如何限制不必要的互联网暴露(适用于 GlobalProtect 和其他服务)
Objective
本知识库文章的目的是限制面向 Internet 的界面的不必要威胁暴露。
Environment
- 帕洛阿尔托网络防火墙
- 当前 PAN-OS 版本
Procedure
您的防火墙提供了各种功能来保护您的网络免受不需要的流量的影响。 以下是有效利用它们的方法:
1. 限制暴露的 DoS 策略: DoS 策略有助于限制潜在威胁的风险。 它们在安全策略发挥作用之前及早丢弃数据包,从而减少防火墙日志中的系统负载和噪音。 但是,请记住,使用 DoS 策略可能会降低对流量的可见性。 此外,请务必注意,DoS 策略不允许使用目标区域进行配置:any。 因此,必须为发往防火墙托管的服务的入站流量建立不同的 DoS 策略,并为定向到每个目标区域的流量建立单独的策略,这些目标区域的服务托管在防火墙后面。
2. 全面保护的安全策略:安全策略对于处理和管理流量至关重要。 它们提供了一种全面的网络安全方法。
3. 注意 PBF 策略:虽然 PBF 策略也可以丢弃流量,但建议优先考虑 DoS 和安全策略。 配置不正确的 PBF 策略可能会导致意外丢弃或检测不可靠。 使用 PBF 策略时要小心。
4. 结合 DoS 和安全策略:可以结合使用 DoS 和安全策略来抑制重复检测。 这涉及利用具有日志转发内置操作的安全策略来维护动态列表,然后由 DoS 策略使用该列表来抑制重复拒绝的流量。
为了限制暴露,我们建议采用以下配置:
DoS 规则编号:(最后)
DoS 规则名称:不信任到不信任 - 全部拒绝 - 其他 IP
源区域:不信任
目标区域:不信任
目标地址:公共 IP
操作:拒绝
a。 [DoS保护>策略>添加]常规:将 DoS 策略名称“不信任”设置为“不信任 - 全部拒绝 - 其他 IP
b”。 [DoS保护>策略>添加]源 :添加源区域不信任。
c.[DoS保护>策略>添加]目标:设置区域不信任,目标地址:[公共IP]
d。 [DoS 保护>策略>添加] 选项/保护:如果要阻止其他 IP 流量,请将“操作”设置为“拒绝”。 如果要允许其他 IP 流量(如 ICMP 和 ESP),请将操作设置为允许。
e. 由此产生的 DoS 策略:
DoS 规则编号:(最后)
DoS 规则名称:不信任到不信任 - 全部拒绝 - UDP 和 TCP
源区域:不信任
目标区域:不信任
目标地址:公共 IP
选项/保护 |服务:[ udp-range-0-65535, tcp-range-0-65535 ]
操作:拒绝
a。 [DoS保护>策略>添加]常规:将 DoS 策略名称 Untrust 设置为 Untrust - Deny All - UDP and TCP
b。 [DoS保护>策略>添加]源 :添加源区域不信任。
c.[DoS保护>策略>添加]目标:设置区域不信任,目标地址:[公共IP]
d。 [DoS 保护>策略>添加>选项/保护>操作]:拒绝。
[> DoS 保护>添加>选项/保护>服务的策略]:udp-range-0-65535 和 tcp-range-0-65535。
e. 由此产生的 DoS 政策:
DoS 规则编号:(上一个-最后一个)
DoS 规则名称:对 DMZ 的不信任 - 拒绝所有
源区域:不信任
目标区域:DMZ
目标地址:公共 IP
操作:拒绝
a。 [DoS保护>策略>添加]常规:将 DoS 策略名称“不信任”设置为“DMZ - 全部拒绝
”b。 [DoS保护>策略>添加]源 :添加源区域不信任。
c.[DoS保护>策略>添加]目标:设置区域 DMZ,目标地址:[公共 IP]
d。 [DoS 保护>策略>添加] 选项/保护:将操作设置为拒绝
e。 由此产生的 DoS 策略:
GlobalProtect 示例:
DoS 规则编号:(在拒绝所有策略之前)
DoS 规则名称:不信任到不信任 - 针孔 - GlobalProtect
源区域:不信任
目标区域:不信任
目标地址:(公共 IP)
服务:[ tcp-443、udp-4501 ]
操作:允许或保护(可选)
IPSec 示例:
DoS 规则编号:(拒绝所有策略之前)
DoS 规则名称:不信任到不信任 - 针孔 - IPSec
源区域:不信任
源地址:(添加 IPSec 隧道对等 IP 地址,或者至少通过定义源国家/地区来限制暴露)
目标区域:不信任
目标地址:(公共 IP)
服务:[ udp-500、udp-4500 ]
操作:允许或保护(可选)
保护(可选)设置:
DoS 保护配置文件
名称:不信任保护
类型:分类
泛滥 防护:SYN 泛洪、UDP 泛洪、ICMP 泛洪、ICMPv6 泛洪、其他 IP 泛洪(根据需要启用)。
a. [DoS 保护策略>>添加 ] 常规:将 DoS 策略名称 Untrust 设置为 Untrust - Pinhole - <Service>
b.[DoS保护>策略>添加]源 :添加源区域不信任。
c.[DoS保护>策略>添加]目标:设置区域不信任,目标地址:[公共IP]
d。 [DoS 保护>策略>添加 ] 选项/保护:将操作设置为允许或保护。
GlobalProtect 示例:
IPSec 示例:
e. 由此产生的 DoS 策略
DoS 规则编号:(在拒绝所有策略之前)
DoS 规则名称:对 DMZ 的不信任 - 针孔 - <服务>
源区域:不信任
目标区域:DMZ
目标地址:(公共 IP)
服务:[ tcp-8443 ](这些是示例,添加所需的任何端口)。
操作:允许或保护(可选)
保护(可选)设置:
DoS 保护配置文件
名称:不信任保护
类型:分类
泛滥 防护:SYN 泛洪、UDP 泛洪、ICMP 泛洪、ICMPv6 泛洪、其他 IP 泛洪(根据需要启用)。
a. [DoS 保护策略>>添加 ] 常规:将 DoS 策略名称 Untrust 设置为 DMZ - Pinhole - <Service>
b.[DoS保护>策略>添加]源 :添加源区域不信任。
c.[DoS保护>策略>添加]目标:设置区域 DMZ,目标地址:[公共 IP]
d。 [DoS 保护>策略>添加 ] 选项/保护:将操作设置为允许或保护。
e. 由此产生的 DoS 策略
3. 利用安全策略建立允许的国家/地区列表。 如果这被证明过于严格,请考虑编制一份要阻止的国家/地区列表。 或者,您可以将两者结合起来,以创建不允许访问任何服务的国家/地区的综合阻止列表,以及允许连接到 GlobalProtect 的国家/地区的单独列表(其后有区域内不信任丢弃规则)。 这些允许和阻止列表也可用于管理出站流量。 选择要阻止的国家/地区(例如 OFAC 制裁国家/地区)以降低网络安全风险。 确保将操作设置为“删除”,以防止防火墙响应任何请求并保持不可发现。
一个。 限制来自 OFAC(示例)国家/地区的入站流量的策略。
b.允许某些国家/地区连接到 GlobalProtect 的政策。
c. 用于管理区域内不信任流量的策略。 在这里,我们允许 IPSec 用于源自特定源国家/地区或特定对等 IP 地址的站点到站点隧道,并在末尾包含清理区域内不信任丢弃规则。
5. 通过利用带有外部动态列表 (EDL) 的 IP 阻止列表,进一步限制(来自允许的来源国家/地区)的风险。 威胁情报提供商提供对信誉良好的 IP 阻止列表的访问,但需要付费。 有关更多信息,请参阅我们的 EDL 技术文档。
6.使用安全策略阻止来自不需要的来源的流量时,可能会导致大量日志条目。 使用 DoS 策略避免这种方法的理由是,IP 到国家/地区的映射可能不准确,从而导致误报检测。 如果遇到允许的流量意外被阻止的情况,则具有此类活动的日志条目对于故障排除非常宝贵。 但是,您可能不希望收到针对同一问题的重复日志条目。 在这种情况下,您可以通过定时 IP 标记管理动态地址组,并利用日志转发内置操作来抑制这些重复条目。
一个。 创建标签。
b. 创建要使用此标记的动态地址组。
c. 将日志转发配置文件添加到需要禁止显示重复条目的策略中。 在此示例中,我们将其命名为 OFAC 抑制。
d.d. 编辑日志转发配置文件。 为流量日志添加一个条目,以过滤匹配的来源 ofac-countries 以进行 IP 标记。
e. 定义内置操作。 在这里,我们用“ofac-countries”对源 IP 进行 IP 标记 480 分钟。 到期后,该条目将从动态地址组中删除。
f.将 DoS 策略添加到操作 拒绝任何匹配源地址:ofac-countries(时间 IP 标记的动态地址组)
g。 使用相同的设置定义故障安全策略。 由于我们不想记录,因此取消选中“安全策略操作”选项卡中的“会话结束时登录”复选框。 此故障安全规则的原因是 DoS 策略无法将“任何”定义为目标区域,DNAT 规则可能正在或将要定义为未在 DoS 策略中配置的目标区域,从而导致错过检测。