本文档将为您介绍 SASE-AF 功能,可以开启安全上网策略,通过 C2通信检测、URL 过滤、防病毒、漏洞攻击防护等多维度全方位呈现安全上网防护和风险预警能力。
用户使用硬件(RT引流器/SDW-R安智路由器)或软件的方式已接入深信服云安全访问服务平台,接入操作参考章节。
1. 登录云图,点击【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择策略>下一代防火墙>威胁管理,进入威胁管理配置页面。
2.如需识别加密流量中的威胁,需提前开启 TLS/SSL 解密功能,点击启用,点击策略配置前往配置;(如已开启或无需识别加密流量,请忽略此步骤)
SSL 加密技术是为保护敏感数据在传送过程中的安全,而设置的加密技术。安全传输层协议(TLS)用于在两个通信 应用程序之间提供保密性和数据完整性,TLS 加密套件和 SSL 数字证书相辅相成,通过解密才可以精准识别数据中的攻击流量。
点击开启证书解密,默认全部勾选,点击保存。
3. 解密开启后,点击策略配置>安全>威胁管理,返回威胁管理配置页面。
4. C2通信检测功能配置。
点击开启按钮开启此功能,点击策略配置,支持自定义选择拦截模式或观察模式。拦截模式下支持自定义勾选对高危、中危和低危的威胁等级的拦截。
注:该功能需开启 DNS 引流。点击管理>接入管理>客户端>客户端配置,勾选开启DNS引流。若有非公网 DNS 配置,需要做排除,否则将影响业务正常访问,具体排流操作请参考章节。
5. URL过滤功能配置。
点击开启按钮开启此功能,点击策略配置,支持自定义修改内置 URL 分类的执行动作:允许、观察、拒绝,以及自定义需要拦截的 URL 网站。
6. 防病毒功能配置。
点击开启按钮开启此功能。(已默认配置最佳策略,暂不支持自定义)。
7. 漏洞攻击防护功能配置。
点击开启按钮,点击策略配置。已有一条默认策略,设置为启用并执行动作为全部放行。在此基础上,可根据需求新建策略,自定义适用范围,动作选项选择允许/拒绝(允许:仅记录风险不阻断;拒绝:记录并阻断漏洞攻击流量)。
左侧菜单栏点击日志>下一代防火墙>安全日志,可查看全量日志,并支持以表格形式导出。
支持通过资产类型、用户/部门、接入位置、日志类型、威胁等级、威胁类型、动作和源IP筛选日志。
默认展示当天全量安全日志,支持最近24小时、最近7天、最近30天、自定义时间周期筛选日志。
左侧菜单栏点击告警>配置>告警配置支持自定义安全威胁的告警条件,以及告警通知方式(当前仅支持邮件推送)。
建议使用Chrome浏览器访问!
