SANGFOR-NGAF-v7.1-2017年度渠道初级认证培训09-安全防护功能培训.ppt

1 2 3 4 SANGFOR NGAF安全防护功能介绍 内容安全、IPS SANGFOR NGAF安全防护策略综合应用案例 练练手 Contents 1. 安全防护功能介绍 1. NGAF对内网用户上网的安全防护介绍 安全防护功能介绍 1.内网用户上网面临的威胁 SG （1）未授权的访问、非法用户流量 （2）内网存在DDOS攻击、ARP欺骗等 （3）不必要的访问（上班时间使用P2P、视频语音） （4）不合法的访问（访问色情、赌博等网站） （5）不可靠的访问（不明来历的脚本、插件） （6）不安全的访问（网页、邮件携带病毒） （7）利用客户端电脑的漏洞、后门等发起攻击 （8）感染了僵尸程序的终端被控制端利用 安全防护功能介绍 2.NGAF对内网用户上网的安全防护 未授权的访问，非法用户流量 内网存在DDOS攻击、ARP欺骗等 不必要的访问（P2P、视频语音） 不合法的访问（色情、赌博等网站） 不安全的访问（网页、邮件携带病毒） 利用客户端电脑的漏洞、后门等发起攻击 用户认证 防火墙 应用识别、控制 URL过滤 网关杀毒 IPS 僵尸网络 感染了僵尸程序的终端被控制端利用 2. 安全防护策略 2.1.内容安全的功能介绍 2.2.IPS的功能介绍 安全防护策略 1.内容安全 NGAF的内容安全包括应用控制策略、内容安全策略和僵尸网络 其中内容安全策略包括：WEB过滤、病毒防御策略 （1）应用控制策略 应用控制策略可做到对应用/服务的访问做双向控制，存在一条默认拒绝所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于应用的控制策略。 基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对于任何包可以立即进行拦截动作判断。 基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。 安全防护策略 1.内容安全 （2）病毒防御策略 病毒防御策略主要用于对经过设备的数据进行病毒查杀，保护特定区域的数据安全。设备能针对HTTP，FTP，POP3和SMTP这四种常用协议进行病毒查杀。 （3）僵尸网络 僵尸网络检测是指感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，NGAF识别出该流量，并根据用户策略进行阻断和记录日志。 （4）WEB过滤 WEB过滤是指针对符合设定条件的访问网页数据进行过滤。主要包括URL过滤、文件过滤。 安全防护策略 1.内容安全-应用控制策略 存在一条默认拒绝所有服务/应用的控制策略 SG 基于服务或者是应用进行控制 是否记录日志到数据中心 选择需要控制的数据源区域和IP组 目的区域和IP组 单次时间计划：在指定时间执行一次，如10月1日-7日才执行 循环时间计划：如周一到周五进行循环执行 非特殊服务器建议不要开启 安全防护策略 1.内容安全-病毒防御策略 SG 针对邮件杀毒模块 针对文件杀毒模块 对列表中指定的文件类型进行杀毒，可手动填写文件类型，仅对HTTP杀毒和FTP杀毒有效 安全防护策略 1.内容安全-僵尸网络 僵尸网络防护是对内网的防护，选择内网区域 选择防护类型 是否记录日志到数据中心 安全防护策略 1.内容安全-WEB过滤 HTTP（get）:不能浏览某种类型网页 HTTP（post）:只能浏览网页但不能上传文件到网站上 HTTPS:针对https类型的网站要开启ssl解密功能 安全防护策略 2.IPS （1）IPS是什么？ IPS（Intrusion?Prevention?System，入侵防御系统）依靠对数据包的检测来发现对内网系统的潜在威胁。不管是操作系统本身，还是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包。 NGAF内置了针对这些漏洞的防护规则，并且通过对进入网络的数据包与内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置决定是否允许这种数据包进入目标区域网络，以达到保护目标区域网络主机不受漏洞攻击的目的。 安全防护策略 2.IPS SG （2）与IPS相关的漏洞特征识别库 已经按应用类型将规则分门别类 针对每个漏洞的危险级别不同，设置不同的响应动作 每个漏洞的危险等级 安全防护策略 2.IPS （3）IPS的保护对象 保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。 保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击。 口令暴力破解：阻止用户频繁登录指定协议服务器，防止暴力破解攻击。 （4）IPS的规则识别分类 保护服务器和