1.场景说明

客户网络中有员工办公上网区，以及服务器对内提供服务的业务系统区，为了保证员工在上网的时候，防止通过互联网下载的文件或者点击一些带有恶意插件的网页，导致客户自身的业务系统以及办公网受到攻击。

2.业务梳理 

首先，我们需要针对使用AF进行防护的业务情况以及需求进行全面梳理，了解当前业务状况和数据，为后续AF配置防护策略提供依据。

梳理项	说明
业务的主要用户群体（例如，访问用户的主要来源地区）	判断非法攻击来源，后续可使用地域访问控制功能屏蔽非法来源地区
单用户、单IP的入方向流量范围和连接情况	帮助后续判断是否可针对单个IP制定流量控制限速策略
活跃用户数量	便于后续在处理紧急攻击事件时，判断事件严重程度，以采取风险较低的应急处理措施
区域隔离	将数据中心区域和其他区域进行隔离，防止横向扩散，只开放允许的业务端口
用户认证	判断办公区域终端是否需要经过认证后才能访问外网
流量控制	判断是否需要对上网终端的用户进行流控，同时对数据中心业务进行带宽保证
网页过滤	判断是否需要对上网终端的用户进行网页过滤，禁止访问和办公无关的网站
高可用性	根据网络环境使用两台AF进行双机部署，保证冗余性
业务系统密码	判断是否存在弱密码或者明文密码，通过账号安全功能进行防护和分析
病毒防护	判断是否存在病毒感染风险，开启内容安全SAVE杀毒，针对勒索病毒开启勒索病毒专项防护
日志记录	按《网络安全法》的要求，日志记录需保留180天或以上，所以需要定期评估内置DC的存储空间是否满足180天的存储要求，如不够，需通过外置DC或者syslog三方存储机制，来满足日志记录的要求
三级等保	根据等保测评后的结果，再开启对应功能

3.准备工作 

3.1 客户准备 

准备工作	详细描述
上线设备安装位置	提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试
电源准备	确保机房能够为AF提供电源
设备IP规划	为深信服提供设备接入网络用到的IP地址，并确保该IP地址可以访问互联网
测试终端的网络接入	为深信服工程师提供测试网络接入，以便设备上线后测试网络连通性
协助下一代防火墙上架所需工作	服务器地址和对应使用的端口，业务类型名称，以及防护具体需求 向我司工程师提供AF临时用户名密码 贵单位确认或协助我司工程师确认服务器本身没有木马后门
实施工程师进入机房许可	向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项

3.2. 我司准备 

准备工作	详细描述
上线部署方案	为本次项目提供上线部署方案
功能验证方案	为本次项目上线实施提供功能验证方案
上架前准备	确认现场实施环境与业务环境

 

4. 防火墙配置 

4.1 基础网络配置 

按照规划好的接口及地址，完成设备上架部署配置，同时划分接口所属的防护区域。建议划分至少两个区域，如外网区域和内网区域，数据中心所在区域为内网区域。后续的安全策略均会针对区域来完成。

4.2. 网络对象定义 

对象定义相对耗时，建议放在线下完成。

1. 服务器建议先定义整个服务器所在IP网段的对象，方便后续做整体的安全防护策略；
2. 
3. 上网终端定义一个对象，方便后面对上网终端的访问控制和防护。

4.3. 高可用性配置 

完成两台深信服防火墙的双机主备冗余配置，配置步骤大致如下：

AF-1（默认主机）

完成心跳口及地址配置；

完成双机部署配置；

完成配置同步配置；

完成配置后，配置同步角色设置为主控。

 

AF-2（默认备机）

完成心跳口及地址配置；

完成双机部署配置；

完成配置同步配置；

完成配置后，配置同步角色设置为备控。

 

4.4.地址转换配置

配置地址转换策略，将上网终端的地址转换为，出口公网IP地址提供外网访问

4.5. 应用控制策略 

防火墙默认情况下，对数据流的策略是全部拦截，所以上线前，需要先完成相应应用控制的放通，才能保证上线后，业务的正常使用。服务器端口放通建议遵循以下原则：

1. 针对终端上网的应用控制，了解终端主动上网需要访问的目标IP，从内网区域到外网区域有针对性的放通；

4.6. 安全防护策略 

针对互联网出口的上网终端，根据前面的业务梳理，提出如下防火墙的终端防护安全策略，匹配客户的安全需求：

1. 针对上网终端网段漏洞利用攻击和恶意软件攻击，关联漏洞攻击防护模板，开启“保护客户端”和“恶意软件”；

2. 针对上网终端网段，关联僵尸网络模板，防止服务器自身感染病毒后，被外部非法用户控制并利用；
3. 针对访问外网的网页服务、FTP服务、SMB服务和邮件服务，关联内容安全模板，针对网页服务、FTP服务、SMB服务和邮件服务上传/下载的内容进行SAVE引擎杀毒，并禁止不允许的文件传输，如有URL过滤需求，也可以选择对应网站类别或者自定义需要过滤的网站；

4. 针对外网https加密的网站，提前开启解密功能，确保防火墙可以识别并防护该网站。

 

4.7. 勒索专项防护 

针对内网的服务器，开启勒索专项防护功能，梳理资产暴露面，屏蔽勒索入侵进入点，对勒索常用端口、勒索常用漏洞、弱口令做事前的识别，自动生成web应用防护、漏洞防护、内容安全、慢速爆破检测的全面防护策略对勒索病毒做全面防御。

 

 

5. 测试验证 

5.1业务可用性测试 

测试项	是否通过
测试上网终端PING外网期望可达地址是否正常
测试其他业务访问是否正常
测试放通上网权限的服务器（如有放通）是否能够正常访问开通的权限
管理终端通过https:// 管理地址，是否可以正常打开控制台

5.2. 安全效果测试 

测试项	是否通过
测试防火墙是否能够禁止外网区域的客户端访问未对外发布放通的业务
通过搭建内外网区域xhack环境，测试外网区域的xhack客户端能否正常联通内网区域xhack服务端
使用xhack客户端的数据流检测对xhack服务端进行客户端WEB浏览器插件攻击，防火墙是否正常阻断
使用xhack客户端的WEB实况攻击对xhack服务端进行WEB浏览器漏洞攻击，防火墙是否正常阻断
使用xhack客户端的病毒文件检测对xhack服务端进行上传/下载病毒文件，防火墙是否正常阻断
查看防火墙针对上述攻击是否产生阻断的安全日志

5.3. 高可用性测试 

测试项	是否通过
测试优先加电上架的主机ping测试正常
主备机上线后测试各自状态是否正常
测试主备双机上架后各网段连通性是否正常
测试主备双机进行拔线切换是否正常
测试主备双机进行链路检测失败切换是否正常
测试主备双机配置同步是否正常
主备双机测试中业务系统是否正常
测试优先加电上架的主机ping测试正常

6. 价值呈现 

6.1恶意代码防护 

针对勒索病毒采用AI技术进行查杀，传统的防病毒软件都是基于静态规则库的，面对现在病毒特别多，并且一款勒索病毒会产生若干变种，而这些变种的相似程度非常高，传统的基于规则的方式是静态且滞后的。需要自动化识别病毒并提炼特征的能力。

深信服调研了很多国际的厂商，如小红伞，cylance等国际厂商，都在使用AI进行防病毒，深信服的创新研究院也同步基于AI在国内首发了AI防病毒引擎-save，对勒索病毒，挖矿病毒进行良好的检出并预测变种。

      

6.2. 防止高危漏洞利用行为 

针对高危漏洞利用行为，主要提供以下几个方面能力：

1. 基于漏洞利用原理进行防御：在漏洞防御方面，基于安全研究，针对主流业务程序组件进行漏洞挖掘，不仅仅从集成工具角度，从漏洞原理层面模拟真实攻击手法验证，同时试图通过各种途径，绕过官方补丁，从漏洞原理层面防止漏洞利用行为。
2. 0day漏洞挖掘：对行业中使用广泛通用开源组件逆向解析，产生高质量漏洞情报。
3. 漏洞预警：24小时内高危漏洞应急响应。
4. 网络虚拟补丁：厂商补丁虽然发放，但是如果业务不敢升级，可分析补丁结构，构建POC进行有效防护。

 

      

6.3.精准的应用识别能力

具有大量应用识别库，能自动识别海量应用，为客户的上网环境提供更加全面的防护。