《新一代防火墻技術(shù)及應(yīng)用》課件第3章 基本網(wǎng)絡(luò)配置及常見網(wǎng)絡(luò)環(huán)境部署

3.1基本功能介紹3.2基本網(wǎng)絡(luò)配置介紹3.3常見網(wǎng)絡(luò)環(huán)境部署1、部署模式NGAF具備靈活的網(wǎng)絡(luò)適應(yīng)能力，支持路由模式、透明模式、虛擬網(wǎng)線、混合模式、旁路部署，同時(shí)支持OSPF和RIP動態(tài)路由協(xié)議。路由模式透明模式混合模式旁路部署2、基于用戶和應(yīng)用的內(nèi)容安全控制支持IP/MAC(跨三層)認(rèn)證、本地密碼認(rèn)證、外部認(rèn)證、LDAP單點(diǎn)登錄等需要基于用戶和應(yīng)用做安全控制，要求對用戶進(jìn)行識別和對應(yīng)用進(jìn)行識別。NGAF具備全面的用戶認(rèn)證系統(tǒng)和海量的應(yīng)用識別特征庫。2、基于用戶和應(yīng)用的內(nèi)容安全控制基于SANGFOR多年應(yīng)用層的技術(shù)沉淀，NGAF具備海量的數(shù)據(jù)包應(yīng)用層識別特征庫，精準(zhǔn)識別用戶數(shù)據(jù)。超過1100種主流應(yīng)用（2013年12月）深度內(nèi)容識別智能識別2、基于用戶和應(yīng)用的內(nèi)容安全控制2病毒防御針對HTTP、FTP、POP3、SMTP進(jìn)行流殺毒，保護(hù)內(nèi)網(wǎng)用戶的上網(wǎng)安全4WEB過濾WEB管控，減少無關(guān)WEB應(yīng)用的訪問，提高內(nèi)網(wǎng)用戶的安全系數(shù)。例如：過濾釣魚網(wǎng)站、過濾惡意文件等。1應(yīng)用控制基于區(qū)域、用戶做應(yīng)用控制，減少不必要的訪問，滿足客戶對互聯(lián)網(wǎng)管控的需求。例如：禁止P2P下載、禁止網(wǎng)絡(luò)流媒體等。內(nèi)容安全控制四大功能3APT檢測發(fā)現(xiàn)和定位感染了病毒、木馬的機(jī)器，降低客戶端安全風(fēng)險(xiǎn)。同時(shí)記錄的日志有較高的可追溯性。內(nèi)容安全模塊

限制無關(guān)應(yīng)用，保障核心業(yè)務(wù)、核心用戶的帶寬優(yōu)化帶寬利用率，保障訪問穩(wěn)定性，減少無謂的擴(kuò)容成本流量管理3、帶寬管理基于應(yīng)用/網(wǎng)站/文件類型的智能流量管理動態(tài)帶寬分配P2P智能識別與靈活控制多線路復(fù)用與智能選路流量可視化4、IPS、DOS/DDOS防護(hù)、服務(wù)器保護(hù)IPS入侵防御系統(tǒng)(

intrusionpreventionsystem):不管是操作系統(tǒng)本身，還是運(yùn)行之上的應(yīng)用軟件程序，都可能存在一些安全漏洞，攻擊者可以利用這些漏洞發(fā)起帶攻擊性的數(shù)據(jù)包威脅網(wǎng)絡(luò)信息安全。AF檢查穿過的數(shù)據(jù)包，和內(nèi)置的漏洞規(guī)則列表進(jìn)行比較，確定這種數(shù)據(jù)包的真正用途，然后根據(jù)用戶配置來決定是否允許這種數(shù)據(jù)包進(jìn)入目標(biāo)區(qū)域網(wǎng)絡(luò)。根據(jù)客戶端和服務(wù)器的不同特性，分為客戶端漏洞和服務(wù)器漏洞。DOS/DDOS防護(hù)內(nèi)網(wǎng)防護(hù)：用于保護(hù)設(shè)備的安全外網(wǎng)防護(hù)：用于保護(hù)內(nèi)網(wǎng)的服務(wù)器免受來自外部的攻擊4、IPS、DOS/DDOS防護(hù)、服務(wù)器保護(hù)4、IPS、DOS/DDOS防護(hù)、服務(wù)器保護(hù)服務(wù)器保護(hù)專門針對客戶內(nèi)網(wǎng)的WEB和FTP服務(wù)器設(shè)計(jì)的防攻擊策略，服務(wù)器保護(hù)包括應(yīng)用隱藏、網(wǎng)站攻擊防護(hù)、口令防護(hù)、權(quán)限控制四部分功能。應(yīng)用隱藏FTP隱藏：客戶端登錄FTP服務(wù)器時(shí)，服務(wù)器通常會返回FTP服務(wù)器版本信息，攻擊者可以利用版本漏洞攻擊FTP服務(wù)器。通過隱藏FTP服務(wù)器返回客戶端的數(shù)據(jù)包相關(guān)信息保護(hù)服務(wù)器安全。HTTP隱藏：當(dāng)客戶端訪問WEB網(wǎng)站的時(shí)候，服務(wù)器會通過HTTP報(bào)文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會泄露代理服務(wù)器的版本信息，攻擊者可以利用服務(wù)器版本漏洞進(jìn)行攻擊。因此可以通過隱藏這些字段來防止攻擊。網(wǎng)站攻擊防護(hù)服務(wù)器保護(hù)系統(tǒng)命令注入防護(hù)SQL注入防護(hù)XSS攻擊防護(hù)CSRF攻擊防護(hù)網(wǎng)頁木馬防護(hù)網(wǎng)站掃描WEBSHELL文件包含攻擊目錄遍歷攻擊信息泄露攻擊服務(wù)器保護(hù)口令防護(hù)FTP弱口令防護(hù)：針對一些過于簡單的用戶名密碼登錄FTP進(jìn)行過濾。符合過濾條件的客戶端訪問將會被設(shè)備阻斷。需要到FTP服務(wù)器修改成符合規(guī)則的密碼或者修改防火墻口令規(guī)則設(shè)置來解決?？诹畋┝ζ平夥雷o(hù)：用于暴力破解密碼防護(hù)，可以針對FTP和HTTP服務(wù)器進(jìn)行防護(hù)文件上傳過濾：過濾客戶端上傳到服務(wù)器的文件類型，提高服務(wù)器的安全系數(shù)。URL防護(hù)：主要功能是權(quán)限開關(guān)。例如禁止某個(gè)URL，則其余的防攻擊等都無效，因?yàn)榭蛻舳硕紵o法訪問，更不會存在攻擊。如果此處允許某個(gè)URL，則上述設(shè)置的防攻擊等針對該URL都會無效，相當(dāng)于一個(gè)白名單。權(quán)限控制服務(wù)器保護(hù)服務(wù)器保護(hù)網(wǎng)站篡改防護(hù)風(fēng)險(xiǎn)分析1、對目標(biāo)IP進(jìn)行端口掃描并識別服務(wù)2、對指定服務(wù)進(jìn)行弱密碼掃描3、根據(jù)掃描結(jié)果生成安全策略風(fēng)險(xiǎn)分析效果截圖用戶A服務(wù)器群針對用戶A上網(wǎng)針對訪問服務(wù)器功能小結(jié)5、數(shù)據(jù)中心近一個(gè)月安全趨勢外網(wǎng)DOS攻擊統(tǒng)計(jì)WEB應(yīng)用防護(hù)統(tǒng)計(jì)網(wǎng)關(guān)殺毒統(tǒng)計(jì)具體行為日志數(shù)據(jù)中心可以用于查詢和統(tǒng)計(jì)各功能模塊產(chǎn)生的日志。例如可以查詢出WEB應(yīng)用防護(hù)阻斷的攻擊行為，以及可以查詢到攻擊源IP，目標(biāo)IP等詳細(xì)信息?？梢越y(tǒng)計(jì)出服務(wù)器在指定的時(shí)間內(nèi)受到多少次DOS攻擊等。

問題