飞连
飞连
- 文档首页
飞连管理员指南安全 Web 网关配置威胁防护
文档反馈
问问助手威胁防护模块为企业提供针对 Web 应用层攻击的实时防御能力。不同于网站内容过滤(侧重于规范员工出向访问行为),威胁防护侧重于对入向流量载荷及异常回连行为的深度检测。通过实时识别并阻断流量中的恶意脚本、漏洞利用代码及僵尸网络通信特征,该模块能够有效降低企业受高级持续性威胁(APT)攻击的风险。
本文详细介绍如何配置高级威胁防护策略、界定防护生效范围以及通过安全日志进行风险回溯。
前置条件
已参考配置引流策略说明,完成以下配置:
- 配置引流策略:确保受控终端的流量经过 SWG 隧道接管。
- 分发企业根证书:确保终端已信任企业 CA 证书,使系统具备解密 HTTPS 流量以进行内容识别的能力。
注意
- 业务驱动自动解密:威胁防护具备业务驱动属性。当管理员在威胁防护生效域名中指定了扫描范围后,系统为了识别流量内部的攻击载荷(如注入脚本、恶意代码),将自动对涉及的 HTTPS 流量执行 SSL 解密。该过程无需额外配置 SSL 解密策略。
- SSL 解密策略的优先级:若您在 **** SSL 解密策略中针对特定资源显式配置了“不解密”,其优先级高于威胁防护的自动解密逻辑。此时,即使该资源在防护范围内,系统也将跳过解密环节,无法进行内容扫描。
配置高级威胁防护策略
高级威胁防护基于语义分析与行为检测技术,识别并拦截 Web 应用层攻击及数据泄露行为。
- 登录飞连管理后台。
- 在左侧导航栏,选择安全 Web 网关 > 威胁防护 > 威胁防护配置。
- 单击高级威胁防护卡片的编辑按钮,根据安全管理需求配置各项策略。
防护项详情说明
高级威胁防护通过对应用层流量进行行为特征分析,提供以下维度的检测与防御:攻击类别
子配置项
检测与防护逻辑
注入攻击防护
SQL 注入
拦截针对数据库的注入攻击,涵盖盲注、联合查询、报错注入等攻击手法,防止攻击者通过 Web 输入框非法篡改或读取数据库内容。
远程代码执行
检测并阻断针对 Unix 或 Windows 系统命令的非法调用(如 Shellshock 漏洞利用)。防止攻击者利用 Web 漏洞在服务器端执行恶意指令(如
; cat /etc/passwd)以获取系统权限。拦截 Unix/Windows 系统命令注入(如 Shellshock 漏洞利用)。文件包含漏洞
识别并过滤利用路径穿越特征(如
../)进行的本地文件包含(LFI)或远程文件包含(RFI)请求。防止攻击者读取系统敏感文件或远程执行恶意代码脚本。特定语言漏洞
针对 PHP 和 Java 环境提供专项防护。重点识别并拦截利用反序列化漏洞、不安全函数调用(如
eval(),system())发起的应用层攻击。客户端 Web 攻击
跨站脚本攻击
实时检测请求报文中的恶意脚本注入。重点防护反射型与存储型 XSS,拦截包含
<script>标签、onload/onerror等异常事件处理器的恶意载荷,保护用户终端免受脚本攻击。会话固定攻击
监控并识别会话管理过程中的异常行为,防止攻击者篡改或预置用户的 Session ID。确保用户会话的唯一性与安全性,防范账号被非法劫持。
协议与扫描器
协议强制执行/协议合规
基于 RFC 协议标准强制校验 HTTP/HTTPS 请求。识别并拦截包含畸形请求头、非标准 HTTP 方法以及格式错误的异常报文,降低针对 Web 服务的畸形包攻击风险。
扫描器检测
建立自动化扫描器指纹库。能够精准识别并阻断如 SQLMap、Nikto、Nmap、Nuclei 等自动化漏洞扫描工具产生的特征流量,有效防范黑客的前期探测与信息搜集。
信息泄露防护
协议服务器错误信息屏蔽
自动监控并拦截后端服务器产生的详细报错信息。屏蔽包括 Java 堆栈信息、SQL 报错、IIS 缺省错误页等在内的回显内容,防止企业系统架构信息被攻击者通过异常反馈获取。拦截后端服务器产生的详细报错(如 Java 堆栈、SQL 报错),防止架构信息泄露。
Web Shell(后门)检测
识别并阻断常见 Web Shell(如 China Chopper、Weevely 等)的通信指纹及特征响应内容,防止攻击者建立持久性的后门控制通道。
配置处置动作
针对每一个具体的防护项,您可以选择以下执行动作:- 阻断:系统将立即终止该连接,并向用户展示安全拦截页面(可参考下文自定义文案)。系统会强制记录此类拦截日志。
- 允许:系统放行该访问。
- 记录日志:勾选后,即便该行为被允许,系统仍会记录相关的访问日志,便于后续进行静默审计或风险分析。
配置阻断页面
当任一防护项执行“阻断”动作时,受控终端将看到安全拦截页面。您可以根据企业管理要求自定义提示文案:- 通知标题:自定义拦截页面的主标题。
- 通知内容:自定义详细的拦截说明文案。
- 实时预览:在配置过程中,可通过页面下方的预览区域实时查看提示信息在浏览器中的呈现效果。
- 多语言支持:支持配置默认语言并根据需要点击 + 添加语言,为不同语言(当前支持英语和日语)环境的员工提供适配的提示内容。
配置威胁防护生效域名
由于威胁防护涉及深度报文检测,对网关算力有一定消耗。管理员可定义具体的扫描范围,仅对名单内的资源执行检测,其余流量将豁免扫描以优化性能。
- 前往安全 Web 网关 > 威胁防护 > 威胁防护配置 > 威胁防护生效域名。
- 配置扫描资源名单。支持从资源库中选择内置或自定义的网站分类。
安全防护日志分析
安全日志模块记录了威胁防护引擎捕获的所有事件。管理员可以利用该模块对受攻击行为进行追溯,并根据日志详情评估现有策略的准确性。
快速检索与过滤
在安全日志主页面,利用顶部的筛选工具可快速收拢审计范围。例如:
- 按威胁特征定位:通过威胁类型(如 SQL 注入、远程代码执行)筛选特定的攻击事件。
- 按处置结果审计:筛选处置动作为“允许”且已勾选记录日志的记录,观察是否存在漏报风险;筛选“阻断”记录,核实阻断是否符合预期。
- 按目标资源溯源:直接搜索特定 URL,查看该站点在企业内部的访问频率及潜在威胁风险。
深度事件溯源
点击任一日志条目的详情,通过以下维度还原事件全貌:
- 判定依据:查看触发 URL 与具体的威胁类型,确认攻击载荷。
- 主体特征:识别触发威胁的用户身份(姓名、部门、账号状态)及设备特征(操作系统版本、飞连客户端版本)。
- 运维建议:若同一设备短时间内产生大量同类型威胁日志,需警惕该终端是否已受感染并正在尝试向外发起攻击。
报文级根因分析
在事件详情中点击详细日志记录查看详情,可进入更底层的网络报文分析界面,对于判定“误报”及排查网络连接问题可起到关键作用。核心字段说明:
- 通过 status(状态码)核实网关响应。例如
403表示 SWG 已成功执行拦截。 - 查看 method(请求方法) 与 user_agent,识别访问请求是由浏览器发起还是由自动化脚本发起。
- 核实 intranet_ip(网关内网 IP)与 sip(源 IP),确认流量在企业内网中的流向路径。
- 通过 duration(请求往返时间)评估检测引擎对业务访问性能的影响。