// 管理地址,是否可以正常打开控制台 |
5.2. 安全效果测试
| 测试项 | 是否通过 |
|---|---|
| 测试防火墙是否能够禁止外网区域的客户端访问未对外发布放通的业务 | |
| 测试防火墙是否能够阻止不信任地域的源IP访问业务 | |
| 测试WEB网站登录页面,连续多次输入错误密码达到WEB口令防护暴破阈值后,防火墙是否阻断无法继续访问WEB网站登录页面 | |
| 通过搭建内外网区域xhack环境,测试外网区域的xhack客户端能否正常联通内网区域xhack服务端 | |
| 使用xhack客户端的数据流检测对xhack服务端进行服务端漏洞攻击和口令暴破攻击,防火墙是否正常阻断 | |
| 使用xhack客户端的WEB实况攻击对xhack服务端进行WEB应用攻击,如SQL注入攻击、XSS攻击、目录遍历攻击、webshell攻击和命令注入攻击等,防火墙是否正常阻断 | |
| 使用xhack客户端的病毒文件检测对xhack服务端进行上传/下载病毒文件,防火墙是否正常阻断 | |
| 查看防火墙针对上述攻击是否产生阻断的安全日志 |
5.3. 高可用性测试
| 测试项 | 是否通过 |
|---|---|
| 测试优先加电上架的主机ping测试正常 | |
| 主备机上线后测试各自状态是否正常 | |
| 测试主备双机上架后各网段连通性是否正常 | |
| 测试主备双机进行拔线切换是否正常 | |
| 测试主备双机进行链路检测失败切换是否正常 | |
| 测试主备双机配置同步是否正常 | |
| 主备双机测试中业务系统是否正常 | |
| 测试优先加电上架的主机ping测试正常 |
6. 价值呈现
6.1. 防止高危漏洞利用行为
针对高危漏洞利用行为,主要提供以下几个方面能力:
- 基于漏洞利用原理进行防御:在漏洞防御方面,基于安全研究,针对主流业务程序组件进行漏洞挖掘,不仅仅从集成工具角度,从漏洞原理层面模拟真实攻击手法验证,同时试图通过各种途径,绕过官方补丁,从漏洞原理层面防止漏洞利用行为。
- 0day漏洞挖掘:对行业中使用广泛通用开源组件逆向解析,产生高质量漏洞情报。
- 漏洞预警:24小时内高危漏洞应急响应。
- 网络虚拟补丁:厂商补丁虽然发放,但是如果业务不敢升级,可分析补丁结构,构建POC进行有效防护。
6.2. 防止口令爆破行为
针对账号安全利用的攻击链,支持58个常见的和登陆相关的协议,45个和登录相关的组件,事前对账号入口进行检测(包括特权账号和弱口令),事中检测口令爆破行为、事后检测异常登入行为(比如曾经发起过攻击的IP登录业务),所有环节都具备对应的检测能力。
6.3. 恶意代码防护
针对勒索病毒采用AI技术进行查杀,传统的防病毒软件都是基于静态规则库的,面对现在病毒特别多,并且一款勒索病毒会产生若干变种,而这些变种的相似程度非常高,传统的基于规则的方式是静态且滞后的。需要自动化识别病毒并提炼特征的能力。
深信服调研了很多国际的厂商,如小红伞,cylance等国际厂商,都在使用AI进行防病毒,深信服的创新研究院也同步基于AI在国内首发了AI防病毒引擎-save,对勒索病毒,挖矿病毒进行良好的检出并预测变种。
