SANGFOR_NGAF_V4.7_2014年度渠道初級認證培訓01_基本功能介紹

1、SANGFOR NGAF基本功能介紹培訓內容培訓目標NGAF 產品的產生背景1. 了解NGAF產品的產生背景NGAF 基本功能介紹1. 掌握SANGFOR NGAF產品的基本功能：部署模式、內容安全控制、流量管理、防攻擊特性、數據中心新手指引1. 掌握如何登錄到NGAF的控制臺2. 掌握如何恢復NGAF設備的出廠配置3.掌握U盤恢復密碼的方法4. 掌握如何通過直通功能快速恢復業(yè)務NGAF產品的產生背景NGAF基本功能介紹深信服公司簡介新手指引SANGFOR NGAFNGAF產品的產生背景網絡發(fā)展的趨勢防火墻需要更新?lián)Q代l 網絡在改變網絡已經深入日常生活 1、大量的新應用建立在HTTP/HTTP

2、S標準協(xié)議之上2、許多威脅依附在應用之中傳播肆虐3、Gartner報告：75%的攻擊來自應用層攻擊的多樣化、黑客平民化僅80端口上的應用就有N種，防火墻如何限制？l 投資高：功能有重合，多種設備堆砌l 維護成本高：空間、人力l 效率低：機場安檢總排長隊l 維護復雜：獨立管理，安全風險無法分析2004年，UTM 誕生。替代性方案補丁式設備堆疊由于防火墻功能單一出現了“串糖葫蘆式”的部署方式UTM簡單的疊加，性能是最大的瓶頸。FWIPSAVWAFGartner定義下一代防火墻網絡安全可視化應用管控全面應用安全單次解析構架智能風險審計應用識別流量管控非法業(yè)務阻斷核心業(yè)務帶寬保障OA合法業(yè)務帶寬限制應

3、用安全防護WEB安全防護灰度威脅識別灰度威脅關聯(lián)分析引擎多核并行處理統(tǒng)一簽名統(tǒng)一策略報文一次匹配潛在威脅漏洞防護服務器防護病毒防護行為追蹤上傳云端應用防護日志應用管控日志網絡安全日志用戶分析報表智能關聯(lián)分析報表身份認證NAT抗攻擊深信服下一代防火墻功能特點VPNWEB掃描報表實時漏洞分析NGAF如何滿足網絡對防火墻的要求NGAF基本功能介紹1.部署模式2.基于用戶和應用的內容安全控制3.帶寬管理4.IPS、WEB應用防護、網站篡改防護、風險分析、DOS/DDOS防護5.數據中心部署模式NGAF具備靈活的網絡適應能力，支持路由模式、透明模式、虛擬網線、混合模式、旁路部署，同時支持OSPF和RIP

4、動態(tài)路由協(xié)議。路由模式透明模式混合模式旁路部署基于用戶和應用的內容安全控制支持IP/MAC(跨三層)認證、本地密碼認證、外部認證、LDAP單點登錄等需要基于用戶和應用做安全控制，要求對用戶進行識別和對應用進行識別。NGAF具備全面的用戶認證系統(tǒng)和海量的應用識別特征庫?；谟脩艉蛻玫膬热莅踩刂苹赟ANGFOR多年應用層的技術沉淀，NGAF具備海量的數據包應用層識別特征庫，精準識別用戶數據。超過1100種主流應用（2013年12月）基于用戶和應用的內容安全控制2病毒防御針對HTTP、FTP、POP3、SMTP進行流殺毒，保護內網用戶的上網安全4WEB過濾WEB管控，減少無關WEB應用的訪問，

5、提高內網用戶的安全系數。例如：過濾釣魚網站、過濾惡意文件等。1應用控制基于區(qū)域、用戶做應用控制，減少不必要的訪問，滿足客戶對互聯(lián)網管控的需求。例如：禁止P2P下載、禁止網絡流媒體等。內容安全控制四大功能3APT檢測發(fā)現和定位感染了病毒、木馬的機器，降低客戶端安全風險。同時記錄的日志有較高的可追溯性。內容安全模塊 限制無關應用，保障核心業(yè)務、核心用戶的帶寬 優(yōu)化帶寬利用率，保障訪問穩(wěn)定性，減少無謂的擴容成本流量管理帶寬管理基于應用/網站/文件類型的智能流量管理動態(tài)帶寬分配P2P智能識別與靈活控制多線路復用與智能選路流量可視化IPS、DOS/DDOS防護、服務器保護IPS入侵防御系統(tǒng)( intru

6、sion prevention system):不管是操作系統(tǒng)本身，還是運行之上的應用軟件程序，都可能存在一些安全漏洞，攻擊者可以利用這些漏洞發(fā)起帶攻擊性的數據包威脅網絡信息安全。AF檢查穿過的數據包，和內置的漏洞規(guī)則列表進行比較，確定這種數據包的真正用途，然后根據用戶配置來決定是否允許這種數據包進入目標區(qū)域網絡。根據客戶端和服務器的不同特性，分為客戶端漏洞和服務器漏洞。DOS/DDOS防護內網防護：用于保護設備的安全外網防護：用于保護內網的服務器免受來自外部的攻擊IPS、DOS/DDOS防護、服務器保護IPS、DOS/DDOS防護、服務器保護服務器保護專門針對客戶內網的WEB和FTP服務器設

7、計的防攻擊策略，服務器保護包括應用隱藏、網站攻擊防護、口令防護、權限控制四部分功能。應用隱藏FTP隱藏：客戶端登錄FTP服務器時，服務器通常會返回FTP服務器版本信息，攻擊者可以利用版本漏洞攻擊FTP服務器。通過隱藏FTP服務器返回客戶端的數據包相關信息保護服務器安全。HTTP隱藏：當客戶端訪問WEB網站的時候，服務器會通過HTTP報文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會泄露代理服務器的版本信息，攻擊者可以利用服務器版本漏洞進行攻擊。因此可以通過隱藏這些字段來防止攻擊。網站攻擊防護服務器保護系統(tǒng)命令注入防護SQL注入防護XSS攻擊防護CSRF攻擊防護網頁木馬防護

8、網站掃描WEBSHELL文件包含攻擊目錄遍歷攻擊信息泄露攻擊服務器保護口令防護FTP弱口令防護：針對一些過于簡單的用戶名密碼登錄FTP進行過濾。符合過濾條件的客戶端訪問將會被設備阻斷。需要到FTP服務器修改成符合規(guī)則的密碼或者修改防火墻口令規(guī)則設置來解決?？诹畋┝ζ平夥雷o：用于暴力破解密碼防護，可以針對FTP和HTTP服務器進行防護文件上傳過濾：過濾客戶端上傳到服務器的文件類型，提高服務器的安全系數。URL防護：主要功能是權限開關。例如禁止某個URL，則其余的防攻擊等都無效，因為客戶端都無法訪問，更不會存在攻擊。如果此處允許某個URL，則上述設置的防攻擊等針對該URL都會無效，相當于一個白名單

9、。權限控制服務器保護服務器保護網站篡改防護風險分析1、對目標IP進行端口掃描并識別服務2、對指定服務進行弱密碼掃描3、根據掃描結果生成安全策略風險分析效果截圖用戶A服務器群針對用戶A上網針對訪問服務器功能小結數據中心近一個月安全趨勢外網DOS攻擊統(tǒng)計WEB應用防護統(tǒng)計具體行為日志數據中心可以用于查詢和統(tǒng)計各功能模塊產生的日志。例如可以查詢出WEB應用防護阻斷的攻擊行為，以及可以查詢到攻擊源IP，目標IP等詳細信息?？梢越y(tǒng)計出服務器在指定的時間內受到多少次DOS攻擊等。新手指引1.如何登錄NGAF設備控制臺?2.如何恢復NGAF設備出廠配置？3.如何使用直通功能快速恢復業(yè)務？4.NGAF型號介紹

10、如何登錄NGAF設備控制臺？NGAF設備通過MANAGE口登錄進行管理，MANAGE口IP：51。登錄方法：使用一根交叉線連接設備的MANAGE口和電腦，電腦配置/24網段的IP地址(51除外)，在電腦的瀏覽器中輸51，登錄設備的網關控制臺，控制臺默認的賬號密碼為admin/admin注意：MANAGE口IP地址51不可修改(可以在MANAGE口添加多個IP地址)。所以即使忘記了其他接口的IP，仍然可以通過MANAGE 口出廠IP登錄NGAF設備。設備外觀及控制

11、臺如何恢復NGAF設備出廠配置?第一步：首先登錄深信服官方網站-服務支持-軟件下載-常用工具，下載升級客戶端6.0，安裝到PC客戶端。（http:/ 一致，例如1.0R1的設備只能用1.0R1的升級包恢復，不能用1.0R2版本的升級包)。 確認方法：在登錄控制臺界面點擊“查看版本”，查看當前的版本信息與下載的升級包是否一致。第三步：打開網關升級與備份系統(tǒng)。第四步：加載第2步中的NGAF升級包。第五步：點擊【系統(tǒng)】-【直接連接】，輸入設備IP地址和密碼連入設備。第六步：點擊【升級】-【恢復默認配置】，如有提示，點擊“是”，即可恢復出廠配置。U盤恢復密碼使用說明在U盤里分別放入對應功能名稱的txt

12、文件，通過將U盤插入設備的USB口來實現以下一些功能。功能1：使用U盤恢復控制臺密碼。使用場景：客戶忘記設備網關控制臺的登錄密碼。（此功能從2.6版本開始支持，但是只恢復密碼，不會恢復網絡配置）1.功能描述U盤恢復密碼使用說明恢復控制臺密碼1、將reset-password.txt文件拷貝到U盤根目錄；2、插入U盤，重啟設備；3、當設備的LED紅燈熄滅之后，拔出U盤；4、查看U盤中的結果文件reset-password.log，若恢復成功在該文件中記錄恢復后的控制臺密碼，否則記錄的是恢復失敗信息。2.使用步驟U盤恢復密碼使用說明這個txt文件可以直接在windows系統(tǒng)上建立空白txt文件，將文件名字改成對應功能要求的文件名即可；txt文件必須在U盤的根目錄下；U盤可以為單分區(qū)或多分區(qū)。單分區(qū)的U盤格式必須為FAT32；多分區(qū)U盤必須把txt文件放在第一個分區(qū)，且第一個