SANGFOR-NGAF-v4.7-2014年度渠道初级认证培训06-服务器保护培训.ppt

1、SANGFOR NGAF服务器保护培训服务器保护培训培训内容培训目标服务器保护功能介绍1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用服务器保护1.掌握AF能够对WEB服务器进行哪些保护2.掌握服务器保护的应用场景和配置方法服务器保护综合应用案例1.掌握如何根据用户的需求配置相应的防护策略。服务器保护功能介绍服务器保护功能介绍服务器保护服务器保护深信服公司简介深信服公司简介服务器保护综合应用案例服务器保护综合应用案例练练手练练手SANGFOR NGAF1.服务器保护介绍服务器保护介绍1.1.AF对服务器的安全防护介绍对服务器的安全防护介绍服务器保护介服务器保护介绍绍1

2、服务器面临的威胁SG代理（1）不必要的访问（如只提供HTTP应用服务访问）（2）DDOS攻击、IP或端口扫描、协议报文攻击等（3）漏洞攻击（针对服务器操作系统、软件漏洞）（4）根据软件版本的已知漏洞进行攻击；口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪造等等（5）扫描网站开放的端口以及弱密码（6）网站被攻击者篡改服务器保护介服务器保护介绍绍2.AF对服务器的安全防护SG代理不必要的访问（如只提供HTTP服务）外网发起IP或端口扫描、DDOS攻击等漏洞攻击（针对服务器操作系统等）根据软件版本的已知漏洞进行攻击口令暴力破解，获取用户权限SQL注入、XSS跨站脚本攻击、跨

3、站请求伪造等等应用识别、控制防火墙IPS服务器保护风险分析网站篡改防护扫描网站开放的端口以及弱密码网站被攻击者篡改2.服务器保护策略服务器保护策略2.1.服务器保护的功能介绍服务器保护的功能介绍服务器保护策服务器保护策略略1.服务器保护SG代理（1）服务器保护）服务器保护 服务器保护主要用于防止不被信任的区域（比如互联网）对目标服务器发起的攻击。目前主要针对WEB应用和FTP应用提供保护。（2）对服务器的防护包括）对服务器的防护包括u网站攻击防护，如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击u应用隐藏，用于隐藏应用服

4、务器的版本信息，防止攻击者根据版本信息查找相应的漏洞u口令防护，用于防止攻击者暴力破解用户口令，获取用户权限u权限过滤，用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护uDLP服务器数据防泄密，针对日益严重服务器数据泄密事件，提供对HTTP服务器响应信息(明文)做敏感数据扫描，发现泄漏数据并阻断。并且对于下载文件类型进行过滤，不允许下载的文件类型默认阻断。1.1.服务器保护服务器保护SG代理选择防护的源区域选择防护的目标区域及目标IP组定义应用端口，和服务器提供服务的端口保持一致，支持一个应用对应多个端口选择防护的攻击类型服务器保护策略服务器保护策略1.1.服务器保护服务器保护SG

5、代理应用隐藏应用隐藏隐藏FTP服务器的版本信息设置隐藏HTTP服务器报文头部返回的字段信息添加需要隐藏的字段信息服务器保护策略服务器保护策略2.2.服务器保护服务器保护SG代理口令防护和权限控制口令防护和权限控制符合以上弱口令规则时，即使输入了正确的用户名、密码，也无法访问FTP服务器针对FTP的防暴力破解，只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解，需要填写相应的URL过滤客户端上传到服务器的文件类型对于服务器上某些正在维护的子目录，可以先保存起来，禁止用户访问。URL目录最多只支持3级目录，如果超过3级目录则必须写上URL的全部路径。服务器保护策略服务器保护策略用户场景：

6、用户场景：1.1.招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。招行：普通用户数据流中不会同时出现银行卡号、手机号、身份证号。2.2.电商：不允许有大量邮箱等的数据在电商：不允许有大量邮箱等的数据在httphttp流量中出现流量中出现3.3.普通用户：仅允许有限的文件类型被下载普通用户：仅允许有限的文件类型被下载3.服务器保护服务器保护DLP服务器数据防泄密服务器数据防泄密服务器保护策略服务器保护策略 配置界面：配置界面：DLP服务器数据防泄服务器数据防泄密密服务器保护策略服务器保护策略敏感信息防护配置步骤：敏感信息防护配置步骤：1 1、新增敏感信息组合策略，各个策略间为或的关

7、系、新增敏感信息组合策略，各个策略间为或的关系DLP服务器数据防泄密服务器数据防泄密服务器保护策略服务器保护策略敏感信息防护配置步骤：敏感信息防护配置步骤：2 2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现份证号与手机号码，并且一次都不准出现DLP服务器数据防泄密服务器数据防泄密服务器保护策略服务器保护策略敏感信息防护配置步骤：敏感信息防护配置步骤：3 3、配置命中次数统计方式、配置命中次数统计方式如配置命中如配置命中5 5次，次，以以IPIP统计为单个源统计为单

8、个源IPIP从服务器收到敏从服务器收到敏感信息组合达到或超过感信息组合达到或超过5 5次进行阻次进行阻断断以连接统计为单个源以连接统计为单个源IPIP可能收到敏感可能收到敏感信息信息2020次，但是每个连接仅有次，但是每个连接仅有4 4次，次，不进行阻断不进行阻断DLP服务器数据防泄密服务器数据防泄密服务器保护策略服务器保护策略文件下载过滤文件下载过滤点击点击“设置设置”，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型，勾选需要过滤的文件类型，点击确定即可，可自定义文件类型注：此处根据文件后缀识别，非内容识别注：此处根据文件后缀识别，非内容识别DLP服务器数据防泄密服务器数据防泄密服务

9、器保护策略服务器保护策略数据泄密防护识别库数据泄密防护识别库包含预定义敏感信息和自定义敏感信息包含预定义敏感信息和自定义敏感信息预定义敏感信息可以自动更新，由序列号控制预定义敏感信息可以自动更新，由序列号控制DLP服务器数据服务器数据防泄密防泄密服务器保护策略服务器保护策略注意事项：注意事项：1.1.DLPDLP对服务器传出数据过滤，不过滤客户端提交数据对服务器传出数据过滤，不过滤客户端提交数据2.2.DLPDLP功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制号控制3.3.配置配置DLPDLP后后WAFWA

10、F规则可启用短信告警规则可启用短信告警4.4.支持支持UTF-8UTF-8、GBKGBK、GB2312GB2312三种编码；支持三种编码；支持gzipgzip、deflatedeflate、chunkchunk三种压缩三种压缩5.5.模式组内是模式组内是“与与”关系，要求同时出现多选的数据；模式组之间是关系，要求同时出现多选的数据；模式组之间是“或或”关系，关系，顺序匹配直到拒绝或全部放行顺序匹配直到拒绝或全部放行6.6.文件过滤仅从文件过滤仅从urlurl匹配文件名后缀，不识别内容，不支持无后缀名文件，如匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd/etc/pas

11、swd7.7.文件过滤为黑名单形式，仅需配置拒绝名单文件过滤为黑名单形式，仅需配置拒绝名单8.8.新建文件过滤时默认勾选拒绝新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm/.log.config/.inc/.ini./mdb/.MYD/.frm/.log等文件等文件9.9.Jboss Struts2Jboss Struts2网站文件类型为网站文件类型为.action/.do.action/.do等，需要额外放通等，需要额外放通DLP服务器数据服务器数据防泄密防泄密服务器保护策略服务器保护策略3.服务器保护综合应用案例服务器保护综合应用案例3.1.客户

12、网络环境和客户需求客户网络环境和客户需求3.2.配置思路配置思路3.3.配置截图配置截图服务器保护综合服务器保护综合应用案例应用案例客户环境：SG代理某客户网络拓扑如右图所示，公司内部有服务器群，其中网站服务器为172.16.1.10:8080，公司FTP服务器为172.16.1.11，服务器上存储了公司内部的资料。客户购买了SANGFOR AF设备部署在网络出口处，希望针对外网以及内网用户访问内网的服务器群进行保护，防止由于客户端的恶意访问而使公司的整个服务瘫痪。客户需求：SG代理针对服务器：a.隐藏服务器的版本信息b.保护服务器，防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击

13、等等服务器保护综合应用案例服务器保护综合应用案例配置思路：SG代理（1）网络部署：配置eth1、eth2和eth3的网口信息以及划分区域、配置路由信息（包括8个0的默认路由和到内网网段的路由）（2）定义服务器群的IP组（3）防火墙配置：配置源地址转换、目的地址转换（4）内容安全配置：放通内网用户访问外网的权限，放通内网用户、外网用户访问HTTP服务器和FTP服务器的权限（5）服务器保护配置：a.隐藏服务器的版本信息 b.保护服务器，防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等 （针对外网访问服务器和内网访问服务器都进行防护）服务器保护综合应用案例服务器保护综合应用案例配置截

14、图：SG代理（1）网络部署（物理接口、区域、静态路由）服务器保护综合应用案例服务器保护综合应用案例配置截图：SG代理（2）定义服务器群IP组和上班时间时间计划组服务器保护综合应用案例服务器保护综合应用案例配置截图：SG代理（3）防火墙配置 有关源地址转换、目的地址转换的配置过程请参考防火墙功能培训PPT服务器保护综合应用案例服务器保护综合应用案例配置截图：（4）内容安全应用控制策略此时的源区域应该为内网区域和外网区域，如果内网区域和外网区域对服务器群的访问权限不同，可以分别建策略服务器保护综合应用案例服务器保护综合应用案例配置截图：SG代理（5）服务器保护建议勾选上所有的攻击防护注意：此时的端口需要和服务提供的端口保持一致，故修改web应用的端口为8080隐藏FTP和网站服务器的版本信息服务器保护综合应用案例服务器保护综合应用案例问题思考问题思考2.敏感信息防护策略组内多个条件之间是什么匹配关系？多条策略之间又是什么匹配关系？1.FTP和HTTP的应用隐藏分别能够隐藏哪些信息？3.服务器保护主要包括哪几大模块？