sangfor-ngaf-v7.1-2017年度渠道初级认证培训01-基本功能介绍.pptVIP

IPS、DOS/DDOS防护、服务器保护 WEB应用防护 专门针对客户内网的WEB和FTP服务器设计的防攻击策略，服务器保护包括网站攻击防护、参数防护、应用隐藏、口令防护、权限控制、登录防护、HTTP异常检测、CC攻击防护、网站扫描防护等几大功能。 应用隐藏 FTP隐藏：客户端登录FTP服务器时，服务器通常会返回FTP服务器版本信息，攻击者可以利用版本漏洞攻击FTP服务器。通过隐藏FTP服务器返回客户端的数据包相关信息保护服务器安全。 HTTP隐藏：当客户端访问WEB网站的时候，服务器会通过HTTP报文头部返回客户端很多字段信息，例如Server、Via等，Via可能会泄露代理服务器的版本信息，攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。 服务器保护 网站攻击防护 SQL注入防护 网站扫描防护 Webshell防护 WEB整站系统漏洞防护 目录遍历攻击防护 XSS攻击防护 信息泄露攻击防护 文件包含攻击防护 跨站请求伪造防护 系统命令注入防护 注：支持自定义规则 服务器保护 口令防护 FTP弱口令防护：针对一些过于简单的用户名密码登录FTP进行检测，记录日志，但不拦截访问，以提醒客户系统存在弱口令风险。 口令暴力破解防护：用于暴力破解密码防护，可以防止攻击者对FTP和HTTP服务器进行暴力破解。 文件上传过滤：过滤客户端上传到服务器的文件类型，提高服务器的安全系数。 URL防护： 主要功能是权限开关。例如禁止某个URL，则其余的防攻击等都无效，因为客户端都无法访问，更不会存在攻击。如果此处允许某个URL，则上述设置的防攻击等针对该URL都会无效，相当于一个白名单。 权限控制 服务器保护 服务器保护 网站篡改防护2.0 最新版深信服网页防篡改解决方案采用文件保护系统和下一代防火墙紧密结合，功能联动，保证网站内容不被篡改。 对于网站的后台管理页面做基于IP/邮件的二次认证 在服务端安装文件监控软件，防护对网站目录的恶意操作 二次认证页面 防篡改2.0客户端 对目标IP进行端口扫描并识别服务 对指定服务进行弱密码扫描 根据扫描结果生成安全策略 风险发现与分析 风险分析 风险发现与分析 风险分析 实时漏洞分析是一种被动漏洞扫描器，可以通过旁路抓包分析，实时发现用户网络中存在的安全问题，并通过报表的方式把漏洞的危害和解决方法展示出来。 风险发现与分析 实时漏洞分析 用户A 服务器群 针对用户A上网 针对访问服务器 功能小结 数据中心 近一个月安全趋势 外网DOS攻击统计 WEB应用防护统计 网关杀毒统计 具体行为日志 数据中心可以用于查询和统计各功能模块产生的日志。例如可以查询出WEB应用防护阻断的攻击行为，以及可以查询到攻击源IP，目标IP等详细信息。可以统计出服务器在指定的时间内受到多少次DOS攻击等。 注：Gartner:全球最具权威的IT研究与顾问咨询公司 * 图要点: 1、出入站流量，从身份认证—识别—应用管控—安全防护，讲述的是如何确保合法人员进入网络访问合法资源 2、非法，同理 3、成本，强调全面的防护 单次解析的构架，表现的实现功能的前提下，性能不下降 4、 * * 动态带宽分配：组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽，限制无关应用占用资源，又希望在带宽空闲时实现资源的充分利用。为此，NGAF支持带宽的动态分配，可以根据在线的用户数量将带宽动态分配给在线用户，如4M的线路，可以动态平均分配给5个或者20个在线用户使用，从而实现带宽资源的充分利用。 多线路复用与智能选路：很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过多线路复用技术，NGAF复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路负载均衡路由技术，NGAF将出网流量自动匹配最佳出口。 P2P智能识别与灵活控制：通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，对不常见和未来将出现的P2P亦能管控。对于某些企业文化较为宽松的组织，完全封堵P2P可能实施困难， NGAF的P2P流量控制技术能限制指定用户的P2P所占用的带宽，既允许指定用户使用P2P，又不会滥用带宽，充分满足管理的灵活性。 基于应用/网站/文件类型的智能流量管理：有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视