课件：SANGFOR_NGAF_v4.7_2014年度渠道初级认证培训06_服务器保护培训.ppt

SANGFOR NGAF 服务器保护培训 培训内容 培训目标 服务器保护功能介绍 1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用 服务器保护 1.掌握AF能够对WEB服务器进行哪些保护 2.掌握服务器保护的应用场景和配置方法 服务器保护综合应用案例 1.掌握如何根据用户的需求配置相应的防护策略。 服务器保护功能介绍 服务器保护 深信服公司简介 服务器保护综合应用案例 练练手 SANGFOR NGAF 1. 服务器保护介绍 1.1.AF对服务器的安全防护介绍 服务器保护介绍 1.服务器面临的威胁 SG代理 （1）不必要的访问（如只提供HTTP应用服务访问） （2）DDOS攻击、IP或端口扫描、协议报文攻击等 （3）漏洞攻击（针对服务器操作系统、软件漏洞） （4）根据软件版本的已知漏洞进行攻击 ；口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪造等等 （5）扫描网站开放的端口以及弱密码 （6）网站被攻击者篡改 服务器保护介绍 2.AF对服务器的安全防护 SG代理 不必要的访问（如只提供HTTP服务） 外网发起IP或端口扫描、DDOS攻击等 漏洞攻击（针对服务器操作系统等） 根据软件版本的已知漏洞进行攻击 口令暴力破解，获取用户权限 SQL注入、XSS跨站脚本攻击、跨站请求伪造等等 应用识别、控制 防火墙 IPS 服务器保护 风险分析 网站篡改防护 扫描网站开放的端口以及弱密码 网站被攻击者篡改 2. 服务器保护策略 2.1.服务器保护的功能介绍 服务器保护策略 1.服务器保护 SG代理 （1）服务器保护 服务器保护主要用于防止不被信任的区域（比如互联网）对目标服务器发起的攻击。目前主要针对WEB应用和FTP应用提供保护。 （2）对服务器的防护包括 网站攻击防护，如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击 应用隐藏，用于隐藏应用服务器的版本信息，防止攻击者根据版本信息查找相应的漏洞 口令防护，用于防止攻击者暴力破解用户口令，获取用户权限 权限过滤，用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护 DLP服务器数据防泄密，针对日益严重服务器数据泄密事件，提供对HTTP服务器响应信息(明文)做敏感数据扫描，发现泄漏数据并阻断。并且对于下载文件类型进行过滤，不允许下载的文件类型默认阻断。 1.服务器保护 SG代理 选择防护的源区域 选择防护的目标区域及目标IP组 定义应用端口，和服务器提供服务的端口保持一致，支持一个应用对应多个端口 选择防护的攻击类型 服务器保护策略 1.服务器保护 SG代理 应用隐藏 隐藏FTP服务器的版本信息 设置隐藏HTTP服务器报文头部返回的字段信息 添加需要隐藏的字段信息 服务器保护策略 2.服务器保护 SG代理 口令防护和权限控制 符合以上弱口令规则时，即使输入了正确的用户名、密码，也无法访问FTP服务器 针对FTP的防暴力破解，只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解，需要填写相应的URL 过滤客户端上传到服务器的文件类型 对于服务器上某些正在维护的子目录，可以先保存起来，禁止用户访问。URL目录最多只支持3级目录，如果超过3级目录则必须写上URL的全部路径。 服务器保护策略 用户场景： 招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。 电商：不允许有大量邮箱等的数据在http流量中出现 普通用户：仅允许有限的文件类型被下载 3.服务器保护 DLP服务器数据防泄密 服务器保护策略 配置界面： DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 1、新增敏感信息组合策略，各个策略间为或的关系 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 3、配置命中次数统计方式 如配置命中5次， 以IP统计为单个源IP从服务器收到敏感信息组合达到或超过5次进行阻断 以连接统计为单个源IP可能收到敏感信息20次，但是每个连接仅有4次，不进行阻断 DLP服务器数据防泄密 服务器保护策略 文件下载过滤 点击“设置”，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型 注：此处根据文件后缀识别，非内容识别 DLP服务器数据防泄密 服务器保护策略 数据泄密防护识别库 包含预定义敏感信息和自定义敏感信息 预定义敏感信息可以自动更新，由序列号控制 DLP服务器数据防泄密 服务器保护策略 注意事项： DL