1、SANGFOR NGAF安全防护功能培训第1页,共43页。培训内容培训目标AF的安全防护功能介绍1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用内容安全1.掌握内容安全的应用场景和配置方法IPS1.掌握AF能够对客户端和服务器的哪些漏洞进行防护,以及IPS出现误判后如何修改IPS防护规则2.掌握IPS的应用场景和配置方法服务器保护1.掌握AF能够对WEB服务器进行哪些保护2.掌握服务器保护的应用场景和配置方法安全防护策略综合应用案例1.掌握如何根据用户的需求配置相应的防护策略。第2页,共43页。SANGFOR AF安全防护功能介绍内容安全、IPS、服务器保护深信服公司
2、简介SANGFOR AF安全防护策略综合应用案例练练手SANGFOR NGAF第3页,共43页。1.安全防护功能介绍1.1.AF对内网用户上网的安全防护介绍1.2.AF对服务器的安全防护介绍第4页,共43页。安全防护功能介绍1.内网用户上网面临的威胁SG代理(1)未授权的访问、非法用户流量(2)内网存在DDOS攻击、ARP欺骗等(3)不必要的访问(上班时间使用P2P、视频语音)(4)不合法的访问(访问色情、赌博等网站)(5)不可靠的访问(不明来历的脚本、插件)(6)不安全的访问(网页、邮件携带病毒)(7)利用客户端电脑的漏洞、后门等发起攻击第5页,共43页。安全防护功能介绍2.AF对内网用户上
3、网的安全防护SG代理未授权的访问,非法用户流量内网存在DDOS攻击、ARP欺骗等不必要的访问(P2P、视频语音)不合法的访问(色情、赌博等网站)不可靠的访问(不明来历的脚本、插件)不安全的访问(网页、邮件携带病毒)利用客户端电脑的漏洞、后门等发起攻击用户认证防火墙应用识别、控制URL过滤脚本、插件过滤网关杀毒IPS第6页,共43页。安全防护功能介绍3.服务器面临的威胁SG代理(1)不必要的访问(如只提供HTTP应用服务访问)(2)DDOS攻击、IP或端口扫描、协议报文攻击等(3)漏洞攻击(针对服务器操作系统、软件漏洞)(4)根据软件版本的已知漏洞进行攻击;口令暴力破解,获取用户权限;SQL注入
4、、XSS跨站脚本攻击、跨站请求伪造等等(5)扫描网站开放的端口以及弱密码(6)网站被攻击者篡改第7页,共43页。安全防护功能介绍4.AF对服务器的安全防护SG代理不必要的访问(如只提供HTTP服务)外网发起IP或端口扫描、DDOS攻击等漏洞攻击(针对服务器操作系统等)根据软件版本的已知漏洞进行攻击口令暴力破解,获取用户权限SQL注入、XSS跨站脚本攻击、跨站请求伪造等等应用识别、控制防火墙IPS服务器保护风险分析网站篡改防护扫描网站开放的端口以及弱密码网站被攻击者篡改第8页,共43页。2.安全防护策略2.1.内容安全的功能介绍2.2.IPS的功能介绍2.3.服务器保护的功能介绍第9页,共43页
5、。安全防护策略1.内容安全SG代理AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。(1)应用控制策略 应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于应用的控制策略。基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。第10页,共43页。安全防护策略1.内容安全SG代理(2)病毒防御策略 病毒防御策
6、略主要用于对经过设备的数据进行病毒查杀,保护特定区域的数据安全。设备能针对HTTP,FTP,POP3和SMTP这四种常用协议进行病毒查杀。(3)WEB过滤 WEB过滤是指针对符合设定条件的访问网页数据进行过滤。主要包括URL过滤、文件过滤、ActiveX过滤和脚本过滤第11页,共43页。安全防护策略1.内容安全SG代理存在一条默认拒绝所有服务/应用的控制策略基于服务或者是应用进行控制是否记录日志到数据中心选择需要控制的数据源区域和IP组目的区域和IP组单次时间计划:在指定时间执行一次,如10月1日-7日才执行循环时间计划:如周一到周五进行循环执行第12页,共43页。安全防护策略1.内容安全SG
7、代理选择需要进行病毒防御的协议类型对列表中指定的文件类型进行杀毒,可手动填写文件类型,仅对HTTP杀毒和FTP杀毒有效对访问某些特定的URL/IP的数据不进行防御,仅适用于HTTP杀毒第13页,共43页。安全防护策略1.内容安全SG代理HTTP(get):不能浏览某种类型网页HTTP(post):只能浏览网页但不能上传文件到网站上HTTPS:针对https类型的网站还需要勾选此选项第14页,共43页。安全防护策略2.IPSSG代理(1)IPS是什么?IPS(Intrusion Prevention System,入侵防御系统)依靠对数据包的检测来发现对内网系统的潜在威胁。不管是操作系统本身,还
8、是运行之上的应用软件程序,都可能存在一些安全漏洞,攻击者可以利用这些漏洞发起带攻击性的数据包。AF内置了针对这些漏洞的防护规则,并且通过对进入网络的数据包与内置的漏洞规则列表进行比较,确定这种数据包的真正用途,然后根据用户配置决定是否允许这种数据包进入目标区域网络,以达到保护目标区域网络主机不受漏洞攻击的目的。第15页,共43页。安全防护策略2.IPSSG代理(2)与IPS相关的漏洞特征识别库已经按应用类型将规则分门别类针对每个漏洞的危险级别不同,设置不同的响应动作每个漏洞的危险等级第16页,共43页。安全防护策略2.IPSSG代理(3)IPS的保护对象保护客户端:用于保护客户端机器及其应用软
9、件系统不因本身的漏洞而受到攻击。保护服务器:用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击。(4)IPS的规则识别分类u保护服务器和客户端(一般是病毒、木马等)防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。u保护服务器软件(如应用服务器提供的应用)防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击。u保护客户端软件(如OA、IE等)防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。第17页,共43页。安全防护策略2.IPSSG代理选择防护的
10、源区域选择防护的目标区域及目标IP组选择对服务器或者是客户端的哪些漏洞进行防护攻击检测出来的结果会记录日志到数据中心第18页,共43页。安全防护策略3.服务器保护SG代理(1)服务器保护 服务器保护主要用于防止不被信任的区域(比如互联网)对目标服务器发起的攻击。目前主要针对WEB应用和FTP应用提供保护。(2)对服务器的防护包括u网站攻击防护,如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击u应用隐藏,用于隐藏应用服务器的版本信息,防止攻击者根据版本信息查找相应的漏洞u口令防护,用于防止攻击者暴力破解用户口令,获取用户权
11、限u权限过滤,用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护第19页,共43页。安全防护策略3.服务器保护SG代理选择防护的源区域选择防护的目标区域及目标IP组定义应用端口,和服务器提供服务的端口保持一致,支持一个应用对应多个端口选择防护的攻击类型第20页,共43页。安全防护策略3.服务器保护SG代理应用隐藏隐藏FTP服务器的版本信息设置隐藏HTTP服务器报文头部返回的字段信息添加需要隐藏的字段信息第21页,共43页。安全防护策略3.服务器保护SG代理口令防护和权限控制符合以上弱口令规则时,即使输入了正确的用户名、密码,也无法访问FTP服务器针对FTP的防暴力破解,只需要在上述页
12、面勾选FTP即可。针对HTTP网站的登录防破解,需要填写相应的URL过滤客户端上传到服务器的文件类型对于服务器上某些正在维护的子目录,可以先保存起来,禁止用户访问。URL目录最多只支持3级目录,如果超过3级目录则必须写上URL的全部路径。第22页,共43页。3.安全防护策略综合应用案例3.1.客户网络环境和客户需求3.2.配置思路3.3.配置截图第23页,共43页。安全防护综合配置案例客户环境:SG代理某客户网络拓扑如右图所示,公司内部有服务器群,其中网站服务器为172.16.1.10:8080,公司FTP服务器为172.16.1.11,服务器上存储了公司内部的资料。客户购买了SANGFOR
13、AF设备部署在网络出口处,希望针对外网以及内网用户访问内网的服务器群进行保护。与此同时,客户希望也能够对客户端的访问进行细致的权限控制以及对客户端的安全进行防护,防止由于客户端感染的病毒而使公司的整个网络瘫痪。第24页,共43页。安全防护综合配置案例客户需求:SG代理(1)针对客户端:a.禁止用户在上班时间内玩游戏、炒股票b.对用户使用HTTP、FTP、SMTP和POP3这四种协议访问的数据进行病毒查杀,防止内网用户被病毒入侵c.禁止用户在公司内访问色情、赌博网站d.对进入内网用户的数据进行入侵检测,防止攻击者利用客户端已有的漏洞或者是在内网电脑上植入木马、后门等等进行攻击(2)针对服务器:a
14、.对进入服务器群的数据进行入侵检测,防止攻击者利用服务器本身的漏洞或者是在服务器上植入木马、蠕虫等等进行攻击b.隐藏服务器的版本信息c.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等第25页,共43页。安全防护综合配置案例配置思路:SG代理(1)网络部署:配置eth1、eth2和eth3的网口信息以及划分区域、配置路由信息(包括8个0的默认路由和到内网网段的路由)(2)定义IP组和时间计划,定义服务器群的IP组(可选)和上班时间时间段(3)防火墙配置:配置源地址转换、目的地址转换(4)内容安全配置:a.禁止用户在上班时间内玩游戏、炒股票 b.放通内网用户访问外网的
15、权限,放通内网用户、外网用户访问HTTP服务器和FTP服务器的权限 c.对用户使用HTTP、FTP、SMTP和POP3这四种协议访问的数据进行病毒查杀,防止内网用户被病毒入侵 d.禁止用户在公司内访问色情、赌博网站第26页,共43页。安全防护综合配置案例配置思路:SG代理(5)IPS配置:a.保护客户端(内网到外网的数据连接)b.保护服务器(外网到服务器的数据连接)c.保护客户端、保护服务器(内网到服务器的数据连接)(6)服务器保护配置:a.隐藏服务器的版本信息 b.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等 (针对外网访问服务器和内网访问服务器都进行防护)第
16、27页,共43页。安全防护综合配置案例配置截图:SG代理(1)网络部署(物理接口、区域、静态路由)第28页,共43页。安全防护综合配置案例配置截图:SG代理(2)定义服务器群IP组和上班时间时间计划组第29页,共43页。安全防护综合配置案例配置截图:SG代理(3)防火墙配置 有关源地址转换、目的地址转换的配置过程请参考防火墙功能培训PPT第30页,共43页。安全防护综合配置案例配置截图:SG代理(4)内容安全应用控制策略此时的源区域应该为内网区域和外网区域,如果内网区域和外网区域对服务器群的访问权限不同,可以分别建策略注意:“禁止上班时间玩游戏、炒股”的策略一定要位于“内网访问外网”策略的前面
17、,因为内网用户上网的所有权限是放通的,如果用户优先匹配到此策略后,将不会匹配该禁止策略第31页,共43页。安全防护综合配置案例配置截图:SG代理(4)内容安全病毒防御策略第32页,共43页。安全防护综合配置案例配置截图:SG代理(4)内容安全web过滤第33页,共43页。安全防护综合配置案例配置截图:SG代理(5)IPS配置保护客户端(内网用户访问外网)源区域为客户端所在的内网区域,因为数据的发起方是内网,所以源区域就是内网建议勾选上所有的漏洞防护检测到攻击后,以日志的形式将攻击行为记录到数据中心第34页,共43页。安全防护综合配置案例配置截图:SG代理(5)IPS配置保护服务器(外网访问服务
18、器)此时,连接的发起方是公网,所以源区域是公网,目的区域是服务器群建议勾选上所有的漏洞防护第35页,共43页。安全防护综合配置案例配置截图:SG代理(5)IPS配置保护客户端、保护服务器(内网用户访问服务器)防止因为客户端电脑感染了病毒,而把病毒带给服务器第36页,共43页。安全防护综合配置案例配置截图:SG代理(6)服务器保护建议勾选上所有的攻击防护注意:此时的端口需要和服务提供的端口保持一致,故修改web应用的端口为8080隐藏FTP和网站服务器的版本信息第37页,共43页。如何修改IPS防护规则SG代理 IPS规则默认有高、中、低三个级别,可能存在外网与内网之间的正常通讯被当成一种入侵通
19、讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了,造成一定的误判,此时又该如何修改IPS防护规则?(1)配置IPS规则时,对于IPS日志勾选上“记录”(2)根据数据中心的日志,查询到误判规则的漏洞ID(3)对象设置-漏洞特征识别库中,修改相应漏洞ID的动作,如改成放行或禁用。修改相应漏洞ID的动作第38页,共43页。注意事项SG代理1、NGAF的应用控制策略默认是全部拒绝的,需要手动新建规则进行放通。2、WEB过滤中的脚本过滤、插件过滤功能只对出接口是WAN属性的接口生效。3、WEB过滤中的文件类型过滤不支持针对FTP上传、下载的文件类型进行过滤。4、配置IPS保护客户端和服务
20、器时,源区域为数据连接发起的区域。5、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的,因为攻击者针对服务器和客户端会使用不同的攻击手段。6、AF目前仅支持FTP和HTTP的应用隐藏。对于FTP应用隐藏,只支持隐藏软件名称及版本信息;对于HTTP应用隐藏,可以自定义需要隐藏的字段信息。第39页,共43页。练练手某用户网络环境如右图所示,服务器群没有部署在AF的某个接口区域,而是与三层交换机直连,划分在三层交换机的一个VLAN中,请参考案例中的客户需求,配置实现AF的内容安全、IPS和服务器保护功能。第40页,共43页。问题思考2.IPS规则中的保护客户端和保护服务器具有哪些相同的防护手段?1.应用控制策略中,基于服务的控制策略和基于应用的控制策略有何区别?3.在数据中心里面查询到误判规则的漏洞ID后,又应该如何修改IPS防护规则?4.FTP和HTTP的应用隐藏分别能够隐藏哪些信息?第41页,共43页。第42页,共43页。演讲完毕,谢谢观看!第43页,共43页。
