如何保护 NGFW 上的 GlobalProtect 门户免受暴力攻击
2809
Created On 07/11/24 19:41 PM - Last Modified 08/14/24 01:42 AM
Objective
本文重点介绍了如何配置策略以防止对下一代防火墙的暴力攻击。
Environment
- Palo Alto NGFW 防火墙
- 支持的 PAN-OS
- GlobalProtect (GP) 门户)
Procedure
使用以下命令配置防火墙。
- 所有用户都要使用 2 因素身份验证登录。
- 设置暴力破解 IP 黑名单策略。
- 使用“地理位置”,仅允许特定于区域的 IP 源。
- 禁用门户登录页面。
- 在阻止策略中配置 Palo Alto 的 EDL。
如果最终用户仍然在 Global Protect 门户上从某些不良行为者那里获得许多失败的登录,请采取以下额外步骤来避免暴力攻击:
实施 URL 过滤器:
- 将 URL 过滤配置文件应用于 SSL 访问的安全策略,以阻止不使用门户的 FQDN 的尝试。
- 使用“vpnportal.yourdomain.com/”、“vpngw.yourdomain.com”、“x.x.x.x/ssl-vpn/hipreportcheck.esp”、“x.x.x.x/ssl-vpn/hipreport.esp”、“x.x.x.x/ssl-vpn/agentmessage.esp”创建自定义 URL 类别列表
- 将 GlobalProtect 安全策略规则拆分为两个规则。 一个用于处理 app-ids “palos-global-protect”、“ssl” 和 “web-browsing”。 另一个策略适用于 IPsec 和 ICMP(如果需要)
- 对于 SSL 安全策略,请添加已创建的 URL 过滤配置文件。 应用此功能后,用户将只能使用 FQDN 连接到 VPN。
- 除了配置选择条件之外,还需在安全策略层进行地理阻止(如果尚未确定)。
- 将第 1 条规则设置为删除地理位置 IP 和已知的恶意 IP,然后将它们放入 GP 配置规则中,以仅允许特定区域。