老板:楼小楼,最近xxx部门通报我司某些内网IP访问互联网上的恶意IP,针对这些恶意、高风险IP有没有办法控制一下?
楼小楼:办法倒是有,防火墙有一个功能可以帮助我们最大限度的控制内网对恶意、高风险IP的访问。
老板:那就搞它……
PA防火墙有一个功能External Dynamic List(外部动态列表),里面包含有Dynamic ip lists,如下图所示:
我们可以打开其中一项,High risk ip addresses
在该列表中显示了系统预定义的高风险IP。
基本于此,我们可以定义一条策略,拒绝内网对高风险IP的访问,具体操作如下:
点击Policies菜单,在左侧点击Security,右侧会列出当前安全策略列表,点击下面的Add,我们增加一条新的策略,并为策略配置一个名称。配置完点击Source标签,如下图:
设置源安全域为trust,源IP是any,然后点击Destination标签,如下图:
目的安全域为untrust,目的IP这里我们就从外部动态列表中选择预定义的高风险IP及恶意IP,然后点击Service标签,如下图所示:
这里选择any,最后点击Actions标签,如下图所示:
完成之后点击OK。
这时我们创建的策略就完成了,但是在策略列表我们可以看到我们刚刚创建的策略在上网策略的后面,这时我们要调整一下第二条策略的位置,将它移动到最前面,具体方法如下:
选择创建好的策略,然后在上面点击move
选择move top,这时这条策略就移至最前了
完成之后commit一下配置。
配置完成之后我们测试一下:
1.14.65.206是一个高风险IP,从前面的截图中可以看到这个IP是在高风险IP列表中的。我通过微步查了一下
上图是我做策略之前做的PING测试,现在策略应用完了,我们看一下结果
此时到这个恶意IP已经PING不通了。
我们再看一下防火墙的日志信息。
至此,老板提的要求已经完成了……
这里有一点需要说明:要使用external dynamic lists,必须购买Threat Prevention许可,如下图所示:
