SANGFOR-NGAF-v4.7-2014年度渠道初級認證培訓06-服務器保護培訓

SANGFORNGAF服務器保護培訓培訓內(nèi)容培訓目標服務器保護功能介紹1.了解內(nèi)網(wǎng)用戶上網(wǎng)、服務器訪問面臨的威脅以及AF能夠?qū)λ鼈兤鸬降姆雷o作用服務器保護1.掌握AF能夠?qū)EB服務器進行哪些保護2.掌握服務器保護的應用場景和配置方法服務器保護綜合應用案例1.掌握如何根據(jù)用戶的需求配置相應的防護策略。服務器保護功能介紹服務器保護深信服公司簡介服務器保護綜合應用案例練練手SANGFORNGAF1.服務器保護介紹1.1.AF對服務器的安全防護介紹服務器保護介紹1.服務器面臨的威脅SG代理（1）不必要的訪問（如只提供HTTP應用服務訪問）（2）DDOS攻擊、IP或端口掃描、協(xié)議報文攻擊等（3）漏洞攻擊（針對服務器操作系統(tǒng)、軟件漏洞）（4）根據(jù)軟件版本的已知漏洞進行攻擊；口令暴力破解，獲取用戶權限；SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等（5）掃描網(wǎng)站開放的端口以及弱密碼（6）網(wǎng)站被攻擊者篡改服務器保護介紹2.AF對服務器的安全防護SG代理不必要的訪問（如只提供HTTP服務）外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊（針對服務器操作系統(tǒng)等）根據(jù)軟件版本的已知漏洞進行攻擊口令暴力破解，獲取用戶權限SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等應用識別、控制防火墻IPS服務器保護風險分析網(wǎng)站篡改防護掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改2.服務器保護策略2.1.服務器保護的功能介紹服務器保護策略1.服務器保護SG代理（1）服務器保護服務器保護主要用于防止不被信任的區(qū)域（比如互聯(lián)網(wǎng)）對目標服務器發(fā)起的攻擊。目前主要針對WEB應用和FTP應用提供保護。（2）對服務器的防護包括網(wǎng)站攻擊防護，如SQL注入、XSS攻擊、CSRF攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、操作系統(tǒng)命令攻擊、文件包含漏洞攻擊、目錄遍歷攻擊和信息泄露攻擊應用隱藏，用于隱藏應用服務器的版本信息，防止攻擊者根據(jù)版本信息查找相應的漏洞口令防護，用于防止攻擊者暴力破解用戶口令，獲取用戶權限權限過濾，用于防止上傳惡意文件到服務器和對正在維護的URL目錄進行保護DLP服務器數(shù)據(jù)防泄密，針對日益嚴重服務器數(shù)據(jù)泄密事件，提供對HTTP服務器響應信息(明文)做敏感數(shù)據(jù)掃描，發(fā)現(xiàn)泄漏數(shù)據(jù)并阻斷。并且對于下載文件類型進行過濾，不允許下載的文件類型默認阻斷。1.服務器保護SG代理選擇防護的源區(qū)域選擇防護的目標區(qū)域及目標IP組定義應用端口，和服務器提供服務的端口保持一致，支持一個應用對應多個端口選擇防護的攻擊類型服務器保護策略1.服務器保護SG代理應用隱藏隱藏FTP服務器的版本信息設置隱藏HTTP服務器報文頭部返回的字段信息添加需要隱藏的字段信息服務器保護策略2.服務器保護SG代理口令防護和權限控制符合以上弱口令規(guī)則時，即使輸入了正確的用戶名、密碼，也無法訪問FTP服務器針對FTP的防暴力破解，只需要在上述頁面勾選FTP即可。針對HTTP網(wǎng)站的登錄防破解，需要填寫相應的URL過濾客戶端上傳到服務器的文件類型對于服務器上某些正在維護的子目錄，可以先保存起來，禁止用戶訪問。URL目錄最多只支持3級目錄，如果超過3級目錄則必須寫上URL的全部路徑。服務器保護策略用戶場景：招行：普通用戶數(shù)據(jù)流中不會同時出現(xiàn)銀行卡號、手機號、身份證號。電商：不允許有大量郵箱等的數(shù)據(jù)在http流量中出現(xiàn)普通用戶：僅允許有限的文件類型被下載3.服務器保護DLP服務器數(shù)據(jù)防泄密服務器保護策略

配置界面：DLP服務器數(shù)據(jù)防泄密服務器保護策略敏感信息防護配置步驟：1、新增敏感信息組合策略，各個策略間為或的關系DLP服務器數(shù)據(jù)防泄密服務器保護策略敏感信息防護配置步驟：2、配置敏感信息防護策略，各個敏感信息類型之間為與的關系，如不允許出現(xiàn)身份證號與手機號碼，并且一次都不準出現(xiàn)DLP服務器數(shù)據(jù)防泄密服務器保護策略敏感信息防護配置步驟：3、配置命中次數(shù)統(tǒng)計方式如配置命中5次，以IP統(tǒng)計為單個源IP從服務器收到敏感信息組合達到或超過5次進行阻斷以連接統(tǒng)計為單個源IP可能收到敏感信息20次，但是每個連接僅有4次，不進行阻斷DLP服務器數(shù)據(jù)防泄密服務器保護策略文件下載過濾點擊“設置”，勾選需要過濾的文件類型，點擊確定即可，可自定義文件類型注：此處根據(jù)文件后綴識別，非內(nèi)容識別DLP服務器數(shù)據(jù)防泄密服務器保護策略數(shù)據(jù)泄密防護識別庫包含預定義敏感信息和自定義敏感信息預定義敏感信息可以自動更新，由序列號控制DLP服務器數(shù)據(jù)防泄密服務器保護策略注意事項：DLP對服務器傳出數(shù)據(jù)過濾，不過濾客戶端提交數(shù)據(jù)DLP功能需要多功能序列號開啟；預定義敏感信息泄露庫可自動更新，受序列號控制配置DLP后WAF規(guī)則可啟用短信告警支持UTF-8、GBK、GB2312三種編碼；支持gzip、deflate、chunk三種壓縮模式組內(nèi)是“與”關系，要求同時出現(xiàn)多選的數(shù)據(jù)；模式組之間是“或”關系，順序匹配直到拒絕或全部放行文件過濾僅從url匹配文件名后綴，不識別內(nèi)容，不支持無后綴名文件，如/etc/passwd文件過濾為黑名單形式，僅需配置拒絕名單新建文件過濾時默認勾選拒絕

.config/.inc/.ini./mdb/.MYD/.frm/.log等文件JbossStruts2網(wǎng)站文件類型為.action/.do等，需要額外放通DLP服務器數(shù)據(jù)防泄密服務器保護策略3.服務器保護綜合應用案例3.1.客戶網(wǎng)絡環(huán)境和客戶需求3.2.配置思路3.3.配置截圖服務器保護綜合應用案例客戶環(huán)境：SG代理某客戶網(wǎng)絡拓撲如右圖所示，公司內(nèi)部有服務器群，其中網(wǎng)站服務器為0:8080，公司FTP服務器為1，服務器上存儲了公司內(nèi)部的資料?？蛻糍徺I了SANGFORAF設備部署在網(wǎng)絡出口處，希望針對外網(wǎng)以及內(nèi)網(wǎng)用戶訪問內(nèi)網(wǎng)的服務器群進行保護，防止由于客戶端的惡意訪問而使公司的整個服務癱瘓?？蛻粜枨螅篠G代理針對服務器：a.隱藏服務器的版本信息b.保護服務器，防止服務器遭受SQL注入、XSS、CSRF、系統(tǒng)命令注入攻擊等等服務器保護綜合應用案例配置思路：SG代理（1）網(wǎng)絡部署：配置eth1、eth2和eth3的網(wǎng)口信息以及劃分區(qū)域、配置路由信息（包括8個0的默認路由和到內(nèi)網(wǎng)網(wǎng)段的路由）（2）定義服務器群的IP組（3）防火墻配置：配置源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換（4）內(nèi)容安全配置：放通內(nèi)網(wǎng)用戶訪問外網(wǎng)的權限，放通內(nèi)網(wǎng)用戶、外網(wǎng)用戶訪問HTTP服務器和FTP服務器的權限（5）服務器保護配置：

a.隱藏服務器的版本信息

b.保護服務器，防止服務器遭受SQL注入、XSS、CSRF、系統(tǒng)命令注入攻擊等等

（針對外網(wǎng)訪問服務器和內(nèi)網(wǎng)訪問服務器都進行防護）服務器保護綜合應用案例配置截圖：SG代理（1）網(wǎng)絡部署（物理接口、區(qū)域、靜態(tài)路由）服務器保護綜合應用案例配置截圖：SG代理（2）定義服務器群IP組和上班時間時間計劃組服務器保護綜合應用案例配置截圖：SG代理（3）防火墻配置有關源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換的配置過程請參考《防火墻功能培訓PPT》服務器保護綜合應用案例配置截圖：（4）內(nèi)容安全—應用控制策略此時的源區(qū)域應該為內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域，如果內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域?qū)Ψ掌魅旱脑L問權限不同，可以分別建策略服務器保護綜合應用案例配置截圖：SG代理（5）服務器保護建議勾選上所有