1. 场景说明
客户网络中存在单独的数据中心区域,用于与其他部门或者单位内部以及互联网用户进行信息交互,满足用户单位组织管理、安全生产、调度指挥等需要建设的专用数据网络,为内外部提供业务访问,需要在数据中心边界购买网络安全设备对信息访问加以管控,并保障日常业务的连续可用性。
2. 业务梳理
首先,我们需要针对使用AF进行防护的业务情况以及需求进行全面梳理,了解当前业务状况和数据,为后续AF配置防护策略提供依据。
| 梳理项 | 说明 |
|---|---|
| 业务的主要用户群体(例如,访问用户的主要来源地区) | 判断非法攻击来源,后续可使用地域访问控制功能屏蔽非法来源地区 |
| 业务是否为C/S架构 | 如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端 |
| 业务是否为B/S架构 | 如果是B/S架构,进一步明确是否有使用HTTPS访问,是否是单向认证,如是单向认证需要开启解密功能才能进行识别防护 |
| 业务是否存在长连接 | 如果存在长连接,需要在AF应用控制策略中配置长连接 |
| 业务端口 | 判断业务端口是否在AF支持的端口范围内 |
| 业务交互过程 | 了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略 |
| 业务是否需要支持IPv6协议 | 判断是否需要AF开启双栈协议支持IPv6协议 |
| 业务是否遭受过大流量攻击及攻击类型 | 判断是否需要开启DDoS攻击防护 |
| 业务类型及业务特征 | 便于在后续攻防过程中分析攻击特征,是否存在大文件传输、是否要进行文件过滤等 |
| 访问源是否存在代理或者CDN环境 | 判断安全防护策略是否需要选择CDN环境,如果存在WEB业务,在此环境下需要启用X-Forwarded-For才能识别真实源地址并进行攻击防护 |
| 单用户、单IP的入方向流量范围和连接情况 | 帮助后续判断是否可针对单个IP制定流量控制限速策略 |
| 活跃用户数量 | 便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施 |
| 区域隔离 | 将数据中心区域和其他区域进行隔离,防止横向扩散,只开放允许的业务端口 |
| 业务系统漏洞管理 | 判断业务系统是否存在漏洞,开启实时漏洞分析功能,对业务漏洞进行整体分析并给出评估报告 |
| 高可用性 | 根据网络环境使用两台AF进行双机部署,保证冗余性 |
| 业务系统密码 | 判断是否存在弱密码或者明文密码,通过账号安全功能进行防护和分析 |
| 病毒防护 | 判断是否存在病毒感染风险,开启内容安全SAVE杀毒,针对勒索病毒开启勒索病毒专项防护 |
| 日志记录 | 按《网络安全法》的要求,日志记录需保留180天或以上,所以需要定期评估内置DC的存储空间是否满足180天的存储要求,如不够,需通过外置DC或者syslog三方存储机制,来满足日志记录的要求 |
| 三级等保 | 根据等保测评后的结果,再开启对应功能 |