本帖最后由 预言家 于 2023-4-2 23:36 编辑
一、配置SIP联动AF可以实现SIP对接AF可以实现AF同步安全日志给SIP,SIP上下发联动响应策略进行联动封锁 <span]
截止标准版本SIP3.0.69.SIP联动AF下发策略包含:【封锁源IP】、【访问控制】、【隔离主机】、【封锁域名/URL/IP】、【封锁攻击者IP】,在AF界面对应功能模块都可查询到 <span]
二、首先配置SIP和AF联动 <span](1)安全感知设备任何版本都支持AF接入,AF设备接入安全感知设备需要设备版本为标准版本7.3及以上版本,只需要在AF上配置对应SIP的地址、端口和接入帐号密码,SIP无需配置,AF接入成功会在SIP【系统设置】-【设备管理】界面显示AF的接入信息 从标准版本AF7.3版本开始,AF设备接入安全感知平台,同步安全日志 以标准版本AF7.3版本操作路径示例:在【系统】-【日志设置】中勾选和配置接入安全感知平台 以标准版本AF7.4-8.0.17版本操作路径示例:在【系统】-【系统配置】-【日志设置】中勾选和配置接入安全感知平台 以标准版本AF8.0.23-8.0.69版本操作路径示例:在【监控】-【设置】-【日志设置】中勾选和配置接入安全感知平台 注意:如需要AF跟SIP进行联动则需要在SIP配置【双向认证】,才支持在SIP上针对AF进行IP封锁等联动策略下发。AF上的接入帐号密码可以自定义,SIP双向认证帐号密码需和AF的接入帐号密码一致
(2)添加防火墙应用实例
三、SIP结合AF下发策略 (1)【封锁源IP】,在“处置中心-响应策略管理-策略模板”,选择封锁源ip,点击“克隆” (3)根据前面设备的自动或者手动策略来进行相应阻断
#处置记录在SIP的“策略执行历史,或者执行结果”查看,在AF的“安全运营-临时封锁名单”查看
2、【访问控制】,在“处置中心-响应策略管理-策略模板”,选择访问控制,点击“克隆” 余下操作和上述类似
|