更新时间:2023-09-22
在[安全管理/终端上网安全/安全配置],配置内容安全、终端安全、网络安全功能,页面如下。
内容安全
泄密风险:深信服防泄密事前准确识别风险用户,事中监控敏感数据并及时告警,事后进行泄密追溯与分析,全面保障用户信息安全,避免信息泄露造成的损失。
点击<防泄密追溯应用分析>按钮,能跳转到日志分析平台-泄密追踪分析应用,查看分析的结果。
泄密风险检测功能需要联动日志分析平台使用。
- 配置上网审计策略。
- 如果使用内置日志分析平台,第一次需要进入内置日志分析平台,启用泄密追踪分析应用。
- 如果使用外置日志分析平台,保障设备和外置日志分析平台可以正常通信(TPC810和801端口),勾选[系统管理/系统配置/日志中心配置/外置日志中心]项“关闭内置日志中心,以减少设备的资源消耗,提高日志记录性能”。
终端安全
- 僵尸主机检测
深信服僵尸主机检测,通过僵尸网络行为分析和特征识别相结合,可识别并阻断内网安全域中疑似中了病毒木马的僵尸主机,内置的云安全检测技术,针对未知可疑风险上报云端虚拟沙盒执行并下发分析结果报告,有效防止主机访问非法恶意链接导致中招。
勾选“启用僵尸网络检测”,开启功能。
排除IP:不需要检测的IP,可以加入白名单。
排除网站:不需要检测的网站,可以加入白名单。
处理动作:可以选择告警通知(需要配合系统管理-系统配置-告警选项使用)、阻断恶意连接或冻结源IP。
- 终端监测与响应(EDR)
深信服EDR作为终端检测响应平台,轻量级终端+管理平台组成的解决方案,利用对终端威胁的持续检测能力,对威胁事件进行一键隔离的响应设置,深信服的EDR产品与NGAF、AC、SIP产品的联动协同响应,形成新一代的安全防护体系。此功能适用于已部署本地EDR或SaaS-EDR产品,AC支持和本地EDR或SaaS-EDR联动。
操作步骤
• 本地部署EDR联动
步骤1.在EDR管理平台的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。
如果EDR设备未勾选联动设备准入设置,在AC设备上填写接入IP设置时会提示“自动密码协商失败,请稍后重试”。
步骤2.在AC设备的[安全管理/终端上网安全/安全配置/终端检测与响应(EDR)]中选择本地接入,填入本地EDR管理IP,点击<接入>。
步骤3.联动成功后显示EDR服务信息、接入EDR终端数和已联动处置次数。
步骤4.点击<查看联动详情>,跳转到联动终端详情页面。
上述步骤完成AC和本地EDR的联动,联动完成后可配置AC和EDR的联动动作,下面举例AC联动EDR推送EDR agent。
步骤5.推送EDR agent设置。点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,勾选“启用推送配置”,配置相关参数。
策略适用范围:配置需要推送EDR客户端的内网IP或者IP段。对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR的终端。
是否强制重定向:勾选强制重定向后“推送时间间隔”将会失效,未安装EDR终端将始终重定向到EDR agent下载页面。
重定向地址:填写EDR agent下载页面。获取方法:在EDR设备的[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。
推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s。
效果展示:
适用策略地址范围的终端,没有安装EDR时,打开浏览器访问网站会重定向到深信服EDR终端防护中心部署通知页面,页面提供Window、Linux两种操作系统的方式。
此时,客户端根据提示,下载对应操作系统的安装包,完成安装。
支持对http/https网页重定向。内网所有用户完成EDR agent安装后,可根据需求关闭推送EDR agent设置。
• SaaS-EDR联动
步骤1.AC和SaaS-EDR联动时,AC需要加入和SaaS-EDR同一云图平台。在[资产中心/资产管理/安全设备]中新增分支AC。
步骤2.在SaaS-EDR管理平台的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。
步骤3.在AC设备的[安全管理/终端上网安全/安全配置/终端检测与响应(EDR)]中选择云端接入,填写云图的企业ID、接入设备名称、接入密码,其中接入设备名称、接入密码和云图上新建分支AC时所配置的参数保持一致。
步骤4.联动成功后显示EDR服务信息、接入EDR终端数和已联动处置次数。
步骤5.点击<查看联动详情>,跳转到联动终端详情页面
上述步骤完成AC和SaaS-EDR的联动,联动完成后可配置AC和EDR的联动动作,下面举例AC联动SaaS-EDR推送agent。
步骤6.推送SaaS-EDR agent配置。点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,勾选“启用推送配置”,配置相关参数。
策略适用范围:配置需要推送EDR客户端的内网IP或者IP段。对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR终端。
是否强制重定向:勾选强制重定向后“推送时间间隔”将会失效,未安装EDR终端将始终重定向到SaaS-EDR agent下载页面。
重定向地址:填写SaaS-EDR agent下载页面。获取方法:在云图平台SaaS-EDR[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。
推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s。
效果展示:
适用策略地址范围的终端,终端未安装SaaS-EDR agent时,打开浏览器访问网站会重定向到深信服SaaS-EDR终端防护中心部署通知页面,页面提供Window、Linux两种操作系统的方式。
此时,客户端根据提示,下载对应操作系统的安装包,完成安装。
注意事项:
- AC和SaaS-EDR联动时需要加入云图,由于AC集中管理只能加入BBC或云图,所以已加入BBC的AC设备需要解除集中管理再加入云图,即已部署BBC场景不适用于和SaaS-EDR联动。
- AC和SaaS-EDR联动时,由于SaaS-EDR部署在互联网,终端重定向的SaaS-EDR终端防护中心部署通知页面,以及SaaS-EDR agent下载链接都处于互联网,AC需要把这些域名加入全局排除地址,如互联网出口有网络安全设备,也需要同步放行(edrsaas.sangfor.com.cn、dledragent.sangfor.com.cn、edragent.sangfor.com.cn、download.sangfor.com.cn、edrinterconnection.sangfor.com.cn)。
- SaaS-EDR终端防护中心部署通知页面链接有效期是60天,如果需要长时间推送SaaS-EDR agent,需要在EDR推送配置定时刷新重定向地址。
- 云图EDR未授权,不能接入,已授权且在有效期内才能正常接入。
- 补丁检测
Windows补丁检测功能,能够及时检测客户端计算机当前未安装的补丁和补丁更新提示,能够使安全意识不足的用户主动提高操作系统安全性,帮助管理员减少来自内网安全方面的工作压力。
点击<去设置补丁包检测>跳转到[接入管理/接入认证/检查规则/终端插件检查规则]页面,详细配置请参考终端检查案例。
网络安全
- 防内网DOS攻击
DOS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。SANGFOR设备的防内网DOS攻击功能,也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击。AC的内网DOS攻击功能,只关注LAN口方向。
防内网DOS攻击有三种检测方式:SYN泛洪、UDP泛洪、ICMP泛洪。
SYN泛洪:攻击者发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。
UDP泛洪:攻击者发送大量的UDP包给服务器,服务器发送大量回复。
ICMP泛洪:攻击者发送数据包的源IP地址是被攻击者的IP地址,目的IP地址是被攻击者所在网段的广播地址,这样大量ICMP echo reply就到了被攻击者那里。
以下IP地址发起的攻击不会被拦截:对填入列表中的IP地址不进行DOS防御,比如内网有一台向公网提供服务的服务器,并且提供给公网的连接较多,此时建议将服务器的地址排除,避免被DOS防御认为是非法的。
点击<配置>,启用内网网段列表,可配置通过设备上网的内网网段,不在列表的用户默认为攻击用户。启用后不在列表内的用户数据无论是否被攻击会被拦截。
防内网DOS攻击处理动作可选择:告警通知、封锁攻击、推送EDR。
• 告警通知:是启用事件邮件告警功能,详细配置请参考告警选项章节。
• 封锁攻击:设置设备在检测到攻击以后对主机的封锁时间。
• 推送EDR:勾选推送EDR需先开启终端检测与响应的推送配置。
点击<提交>,用于保存配置。
- 防ARP欺骗
ARP欺骗是一种常见的内网病毒,中病毒的电脑,不定时地向内网发ARP欺骗的广播包,使内网机器的正常通信受到干扰和破坏,严重时会导致断网。
设备的防ARP欺骗是通过设备和内网PC的准入客户端配合来实现的。
设备通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存,实现自身的免疫。
如果设备的访问控制用户有绑定IP/MAC,则设备会以绑定的IP/MAC信息为准。
内网PC的防ARP欺骗是通过准入客户端来实现的。安装了准入客户端后,准入客户端会和设备通讯,获取设备和网关的正确IP/MAC关系并静态绑定。
启用ARP欺骗防护:是启用ARP欺骗防护的总开关。
启用静态ARP:如果内网PC的网关不是设备的接口地址,那就需要在这里设置,比如设备使用网桥模式,内网PC的网关地址应该是前面的路由器(或防火墙)接口地址,这时我们就可以把前面路由器的接口IP/MAC填入下面的方框里。内网PC如果安装了准入客户端就可以获取正确的网关IP/MAC并进行绑定,这样可以保证PC机上网关的IP/MAC是正确的,保证PC和网关的正常通信。
设定网关MAC广播间隔时间(秒/次):是设置广播网关(即设备的内网接口)MAC的时间间隔,建议设成10秒。
处理动作可勾选告警通知,启用事件邮件告警功能,详细配置请参考告警选项章节。
点击<提交>,用于保存配置。
- 恶意链接
结合深信服云引擎,综合多重恶意软件检测机制,利用静态检测、动态沙箱、污点跟踪、人工分析等技术进行综合判定,实时识别恶意链接,保障用户业务免受影响,包括钓鱼及恶意网站、漏洞利用、挖矿页面、恶意跳转、跨站脚本攻击和病毒文件等。
勾选“启用恶意链接检测”,开启功能。
排除IP:不需要检测的IP,可以加入白名单。
排除网站:不需要检测的网站,可以加入白名单。
处理动作:可以选择告警通知详细配置请参考告警选项章节、阻断恶意链接方式。
- SAVE杀毒
SAVE(Sangfor AI-based Vanguard Engine)结合深度学习等多种机器学习算法,使用集成学习充分利用各个算法的检测优势,能快速、准确捕捉文件的有效信息,对勒索病毒的检出率达到业界领先水平。通过安全云脑、EDR和AF等产品持续汇聚热门威胁的分析,SAVE安全智能检测引擎能够及时演进,从而提升检测能力,并覆盖最新的病毒。
SAVE杀毒主要用于对经过设备的数据进行病毒查杀,保护内网计算机的安全。设备能针对HTTP、FTP、POP3、SMTP这四种常用协议进行查杀病毒。设备中内置了深信服自主开发的SAVE引擎,具有病毒识别率高和查杀效率高的特点。SAVE引擎不同于传统的规则库更新,为了保持习惯,是以规则库的形式显示,更新周期是2个月。
SAVE杀毒配置界面四种协议杀毒的开关、不需杀毒的网站或文件白名单。
管理员可根据需求启用HTTPS下载杀毒、HTTPS下载杀毒、启用FTP下载杀毒、启用POP3/ICMP杀毒,启用SMTP杀毒。
其中HTTPS下载杀毒和POP3和IMCP杀毒、SMTP功能需要配合启用访问权限策略中的SSL内容识别和邮件过滤功能。
启用排除网站(域名):可设置访问特殊网站的数据不需要杀毒,输入格式为域名格式,支持通配符,一行一个域名。
启用文件白名单:用于定义不需要杀毒的文件。
扫描文件格式:用于定义需要进行SAVE扫描文件的后缀。
扫描文件大小:用于定义需要进行SAVE扫描文件的大小。
处理动作:勾选告警通知时需要配合[系统管理/系统配置/告警选项],详细配置请参考告警选项章节。
点击<病毒库升级>,会显示升级服务有效期和当前SAVE引擎模型日期。
[从本地加载SAVE引擎模型升级]:用于将下载好的SAVE引擎模型文件手动导入到设备中并完成SAVE引擎模型的升级,点击<选择文件>选择要导入的SAVE引擎模型文件,完成SAVE引擎模型的升级。