SANGFOR_NGAF_v4.7_2014年度渠道初级认证培训06_服务器保护培训摘要.ppt

1.服务器保护 SG代理 选择防护的源区域 选择防护的目标区域及目标IP组 定义应用端口，和服务器提供服务的端口保持一致，支持一个应用对应多个端口 选择防护的攻击类型 服务器保护策略 1.服务器保护 SG代理 应用隐藏 隐藏FTP服务器的版本信息 设置隐藏HTTP服务器报文头部返回的字段信息 添加需要隐藏的字段信息 服务器保护策略 2.服务器保护 SG代理 口令防护和权限控制 符合以上弱口令规则时，即使输入了正确的用户名、密码，也无法访问FTP服务器 针对FTP的防暴力破解，只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解，需要填写相应的URL 过滤客户端上传到服务器的文件类型 对于服务器上某些正在维护的子目录，可以先保存起来，禁止用户访问。URL目录最多只支持3级目录，如果超过3级目录则必须写上URL的全部路径。 服务器保护策略 用户场景： 招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。 电商：不允许有大量邮箱等的数据在http流量中出现 普通用户：仅允许有限的文件类型被下载 3.服务器保护 DLP服务器数据防泄密 服务器保护策略 配置界面： DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 1、新增敏感信息组合策略，各个策略间为或的关系 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 3、配置命中次数统计方式 如配置命中5次， 以IP统计为单个源IP从服务器收到敏感信息组合达到或超过5次进行阻断 以连接统计为单个源IP可能收到敏感信息20次，但是每个连接仅有4次，不进行阻断 DLP服务器数据防泄密 服务器保护策略 文件下载过滤 点击“设置”，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型 注：此处根据文件后缀识别，非内容识别 DLP服务器数据防泄密 服务器保护策略 数据泄密防护识别库 包含预定义敏感信息和自定义敏感信息 预定义敏感信息可以自动更新，由序列号控制 DLP服务器数据防泄密 服务器保护策略 注意事项： DLP对服务器传出数据过滤，不过滤客户端提交数据 DLP功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制 配置DLP后WAF规则可启用短信告警 支持UTF-8、GBK、GB2312三种编码；支持gzip、deflate、chunk三种压缩 模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关系，顺序匹配直到拒绝或全部放行 文件过滤仅从url匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd 文件过滤为黑名单形式，仅需配置拒绝名单 新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log等文件 Jboss Struts2网站文件类型为.action/.do等，需要额外放通 DLP服务器数据防泄密 服务器保护策略 3.服务器保护综合应用案例 3.1.客户网络环境和客户需求 3.2.配置思路 3.3.配置截图 服务器保护综合应用案例 客户环境： SG代理 某客户网络拓扑如右图所示，公司内部有服务器群，其中网站服务器为0:8080，公司FTP服务器为1，服务器上存储了公司内部的资料。客户购买了SANGFOR AF设备部署在网络出口处，希望针对外网以及内网用户访问内网的服务器群进行保护，防止由于客户端的恶意访问而使公司的整个服务瘫痪。 由于用户认证、防火墙配置已经在前面的PPT中讲解了如何配置实现，所以，后续的安全防护策略中只分别讲解内容控制、IPS和服务器保护。 * SANGFOR NGAF 服务器保护培训 培训内容 培训目标 服务器保护功能介绍 1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用 服务器保护 1.掌握AF能够对WEB服务器进行哪些保护 2.掌握服务器保护的应用场景和配置方法 服务器保护综合应用案例 1.掌握如何根据用户的需求配置相应的防护策略。 服务器保护功能介绍 服务器保护 深信服公司简介 服务器保护综合应用案例 练练手 SANGFOR NGAF 1. 服务器保护介绍 1.1.AF对服务器的安全防护介绍 服务器保护介绍 1.服务器面临的威胁 SG代理 （1）不必要的访问（如只提供HTTP应用服务访问） （2）DDOS攻击、IP或端口扫描、协议报文攻击等 （3）漏洞攻击（针对服务器操作系统、软件漏洞） （4）根据软件版本的已知漏洞进行攻击 ；口令暴力破解，获取用户权限；SQL注入、XSS跨站脚