渠道初级认证培训06_服务器保护培训课件.ppt

1.服务器保护 应用隐藏 服务器保护策略 隐藏FTP服务器的版本信息 防止针对网站扫描探测，建议和应用隐藏结合使用 添加需要隐藏的字段信息 设置隐藏HTTP服务器报文头部返回的字段信息 2.服务器保护 SG代理 口令防护和权限控制 符合以上弱口令规则时，即使输入了正确的用户名、密码，也无法访问FTP服务器 针对FTP的防暴力破解，只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解，需要填写相应的URL 过滤客户端上传到服务器的文件类型 对于服务器上某些正在维护的子目录，可以先保存起来，禁止用户访问。URL目录最多只支持3级目录，如果超过3级目录则必须写上URL的全部路径。 服务器保护策略 2.服务器保护 CC攻击防护 服务器保护策略 用户场景： 招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。 电商：不允许有大量邮箱等的数据在http流量中出现 普通用户：仅允许有限的文件类型被下载 3.服务器保护 DLP服务器数据防泄密 服务器保护策略 配置界面： DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 1、新增敏感信息组合策略，各个策略间为或的关系 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 3、配置命中次数统计方式 如配置命中5次， 以IP统计为单个源IP从服务器收到敏感信息组合达到或超过5次进行阻断 以连接统计为单个源IP可能收到敏感信息20次，但是每个连接仅有4次，不进行阻断 DLP服务器数据防泄密 服务器保护策略 文件下载过滤 点击“设置”，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型 注：此处根据文件后缀识别，非内容识别 DLP服务器数据防泄密 服务器保护策略 数据泄密防护识别库 包含预定义敏感信息和自定义敏感信息 预定义敏感信息可以自动更新，由序列号控制 DLP服务器数据防泄密 服务器保护策略 注意事项： DLP对服务器传出数据过滤，不过滤客户端提交数据 DLP功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制 配置DLP后WAF规则可启用短信告警 支持UTF-8、GBK、GB2312三种编码；支持gzip、deflate、chunk三种压缩 模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关系，顺序匹配直到拒绝或全部放行 文件过滤仅从url匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd 文件过滤为黑名单形式，仅需配置拒绝名单 新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log等文件 Jboss Struts2网站文件类型为.action/.do等，需要额外放通 DLP服务器数据防泄密 服务器保护策略 3.服务器保护综合应用案例 3.1.客户网络环境和客户需求 3.2.配置思路 3.3.配置截图 服务器保护综合应用案例 客户环境： SG代理 某客户网络拓扑如右图所示，公司内部有服务器群，其中网站服务器为0:8080，公司FTP服务器为1，服务器上存储了公司内部的资料。客户购买了SANGFOR AF设备部署在网络出口处，希望针对外网以及内网用户访问内网的服务器群进行保护，防止由于客户端的恶意访问而使公司的整个服务瘫痪。 客户需求： SG代理 针对服务器： a.隐藏服务器的版本信息 b.保护服务器，防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等 服务器保护综合应用案例 配置思路： SG代理 （1）网络部署：配置eth1、eth2和eth3的网口信息以及划分区域、配置路由信息（包括8个0的默认路由和到内网网段的路由） （2）定义服务器群的IP组 （3）防火墙配置：配置源地址转换、目的地址转换 （4）内容安全配置：放通内网用户访问外网的权限，放通内网用户、外网用户访问HTTP服务器和FTP服务器的权限 （5）服务器保护配置： a.隐藏服务器的版本信息 b.保护服务器，防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等 （针对外网访问服务器和内网访问服务器都进行防护） 服务器保护综合应用案例 配置截图： SG代理 （1）网络部署（物理接口、区域、静态路由） 服务器保护综合应用案例 配置截图： SG代理 （2）定义服务器群IP组和上班时间时间计划组 服务器保护综合应用案例 配置截图： SG代理 （3）防火墙配置