SANGFOR NGAF v7度渠道初级认证培训09 安全防护功能培训.ppt

练练手 某用户网络环境如右图所示，服务器群 没有部署在NGAF的某个接口区域，而是与三层交换机直连，划分在三层交换机的一个VLAN中，请参考案例中的客户需求，配置实现NGAF的内容安全、IPS。 问题思考 2. IPS规则中的保护客户端和保护服务器具有哪些相同的防护手段？ 1. 应用控制策略中，基于服务的控制策略和基于应用的控制策略有何区别？ 3. 在数据中心里面查询到误判规则的漏洞ID后，又应该如何修改IPS防护规则？ 深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ * * * 安全防护功能介绍 2.NGAF对内网用户上网的安全防护 未授权的访问，非法用户流量 内网存在DDOS攻击、ARP欺骗等 不必要的访问（P2P、视频语音） 不合法的访问（色情、赌博等网站） 不安全的访问（网页、邮件携带病毒） 利用客户端电脑的漏洞、后门等发起攻击 用户认证 防火墙 应用识别、控制 URL过滤 网关杀毒 IPS 僵尸网络 感染了僵尸程序的终端被控制端利用 2. 安全防护策略 2.1.内容安全的功能介绍 2.2.IPS的功能介绍 安全防护策略 1.内容安全 NGAF的内容安全包括应用控制策略、内容安全策略和僵尸网络 其中内容安全策略包括：WEB过滤、病毒防御策略 （1）应用控制策略 应用控制策略可做到对应用/服务的访问做双向控制，存在一条默认拒绝所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于应用的控制策略。 基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对于任何包可以立即进行拦截动作判断。 基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。 安全防护策略 1.内容安全 （2）病毒防御策略 病毒防御策略主要用于对经过设备的数据进行病毒查杀，保护特定区域的数据安全。设备能针对HTTP，FTP，POP3和SMTP这四种常用协议进行病毒查杀。 （3）僵尸网络 僵尸网络检测是指感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，NGAF识别出该流量，并根据用户策略进行阻断和记录日志。 （4）WEB过滤 WEB过滤是指针对符合设定条件的访问网页数据进行过滤。主要包括URL过滤、文件过滤。 安全防护策略 1.内容安全-应用控制策略 存在一条默认拒绝所有服务/应用的控制策略 SG 基于服务或者是应用进行控制 是否记录日志到数据中心 选择需要控制的数据源区域和IP组 目的区域和IP组 单次时间计划：在指定时间执行一次，如10月1日-7日才执行 循环时间计划：如周一到周五进行循环执行 非特殊服务器建议不要开启 安全防护策略 1.内容安全-病毒防御策略 SG 针对邮件杀毒模块 针对文件杀毒模块 对列表中指定的文件类型进行杀毒，可手动填写文件类型，仅对HTTP杀毒和FTP杀毒有效 安全防护策略 1.内容安全-僵尸网络 僵尸网络防护是对内网的防护，选择内网区域 选择防护类型 是否记录日志到数据中心 安全防护策略 1.内容安全-WEB过滤 HTTP（get）:不能浏览某种类型网页 HTTP（post）:只能浏览网页但不能上传文件到网站上 HTTPS:针对https类型的网站要开启ssl解密功能 安全防护策略 2.IPS （1）IPS是什么？ IPS（Intrusion?Prevention?System，入侵防御系统）依靠对数据包的检测来发现对内网系统的潜在威胁。不管是操作系统本身，还是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包。 NGAF内置了针对这些漏洞的防护规则，并且通过对进入网络的数据包与内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置决定是否允许这种数据包进入目标区域网络，以达到保护目标区域网络主机不受漏洞攻击的目的。 安全防护策略 2.IPS SG （2）与IPS相关的漏洞特征识别库 已经按应用类型将规则分门别类 针对每个漏洞的危险级别不同，设置不同的响应动作 每个漏洞的危险等级 安全防护策略 2.IPS （3）IPS的保护对象 保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。 保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击。 口令暴力破解：阻止用户频繁登录指定协议服务器，防止暴力破解攻击。 （4）IPS的规则识别分类 保护服务器和客户端（一般是病毒、木马