SANGFOR NGAF v2.23度培训05安全防护功能培训课件.ppt

安全防护综合配置案例 配置截图： SG代理 （4）内容安全—应用控制策略 此时的源区域应该为内网区域和外网区域，如果内网区域和外网区域对服务器群的访问权限不同，可以分别建策略 注意：“禁止上班时间玩游戏、炒股”的策略一定要位于“内网访问外网”策略的前面，因为内网用户上网的所有权限是放通的，如果用户优先匹配到此策略后，将不会匹配该禁止策略 安全防护综合配置案例 配置截图： SG代理 （4）内容安全—病毒防御策略 安全防护综合配置案例 配置截图： SG代理 （4）内容安全—web过滤 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护客户端（内网用户访问外网） 源区域为客户端所在的内网区域，因为数据的发起方是内网，所以源区域就是内网 建议勾选上所有的漏洞防护 检测到攻击后，以日志的形式将攻击行为记录到数据中心 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护服务器（外网访问服务器） 此时，连接的发起方是公网，所以源区域是公网，目的区域是服务器群 建议勾选上所有的漏洞防护 安全防护综合配置案例 配置截图： SG代理 （5）IPS配置—保护客户端、保护服务器（内网用户访问服务器） 防止因为客户端电脑感染了病毒，而把病毒带给服务器 安全防护综合配置案例 配置截图： SG代理 （6）服务器保护 建议勾选上所有的攻击防护 注意：此时的端口需要和服务提供的端口保持一致，故修改web应用的端口为8080 隐藏FTP和网站服务器的版本信息 如何修改IPS防护规则 SG代理 IPS规则默认有高、中、低三个级别，可能存在外网与内网之间的正常通讯被当成一种入侵通讯被设备给拒绝了或者是外网对内网的入侵被当成一种正常通讯给放通了，造成一定的误判，此时又该如何修改IPS防护规则？ （1）配置IPS规则时，对于IPS日志勾选上“记录” （2）根据数据中心的日志，查询到误判规则的漏洞ID （3）对象设置---漏洞特征识别库中，修改相应漏洞ID的动作，如改成放行或禁用。 修改相应漏洞ID的动作 注意事项 SG代理 1、NGAF的应用控制策略默认是全部拒绝的，需要手动新建规则进行放通。 2、WEB过滤中的脚本过滤、插件过滤功能只对出接口是WAN属性的接口生效。 3、WEB过滤中的文件类型过滤不支持针对FTP上传、下载的文件类型进行过滤。 4、配置IPS保护客户端和服务器时，源区域为数据连接发起的区域。 5、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的，因为攻击者针对服务器和客户端会使用不同的攻击手段。 6、AF目前仅支持FTP和HTTP的应用隐藏。对于FTP应用隐藏，只支持隐藏软件名称及版本信息；对于HTTP应用隐藏，可以自定义需要隐藏的字段信息。 练练手 某用户网络环境如右图所示，服务器群 没有部署在AF的某个接口区域，而是与三层交换机直连，划分在三层交换机的一个VLAN中，请参考案例中的客户需求，配置实现AF的内容安全、IPS和服务器保护功能。 问题思考 2. IPS规则中的保护客户端和保护服务器具有哪些相同的防护手段？ 1. 应用控制策略中，基于服务的控制策略和基于应用的控制策略有何区别？ 3. 在数据中心里面查询到误判规则的漏洞ID后，又应该如何修改IPS防护规则？ 4. FTP和HTTP的应用隐藏分别能够隐藏哪些信息？ 由于用户认证、防火墙配置已经在前面的PPT中讲解了如何配置实现，所以，后续的安全防护策略中只分别讲解内容控制、IPS和服务器保护。 风险分析和网站篡改防护将放置于《NGAF渠道高级认证培训PPT》中进行讲解。 * 安全防护策略 第三步：出现网页篡改，返回维护页面 注意： 1、不经过AF访问篡改网站，可看到篡改页面 2、网站篡改后，无客户访问，AF不发现篡改 安全防护策略 网页防篡改的识别方式： 1、精确匹配 适用于内容固定不变的网页，网页中任何一个元素的变化都将判断为被篡改。 2、模糊匹配 适用于内容动态更新的网页，网页中文字内容会自动变化，但整体框架不会变化，否则被判篡改。 NGAF能识别的网页篡改： 1、替换整个网页 2、插入新链接 3、替换网站图片文件 4、小规模编辑网页（仅精确） 5、因网站运行出错导致结构畸变 安全防护策略 安全防护策略 NGAF不能识别的网页篡改： 1、新增一个网页 新增网页无本地缓存对比，故无法识别 2、删除一个网页 删除网页服务器返回404错误，AF不处理404错误页面 安全防护策略 配置网页防篡改： 1、配置HOSTS 安全防护策略 配置网页防篡改： 2、开启网页防篡改功能 安全防护策略 配置网页防篡改： 3、新增防护网站（1） 1、最大防护深度指通