SANGFOR NGAF v7度渠道初级认证培训06 服务器保护培训.ppt

服务器保护介绍 2.NGAF对服务器的安全防护 SG代理 不必要的访问（如只提供HTTP服务） 外网发起IP或端口扫描、DDOS攻击等 漏洞攻击（针对服务器操作系统等） 根据软件版本的已知漏洞进行攻击 口令暴力破解，获取用户权限 SQL注入、XSS跨站脚本攻击、跨站请求伪造等等 应用识别、控制 防火墙 IPS 服务器保护 风险分析 网站篡改防护 扫描网站开放的端口以及弱密码 网站被攻击者篡改 2. 服务器保护策略 2.1.服务器保护的功能介绍 服务器保护策略 1.服务器保护 SG代理 （1）服务器保护 服务器保护主要用于防止不被信任的区域（比如互联网）对目标服务器发起的攻击。目前主要针对WEB应用和FTP应用提供保护。 （2）对服务器的防护包括 网站攻击防护，如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击。 应用隐藏，用于隐藏应用服务器的版本信息，防止攻击者根据版本信息查找相应的漏洞。 口令防护，用于防止攻击者暴力破解用户口令，获取用户权限。 权限控制，用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护。 登录防护、HTTP异常检测、CC攻击防护、网站扫描防护、缓冲区溢出检测。 DLP服务器数据防泄密，针对日益严重服务器数据泄密事件，提供对HTTP服务器响应信息(明文)做敏感数据扫描，发现泄漏数据并阻断。并且对于下载文件类型进行过滤，不允许下载的文件类型默认阻断。 1.服务器保护 SG代理 选择防护的源区域 选择防护的目标区域及目标IP组 定义应用端口，和服务器提供服务的端口保持一致，支持一个应用对应多个端口 选择防护的攻击类型 服务器保护策略 1.服务器保护 应用隐藏 服务器保护策略 隐藏FTP服务器的版本信息 添加需要隐藏的字段信息 设置隐藏HTTP服务器报文头部返回的字段信息 2.服务器保护 SG代理 口令防护和权限控制 符合以上弱口令规则时，AF只检测但不会对此进行拦截 针对FTP的防暴力破解，只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解，需要填写相应的URL 过滤客户端上传到服务器的文件类型 对于服务器上某些正在维护的子目录，可以先保护起来，禁止用户访问。URL目录最多只支持3级目录，如果超过3级目录则必须写上URL的全部路径。 服务器保护策略 2.服务器保护 CC攻击防护 服务器保护策略 用户场景： 招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。 电商：不允许有大量邮箱等数据在http流量中出现。 普通用户：仅允许有限的文件类型被下载。 3.服务器保护 DLP服务器数据防泄密 服务器保护策略 配置界面： DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 1、新增敏感信息组合策略，各个策略间为或的关系 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现 DLP服务器数据防泄密 服务器保护策略 敏感信息防护配置步骤： 3、配置命中次数统计方式 如配置命中5次， 以IP统计为单个源IP从服务器收到敏感信息组合达到或超过5次进行阻断 以连接统计为单个源IP可能收到敏感信息20次，但是每个连接仅有4次，不进行阻断 DLP服务器数据防泄密 服务器保护策略 文件下载过滤 点击“设置”，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型 注：此处根据文件后缀识别，非内容识别 DLP服务器数据防泄密 服务器保护策略 数据泄密防护识别库 包含预定义敏感信息和自定义敏感信息 预定义敏感信息可以自动更新，由序列号控制 DLP服务器数据防泄密 服务器保护策略 注意事项： DLP对服务器传出数据过滤，不过滤客户端提交数据 DLP功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制 配置DLP后WAF规则可启用短信告警 支持UTF-8、GBK、GB2312三种编码；支持gzip、deflate、chunk三种压缩 模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关系，顺序匹配直到拒绝或全部放行 文件过滤仅从url匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd 文件过滤为黑名单形式，仅需配置拒绝名单 新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log等文件 Jboss Struts2网站文件类型为.action/.do等，需要额外放通 DLP服务器数据防泄密 服务器保护策略 3.服务器保护综合应用案例 3.1.客户网络环境和