横向扫描防护
更新时间 2025-06-27 18:02:41
最近更新时间: 2025-06-27 18:02:41
本文介绍横向扫描防护的适用场景和配置方法。
基本概念介绍
横向扫描主要指的是黑客在利用某个漏洞获取网络访问权后,进行收集系统其他信息来实施精确的攻击行为。例如员工点击钓鱼邮件导致办公电脑被安装了远控木马,黑客利用员工电脑上VPN内网环境,进而对企业的内网进行横向扫描,扫描如果没有合适的预防措施,则可能导致黑客获取某个点的访问权后,扩大攻破其他点,造成影响面扩大。
功能说明
针对横向扫描的行为进行设定不同策略模版,如IP类横向渗透防护、域名类横向渗透防护,支持针对单用户账号,设备,相同公网IP进行不同协议、端口、地址的组合判断其频次,若高于异常则进行阻断或挑战认证。同时,网关支持接收处置动作的取消处置,并把取消处置动作下发给对应客户端。该功能是实时统计,达到阈值立即处置。
配置说明
| 参数 | 说明 |
|---|---|
| 处置粒度 | 支持根据设备,账号,公网IP三种类型作为处置粒度,会对所选粒度的访问行为进行统计和处置,其中设备是关联到账号的最小处置粒度 ,处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置,当处置粒度为账号时,在处置动作生效时期,该账号登录其他设备同样会被处置。 |
| 统计粒度 | 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数,支持按照域名+端口或协议+IP+端口两种粒度。 |
| 统计周期 | 单位秒。 |
| 访问次数 | 单位次数。 |
| 处置时间 | 单位秒。 |
| 处置动作 | 监控:仅监控观察,不对网络连接、访问权限进行任何干预。 挑战认证:需通过配置的认证方式完成身份认证,才能继续访问内网。 禁止访问内网:关闭对内网环境资源的访问权限,即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录:退出当前客户端登录状态,若账号不符合安全要求,将持续触发注销。 |
| 提示语 | 针对不同处置动作均默认设置有对应提示语,可进行自定义修改。 |
