SANGFOR NGAF v5.度渠道初级认证培训09 安全防护功能培训.ppt

* * * 安全防护策略 1.内容安全 SG代理 （2）病毒防御策略 病毒防御策略主要用于对经过设备的数据进行病毒查杀，保护特定区域的数据安全。设备能针对HTTP，FTP，POP3和SMTP这四种常用协议进行病毒查杀。 （3）僵尸网络 僵尸网络检测是指感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据用户策略进行阻断和记录日志。 （4）WEB过滤 WEB过滤是指针对符合设定条件的访问网页数据进行过滤。主要包括URL过滤、文件过滤。 安全防护策略 1.内容安全-应用控制策略 存在一条默认拒绝所有服务/应用的控制策略 SG代理 基于服务或者是应用进行控制 是否记录日志到数据中心 选择需要控制的数据源区域和IP组 目的区域和IP组 单次时间计划：在指定时间执行一次，如10月1日-7日才执行 循环时间计划：如周一到周五进行循环执行 安全防护策略 1.内容安全-病毒防御策略 SG代理 选择需要进行病毒防御的协议类型 对列表中指定的文件类型进行杀毒，可手动填写文件类型，仅对HTTP杀毒和FTP杀毒有效 对访问某些特定的URL/IP的数据不进行防御，仅适用于HTTP杀毒 安全防护策略 1.内容安全-僵尸网络 僵尸网络防护是对内网的防护，选择内网区域 选择防护类型 是否记录日志到数据中心 安全防护策略 1.内容安全-WEB过滤 SG代理 HTTP（get）:不能浏览某种类型网页 HTTP（post）:只能浏览网页但不能上传文件到网站上 HTTPS:针对https类型的网站还需要勾选此选项 安全防护策略 2.IPS SG代理 （1）IPS是什么？ IPS（Intrusion?Prevention?System，入侵防御系统）依靠对数据包的检测来发现对内网系统的潜在威胁。不管是操作系统本身，还是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包。 AF内置了针对这些漏洞的防护规则，并且通过对进入网络的数据包与内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置决定是否允许这种数据包进入目标区域网络，以达到保护目标区域网络主机不受漏洞攻击的目的。 安全防护策略 2.IPS SG代理 （2）与IPS相关的漏洞特征识别库 已经按应用类型将规则分门别类 针对每个漏洞的危险级别不同，设置不同的响应动作 每个漏洞的危险等级 安全防护策略 2.IPS SG代理 （3）IPS的保护对象 保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。 保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击。 口令暴力破解：阻止用户频繁登录指定协议服务器，防止暴力破解攻击。 （4）IPS的规则识别分类 保护服务器和客户端（一般是病毒、木马等） 防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。 保护服务器软件（如应用服务器提供的应用） 防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解。 保护客户端软件（如OA、IE等） 防止针对web?activex?控件漏洞、web浏览器、文件格式、应用软件进行的攻击。 安全防护策略 2.IPS SG代理 选择防护的源区域和IP组 选择防护的目标区域及目标IP组 选择对服务器或者是客户端的哪些漏洞进行防护 攻击检测出来的结果会记录日志到数据中心 安全防护策略 防火墙规则联动: 特性概述 IPS/WAF阻断一个高危入侵后，即通知防火墙模块阻止此源IP通讯一段时间，使入侵源IP无法继续攻击，有效降低入侵强度，保护服务器安全 2.IPS 安全防护策略 配置IPS/WAF/僵尸网络与临时防火墙规则联动 2.IPS 安全防护策略 查看临时防火墙规则 2.IPS 安全防护策略 临时防火墙规则联动注意事项： IPS/WAF/僵尸网络模块可以配置联动封锁 IPS/WAF/僵尸网络中仅“阻断”事件会触发联动封锁 联动封锁针对的是该源IP通过防火墙的任何通信 被联动封锁的主机可访问AF控制台，无法访问数据中心 临时防火墙容量为1000条 被联动封锁的拒绝记录在应用中查询 2.IPS 如何修改IPS防护规则 IPS规则默认有致命、高、中、低、信息五个级别，可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了，造成一定的误判，此时又该如何修改IPS防护规则？ （1）配置IPS规则时，对于IPS日志勾选上“记录” （