更新时间:2023-06-06
业务保护策略主要对用户的业务进行保护,从而防止业务服务器遭受攻击,提高网络的安全性。业务防护策略主要有实时漏洞分析、漏洞攻击防护、内容安全、Web应用防护、僵尸网络和联动封锁模块组成。
点击<新增>,选择业务防护策略,如下图所示。
网络配置参考安全防护策略,需要注意源地址和目的地址方向。
策略优化项:
业务访问场景:提前明确访问过程中,是否存在源地址转换或者CDN等代理的场景,共两个选项,“访问源未经过源地址转换或CDN”和“访问源经过源地址转换或CDN”。主要是为后面防扫描策略做选择参考,如果选择的是“访问源经过源地址转换或CDN”,那么当选择带“防扫描功能的Web应用防护模板”时,会有警告提示。
:
CDN(内容分发网络)是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。如果边缘服务器无该服务内容,则会使用本地的IP向中心服务器进行资源请求,从而边缘服务器起到一个代理的作用。
点击<下一步>,配置安全评估,即实时漏洞分析,如下图所示。
实时漏洞分析:被动流量观测,实时发现业务系统存在的漏洞、配置、账号弱口令等事前风险。通过内置了一些漏洞规则,对网络中指定的数据进行实时分析,用于发现用户网络中存在的一些安全漏洞问题,并以报表的形式把漏洞的潜在风险和解决办法展现给用户,可在[安全运营/业务安全/实时漏洞分析]中进行查看。
点击<下一步>,进入防御配置。如下图所示。
基础防御:
漏洞攻击防护:选择是否启用漏洞攻击防护,这里可以调用漏洞攻击防护模板。识别针对系统漏洞、应用漏洞的攻击行为,以及针对账号的暴力破解行为。
内容安全:选择是否启用内容安全,这里可以调用内容安全策略模板。包含邮件安全、URL过滤、文件安全三大功能,对网络通信内容中存在的威胁进行有效识别并防御。
动作:设置满足上述定义的条件的数据包是允许还是拒绝。如果为允许,则只对数据包进行检测,实际上不拒绝;如果为拒绝,则会根据规则库定义的动作进行拒绝或者允许。
增强功能:
Web应用防护策略:选择是否启用Web应用防护策略,且选中引用相关的Web应用防护模板。专门针对Web服务器设计的防攻击策略,可以防止系统命令注入、SQL注入、XSS攻击等各种针对Web应用的攻击和泄密行为。
点击<下一步>,进入检测响应。如下图所示。
检测:
僵尸网络:选择是否启用僵尸网络,可以引用僵尸网络模板。
内网是否存在DNS服务器:如果内网存在DNS服务器时,检测到的恶意域名会进行重定向。恶意域名解析的IP地址将会被替换成以下的重定向IP地址,监听对该IP地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP。
记录日志:勾选记录日志,触发攻击行为会记录相应日志到安全日志中。
响应:
联动封锁:点击<设置>选项,开启联动封锁,当漏洞攻击防护规则、WAF规则和内容安全模块,这三者的任何一个模块检测到攻击后,即会封锁攻击的源IP地址。
:
1.高危行为联动封锁:漏洞攻击防护、WAF、DOS部分指定的高等级规则;
2.任意攻击行为联动封锁:漏洞攻击防护、WAF、DOS中存在“阻断”事件会触发联动封锁;
3.触发IPS口令爆破、WAF漏洞防扫描、CC攻击和后门防扫描、DDOS攻击都会自动封锁,无需开启联动封锁。
实时漏洞分析、WAF、IPS、内网安全配置案例:
某企业Web服务器对互联网提供服务,经常遭受来自互联网的恶意攻击,导致业务异常。因此,为了业务的连续性,需要部署一台AF来防护互联网的攻击,并保护业务的安全。同时,需要对服务器的漏洞进行风险分析,能够检测到服务器存在的风险问题。
步骤1.(可选)创建漏洞攻击防护、内容安全、Web应用防护、僵尸网络和网络对象模板,方便提供给业务防护策略进行调用和方便后续对策略的调整等。
步骤2.点击<新增>,选择业务防护策略,填写源目地址、区域等,如下图所示。
步骤3.点击<下一步>,选择开启实时漏洞分析,如下图所示。
步骤4.点击<下一步>,选择对应的IPS、内网过滤和WAF等功能,并对攻击行为进行阻断,如下图所示。
步骤5.点击<下一步>,配置僵尸网络、联动封锁等,如下图所示。
步骤6.配置完成结果如下图所示。
步骤7.在外网方向对内网方向的服务器进行攻击测试,如使用Xhack工具来测试。
步骤8.查看安全日志,能够检测WAF、IPS和僵尸网络等恶意攻击行为,如下图所示。
步骤9.查看实时漏洞分析,在[安全运营/业务安全/实时漏洞分析]中查看,如下图所示。