老板:楼小楼,据某员工反映他的邮箱自动向其他人发送了一些邮件,这个员工的邮箱密码只有他自己知道,并没有告诉给任何人。
楼小楼:老板,这种情况一般是他的邮箱被人暴力破-解了,并且如果不采取措施,那么其他人的邮箱也有被暴力破-解的可能!
老板:什么?有这么严重?
楼小楼:当然,我们公司有很多服务器,现在黑客只是针对我们的邮箱进行暴力破-解,下一步也有可能对咱们的网站、OA进行漏洞攻-击也是有可能的呀!
老板:马上给我搞它……搞定,一定要防住!绝不能让关键业务出现问题!
楼小楼:好的,我们现在有Palo Alto防火墙,只要订阅它们相关的许可证,配置安全策略就可以实现。
在上面的场景中,我们需要订阅“Threat Prevention”许可,该许可可提供防病-毒、防间谍软件、漏洞防护及内置外部动态列表。
之前我们说过外部动态列表,这里就不再做说明了,此次我们主要要说的是安全配置文件Security Profiles,
依次点击Objects->Security Profiles,下面前三个分别是Antivirus、Anti-Spyware、Vnlerability Protection,这三个分别是针对防病-毒、间谍软件、漏洞防护。
默认情况下系统会自带一些配置文件比如:
点击Antivirus,右侧会有一个名为default的防病-毒配置文件,如下:
点击Anti-Spyware,右侧会有两个默认的配置文件,一个是default,一个是strict,如下:
通过上图可以看出strict比default更加严格。
点击Vnlerability Protection,右侧同样会有两个默认的配置文件,一个是Default,一个是strict,如下:
但是这里有一点需要说明:默认配置文件是不能删除和修改的。
那如果我们需要修改配置文件中的某一个action该如何呢?
可以先将该配置文件clone一份儿,然后在clone的配置文件上修改。
看到这里,我们可以根据情况分别定义Antivirus、Anti-Spyware、Vnlerability Protection这三个配置文件,然后在策略中调用。
那么说到调用,这里又有一个问题:
如果为了安全,我按照上图配置了7个配置文件,然后需要在50多条策略中调用,这样算下来我需要在这些策略中至少点击350次来选择这些配置文件,工作量确实有点多,依次点击也确实不方便,那么有没有简单的方法呢?
PA贴心的为我们提供了Security profile groups
我们可以将我们定义的7个配置文件放到一个配置文件组中,然后在策略中直接调用配置文件组即可。这个确实是方便!
安全配置文件组的创建方法如下:
依次点击Objects->Security profile groups->Add,然后在弹出的对话框中配置安全配置文件组组的名称,然后根据情况选择相应的配置文件,完成之后点击OK。
这样就可以在策略中调用了。
下面我们看一下如何在策略中调用默认的或是定义的配置文件,以一条策略举例:
该图调用的是配置文件组,上面选择的是group,然后下配置文件组中选择了default。
该图调用的就是单独的配置文件,究竟选择哪种调用方式根据情况而定。
最终调用完成之后,点击OK,然后commit一下配置,这样就可以了。
应用完成之后,可以通过日志查看是否有相关日志,下面截图如下:
上图日志详细记录了时间、类型、源、目的、执行动作等等,在上图我隐去了部分信息,通过上图可以看到在某些时间某IP对邮件服务器进行了暴力破-解,而最终被防火墙reset-both(Sends a TCP reset to both the client-side and server-side devices)。
订阅PA的相关许可证,然后定义并调用相关安全配置文件,可以对网络进行有效的安全防护。
