SANGFOR NGAF V7.度渠道高级认证培训05 风险发现和防护.ppt

3、实时漏洞分析 实时漏洞分析报表 对于每个具体漏洞，报表会给出详细信息，包括解决方案和解决过程 每种服务器的每个漏洞不统计发现次数，仅更新最近发现时间 3、实时漏洞分析 注意事项 被动漏洞扫描依赖应用识别结果，需要此功能正常运行建议先开通应用识别库序列号 实时漏洞分析功能不支持集中管理 实时漏洞分析仅支持tcp协议，不支持udp协议分析，如dns等服务 FTP与HTTP支持任意端口识别，其他服务仅支持标准端口，如mysql、ssh等服务 每条分析策略相互独立，若服务器IP组有重叠，则发现的漏洞也会有重复 问题思考 1.简述风险分析主要功能？ 2.WEB扫描器支持哪些漏洞？ 3. 实时漏洞分析是否需要和服务器保持通信？ 深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ * * * * * * * * * * * * * SANGFOR NGAF 风险发现和防护 培训内容 培训目标 风险分析 1.掌握分风险分析的主要功能及操作 WEB扫描 1.掌握WEB扫描器对网站的扫描使用 实时漏洞分析 1.掌握如何自动更新和手动更新规则库 1 2 3 风险分析 WEB扫描 实时漏洞分析 Contents 风险分析 1、风险分析 需求 服务器可能存在如下问题： （1）不必要的端口开放 （2）服务器自身系统漏洞（针对服务器操作系统） （3）服务器自身软件存在漏洞 （4）网站登录弱密码 风险分析主要包括两大功能： 一是对目标IP进行端口扫描，它能让管理员清楚了解服务器开放的端口和服务，以及服务器上可能存在哪些漏洞，让管理员及时关闭不必要的端口、封堵漏洞，提高服务器的安全性； 二是对目标网站进行弱密码扫描，解决数据库弱口令访问不安全的问题。与此同时，风险分析能够做到根据扫描结果智能的生成相应的规则，为客户提供安全防护。 1、风险分析 风险分析配置界面： 定义应用控制策略、IPS、WAF检测的源区域，检测这个区域到目标IP是否有做相应的应用控制策略、IPS和WEB应用防护规则 服务器IP 设置风险分析的条件，定义分析对象 1、风险分析 选择进行弱密码扫描的应用 1、常规密码字典只包含系统的默认密码。 2、自定义用户名为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名以外，还会去匹配是否存在sangfor这个用户名。 3、自定义密码为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名是否匹配默认的密码以外，还会去匹配默认的用户名是否使用了sangfor这个密码。 弱密码扫描的设置 1、风险分析 设置好端口扫描和弱密码扫描后 ，点击开始扫描，会扫描到如下结果 勾选需要防护的风险类型，点击“提交”，将会根据风险提示自动生成IPS规则和WEB应用防护规则。 点击扫描结果的操作按钮，会自动弹出匹配策略，点击“提交”即可自动生成一条拒绝访问的应用控制策略 1、风险分析 生成PDF格式的主动扫描分析报表 导出风险分析报表，以及查看自动添加的规则 1 2 3 风险分析 WEB扫描 实时漏洞分析 Contents WEB扫描 2、WEB扫描器 支持针对下列漏洞的扫描： SQL注入、SQL盲注、跨站脚本攻击(XSS)、存储型跨站脚本攻击、操作系统命令、本地文件包含、远程文件包含、暴力破解、弱密码登录、跨站请求伪造(CSRF)、XPATH注入、LDAP注入、响应分割、服务器端包含(SSI)、不安全重定向、不安全的DAV配置、不安全的HTTP方法、启用了WebDAV、iframe钓鱼、跨站跟踪(XST)、phpinfo信息泄露、不安全的PHP配置、发现目录列表、发现隐藏目录 1、WEB扫描前需要告知用户：扫描有破坏网站数据的风险，不能直接扫描生产网服务器，客户应提供一个镜像服务器用来扫漏洞 2、如果一定要直接扫描生产网服务器，需要取得客户许可并跟客户强调说明风险，并在扫描前备份网站数据与源代码，保证出现问题后能恢复原状 2、WEB扫描器 站点设置 通过脚本自动探测服务器、操作系统等类型 填写好起始URL以及扫描模板，点击右边的笔形图标可以进入编辑界面 2、WEB扫描器 内置的扫描模板（快速与完整）不可改动，所以需要在下拉菜单中点击添加，添加一个模板再进行编辑，如下图： 勾选加强扫描，会发送一些带有绕过WAF数据的攻击 自定义404页面信息，加快扫描速度 正则表达式支持参考DLP模块 扫描策略支持排除URL、文件以及参数 测试策略即扫描的漏洞集合，可自定义，内置的快速与完整策略不可删除 2、WEB扫描器 配置好url与模板后，点开始扫描 注意事项：如果有WAF策略保护了