更新时间:2022-01-18
在[终端行为安全/终端上网安全/安全能力/安全配置],配置内容安全、终端安全、网络安全功能,页面如下。
内容安全
泄密风险:深信服防泄密事前准确识别风险用户,事中监控敏感数据并及时告警,事后进行泄密追溯与分析,全面保障用户信息安全,避免信息泄露造成的损失。
点击<防泄密追溯应用分析>按钮,能跳转到行为感知系统-泄密追踪分析应用,查看分析的结果。
泄密风险检测功能需要联动行为感知系统使用。
配置互联网审计策略。
如果使用内置行为感知系统,第一次需要进入内置行为感知系统,启用泄密追踪分析应用。
如果使用外置行为感知系统,保障设备和外置行为感知系统可以正常通信(TPC810和801端口),勾选[系统管理/系统配置/日志中心配置/外置日志中心]项“关闭内置日志中心,以减少设备的资源消耗,提高日志记录性能”。
终端安全
僵尸主机检测
深信服僵尸主机检测,通过僵尸网络行为分析和特征识别相结合,可识别并阻断内网安全域中疑似中了病毒木马的僵尸主机,内置的云安全检测技术,针对未知可疑风险上报云端虚拟沙盒执行并下发分析结果报告,有效防止主机访问非法恶意链接导致中招。
勾选“启用僵尸网络检测”,开启功能。
排除IP:不需要检测的IP,可以加入白名单。
排除网站:不需要检测的网站,可以加入白名单。
处理动作:可以选择告警通知(需要配合系统管理-系统配置-告警选项使用)、阻断恶意连接或冻结源IP。
终端监测与响应(EDR)
深信服EDR作为终端检测响应平台,轻量级终端+管理平台组成的解决方案,利用对终端威胁的持续检测能力,对威胁事件进行一键隔离的响应设置,深信服的EDR产品与NGAF、AC、SIP产品的联动协同响应,形成新一代的安全防护体系。此功能适用于已在用EDR产品,且AC和EDR之间能进行通信。
操作步骤
步骤1.EDR管理平台
在EDR管理平台中的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。
说明:如果EDR设备未勾选联动设备准入设置,在AC设备上填写接入IP设置时会提示“自动密码协商失败,请稍后重试”。
步骤2.AC平台
在AC平台的[终端行为安全/终端上网安全/安全能力/安全配置]选择终端检测与响应(EDR),设置EDR接入设置。
输入EDR平台的IP,点击<接入>后能看到EDR服务的信息、接入EDR终端数和已联动处置次数。
步骤3.推送EDR agent设置
点击<查看联动详情>,跳转到联动终端详情页面。
点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,需要使用时,勾选启用即可。
策略适用范围:配置内网的IP或者IP段来实现对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR的终端。
是否强制重定向:勾选前置重定向,填写重定向地址。获取方法:在EDR设备的[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。
推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s。
效果展示
适用策略地址范围的终端,没有安装EDR时,打开浏览器去访问网站会被重定向到深信服EDR终端防护中心部署通知页面,页面提供Window、Linux两种操作系统的方式。
此时,客户端根据提示,下载对应操作系统的安装包,完成安装。
安装完agent后,根据需求点击<解除服务绑定>,将设备和EDR联动解绑,不再推送。
1.补丁检测
Windows补丁检测功能,能够及时检测客户端计算机当前未安装的补丁和补丁更新提示,能够使安全意识不足的用户主动提高操作系统安全性,帮助管理员减少来自内网安全方面的工作压力。
点击<去设置补丁包检测>跳转到[接入管理/接入认证/检查规则/终端插件检查规则]页面,详细配置请参考终端检查案例。
网络安全
防内网DOS攻击
DOS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。SANGFOR设备的防内网DOS攻击功能,也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击。AC的内网DOS攻击功能,只关注LAN口方向。
防内网DOS攻击有三种检测方式:SYN泛洪、UDP泛洪、ICMP泛洪。
SYN泛洪:攻击者发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。
UDP泛洪:攻击者发送大量的UDP包给服务器,服务器发送大量回复。
ICMP泛洪:攻击者发送数据包的源IP地址是被攻击者的IP地址,目的IP地址是被攻击者所在网段的广播地址,这样大量ICMP echo reply就到了被攻击者那里。
以下IP地址发起的攻击不会被拦截:对填入列表中的IP地址不进行DOS防御,比如内网有一台向公网提供服务的服务器,并且提供给公网的连接较多,此时建议将服务器的地址排除,避免被DOS防御认为是非法的。
防内网DOS攻击处理动作可选择:告警通知、封锁攻击、推送EDR。
告警通知:是启用事件邮件告警功能,详细配置请参考告警选项章节。
封锁攻击:设置设备在检测到攻击以后对主机的封锁时间。
推送EDR:勾选推送EDR需先开启终端检测与响应的推送配置。
点击<提交>,用于保存配置。
防ARP欺骗
ARP欺骗是一种常见的内网病毒,中病毒的电脑,不定时地向内网发ARP欺骗的广播包,使内网机器的正常通信受到干扰和破坏,严重时会导致断网。
设备的防ARP欺骗是通过设备和内网PC的准入客户端配合来实现的。
设备通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存,实现自身的免疫。
如果设备的访问控制用户有绑定IP/MAC,则设备会以绑定的IP/MAC信息为准。
内网PC的防ARP欺骗是通过准入客户端来实现的。安装了准入客户端后,准入客户端会和设备通讯,获取设备和网关的正确IP/MAC关系并静态绑定。
启用ARP欺骗防护:是启用ARP欺骗防护的总开关。
启用静态ARP:如果内网PC的网关不是设备的接口地址,那就需要在这里设置,比如设备使用网桥模式,内网PC的网关地址应该是前面的路由器(或防火墙)接口地址,这时我们就可以把前面路由器的接口IP/MAC填入下面的方框里。内网PC如果安装了准入客户端就可以获取正确的网关IP/MAC并进行绑定,这样可以保证PC机上网关的IP/MAC是正确的,保证PC和网关的正常通信。
设定网关MAC广播间隔时间(秒/次):是设置广播网关(即设备的内网接口)MAC的时间间隔,建议设成10秒。
处理动作可勾选告警通知,启用事件邮件告警功能,详细配置请参考告警选项章节。
点击<提交>,用于保存配置。
恶意链接
结合深信服云引擎,综合多重恶意软件检测机制,利用静态检测、动态沙箱、污点跟踪、人工分析等技术进行综合判定,实时识别恶意链接,保障用户业务免受影响,包括钓鱼及恶意网站、漏洞利用、挖矿页面、恶意跳转、跨站脚本攻击和病毒文件等。
勾选“启用恶意链接检测”,开启功能。
排除IP:不需要检测的IP,可以加入白名单。
排除网站:不需要检测的网站,可以加入白名单。
处理动作:可以选择告警通知详细配置请参考告警选项章节、阻断恶意链接方式。
SAVE杀毒
SAVE(Sangfor AI-based Vanguard Engine)结合深度学习等多种机器学习算法,使用集成学习充分利用各个算法的检测优势,能快速、准确捕捉文件的有效信息,对勒索病毒的检出率达到业界领先水平。通过安全云脑、EDR和AF等产品持续汇聚热门威胁的分析,SAVE安全智能检测引擎能够及时演进,从而提升检测能力,并覆盖最新的病毒。
SAVE杀毒主要用于对经过设备的数据进行病毒查杀,保护内网计算机的安全。设备能针对HTTP、FTP、POP3、SMTP这四种常用协议进行查杀病毒。设备中内置了深信服自主开发的SAVE引擎,具有病毒识别率高和查杀效率高的特点。SAVE引擎不同于传统的规则库更新,为了保持习惯,是以规则库的形式显示,更新周期是2个月。
SAVE杀毒配置界面四种协议杀毒的开关、不需杀毒的网站或文件白名单。
管理员可根据需求启用HTTPS下载杀毒、HTTPS下载杀毒、启用FTP下载杀毒、启用POP3/ICMP杀毒,启用SMTP杀毒。
其中HTTPS下载杀毒和POP3和IMCP杀毒、SMTP功能需要配合启用访问权限策略中的SSL内容识别和邮件过滤功能。
启用排除网站(域名):可设置访问特殊网站的数据不需要杀毒,输入格式为域名格式,支持通配符,一行一个域名。
启用文件白名单:用于定义不需要杀毒的文件。
处理动作:勾选告警通知时需要配合[系统管理/系统配置/告警选项],详细配置请参考告警选项章节。
点击<病毒库升级>,会显示升级服务有效期和当前SAVE引擎模型日期。
[从本地加载SAVE引擎模型升级]:用于将下载好的SAVE引擎模型文件手动导入到设备中并完成SAVE引擎模型的升级,点击<选择文件>选择要导入的SAVE引擎模型文件,完成SAVE引擎模型的升级。