业务保护策略主要对用户的业务进行保护,从而防止业务服务器遭受攻击,提高网络的安全性。业务防护策略主要有实时漏洞分析、漏洞攻击防护、内容安全、Web应用防护、网站防篡改、僵尸网络和联动封锁模块组成。
点击<新增>,选择业务防护策略,如下图所示。
网络配置参考安全防护策略,需要注意源地址和目的地址方向。
策略优化项:
业务访问场景:提前明确访问过程中,是否存在源地址转换或者CDN等代理的场景,共两个选项,“访问源未经过源地址转换或CDN”和“访问源经过源地址转换或CDN”。主要是为后面防扫描策略做选择参考,如果选择的是“访问源经过源地址转换或CDN”,会显示出[X-Forwarded-For]配置项。流量经过CDN或者代理等场景,一般都会在HTTP头部插入对应得X-Forwarded-For字段记录真实的源IP地址,以便服务器知道访问的真实IP。勾选启用,如下图所示。
点击<设置>可设置识别的插入的HTTP头部字段,目前能够识别X-Forwarded-For、Cdn-Src-Ip和Clientip三种,也可以自定义进行配置。
代理服务器IP:如果访问经过CDN、或网络环境中部署了代理设备或负载均衡设备,请在此填写受信任的真实CDN IP或代理IP,用于进行日志记录和联动封锁。
:
CDN(内容分发网络)是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。如果边缘服务器无该服务内容,则会使用本地的IP向中心服务器进行资源请求,从而边缘服务器起到一个代理的作用。
点击<下一步>,配置安全评估,即实时漏洞分析,如下图所示。
实时漏洞分析:被动流量观测,实时发现业务系统存在的漏洞、配置、账号弱口令等事前风险。通过内置了一些漏洞规则,对网络中指定的数据进行实时分析,用于发现用户网络中存在的一些安全漏洞问题,并以报表的形式把漏洞的潜在风险和解决办法展现给用户,可在[安全运营/业务安全/实时漏洞分析]中进行查看。
点击<下一步>,进入防御配置。如下图所示。
基础防御:
漏洞攻击防护:选择是否启用漏洞攻击防护,这里可以调用漏洞攻击防护模板。识别针对系统漏洞、应用漏洞的攻击行为,以及针对账号的暴力破解行为。
内容安全:选择是否启用内容安全,这里可以调用内容安全策略模板。包含邮件安全、URL过滤、文件安全三大功能,对网络通信内容中存在的威胁进行有效识别并防御。
动作:设置满足上述定义的条件的数据包是允许还是拒绝。如果为允许,则只对数据包进行检测,实际上不拒绝;如果为拒绝,则会根据规则库定义的动作进行拒绝或者允许。
增强功能:
Web应用防护策略:选择是否启用Web应用防护策略,且选中引用相关的Web应用防护模板。专门针对Web服务器设计的防攻击策略,可以防止系统命令注入、SQL注入、XSS攻击等各种针对Web应用的攻击和泄密行为。
网站防篡改:对服务器进行文件系统防护,防止被篡改时。需要在服务器上安装一个防护客户端,该客户端通过设置地址与AF通信、输入防护的网站目录、允许修改防护文件的应用程序等保护服务器文件系统避免被黑客修改。防篡改客户端与AF使用端口为TCP/9000,如发现存在修改行为则会上报给AF进行告警。开启后所有区域都可以访问防火墙上此端口,如防火墙部署在出口,建议在[策略/访问控制/本机访问控制]中拒绝互联网区域到此端口访问。
:
1、windows客户端适用于Windows 2003(32/64bits)、Windows 2008(32/64bits)、Windows 2012(32/64bits)。
2、linux客户端适用于CentOS 5/6/7 64bit、Debian 6/7 64bit、Ubuntu 10.04-14.4 64bit、RHEL 5/6/7 64bit。
3、防篡改客户端不支持Windows 2016及以上,如有需要可以使用EDR进行防护。
点击<下一步>,进入检测响应。如下图所示。
检测:
僵尸网络:选择是否启用僵尸网络,可以引用僵尸网络模板。
内网是否存在DNS服务器:如果内网存在DNS服务器时,检测到的恶意域名会进行重定向。恶意域名解析的IP地址将会被替换成以下的重定向IP地址,监听对该IP地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP。
记录日志:勾选记录日志,触发攻击行为会记录相应日志到安全日志中。
响应:
联动封锁:点击<设置>选项,开启联动封锁,当漏洞攻击防护规则、WAF规则和内容安全模块,这三者的任何一个模块检测到攻击后,即会封锁攻击的源IP地址。
:
1.高危行为联动封锁:漏洞攻击防护、WAF、DOS部分指定的高等级规则;
2.任意攻击行为联动封锁:漏洞攻击防护、WAF、DOS中存在“阻断”事件会触发联动封锁;
3.触发IPS口令爆破、WAF漏洞防扫描、CC攻击和后门防扫描、DDOS攻击都会自动封锁,无需开启联动封锁。
实时漏洞分析、WAF、IPS、内网安全配置案例:
某企业Web服务器对互联网提供服务,经常遭受来自互联网的恶意攻击,导致业务异常。因此,为了业务的连续性,需要部署一台AF来防护互联网的攻击,并保护业务的安全。同时,需要对服务器的漏洞进行风险分析,能够检测到服务器存在的风险问题。
(可选)创建漏洞攻击防护、内容安全、Web应用防护、僵尸网络和网络对象模板,方便提供给业务防护策略进行调用和方便后续对策略的调整等。
点击<新增>,选择业务防护策略,填写源目地址、区域等,如下图所示。
点击<下一步>,选择开启实时漏洞分析,如下图所示。
点击<下一步>,选择对应的IPS、内网过滤和WAF等功能,并对攻击行为进行阻断,如下图所示。
点击<下一步>,配置僵尸网络、联动封锁等,如下图所示。
配置完成结果如下图所示。
在外网方向对内网方向的服务器进行攻击测试,如使用Xhack工具来测试。
查看安全日志,能够检测WAF、IPS和僵尸网络等恶意攻击行为,如下图所示。
查看实时漏洞分析,在[安全运营/业务安全/实时漏洞分析]中查看,如下图所示。
防篡改配置案例
某企业Web服务器对互联网提供服务,经常遭受来自互联网的恶意攻击,为了防止黑客攻击成功篡改网站,需要对服务器的Web页面进行安全防护。
在安全防护策略中,开启防篡改策略,如下图所示。
(根据实际操作系统选择)点击<Linux防篡改客户端>,跳转到下载防篡改客户端页面(https://eps.sangfor.com.cn/agent),如下图所示。
点击<立即下载>,下载对应得客户端,并拷贝到服务器上,如下图所示。
在Linux服务器,使用root账户下解压EPS2.0_linux.tgz(解包tar -zxf [路径/文件名]),如下图所示。
赋予文件可以执行权限,并运行agent_install.bin脚本进行安装,如下图所示。
查看安装目录下的文件,如下图所示。
进入到安装目录的bin下,执行. /sfgconfig命令进入操作界面,如下图所示开启防篡改相关功能,如下图所示。
执行后,打开防篡改页面,进行配置,如下图所示。
[x]Enable SFGuard systsm 启动网站篡改防护系统。
[x]log to Sangfor NGAF device 发送日志到深信服AF设备。
Sangfor NGAF address:[192.168.1.1 ] AF设备IP地址,仅支持IPv4。
Guard Policy Name:在AF设备上的策略防篡改策略名称,两边保持一致。这些都是第一次让防篡改客户端和防火墙联动的必要条件,都要填上。
(可选)配置进程白名单,使进程可以对文件进行修改,如下图所示。
(可选/建议使用)IP地址白名单,白名单的IP操作直接绕过防篡改软件过滤。
设置防护目录列表,并保存配置,如下图所示。
Add to protected LIST: 此目录下的文件将被防篡改保护。
Add to EXCLUDE BLACK LIST:此目录下的文件将被防篡改排除保护。
先save,再quit退出。
AF创建业务防护策略,名称与防篡改客户端一致,如下图所示。
连接成功后,把鼠标放到网站防篡改,可以看到连接的服务器,如下图所示。
连接成功后,在保护目录下进行修改文件,不在白名单内的IP或者进程会禁止修改,如下图所示。
查看AF上的安全日志,如下图所示。
:
1、因为防篡改需要对系统调用进行拦截,功能安装过程中需要使用root权限用户。
2、在防篡改功能开启前已经建立的会话或者连接,防篡改功能不会生效。新的会话或者连接才生效。
3、更改防篡改配置以后,重新建立新的会话来连接和操作,中间防篡改注入配置可能会有一定生效时间。
4、已经被防篡改保护的会话或者连接,在防篡改进程停止的情况依然会生效,如果要关闭防篡改功能,请通过配置开关停掉防篡改功能。
5、防篡改Agent的安装目录建议安装到/usr/local或者/opt 目录下。
6、Agent自身的bypass机制,当客户环境中内存系统资源超过70%时,功能不生效。
7、防篡改配置界面不支持中文。
建议使用Chrome浏览器访问!
