SANGFOR_NGAF_安全防护功能培训.pptVIP

安全防护综合配置案例 配置截图： SG代理 （4）内容安全—应用控制策略 此时的源区域应该为内网区域和外网区域，如果内网区域和外网区域对服务器群的访问权限不同，可以分别建策略 注意：“禁止上班时间玩游戏、炒股”的策略一定要位于“内网访问外网”策略的前面，因为内网用户上网的所有权限是放通的，如果用户优先匹配到此策略后，将不会匹配该禁止策略 安全防护综合配置案例 配置截图： SG代理 （4）内容安全—病毒防御策略 安全防护综合配置案例 配置截图： SG代理 （4）内容安全—web过滤 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护客户端（内网用户访问外网） 源区域为客户端所在的内网区域，因为数据的发起方是内网，所以源区域就是内网 建议勾选上所有的漏洞防护 检测到攻击后，以日志的形式将攻击行为记录到数据中心 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护服务器（外网访问服务器） 此时，连接的发起方是公网，所以源区域是公网，目的区域是服务器群 建议勾选上所有的漏洞防护 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护客户端、保护服务器（内网用户访问服务器） 防止因为客户端电脑感染了病毒，而把病毒带给服务器 安全防护综合配置案例 配置截图： SG代理 （6）服务器保护 建议勾选上所有的攻击防护 注意：此时的端口需要和服务提供的端口保持一致，故修改web应用的端口为8080 隐藏FTP和网站服务器的版本信息 如何修改IPS防护规则 SG代理 IPS规则默认有高、中、低三个级别，可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了，造成一定的误判，此时又该如何修改IPS防护规则？ （1）配置IPS规则时，对于IPS日志勾选上“记录” （2）根据数据中心的日志，查询到误判规则的漏洞ID （3）对象设置---漏洞特征识别库中，修改相应漏洞ID的动作，如改成放行或禁用。 修改相应漏洞ID的动作 注意事项 SG代理 1、NGAF的应用控制策略默认是全部拒绝的，需要手动新建规则进行放通。 2、WEB过滤中的脚本过滤、插件过滤功能只对出接口是WAN属性的接口生效。 3、WEB过滤中的文件类型过滤不支持针对FTP上传、下载的文件类型进行过滤。 4、配置IPS保护客户端和服务器时，源区域为数据连接发起的区域。 5、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的，因为攻击者针对服务器和客户端会使用不同的攻击手段。 6、AF目前仅支持FTP和HTTP的应用隐藏。对于FTP应用隐藏，只支持隐藏软件名称及版本信息；对于HTTP应用隐藏，可以自定义需要隐藏的字段信息。 练练手 某用户网络环境如右图所示，服务器群 没有部署在AF的某个接口区域，而是与三层交换机直连，划分在三层交换机的一个VLAN中，请参考案例中的客户需求，配置实现AF的内容安全、IPS和服务器保护功能。 问题思考 2. IPS规则中的保护客户端和保护服务器具有哪些相同的防护手段？ 1. 应用控制策略中，基于服务的控制策略和基于应用的控制策略有何区别？ 3. 在数据中心里面查询到误判规则的漏洞ID后，又应该如何修改IPS防护规则？ 4. FTP和HTTP的应用隐藏分别能够隐藏哪些信息？ * * 由于用户认证、防火墙配置已经在前面的PPT中讲解了如何配置实现，所以，后续的安全防护策略中只分别讲解内容控制、IPS和服务器保护。 风险分析和网站篡改防护将放置于《NGAF渠道高级认证培训PPT》中进行讲解。 * 培训内容 培训目标 AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用 内容安全 1.掌握内容安全的应用场景和配置方法 IPS 1.掌握AF能够对客户端和服务器的哪些漏洞进行防护，以及IPS出现误判后如何修改IPS防护规则 2.掌握IPS的应用场景和配置方法 服务器保护 1.掌握AF能够对WEB服务器进行哪些保护 2.掌握服务器保护的应用场景和配置方法 安全防护策略综合应用案例 1.掌握如何根据用户的需求配置相应的防护策略。 SANGFOR AF安全防护功能介绍 内容安全、IPS、服务器保护 深信服公司简介 SANGFOR AF安全防护策略综合应用案例 练练手 SANGFOR NGAF 1. 安全防护功能介绍 1.1.AF对内网用户上网的安全防护介绍 1.2.AF对服务器的安全防护介绍 安全防护功能介绍 1.内网用户上网面临的威胁 SG代理 （1）未授权的访问、非法用户流量 （2）内网存在DDOS攻击、ARP欺骗等 （3）不必要的访问（上班时间使用P