深信服防火墙培训重点解析.pptVIP

风险分析效果截图 用户A 服务器群 针对用户A上网 针对访问服务器 功能小结 * * 单位信息安全问题不仅可能造成恶劣的政治影响、也会造成巨大的经济损失。【】索尼今年就因为泄露了客户信息造成了10几亿美元的损失。 * * 注：Gartner:全球最具权威的IT研究与顾问咨询公司 * 图要点: 1、出入站流量，从身份认证—识别—应用管控—安全防护，讲述的是如何确保合法人员进入网络访问合法资源 2、非法，同理 3、成本，强调全面的防护 单次解析的构架，表现的实现功能的前提下，性能不下降 4、 * * * 动态带宽分配：组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，NGAF支持带宽的动态分配，可以根据在线的用户数量将带宽动态分配给在线用户，如4M的线路，可以动态平均分配给5个或者20个在线用户使用，从而实现带宽资源的充分利用。 多线路复用与智能选路：很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过多线路复用技术，NGAF复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路负载均衡路由技术，NGAF将出网流量自动匹配最佳出口。 P2P智能识别与灵活控制：通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难， NGAF的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 基于应用/网站/文件类型的智能流量管理：有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。 * CSRF攻击防护：跨站请求伪造，通过伪装来自受信任用户的请求来利用受信任的网站。CSRF攻击防护可以防止此类攻击行为 网站扫描：网站扫描是对WEB站点扫描，对WEB站点的结构、漏洞进行扫描 文件包含攻击：针对PHP站点特有的一种恶意攻击 目录遍历攻击：通过一些变形编码可以访问WEB服务器根目录之外的目录 信息泄露攻击：WEB服务器配置或者本身存在安全漏洞，导致敏感信息直接暴漏在互联网，如源代码、服务器信息、配置信息等。 系统命令注入防护:操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令，WEB程序没有进行检测或者绕过WEB应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。 SQL注入防护:SQL注入攻击是由于WEB应用程序开发中，没有对用户输入数据的合法性进行判断，攻击者可以通过互联网的输入区域（如URL、表单等），利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据。 WEBSHELL：WEBSHELL是WEB入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，与正常网页混在一起。通过WEBSHELL，长期操纵和控制受害者网站。 XSS攻击防护：跨站脚本攻击（XSS）是由于WEB开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制，攻击者通过WEB页面向数据库或HTML页面中提交恶意的HTML代码，当用户打开恶意代码的连接或页面时，恶意代码会自动执行，从而达到攻击的目的。 网页木马防护：网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个木马。 网页防篡改：NGAF的网页防篡改模块是通过对比客户端访问网站服务器数据对比AF内部已缓存的数据是否改变判断网页是否被篡改，采取防止网页被篡改措施 * 网站篡改防护：网页防篡改是NGAF 服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免