《新一代防火墻技術(shù)及應(yīng)用》課件第9章 風(fēng)險發(fā)現(xiàn)及防護技術(shù)

9.1風(fēng)險分析9.2WEB掃描9.3實時漏洞分析9.4本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標(biāo)掌握風(fēng)險分析的主要功能以及操作掌握WEB掃描器對網(wǎng)站的掃描使用掌握如何自動更新和手動更新規(guī)則庫本章重點風(fēng)險分析的主要功能以及操作WEB掃描器對網(wǎng)站的掃描使用本章難點風(fēng)險分析的主要功能以及操作WEB掃描器對網(wǎng)站的掃描使用新一代防火墻技術(shù)及應(yīng)用在企業(yè)中，一般需要很多服務(wù)器，有一些是對外提供服務(wù)的，有一些是對內(nèi)提供服務(wù)的，所以服務(wù)器在企業(yè)的網(wǎng)絡(luò)中發(fā)揮著非常重要的作用。但是在企業(yè)中服務(wù)器可能存在如下問題：1、不必要的端口開放；2、服務(wù)器自身系統(tǒng)存在的漏洞（針對服務(wù)器操作系統(tǒng)）；3、服務(wù)器自身軟件存在的漏洞；4、網(wǎng)站登錄弱密碼。這些問題如果不加以注意的話，黑客就會利用這些便利攻入公司的服務(wù)器，對公司的網(wǎng)絡(luò)造成不可估量的損失，這時對網(wǎng)絡(luò)以及服務(wù)器進行安全的風(fēng)險發(fā)現(xiàn)以及防護就顯得非常主要了。新一代防火墻技術(shù)及應(yīng)用3

9.1風(fēng)險分析新一代防火墻技術(shù)及應(yīng)用49.1風(fēng)險分析

風(fēng)險發(fā)現(xiàn)和防護主要包括兩大功能，一是對目標(biāo)IP進行端口掃描，它能讓管理員清楚了解服務(wù)器開放的端口和服務(wù)，以及服務(wù)器上可能存在哪些漏洞，讓管理員及時關(guān)閉不必要的端口、封堵漏洞，提高服務(wù)器的安全性；二是對目標(biāo)IP進行弱密碼掃描，解決數(shù)據(jù)庫弱口令訪問不安全的問題。與此同時，風(fēng)險分析能夠做到根據(jù)掃描結(jié)果智能的生成相應(yīng)的規(guī)則，為客戶提供安全防護。配置界面如圖所示：[不可信來訪區(qū)域]：定義應(yīng)用控制策略、IPS、WAF檢測的源區(qū)域，檢測這個區(qū)域到目標(biāo)IP是否有做相應(yīng)的應(yīng)用控制策略、IPS和WEB應(yīng)用防護規(guī)則。[訪問的目標(biāo)IP范圍]：定義進行端口掃描或者是弱密碼掃描的目標(biāo)IP地址范圍。新一代防火墻技術(shù)及應(yīng)用59.1風(fēng)險分析

[指定端口]：定義需要對目標(biāo)IP的哪些端口進行掃描。點擊80,81,8001,8002…，則彈出【選擇端口】的編輯框，如圖所示：設(shè)備內(nèi)置了服務(wù)器經(jīng)常開放的一些端口，若需要新增對其他端口的掃描，點擊新增添加即可。新一代防火墻技術(shù)及應(yīng)用69.1風(fēng)險分析勾選[啟用弱密碼掃描]，則啟用弱密碼掃描功能。界面如圖所示：點擊啟用弱密碼掃描，彈出【啟用弱密碼掃描】的編輯框，如圖所示：新一代防火墻技術(shù)及應(yīng)用79.1風(fēng)險分析[掃描范圍]：勾選對哪些應(yīng)用服務(wù)進行弱密碼掃描，如圖所示：[掃描方式]：定義弱密碼掃描的掃描方式，可以分為常規(guī)密碼字典掃描和完整密碼字典掃描。常規(guī)密碼字典只包含系統(tǒng)的默認(rèn)密碼。新一代防火墻技術(shù)及應(yīng)用89.1風(fēng)險分析[執(zhí)行完整掃描]：由于RDP、VNC協(xié)議的密碼掃描需要耗費較長的時間，若需要對這兩種協(xié)議也進行完整密碼字典掃描，還需要勾選上“執(zhí)行完整掃描”。[自定義用戶名列表]：用于自定義需要匹配的用戶名。此時會在相應(yīng)字典列表的用戶名里增加自定義的用戶名。比如說，此時的自定義用戶名為sangfor，NGAF設(shè)備在進行弱密碼掃描時，除了掃描默認(rèn)的用戶名以外，還會去匹配是否存在sangfor這個用戶名。[自定義密碼字典列表]：用于自定義需要匹配的弱密碼。此時會在相應(yīng)字典列表的密碼里增加自定義的密碼。比如說，此時的自定義密碼為sangfor，NGAF設(shè)備在進行弱密碼掃描時，除了掃描默認(rèn)的用戶名是否匹配默認(rèn)的密碼以外，還會去匹配默認(rèn)的用戶名是否使用了sangfor這個密碼。新一代防火墻技術(shù)及應(yīng)用99.1風(fēng)險分析設(shè)置好端口掃描和弱密碼掃描后，點擊，將會在下方顯示掃描結(jié)果，界面如圖所示：新一代防火墻技術(shù)及應(yīng)用109.1風(fēng)險分析點擊相應(yīng)掃描結(jié)果的操作按鈕，將會彈出端口屏蔽策略界面，如圖所示：點擊提交，會進行端口屏蔽，自動生成一條拒絕訪問的應(yīng)用控制策略。新一代防火墻技術(shù)及應(yīng)用119.1風(fēng)險分析勾選相應(yīng)的掃描結(jié)果，點擊防護風(fēng)險，彈出的界面如圖所示：勾選需要防護的風(fēng)險類型，點擊提交，將會根據(jù)風(fēng)險提示自動生成IPS規(guī)則和WEB應(yīng)用防護規(guī)則。點擊導(dǎo)出PDF，將生成PDF格式的主動掃描分析報表。新一代防火墻技術(shù)及應(yīng)用129.1風(fēng)險分析點擊查看已添加策略，將顯示通過“防護風(fēng)險”生成的防護規(guī)則，如圖所示：此時，可以通過點擊策略名稱查看防護規(guī)則的配置。新一代防火墻技術(shù)及應(yīng)用13

9.2WEB掃描新一代防火墻技術(shù)及應(yīng)用149.2WEB掃描WEB掃描器：支持針對下列漏洞的掃描：SQL注入、SQL盲注、跨站腳本攻擊(XSS)、存儲型跨站腳本攻擊、操作系統(tǒng)命令、本地文件包含、遠程文件包含、暴力破解、弱密碼登錄、跨站請求偽造(CSRF)、XPATH注入、LDAP注入、響應(yīng)分割、服務(wù)器端包含(SSI)、不安全重定向、不安全的DAV配置、不安全的HTTP方法、啟用了WebDAV、iframe釣魚、跨站跟蹤(XST)、phpinfo信息泄露、不安全的PHP配置、發(fā)現(xiàn)目錄列表、發(fā)現(xiàn)隱藏目錄。1、WEB掃描前需要告知用戶：掃描有破壞網(wǎng)站數(shù)據(jù)的風(fēng)險，不能直接掃描生產(chǎn)網(wǎng)服務(wù)器，客戶應(yīng)提供一個鏡像服務(wù)器用來掃漏洞。2、如果一定要直接掃描生產(chǎn)網(wǎng)服務(wù)器，需要取得客戶許可并跟客戶強調(diào)說明風(fēng)險，并在掃描前備份網(wǎng)站數(shù)據(jù)與源代碼，保證出現(xiàn)問題后能恢復(fù)原狀。新一代防火墻技術(shù)及應(yīng)用159.2WEB掃描填寫好起始URL以及掃描模板，點擊右邊的筆形圖標(biāo)可以進入編輯界面，如圖所示。新一代防火墻技術(shù)及應(yīng)用169.2WEB掃描內(nèi)置的掃描模板（快速與完整）不可改動，所以需要在下拉菜單中點擊添加，添加一個模板再進行編輯，如圖所示：防火墻技術(shù)與應(yīng)用179.2WEB掃描測試策略即掃描的漏洞集合，可自定義，內(nèi)置的快速與完整策略不可刪除。配置好URL與模板后，點擊開始掃描，如圖所示：注意事項：如果有WAF策略保護了目標(biāo)URL并開啟了拒絕，就會出現(xiàn)“起始URL已防護，不再進行掃描”的提示，禁用或放行相關(guān)WAF策略后才能掃描，如圖所示：新一代防火墻技術(shù)及應(yīng)用189.2WEB掃描掃描完成后可查看漏洞的測試過程、描述以及建議方案，如圖所示：新一代防火墻技術(shù)及應(yīng)用199.2WEB掃描掃描完成后可以導(dǎo)出HTML報表，如圖所示：WEB掃描器注意事項：目標(biāo)URL如果有對應(yīng)的WAF策略并開啟拒絕，是不能掃描的，需要禁用或放行WAF策略。雙機不會同步web掃描器配置。需要登錄才能掃描的場景只支持用戶名和密碼認(rèn)證，不支持包含有驗證碼等場景。掃描完成后應(yīng)及時導(dǎo)出報表，設(shè)備不會保存報表，開始新的掃描報表就會清空。新一代防火墻技術(shù)及應(yīng)用20

9.3實時漏洞分析新一代防火墻技術(shù)及應(yīng)用219.3實時漏洞分析實時漏洞分析是一種被動漏洞掃描器，需要數(shù)據(jù)經(jīng)過設(shè)備或者通過旁路將數(shù)據(jù)鏡像過來才能分析，實時發(fā)現(xiàn)用戶網(wǎng)絡(luò)中存在的安全問題，此過程不干預(yù)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)流程，不發(fā)reset包，不影響性能，僅輸出漏洞信息報表。實時漏洞分析需通過多功能序列號開啟，如圖所示：新一代防火墻技術(shù)及應(yīng)用229.3實時漏洞分析實時漏洞分析功能包含三個部分：1.實時漏洞分析策略配置頁面（定義分析條件）2.實時漏洞分析識別庫（與規(guī)則庫進行匹配）3.實時漏洞分析報表（生成報表，查看規(guī)則）實時漏洞分析策略配置頁面如圖所示：注意：實時漏洞分析僅需指定服務(wù)器區(qū)域和服務(wù)器IP組即可，若服務(wù)器IP組配置為全部，則會出現(xiàn)溫馨提示。新一代防火墻技術(shù)及應(yīng)用239.3實時漏洞分析實時漏洞分析識別庫：安全防護對象菜單中新增實時漏洞分析識別庫，在AF6.3以后該規(guī)則庫需要收費，如圖所示：新一代防火墻技術(shù)及應(yīng)用249.3實時漏洞分析實時漏洞分析報表：NGAF運行狀態(tài)-系統(tǒng)狀態(tài)新增最近發(fā)現(xiàn)的服務(wù)器風(fēng)險，如圖所示：新一代防火墻技術(shù)及應(yīng)用259.3實時漏洞分析實時漏洞分析報表：NGAF運行狀態(tài)-新增實時漏洞分析頁面，如圖所示：新一代防火墻技術(shù)及應(yīng)用269.3實時漏洞分析實時漏洞分析報表：點擊每條策略的查看，即可看到對應(yīng)的服務(wù)器報表，如圖所示：新一代防火墻技術(shù)及應(yīng)用279.3實時漏洞分析實時漏洞分析報表：點擊每條策略的重新發(fā)現(xiàn)，即可清空當(dāng)前報表，重新發(fā)現(xiàn)漏洞，如圖所示：新一代防火墻技術(shù)及應(yīng)用289.3實時漏洞分析實時漏洞分析報表：對于每個漏洞，被動掃描器會對比當(dāng)前IPS/WAF配置，提示該漏洞是否已進行防護，或是AF無法防護的潛在風(fēng)險，如圖所示：新一代防火墻技術(shù)及應(yīng)用299.3實時漏洞分析實時漏洞分析報表：1、對于每個具體漏洞，報表會給出詳細信息，包括解決方案和解決過程，2、每種服務(wù)器的每個漏洞不統(tǒng)計發(fā)現(xiàn)次數(shù)，僅更新最近發(fā)現(xiàn)時間，如圖所示：防火墻技術(shù)與應(yīng)用309.3實時漏洞分析實時漏洞分析注意事項：1、被動漏洞掃描依賴應(yīng)用識別結(jié)果，需要此功能正常運行建議先開通應(yīng)用識別庫序列號。2、實時漏洞分析功能不支持集中管理。3、實時漏洞分析僅支持tcp協(xié)議，不支持udp協(xié)議分析，如dns等服務(wù)。4、FTP與HTTP支持