深信服下一代防火墙入门2012年度渠道初级认证培训01基本功能介绍20120701.ppt

NGAF型号介绍 型号 电口(个数) SFP千兆光口(个数) 万兆光口(个数) AF-1020 4 无 无　 AF-1110 4 无 无 AF-1120 4 无 无 AF-1210 6 无 无 AF-1320 6 无 无 AF-1620 6 无 无 AF-1720 8 无 无 AF-2020 8 2 无 AF-3020 6 4 无 AF-4020 10 4 无 AF-6020 8 4 无 AF-7020 8 4 无 AF-8020 8 无　 2 NGAF设备常见型号以及网口个数如下表 问题思考 1.请说出NGAF设备支持的部署模式有哪些？ 2.请问FTP隐藏有什么作用？原理是什么？ 3.请问NGAF设备是否支持病毒过滤功能？ 4.NGAF设备忘记了接口IP地址怎么办？如何登陆设备？ * * * * 注：Gartner:全球最具权威的IT研究与顾问咨询公司 * 图要点: 1、出入站流量，从身份认证—识别—应用管控—安全防护，讲述的是如何确保合法人员进入网络访问合法资源 2、非法，同理 3、成本，强调全面的防护 单次解析的构架，表现的实现功能的前提下，性能不下降 4、 * * * 动态带宽分配：组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，NGAF支持带宽的动态分配，可以根据在线的用户数量将带宽动态分配给在线用户，如4M的线路，可以动态平均分配给5个或者20个在线用户使用，从而实现带宽资源的充分利用。 多线路复用与智能选路：很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过多线路复用技术，NGAF复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路负载均衡路由技术，NGAF将出网流量自动匹配最佳出口。 P2P智能识别与灵活控制：通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难， NGAF的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 基于应用/网站/文件类型的智能流量管理：有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用，提升带宽使用效率。 * CSRF攻击防护：跨站请求伪造，通过伪装来自受信任用户的请求来利用受信任的网站。CSRF攻击防护可以防止此类攻击行为 网站扫描：网站扫描是对WEB站点扫描，对WEB站点的结构、漏洞进行扫描 文件包含攻击：针对PHP站点特有的一种恶意攻击 目录遍历攻击：通过一些变形编码可以访问WEB服务器根目录之外的目录 信息泄露攻击：WEB服务器配置或者本身存在安全漏洞，导致敏感信息直接暴漏在互联网，如源代码、服务器信息、配置信息等。 系统命令注入防护:操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令，WEB程序没有进行检测或者绕过WEB应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。 SQL注入防护:SQL注入攻击是由于WEB应用程序开发中，没有对用户输入数据的合法性进行判断，攻击者可以通过互联网的输入区域（如URL、表单等），利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据。 WEBSHELL：WEBSHELL是WEB入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，与正常网页混在一起。通过WEBSHELL，长期操纵和控制受害者网站。 XSS攻击防护：跨站脚本攻击（XSS）是由于WEB开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制，攻击者通过WEB页面向数据库或HTML页面中提交恶意的HTML代码，当用户打开恶意代码的连接或页面时，恶意代码会自动执行，从而达到攻击的目的。 网页木马防护：网页木马