SANGFORNGAFv度渠道初级认证培训服务器保护培训ppt课件.ppt
《SANGFORNGAFv度渠道初级认证培训服务器保护培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《SANGFORNGAFv度渠道初级认证培训服务器保护培训ppt课件.ppt(30页珍藏版)》请在咨信网上搜索。
SANGFOR NGAF服务器保护培训培训内容培训目标服务器保护功能介绍1.了解内网用户上网、服务器访问面临的威胁以及AF能够对它们起到的防护作用服务器保护1.掌握AF能够对WEB服务器进行哪些保护2.掌握服务器保护的应用场景和配置方法服务器保护综合应用案例1.掌握如何根据用户的需求配置相应的防护策略。服务器保护功能介绍服务器保护深信服公司简介服务器保护综合应用案例练练手SANGFOR NGAF1.服务器保护介绍1.1.AF对服务器的安全防护介绍服务器保护介绍1.服务器面临的威胁服务器面临的威胁SG代理(1)不必要的访问(如只提供HTTP应用服务访问)(2)DDOS攻击、IP或端口扫描、协议报文攻击等(3)漏洞攻击(针对服务器操作系统、软件漏洞)(4)根据软件版本的已知漏洞进行攻击;口令暴力破解,获取用户权限;SQL注入、XSS跨站脚本攻击、跨站请求伪造等等(5)扫描网站开放的端口以及弱密码(6)网站被攻击者篡改服务器保护介绍2.AF对服务器的安全防护对服务器的安全防护SG代理不必要的访问(如只提供HTTP服务)外网发起IP或端口扫描、DDOS攻击等漏洞攻击(针对服务器操作系统等)根据软件版本的已知漏洞进行攻击口令暴力破解,获取用户权限SQL注入、XSS跨站脚本攻击、跨站请求伪造等等应用识别、控制防火墙IPS服务器保护风险分析网站篡改防护扫描网站开放的端口以及弱密码网站被攻击者篡改2.服务器保护策略2.1.服务器保护的功能介绍服务器保护策略1.服务器保护服务器保护SG代理(1)服务器保护 服务器保护主要用于防止不被信任的区域(比如互联网)对目标服务器发起的攻击。目前主要针对WEB应用和FTP应用提供保护。(2)对服务器的防护包括u网站攻击防护,如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击u应用隐藏,用于隐藏应用服务器的版本信息,防止攻击者根据版本信息查找相应的漏洞u口令防护,用于防止攻击者暴力破解用户口令,获取用户权限u权限过滤,用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护uDLP服务器数据防泄密,针对日益严重服务器数据泄密事件,提供对HTTP服务器响应信息(明文)做敏感数据扫描,发现泄漏数据并阻断。并且对于下载文件类型进行过滤,不允许下载的文件类型默认阻断。1.服务器保护服务器保护SG代理选择防护的源区域选择防护的目标区域及目标IP组定义应用端口,和服务器提供服务的端口保持一致,支持一个应用对应多个端口选择防护的攻击类型服务器保护策略1.服务器保护服务器保护SG代理应用隐藏隐藏FTP服务器的版本信息设置隐藏HTTP服务器报文头部返回的字段信息添加需要隐藏的字段信息服务器保护策略2.服务器保护服务器保护SG代理口令防护和权限控制符合以上弱口令规则时,即使输入了正确的用户名、密码,也无法访问FTP服务器针对FTP的防暴力破解,只需要在上述页面勾选FTP即可。针对HTTP网站的登录防破解,需要填写相应的URL过滤客户端上传到服务器的文件类型对于服务器上某些正在维护的子目录,可以先保存起来,禁止用户访问。URL目录最多只支持3级目录,如果超过3级目录则必须写上URL的全部路径。服务器保护策略用户场景:用户场景:1.招行:普通用户数据流中不会同时出现银行卡号、手机号、身份证号。2.电商:不允许有大量邮箱等的数据在http流量中出现3.普通用户:仅允许有限的文件类型被下载3.服务器保护DLP服务器数据防泄密服务器保护策略 配置界面:配置界面:DLP服务器数据防泄密服务器保护策略敏感信息防护配置步骤:敏感信息防护配置步骤:1、新增敏感信息组合策略,各个策略间为或的关系DLP服务器数据防泄密服务器保护策略敏感信息防护配置步骤:敏感信息防护配置步骤:2、配置敏感信息防护策略,各个敏感信息类型之间为与的关系,如不允许出现身份证号与手机号码,并且一次都不准出现DLP服务器数据防泄密服务器保护策略敏感信息防护配置步骤:敏感信息防护配置步骤:3、配置命中次数统计方式如配置命中5次,以IP统计为单个源IP从服务器收到敏感信息组合达到或超过5次进行阻断以连接统计为单个源IP可能收到敏感信息20次,但是每个连接仅有4次,不进行阻断DLP服务器数据防泄密服务器保护策略文件下载过滤文件下载过滤点击“设置”,勾选需要过滤的文件类型,点击确定即可,可自定义文件类型注:此处根据文件后缀识别,非内容识别DLP服务器数据防泄密服务器保护策略数据泄密防护识别库数据泄密防护识别库包含预定义敏感信息和自定义敏感信息预定义敏感信息可以自动更新,由序列号控制DLP服务器数据防泄密服务器保护策略注意事项:注意事项:1.DLP对服务器传出数据过滤,不过滤客户端提交数据2.DLP功能需要多功能序列号开启;预定义敏感信息泄露库可自动更新,受序列号控制3.配置DLP后WAF规则可启用短信告警4.支持UTF-8、GBK、GB2312三种编码;支持gzip、deflate、chunk三种压缩5.模式组内是“与”关系,要求同时出现多选的数据;模式组之间是“或”关系,顺序匹配直到拒绝或全部放行6.文件过滤仅从url匹配文件名后缀,不识别内容,不支持无后缀名文件,如/etc/passwd7.文件过滤为黑名单形式,仅需配置拒绝名单8.新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm/.log等文件9.Jboss Struts2网站文件类型为.action/.do等,需要额外放通DLP服务器数据防泄密服务器保护策略3.服务器保护综合应用案例3.1.客户网络环境和客户需求3.2.配置思路3.3.配置截图服务器保护综合应用案例客户环境:客户环境:SG代理某客户网络拓扑如右图所示,公司内部有服务器群,其中网站服务器为172.16.1.10:8080,公司FTP服务器为172.16.1.11,服务器上存储了公司内部的资料。客户购买了SANGFOR AF设备部署在网络出口处,希望针对外网以及内网用户访问内网的服务器群进行保护,防止由于客户端的恶意访问而使公司的整个服务瘫痪。客户需求:客户需求:SG代理针对服务器:a.隐藏服务器的版本信息b.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等服务器保护综合应用案例配置思路:配置思路:SG代理(1)网络部署:配置eth1、eth2和eth3的网口信息以及划分区域、配置路由信息(包括8个0的默认路由和到内网网段的路由)(2)定义服务器群的IP组(3)防火墙配置:配置源地址转换、目的地址转换(4)内容安全配置:放通内网用户访问外网的权限,放通内网用户、外网用户访问HTTP服务器和FTP服务器的权限(5)服务器保护配置:a.隐藏服务器的版本信息 b.保护服务器,防止服务器遭受SQL注入、XSS、CSRF、系统命令注入攻击等等 (针对外网访问服务器和内网访问服务器都进行防护)服务器保护综合应用案例配置截图:配置截图:SG代理(1)网络部署(物理接口、区域、静态路由)服务器保护综合应用案例配置截图:配置截图:SG代理(2)定义服务器群IP组和上班时间时间计划组服务器保护综合应用案例配置截图:配置截图:SG代理(3)防火墙配置 有关源地址转换、目的地址转换的配置过程请参考防火墙功能培训PPT服务器保护综合应用案例配置截图:配置截图:(4)内容安全应用控制策略此时的源区域应该为内网区域和外网区域,如果内网区域和外网区域对服务器群的访问权限不同,可以分别建策略服务器保护综合应用案例配置截图:配置截图:SG代理(5)服务器保护建议勾选上所有的攻击防护注意:此时的端口需要和服务提供的端口保持一致,故修改web应用的端口为8080隐藏FTP和网站服务器的版本信息服务器保护综合应用案例问题思考2.敏感信息防护策略组内多个条件之间是什么匹配关系?多条策略之间又是什么匹配关系?1.FTP和HTTP的应用隐藏分别能够隐藏哪些信息?3.服务器保护主要包括哪几大模块?- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SANGFORNGAFv 渠道 初级 认证 培训 服务器 保护 ppt 课件
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文