SANGFOR_NGAF_v58_2015年度渠道初級認證培訓(xùn)01_基本功能介紹

1、SANGFOR NGAF基本功能介紹培訓(xùn)內(nèi)容培訓(xùn)目標NGAF 產(chǎn)品的產(chǎn)生背景1. 了解NGAF產(chǎn)品的產(chǎn)生背景NGAF 基本功能介紹1. 掌握SANGFOR NGAF產(chǎn)品的基本功能：部署模式、內(nèi)容安全控制、流量管理、防攻擊特性、數(shù)據(jù)中心新手指引1. 掌握如何登錄到NGAF的控制臺2. 掌握如何恢復(fù)NGAF設(shè)備的出廠配置3.掌握U盤恢復(fù)密碼的方法4. 掌握如何通過直通功能快速恢復(fù)業(yè)務(wù)NGAF產(chǎn)品的產(chǎn)生背景NGAF基本功能介紹深信服公司簡介新手指引SANGFOR NGAFNGAF產(chǎn)品的產(chǎn)生背景網(wǎng)絡(luò)發(fā)展的趨勢防火墻需要更新?lián)Q代l 網(wǎng)絡(luò)在改變網(wǎng)絡(luò)已經(jīng)深入日常生活 1、大量的新應(yīng)用建立在HTTP/HTTP

2、S標準協(xié)議之上2、許多威脅依附在應(yīng)用之中傳播肆虐3、Gartner報告：75%的攻擊來自應(yīng)用層攻擊的多樣化、黑客平民化僅80端口上的應(yīng)用就有N種，防火墻如何限制？l 投資高：功能有重合，多種設(shè)備堆砌l 維護成本高：空間、人力l 效率低：機場安檢總排長隊l 維護復(fù)雜：獨立管理，安全風(fēng)險無法分析2004年，UTM 誕生。替代性方案補丁式設(shè)備堆疊由于防火墻功能單一出現(xiàn)了“串糖葫蘆式”的部署方式UTM簡單的疊加，性能是最大的瓶頸。FWIPSAVWAFGartner定義下一代防火墻網(wǎng)絡(luò)安全可視化應(yīng)用管控全面應(yīng)用安全單次解析構(gòu)架智能風(fēng)險審計應(yīng)用識別流量管控非法業(yè)務(wù)阻斷核心業(yè)務(wù)帶寬保障OA合法業(yè)務(wù)帶寬限制應(yīng)

3、用安全防護WEB安全防護灰度威脅識別灰度威脅關(guān)聯(lián)分析引擎多核并行處理統(tǒng)一簽名統(tǒng)一策略報文一次匹配潛在威脅漏洞防護服務(wù)器防護病毒防護行為追蹤上傳云端應(yīng)用防護日志應(yīng)用管控日志網(wǎng)絡(luò)安全日志用戶分析報表智能關(guān)聯(lián)分析報表身份認證NAT抗攻擊深信服下一代防火墻功能特點VPNWEB掃描報表實時漏洞分析NGAF如何滿足網(wǎng)絡(luò)對防火墻的要求NGAF基本功能介紹1.部署模式2.基于用戶和應(yīng)用的內(nèi)容安全控制3.帶寬管理4.IPS、WEB應(yīng)用防護、網(wǎng)站篡改防護、風(fēng)險分析、DOS/DDOS防護5.數(shù)據(jù)中心部署模式NGAF具備靈活的網(wǎng)絡(luò)適應(yīng)能力，支持路由模式、透明模式、虛擬網(wǎng)線、混合模式、旁路部署，同時支持OSPF和RIP

4、動態(tài)路由協(xié)議。路由模式透明模式混合模式旁路部署基于用戶和應(yīng)用的內(nèi)容安全控制支持IP/MAC(跨三層)認證、本地密碼認證、外部認證、LDAP單點登錄等需要基于用戶和應(yīng)用做安全控制，要求對用戶進行識別和對應(yīng)用進行識別。NGAF具備全面的用戶認證系統(tǒng)和海量的應(yīng)用識別特征庫?；谟脩艉蛻?yīng)用的內(nèi)容安全控制基于SANGFOR多年應(yīng)用層的技術(shù)沉淀，NGAF具備海量的數(shù)據(jù)包應(yīng)用層識別特征庫，精準識別用戶數(shù)據(jù)。超過1100種主流應(yīng)用（2015年2月）基于用戶和應(yīng)用的內(nèi)容安全控制2病毒防御針對HTTP、FTP、POP3、SMTP進行流殺毒，保護內(nèi)網(wǎng)用戶的上網(wǎng)安全4WEB過濾WEB管控，減少無關(guān)WEB應(yīng)用的訪問，提

5、高內(nèi)網(wǎng)用戶的安全系數(shù)。例如：過濾釣魚網(wǎng)站、過濾惡意文件等。1應(yīng)用控制基于區(qū)域、用戶做應(yīng)用控制，減少不必要的訪問，滿足客戶對互聯(lián)網(wǎng)管控的需求。例如：禁止P2P下載、禁止網(wǎng)絡(luò)流媒體等。內(nèi)容安全控制四大功能3僵尸網(wǎng)絡(luò)發(fā)現(xiàn)和定位感染了病毒、木馬的PC和移動終端，識別異常流量，降低客戶端安全風(fēng)險。同時記錄的日志有較高的可追溯性。內(nèi)容安全模塊 限制無關(guān)應(yīng)用，保障核心業(yè)務(wù)、核心用戶的帶寬 優(yōu)化帶寬利用率，保障訪問穩(wěn)定性，減少無謂的擴容成本流量管理帶寬管理基于應(yīng)用/網(wǎng)站/文件類型的智能流量管理動態(tài)帶寬分配P2P智能識別與靈活控制多線路復(fù)用與智能選路流量可視化IPS、DOS/DDOS防護、服務(wù)器保護IPS入侵防

6、御系統(tǒng)( intrusion prevention system):不管是操作系統(tǒng)本身，還是運行之上的應(yīng)用軟件程序，都可能存在一些安全漏洞，攻擊者可以利用這些漏洞發(fā)起帶攻擊性的數(shù)據(jù)包威脅網(wǎng)絡(luò)信息安全。AF檢查穿過的數(shù)據(jù)包，和內(nèi)置的漏洞規(guī)則列表進行比較，確定這種數(shù)據(jù)包的真正用途，然后根據(jù)用戶配置來決定是否允許這種數(shù)據(jù)包進入目標區(qū)域網(wǎng)絡(luò)。根據(jù)客戶端和服務(wù)器的不同特性，分為客戶端漏洞和服務(wù)器漏洞。DOS/DDOS防護內(nèi)網(wǎng)防護：用于保護設(shè)備的安全外網(wǎng)防護：用于保護內(nèi)網(wǎng)的服務(wù)器免受來自外部的攻擊IPS、DOS/DDOS防護、服務(wù)器保護IPS、DOS/DDOS防護、服務(wù)器保護服務(wù)器保護專門針對客戶內(nèi)網(wǎng)的W

7、EB和FTP服務(wù)器設(shè)計的防攻擊策略，服務(wù)器保護包括應(yīng)用隱藏、網(wǎng)站攻擊防護、口令防護、權(quán)限控制四部分功能。應(yīng)用隱藏FTP隱藏：客戶端登錄FTP服務(wù)器時，服務(wù)器通常會返回FTP服務(wù)器版本信息，攻擊者可以利用版本漏洞攻擊FTP服務(wù)器。通過隱藏FTP服務(wù)器返回客戶端的數(shù)據(jù)包相關(guān)信息保護服務(wù)器安全。HTTP隱藏：當客戶端訪問WEB網(wǎng)站的時候，服務(wù)器會通過HTTP報文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會泄露代理服務(wù)器的版本信息，攻擊者可以利用服務(wù)器版本漏洞進行攻擊。因此可以通過隱藏這些字段來防止攻擊。服務(wù)器保護網(wǎng)站攻擊防護系統(tǒng)命令注入防護SQL注入防護XSS攻擊防護CSRF

8、攻擊防護網(wǎng)頁木馬防護網(wǎng)站掃描WEBSHELL文件包含攻擊目錄遍歷攻擊信息泄露攻擊服務(wù)器保護口令防護FTP弱口令防護：針對一些過于簡單的用戶名密碼登錄FTP進行過濾。符合過濾條件的客戶端訪問將會被設(shè)備阻斷。需要到FTP服務(wù)器修改成符合規(guī)則的密碼或者修改防火墻口令規(guī)則設(shè)置來解決?？诹畋┝ζ平夥雷o：用于暴力破解密碼防護，可以針對FTP和HTTP服務(wù)器進行防護文件上傳過濾：過濾客戶端上傳到服務(wù)器的文件類型，提高服務(wù)器的安全系數(shù)。URL防護：主要功能是權(quán)限開關(guān)。例如禁止某個URL，則其余的防攻擊等都無效，因為客戶端都無法訪問，更不會存在攻擊。如果此處允許某個URL，則上述設(shè)置的防攻擊等針對該URL都會無

9、效，相當于一個白名單。權(quán)限控制服務(wù)器保護服務(wù)器保護網(wǎng)站篡改防護風(fēng)險分析1、對目標IP進行端口掃描并識別服務(wù)2、對指定服務(wù)進行弱密碼掃描3、根據(jù)掃描結(jié)果生成安全策略風(fēng)險分析效果截圖用戶A服務(wù)器群針對用戶A上網(wǎng)針對訪問服務(wù)器功能小結(jié)數(shù)據(jù)中心近一個月安全趨勢外網(wǎng)DOS攻擊統(tǒng)計WEB應(yīng)用防護統(tǒng)計具體行為日志數(shù)據(jù)中心可以用于查詢和統(tǒng)計各功能模塊產(chǎn)生的日志。例如可以查詢出WEB應(yīng)用防護阻斷的攻擊行為，以及可以查詢到攻擊源IP，目標IP等詳細信息?？梢越y(tǒng)計出服務(wù)器在指定的時間內(nèi)受到多少次DOS攻擊等。新手指引1.如何登錄NGAF設(shè)備控制臺?2.如何恢復(fù)NGAF設(shè)備出廠配置？3.如何使用直通功能快速恢復(fù)業(yè)務(wù)？

10、4.NGAF型號介紹如何登錄NGAF設(shè)備控制臺？NGAF設(shè)備通過MANAGE口登錄進行管理，MANAGE口IP：51。登錄方法：使用一根網(wǎng)線連接設(shè)備的MANAGE口和電腦，電腦配置/24網(wǎng)段的IP地址(51除外)，在電腦的瀏覽器中輸51，登錄設(shè)備的網(wǎng)關(guān)控制臺，控制臺默認的賬號密碼為admin/admin注意：MANAGE口IP地址51不可修改(可以在MANAGE口添加多個IP地址)。所以即使忘記了其他接口的IP，仍然可以通過MANAGE 口出廠IP登錄NGAF設(shè)

11、備。設(shè)備外觀及控制臺如何恢復(fù)NGAF設(shè)備出廠配置?第一步：首先登錄深信服官方網(wǎng)站-服務(wù)支持-軟件下載-常用工具，下載升級客戶端6.0，安裝到PC客戶端。（http:/ 一致，例如1.0R1的設(shè)備只能用1.0R1的升級包恢復(fù)，不能用1.0R2版本的升級包)。 確認方法：在登錄控制臺界面點擊“查看版本”，查看當前的版本信息與下載的升級包是否一致。（文件后綴的.cssu結(jié)尾的是組合包，這種包不能夠恢復(fù)默認配置，必須使用.ssu的升級包）第三步：打開網(wǎng)關(guān)升級與備份系統(tǒng)。第四步：加載第2步中的NGAF升級包。第五步：點擊【系統(tǒng)】-【直接連接】，輸入設(shè)備IP地址和密碼連入設(shè)備。第六步：點擊【升級】-【恢復(fù)

12、默認配置】，如有提示，點擊“是”，即可恢復(fù)出廠配置。注意：在設(shè)備控制臺提供【系統(tǒng)維護】-【備份與恢復(fù)】恢復(fù)配置方式三【一鍵恢復(fù)】中也支持恢復(fù)出廠配置U盤恢復(fù)密碼使用說明在U盤里分別放入對應(yīng)功能名稱的txt文件，通過將U盤插入設(shè)備的USB口來實現(xiàn)以下一些功能。功能1：使用U盤恢復(fù)控制臺密碼。使用場景：客戶忘記設(shè)備網(wǎng)關(guān)控制臺的登錄密碼。（此功能從2.6版本開始支持，但是只恢復(fù)密碼，不會恢復(fù)網(wǎng)絡(luò)配置）1.功能描述U盤恢復(fù)密碼使用說明恢復(fù)控制臺密碼1、將reset-password.txt文件拷貝到U盤根目錄；2、插入U盤，重啟設(shè)備；3、當設(shè)備能夠正常登錄控制臺后，拔出U盤；4、查看U盤中的結(jié)果文件reset-password.log，若恢復(fù)成功在該文件中記錄恢復(fù)后的控制臺密碼，否則記錄的是恢復(fù)失敗信息。2.使用步驟U盤恢復(fù)密碼使用說明這個txt文件可以直接在windows系統(tǒng)上建立空白txt文件，將文件名字改成對應(yīng)功能要求的文件名即可；txt文件必須在U盤的根目錄下；U盤可以為單分區(qū)或多分區(qū)。單分區(qū)的U盤格式必須為FAT32；多分區(qū)U盤必須把txt文件放在第一個分區(qū)