《深信服 下一代防火墙入门_2012年度渠道初级认证培训05_安全防护功能培训_20120701》由会员分享,可在线阅读,更多相关《深信服 下一代防火墙入门_2012年度渠道初级认证培训05_安全防护功能培训_20120701(42页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR NGAF 安全防护功能培训培训内容培训目标AF的安全防护功能介绍1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用内容安全1.掌握内容安全的应用场景和配置方法IPS1.掌握AF能够对客户端和服务器的哪些漏洞 进行防护,以及IPS出现误判后如何修改IPS 防护规则2.掌握IPS的应用场景和配置方法服务器保护1.掌握AF能够对WEB服务器进行哪些保护2.掌握服务器保护的应用场景和配置方法安全防护策略综合应用 案例1.掌握如何根据用户的需求配置相应的防护 策略。SANGFOR AF安全防护功能介绍内容安全、IPS、服务器保护深信服公司简介SANGFOR AF
2、安全防护策略综合应用案例练练手SANGFOR NGAF1. 安全防护功能介绍1.1.AF对内网用户上网的安全防护介绍1.2.AF对服务器的安全防护介绍安全防护功能介绍1.内网用户上网面临的威胁SG代理(1)未授权的访问、非法用户流量(2)内网存在DDOS攻击、ARP欺骗等(3)不必要的访问(上班时间使用P2P、视频语音)(4)不合法的访问(访问色情、赌博等网站)(5)不可靠的访问(不明来历的脚本、插件)(6)不安全的访问(网页、邮件携带病毒)(7)利用客户端电脑的漏洞、后门等发起攻击安全防护功能介绍2.AF对内网用户上网的安全防护SG代理未授权的访问,非法用户流量内网存在DDOS攻击、ARP欺
3、骗等不必要的访问(P2P、视频语音)不合法的访问(色情、赌博等网站)不可靠的访问(不明来历的脚本、插件)不安全的访问(网页、邮件携带病毒)利用客户端电脑的漏洞、后门等发起攻击用户认证防火墙应用识别、控制URL过滤脚本、插件过滤网关杀毒IPS安全防护功能介绍3.服务器面临的威胁SG代理(1)不必要的访问(如只提供HTTP应用服务访问)(2)DDOS攻击、IP或端口扫描、协议报文攻击等(3)漏洞攻击(针对服务器操作系统、软件漏洞)(4)根据软件版本的已知漏洞进行攻击;口令暴力破解,获取用户权限;SQL注入、XSS跨站脚本攻击、跨站请求伪造等等(5)扫描网站开放的端口以及弱密码(6)网站被攻击者篡改
4、安全防护功能介绍4.AF对服务器的安全防护SG代理不必要的访问(如只提供HTTP服务)外网发起IP或端口扫描、DDOS攻击等漏洞攻击(针对服务器操作系统等)根据软件版本的已知漏洞进行攻击口令暴力破解,获取用户权限SQL注入、XSS跨站脚本攻击、跨站请求伪造等等应用识别、控制防火墙IPS服务器保护风险分析网站篡改防护扫描网站开放的端口以及弱密码网站被攻击者篡改2. 安全防护策略2.1.内容安全的功能介绍2.2.IPS的功能介绍2.3.服务器保护的功能介绍安全防护策略1.内容安全SG代理AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。(1)应用控制策略应用控制策略可做到对应用/服务的访问
5、做双向控制,存在一条默认拒绝所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于应用的控制策略。基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。安全防护策略1.内容安全SG代理(2)病毒防御策略病毒防御策略主要用于对经过设备的数据进行病毒查杀,保护特定区域的数据安全。设备能针对HTTP,FTP,POP3和SMTP这四种常用协议进行病毒查杀。(3)WEB过滤WEB过滤是指针
6、对符合设定条件的访问网页数据进行过滤。主要包括URL过滤、文件过滤、ActiveX过滤和脚本过滤安全防护策略1.内容安全SG代理存在一条默认拒 绝所有服务/应用 的控制策略基于服务或 者是应用进 行控制是否记录日志 到数据中心选择需要控 制的数据源 区域和IP组目的区域 和IP组单次时间计划:在指 定时间执行一次,如 10月1日-7日才执行 循环时间计划:如周 一到周五进行循环执 行安全防护策略1.内容安全SG代理选择需要进行 病毒防御的协 议类型对列表中指定的文件类型 进行杀毒,可手动填写文 件类型,仅对HTTP杀毒 和FTP杀毒有效对访问某些特定的URL/IP 的数据不进行防御,仅适用 于
7、HTTP杀毒安全防护策略1.内容安全SG代理HTTP(get):不能浏览 某种类型网页 HTTP(post):只能浏 览网页但不能上传文件 到网站上 HTTPS:针对https类型的 网站还需要勾选此选项安全防护策略2.IPSSG代理(1)IPS是什么?IPS(Intrusion Prevention System,入侵防御系统)依靠对数据包的检测来发现对内网系统的潜在威胁。不管是操作系统本身,还是运行之上的应用软件程序,都可能存在一些安全漏洞,攻击者可以利用这些漏洞发起带攻击性的数据包。AF内置了针对这些漏洞的防护规则,并且通过对进入网络的数据包与内置的漏洞规则列表进行比较,确定这种数据包的
8、真正用途,然后根据用户配置决定是否允许这种数据包进入目标区域网络,以达到保护目标区域网络主机不受漏洞攻击的目的。安全防护策略2.IPSSG代理(2)与IPS相关的漏洞特征识别库已经按应用类型将 规则分门别类针对每个漏洞的危险级别不 同,设置不同的响应动作每个漏洞的 危险等级安全防护策略2.IPSSG代理(3)IPS的保护对象保护客户端:用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。保护服务器:用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击。(4)IPS的规则识别分类u 保护服务器和客户端(一般是病毒、木马等)防止包括操作系统本身的漏洞,后门、木马、间谍、
9、蠕虫软件以及恶意代码的攻击。u 保护服务器软件(如应用服务器提供的应用)防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击。u 保护客户端软件(如OA、IE等)防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。安全防护策略2.IPSSG代理选择防护的源区域选择防护的目标区 域及目标IP组选择对服务器或 者是客户端的哪 些漏洞进行防护攻击检测出来的 结果会记录日志 到数据中心安全防护策略3.服务器保护SG代理(1)服务器保护服务器保护主要用于防止不被信任的区域(比如互联网)对目标服务器发起的攻击
10、。目前主要针对WEB应用和FTP应用提供保护。(2)对服务器的防护包括u 网站攻击防护,如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击u 应用隐藏,用于隐藏应用服务器的版本信息,防止攻击者根据版本信息查找相应的漏洞u 口令防护,用于防止攻击者暴力破解用户口令,获取用户权限u 权限过滤,用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护安全防护策略3.服务器保护SG代理选择防护的源区域选择防护的目标区 域及目标IP组定义应用端口,和服 务器提供服务的端口 保持一致,支持一个 应用对应多个端口选择防护的攻 击类型
11、安全防护策略3.服务器保护SG代理应用隐藏隐藏FTP服务 器的版本信息设置隐藏 HTTP服务器 报文头部返回 的字段信息添加需要隐藏的 字段信息安全防护策略3.服务器保护SG代理口令防护和权限控制符合以上弱口 令规则时,即 使输入了正确 的用户名、密 码,也无法访 问FTP服务器针对FTP的防暴力破解 ,只需要在上述页面勾 选FTP即可。针对 HTTP网站的登录防破 解,需要填写相应的 URL 过滤客户端上传到服务 器的文件类型对于服务器上某些正在维护 的子目录,可以先保存起来 ,禁止用户访问。URL目录 最多只支持3级目录,如果 超过3级目录则必须写上 URL的全部路径。3. 安全防护策略综
12、合应用案例3.1.客户网络环境和客户需求3.2.配置思路3.3.配置截图安全防护综合配置案例客户环境:SG代理某客户网络拓扑如右图所示,公司内部有服务器群,其中网站服务器为172.16.1.10:8080,公司FTP服务器为172.16.1.11,服务器上存储了公司内部的资料。客户购买了SANGFOR AF设备部署在网络出口处,希望针对外网以及内网用户访问内网的服务器群进行保护。与此同时,客户希望也能够对客户端的访问进行细致的权限控制以及对客户端的安全进行防护,防止由于客户端感染的病毒而使公司的整个网络瘫痪。安全防护综合配置案例客户需求:SG代理(1)针对客户端:a.禁止用户在上班时间内玩游戏
13、、炒股票b.对用户使用HTTP、FTP、SMTP和POP3这四种协议访问的数据进行病毒查杀,防止内网用户被病毒入侵c.禁止用户在公司内访问色情、赌博网站d.对进入内网用户的数据进行入侵检测,防止攻击者利用客户端已有的漏洞或者是在内网电脑上植入木马、后门等等进行攻击(2)针对服务器:a.对进入服务器群的数据进行入侵检测,防止攻击者利用服务器本身的漏洞或者是在服务器上植入木马、蠕虫等等进行攻击b.隐藏服务器的版本信息c.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等安全防护综合配置案例配置思路:SG代理(1)网络部署:配置eth1、eth2和eth3的网口信息以及划分
14、区域、配置路由信息(包括8个0的默认路由和到内网网段的路由)(2)定义IP组和时间计划,定义服务器群的IP组(可选)和上班时间时间段(3)防火墙配置:配置源地址转换、目的地址转换(4)内容安全配置:a.禁止用户在上班时间内玩游戏、炒股票b.放通内网用户访问外网的权限,放通内网用户、外网用户访问HTTP服务器和FTP服务器的权限c.对用户使用HTTP、FTP、SMTP和POP3这四种协议访问的数据进行病毒查杀,防止内网用户被病毒入侵 d.禁止用户在公司内访问色情、赌博网站安全防护综合配置案例配置思路:SG代理(5)IPS配置:a.保护客户端(内网到外网的数据连接)b.保护服务器(外网到服务器的数
15、据连接)c.保护客户端、保护服务器(内网到服务器的数据连接)(6)服务器保护配置:a.隐藏服务器的版本信息b.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等(针对外网访问服务器和内网访问服务器都进行防护)安全防护综合配置案例配置截图:SG代理(1)网络部署(物理接口、区域、静态路由)安全防护综合配置案例配置截图:SG代理(2)定义服务器群IP组和上班时间时间计划组安全防护综合配置案例配置截图:SG代理(3)防火墙配置有关源地址转换、目的地址转换的配置过程请参考防火墙功能培训PPT安全防护综合配置案例配置截图:SG代理(4)内容安全应用控制策略此时的源区域应该为内网
16、 区域和外网区域,如果内 网区域和外网区域对服务 器群的访问权限不同,可 以分别建策略注意:“禁止上班时间玩游戏、炒股”的策略一定 要位于“内网访问外网”策略的前面,因为内网用 户上网的所有权限是放通的,如果用户优先匹配 到此策略后,将不会匹配该禁止策略安全防护综合配置案例配置截图:SG代理(4)内容安全病毒防御策略安全防护综合配置案例配置截图:SG代理(4)内容安全web过滤安全防护综合配置案例配置截图:SG代理(5)IPS配置保护客户端(内网用户访问外网)源区域为客户端所在的 内网区域,因为数据的 发起方是内网,所以源 区域就是内网建议勾选上所 有的漏洞防护检测到攻击后,以日 志的形式将攻击行为 记录到数据中心安全防护综合配置案例配置截图:SG代理(5)IPS配置保护服务器(外网访问服务器)此时,连接的发起方是公 网,所以源区域是公网, 目的区域是服务器群建议勾选上所 有的漏洞防护安全防护综合配置案例配置截图:SG代理(5)IPS配置保护客户端、保护服务器(内网用户访问服务器)防止因为客户端电 脑感染了病毒,而 把病毒带给服务器安全防护
