SANGFOR-NGAF-v4.7-2014年度渠道初級認證培訓(xùn)06-服務(wù)器保護培訓(xùn)

SANGFORNGAF服務(wù)器保護培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)服務(wù)器保護功能介紹1.了解內(nèi)網(wǎng)用戶上網(wǎng)、服務(wù)器訪問面臨的威脅以及AF能夠?qū)λ鼈兤鸬降姆雷o作用服務(wù)器保護1.掌握AF能夠?qū)EB服務(wù)器進行哪些保護2.掌握服務(wù)器保護的應(yīng)用場景和配置方法服務(wù)器保護綜合應(yīng)用案例1.掌握如何根據(jù)用戶的需求配置相應(yīng)的防護策略。服務(wù)器保護功能介紹服務(wù)器保護深信服公司簡介服務(wù)器保護綜合應(yīng)用案例練練手SANGFORNGAF1.服務(wù)器保護介紹1.1.AF對服務(wù)器的安全防護介紹服務(wù)器保護介紹1.服務(wù)器面臨的威脅SG代理（1）不必要的訪問（如只提供HTTP應(yīng)用服務(wù)訪問）（2）DDOS攻擊、IP或端口掃描、協(xié)議報文攻擊等（3）漏洞攻擊（針對服務(wù)器操作系統(tǒng)、軟件漏洞）（4）根據(jù)軟件版本的已知漏洞進行攻擊；口令暴力破解，獲取用戶權(quán)限；SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等（5）掃描網(wǎng)站開放的端口以及弱密碼（6）網(wǎng)站被攻擊者篡改服務(wù)器保護介紹2.AF對服務(wù)器的安全防護SG代理不必要的訪問（如只提供HTTP服務(wù)）外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊（針對服務(wù)器操作系統(tǒng)等）根據(jù)軟件版本的已知漏洞進行攻擊口令暴力破解，獲取用戶權(quán)限SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等應(yīng)用識別、控制防火墻IPS服務(wù)器保護風(fēng)險分析網(wǎng)站篡改防護掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改2.服務(wù)器保護策略2.1.服務(wù)器保護的功能介紹服務(wù)器保護策略1.服務(wù)器保護SG代理（1）服務(wù)器保護服務(wù)器保護主要用于防止不被信任的區(qū)域（比如互聯(lián)網(wǎng)）對目標(biāo)服務(wù)器發(fā)起的攻擊。目前主要針對WEB應(yīng)用和FTP應(yīng)用提供保護。（2）對服務(wù)器的防護包括網(wǎng)站攻擊防護，如SQL注入、XSS攻擊、CSRF攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、操作系統(tǒng)命令攻擊、文件包含漏洞攻擊、目錄遍歷攻擊和信息泄露攻擊應(yīng)用隱藏，用于隱藏應(yīng)用服務(wù)器的版本信息，防止攻擊者根據(jù)版本信息查找相應(yīng)的漏洞口令防護，用于防止攻擊者暴力破解用戶口令，獲取用戶權(quán)限權(quán)限過濾，用于防止上傳惡意文件到服務(wù)器和對正在維護的URL目錄進行保護DLP服務(wù)器數(shù)據(jù)防泄密，針對日益嚴重服務(wù)器數(shù)據(jù)泄密事件，提供對HTTP服務(wù)器響應(yīng)信息(明文)做敏感數(shù)據(jù)掃描，發(fā)現(xiàn)泄漏數(shù)據(jù)并阻斷。并且對于下載文件類型進行過濾，不允許下載的文件類型默認阻斷。1.服務(wù)器保護SG代理選擇防護的源區(qū)域選擇防護的目標(biāo)區(qū)域及目標(biāo)IP組定義應(yīng)用端口，和服務(wù)器提供服務(wù)的端口保持一致，支持一個應(yīng)用對應(yīng)多個端口選擇防護的攻擊類型服務(wù)器保護策略1.服務(wù)器保護SG代理應(yīng)用隱藏隱藏FTP服務(wù)器的版本信息設(shè)置隱藏HTTP服務(wù)器報文頭部返回的字段信息添加需要隱藏的字段信息服務(wù)器保護策略2.服務(wù)器保護SG代理口令防護和權(quán)限控制符合以上弱口令規(guī)則時，即使輸入了正確的用戶名、密碼，也無法訪問FTP服務(wù)器針對FTP的防暴力破解，只需要在上述頁面勾選FTP即可。針對HTTP網(wǎng)站的登錄防破解，需要填寫相應(yīng)的URL過濾客戶端上傳到服務(wù)器的文件類型對于服務(wù)器上某些正在維護的子目錄，可以先保存起來，禁止用戶訪問。URL目錄最多只支持3級目錄，如果超過3級目錄則必須寫上URL的全部路徑。服務(wù)器保護策略用戶場景：招行：普通用戶數(shù)據(jù)流中不會同時出現(xiàn)銀行卡號、手機號、身份證號。電商：不允許有大量郵箱等的數(shù)據(jù)在http流量中出現(xiàn)普通用戶：僅允許有限的文件類型被下載3.服務(wù)器保護DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略

配置界面：DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略敏感信息防護配置步驟：1、新增敏感信息組合策略，各個策略間為或的關(guān)系DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略敏感信息防護配置步驟：2、配置敏感信息防護策略，各個敏感信息類型之間為與的關(guān)系，如不允許出現(xiàn)身份證號與手機號碼，并且一次都不準出現(xiàn)DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略敏感信息防護配置步驟：3、配置命中次數(shù)統(tǒng)計方式如配置命中5次，以IP統(tǒng)計為單個源IP從服務(wù)器收到敏感信息組合達到或超過5次進行阻斷以連接統(tǒng)計為單個源IP可能收到敏感信息20次，但是每個連接僅有4次，不進行阻斷DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略文件下載過濾點擊“設(shè)置”，勾選需要過濾的文件類型，點擊確定即可，可自定義文件類型注：此處根據(jù)文件后綴識別，非內(nèi)容識別DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略數(shù)據(jù)泄密防護識別庫包含預(yù)定義敏感信息和自定義敏感信息預(yù)定義敏感信息可以自動更新，由序列號控制DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略注意事項：DLP對服務(wù)器傳出數(shù)據(jù)過濾，不過濾客戶端提交數(shù)據(jù)DLP功能需要多功能序列號開啟；預(yù)定義敏感信息泄露庫可自動更新，受序列號控制配置DLP后WAF規(guī)則可啟用短信告警支持UTF-8、GBK、GB2312三種編碼；支持gzip、deflate、chunk三種壓縮模式組內(nèi)是“與”關(guān)系，要求同時出現(xiàn)多選的數(shù)據(jù)；模式組之間是“或”關(guān)系，順序匹配直到拒絕或全部放行文件過濾僅從url匹配文件名后綴，不識別內(nèi)容，不支持無后綴名文件，如/etc/passwd文件過濾為黑名單形式，僅需配置拒絕名單新建文件過濾時默認勾選拒絕

.config/.inc/.ini./mdb/.MYD/.frm/.log等文件JbossStruts2網(wǎng)站文件類型為.action/.do等，需要額外放通DLP服務(wù)器數(shù)據(jù)防泄密服務(wù)器保護策略3.服務(wù)器保護綜合應(yīng)用案例3.1.客戶網(wǎng)絡(luò)環(huán)境和客戶需求3.2.配置思路3.3.配置截圖服務(wù)器保護綜合應(yīng)用案例客戶環(huán)境：SG代理某客戶網(wǎng)絡(luò)拓撲如右圖所示，公司內(nèi)部有服務(wù)器群，其中網(wǎng)站服務(wù)器為0:8080，公司FTP服務(wù)器為1，服務(wù)器上存儲了公司內(nèi)部的資料?？蛻糍徺I了SANGFORAF設(shè)備部署在網(wǎng)絡(luò)出口處，希望針對外網(wǎng)以及內(nèi)網(wǎng)用戶訪問內(nèi)網(wǎng)的服務(wù)器群進行保護，防止由于客戶端的惡意訪問而使公司的整個服務(wù)癱瘓?？蛻粜枨螅篠G代理針對服務(wù)器：a.隱藏服務(wù)器的版本信息b.保護服務(wù)器，防止服務(wù)器遭受SQL注入、XSS、CSRF、系統(tǒng)命令注入攻擊等等服務(wù)器保護綜合應(yīng)用案例配置思路：SG代理（1）網(wǎng)絡(luò)部署：配置eth1、eth2和eth3的網(wǎng)口信息以及劃分區(qū)域、配置路由信息（包括8個0的默認路由和到內(nèi)網(wǎng)網(wǎng)段的路由）（2）定義服務(wù)器群的IP組（3）防火墻配置：配置源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換（4）內(nèi)容安全配置：放通內(nèi)網(wǎng)用戶訪問外網(wǎng)的權(quán)限，放通內(nèi)網(wǎng)用戶、外網(wǎng)用戶訪問HTTP服務(wù)器和FTP服務(wù)器的權(quán)限（5）服務(wù)器保護配置：

a.隱藏服務(wù)器的版本信息

b.保護服務(wù)器，防止服務(wù)器遭受SQL注入、XSS、CSRF、系統(tǒng)命令注入攻擊等等

（針對外網(wǎng)訪問服務(wù)器和內(nèi)網(wǎng)訪問服務(wù)器都進行防護）服務(wù)器保護綜合應(yīng)用案例配置截圖：SG代理（1）網(wǎng)絡(luò)部署（物理接口、區(qū)域、靜態(tài)路由）服務(wù)器保護綜合應(yīng)用案例配置截圖：SG代理（2）定義服務(wù)器群IP組和上班時間時間計劃組服務(wù)器保護綜合應(yīng)用案例配置截圖：SG代理（3）防火墻配置有關(guān)源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換的配置過程請參考《防火墻功能培訓(xùn)PPT》服務(wù)器保護綜合應(yīng)用案例配置截圖：（4）內(nèi)容安全—應(yīng)用控制策略此時的源區(qū)域應(yīng)該為內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域，如果內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域?qū)Ψ?wù)器群的訪問權(quán)限不同，可以分別建策略服務(wù)器保護綜合應(yīng)用案例配置截圖：SG代理（5）服務(wù)器保護建議勾選上所有