NGAF典型应用场景及案例
SANGFOR NGAF 2012年度渠道初级认证培训03_.
DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等
设置。 DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址 转换功能没有此限制。
专业务实 学以致用
DNS mapping
PC向DNS服务器请求的ip
dns服务器返回的ip是2.2.2.3
外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网
的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet) 内网防护:主要用来防止设备自身被DOS攻击。
专业务实
学以致用
DOS/DDOS防护
外网防护配置介绍:
自定义名称和描述
选择DOS/DDOS攻击发 起方所在的区域 若设备在每秒单位内接口收 到源区域所有地址的ARP包 选择需要进行 超过阈值时,则会被认为是 不同的数据包类型,攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾择需要进 攻击 方法和设备的检测方法都 测 的数据包类型, 文侦测的 TCP 协议报 若设备在每秒单位内收到 行异常报文 不一样,可根据需求选择 并配置检测阈值, 文类型。。 来自源区域的单个IP地址/ 侦测的IP协 数据包类型。 当设备在每秒单位 端口扫描包个数超过阈值, 议报文类型 配置外网防护时,除内容里特别注明不能勾 注意:“ IP数据块分片传 内收到来自源区域 则会被认为是攻击 选的项外,其它均可以勾选,勾选后,请注 输防护”建议不要勾选 访问同一个目标IP 点击可选择 配置完成,点击确定保存 意设置好阈值,建议使用默认的阈值。 的数据包超过所设 DOS/DDOS攻击防护 置的阈值时,则会 类型 被认为是攻击。 点击可选择数据 配置完成,点 包攻击防护类型 击确定保存 点击确定,保存配置 点击可选择IP协议报文防护类 每目的IP激活阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 型 点击可选择TCP协议 激活阈值时,则 启用Syn-cookie代理。 每目的IP丢包阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 报文防护类型
★深信服AF应用防火墙NGAF产品培训资料
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
SANGFOR下一代防火墙
0
技术支持说明
为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效 的获得技帮助你快速的完成部署、安装 SANGFOR 设备。如果快 速安装手册不能满足您的需要, 您可以到 SANGFOR 技术论坛或官网获得电子版的完整版 用户手册或者其他技术资料,以便你获得更详尽的信息。
4.
致电 SANGFOR 客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的 技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使 用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。
SANGFOR 技术论坛:/forum
公司网址:
技术支持服务热线:800830643(固话)、 4008306430(手机、固话均可拨打)
邮箱:support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 ..............................................................................................
(完整word版)深信服下一代防火墙NGAF与传统FW功能对比
FW:粗糙的管理模式,使得IT主管经常考虑“如何禁止最有效”;
NGAF:不但可以阻断非法流量,还可以针对放行流量的优先级别进行带宽保障,确保关键业务流量有限转发,稳定运行
用户信息收集
可作为策略元素之一在日地址会给网络管理带来很大难度;
状态检测技术:基于端口和协议,应用协议经常误识别。
FW:应用与端口或协议无关;
NGAF:具有应用完全可视性及细粒度控制
应用流量处理模式
主动控制:只允许合法的流量,阻止所有非法流量
应用层QoS:提供针对应用细分的带宽保障,确保关键业务的优先处理,如自动识别出OA、视频、系统升级等流量,并给予8M以上带宽
强化的服务器防护
NGAF提供针对服务器提供全面应用防护,如缓冲区溢出、SQL注入、密码破解、应用探测、跨站脚本等
没有
针对网络上部署的关键业务系统服务器提供全面的防护,避免服务器被攻击而导致业务终端
性能
单通道并行扫描机制,实现应用层万兆级性能,微妙级延时
网络层万兆级性能
NGAF:高性能、低延时,确保实时性要求高的业务稳定运行
NGAF:基于用户和组的应用管理,使得分支机构运维更加智能和简便。
应用层安全防护功能
NGAF可以提供漏洞防护、病毒过滤、恶意Web内容等应用层威胁流量进行全面的检测和过滤,可以防护2000+种漏洞、20万种以上的恶意内容过滤
没有
FW:无法针对合法应用中的威胁流量进行深度检测和处理
NGAF:针对数据包的L2-L7进行全面的过滤和检测,防止终端病毒通过广域网进行传播,阻塞有限的广域网带宽。
深信服下一代防火墙NGAF与传统FW功能对比
NGAF
深信服下一代防火墙NGAF方案白皮书
深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长,年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来,随着互联网+、业务数字化转型的深入推进,各行各业都在加速往互联网化、数字化转型。
业务越来越多的向公众、合作伙伴,第三方机构等开放,在数字化业务带给我们高效和便捷的同时,信息暴露面的增加,网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加,面对应对层出不穷的新型安全事件如网站被篡改,被挂黑链,0 day 漏洞利用,数据窃取,僵尸网络,勒索病毒等等,传统安全建设模式已经捉襟见肘,面临着巨大的挑战。
问题一:传统信息安全建设,以事中防御为主。
缺乏事前的风险预知,事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案,关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的,如果能在事前做好预防措施以及在时候提高检测和响应的能力,安全事件发生产生的不良影响会大幅度降低,所以未来,融合安全将是安全建设发展的趋势。
问题二:传统安全建设是拼凑的事中防御,缺乏有效的联动分析和防御机制传统安全建设方案,搜集到的都是不同产品碎片化的攻击日志信息,只能简单的统计报表展示,并不能结合业务形成有效的资产安全状态分析。
SANGFOR_NGAF_v7.1_2017年度渠道初级认证培训07_网页防篡改2.0
如果说这台服务器上安装了深信服的防篡改2.0客户端会有什么不一
样的效果呢?
防篡改2.0客户端效果展示
黑客操作: 1.暴力破解3389端口,拿到客户的远程桌面密码 2.远程到客户的web服务器上 3.开始修改web代码重新给网站做一个恶意主页……这个时候!
创建文件……不行! 修改文件……还是不行!
删除文件……依然不行!
防篡改2.0客户端效果展示
黑客继续操作:
1.肯定有一个软件在做防护,找出这个软件…… 2.找到了原来是深信服的防篡改客户端,那我就卸载掉他
3.先尝试结束进程,然后在卸载程序
结束进程
需要密码才能卸载……放弃
进程又出来了!
没有卸载程序! 找到程序路径
防篡改2.0客户端效果展示
客户端和NGAF设备都支持拒绝日志查看
•在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站
目录文件进行的操作,不允许的程序无法修改网站目录内的内容
防篡改2.0二次认证相关界面
新增网站后台防护,防止黑客登录网站管理后台与FTP
NGAF6.2_网站防篡改 2.0 测试指导专题
背景说明
网页防篡改功能最早在 AF2.1 版本推出,主打网关形式缓存网站数据,并通 过代理页面数据,对比本地缓存的方式鉴别篡改是否发生,并在 AF4.6 版本添加 了缓存页面还原功能。然而网关版防篡改功能由于误判漏判情况严重, 更新网站 要额外手动触发防火墙更新缓存等问题导致此项功能反馈不佳, 为了解决这些遗 留问题,基于客户端版本的网站防篡改 2.0 在 AF6.2 版本推出,有望成为 AF 的 强有力卖点。
SANGFOR NGAF 基本网络配置介绍
Jan, 2017
培训内容
深信服NGAF典型部署案例与上架问题参考手册
深信服N G A F典型部署案例与上架问题参考手册公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]NGAF典型案例与上架问题快速参考手册目录案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选 wan口(2)配置WAN口,设置为路由口,选择wan口。
(3)设置区域,一个接口属于一个区域,如图:(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。
)(5)配置源地址转换,即代理上网功能。
源区域选择lan,目标区域选择wan。
源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。
(6)设置目的地址转换(即对外发布服务)。
源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。
(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。
所有映射条目如下图:(8)映射设置完毕后,需要放通相应的应用控制策略。
注意:做双向映射后,应当放通lan-lan的规则。
(9)配置流控模块1. 先配置虚拟线路,如图所示:2. 配置正确的线路带宽,将WAN区域的接口设置为外出接口,本例中eth2为WAN口,如下图:3. 设置流控策略,设置流控策略基本和AC一致。
SANGFOR_NGAF_V4.7_2014年度渠道初级认证培训03_常见网络环境部署
ETH3
ETH2
服务器IP段 200.200.200.20/24 GW:200.200.200.1/24
ETH1
6、路由模式(wan口路由口,内网服务器有 公网IP,启用ARP代理)
arp代理功能,该拓扑图,必须选择eth3
7、旁路模式
旁路模式部署AF,AF仅仅支持的 功能有WAF(web应用防护),IPS( 入侵防护系统),和DLP(数据库泄 密防护,属于WAF内,其余功能均不 能实现,例如Vpn功能,网关 (smtp/pop3/http)杀毒,DOS防御,网站 防篡改,Web过滤等都不能实现。 部署思路: 1、连接旁路口eth3到邻接核心交换机 设备 2、连接管理口并配置管理ip 3、启用管理口reset功能
9、混合模式部署案例
配置截图:
1. 设置物理接口eth1、eth2和eth3:
9、混合模式部署案例
2. 设置VLAN接口:
问题思考
1. 设备路由模式部署,lan口对端的交换机端口属性是trunk,则设备lan有哪几 种配置方式? 2. 简单描述一下混合模式各个接口的配置? 虚拟线路部署配置接口时的注意事项?
混合模式部署,主要指AF的各个网口 ,既有2层口,又有3层口的情况。特 别是当DMZ区域服务器集群需要配置 公网IP地址的时候 部署思路: 1、服务器eth3和公网区域接口eth2配 置成2层口,放到2层区域 2、内网口eth1配置为路由口 3、新建一个和eth2以及eth3对应vlan的 3层区域接口并配置公网ip地址。 用于代理内网方向上网及内网区域与 服务器区域、外网区域策略控制
5、虚拟线路
6、路由模式(wan口路由口,内网服务器有 公网IP,启用ARP代理)
上文提及需求是公网IP必须配置在服 务器上面的另外一种配置方法,这就 是全路由模式部署。 部署思路: 1、接口都配置为路由口,然后采用arp 代理的方式实现服务器区域和公网网 关的互相通讯。
深信服防火墙路由接口配置案例
深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口,代理内网上网,像一个路由器一样部署在网络中,如下图所示:配置案例:某用户网络是跨三层的环境,购买NGAF 设备打算部署在公网出口,代理内网用户上网,公网线路是光纤接入固定分配IP 的。
第一步:通过管理口(ETH0) 的默认IP 登录设备。
管理口的默认IP 是10.251.251.251/24 ,在计算机上配置一个相同网段的IP 地址,通过https://10.251.251.251 登录设备。
第二步:配置外网接口,通过『网络』→『接口/区域』,点击需要设置成外网接口的接口,如eth2,出现以下页面:接口[类型]选择路由。
[基本属性]可以设置是否为WAN 口和允许PING。
如果是WAN 口,是否与IPSEC VPN 出口线路匹配。
连接上行链路的接口需要勾选WAN 口。
[区域]选择接口eth2 所属的区域。
区域需要提前设置,本例将ETH2 划入WAN 区域,对于区域的设置请参考章节3.3.1.5 区域设置。
选择配置IPv4 地址:[连接类型]包括静态IP、DHCP、ADSL 拨号三种,根据该线路的特征进行配置,如果选择静态IP,需要填写好IP 地址/掩码以及下一跳网关;如果该接口是DHCP 自动获得地址,则设置DHCP;如果线路是ADSL 拨号,则配置好拨号所需的用户名、密码和其他拨号参数。
静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式,后一种形式表示同步网口配置时,不同步IP 地址,“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。
本案例中外网接口连接的是静态IP 的光纤线路,所以选择静态IP,并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。
[线路带宽]设置公网链路的上下行带宽。
点击可以修改带宽单位,包括KB/s,MB/s,GB/s。
[链路故障检测]用于检测链路的好坏。
SANGFOR_NGAF_安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NGAF常见应用场景及典型案例
安徽卫生厅全省卫生综合管理平台建设
安徽省卫生厅计划完成全省各县的卫生综合管理平台的建设,由于各县级单位资金有限、网络管理人员资源不足,选择一款安全最佳、功能最全、投资最优、运维最简便的安全产品是各县级单位考虑平台安全建设的重点。
深信服NGAF为各县管理平台提供针对服务器风险的2-7层一体化安全解决方案,有效保障管理平台安全的同时,简化了组网、方便了运维、节约了投资,为各县级市投资利益最大化提供了最优的解决方案。
目前全省已成功部署10多台,后续其他各县市也将陆续部署深信服NGAF下一代应用防火墙。
贵阳市地方税务局实现互联网出口统一安全防护
贵阳市地方税务局的网络规划本着“简化组网,节约投资”的原则,内网办公区域互联网的出口与现网网站规划同一互联网出口。
由于内网办公区终端的不可控性,很容易导致位于同一互联网出口的WEB门户网站的安全及响应速度问题。
根据贵阳地税的特殊网络环境和需求,深信服为贵阳地税信息中心提供深信服NGAF互联网一体化安全解决方案。
通过在核心交换前端部署一台深信服NGAF,将WEB门户网站服务器与内网终端进行有效的隔离,进行有效的终端管控与WEB服务器安全防护,有效的解决了贵阳地税面临的门户网站安全问题,保障门户网站可用带宽的同时,解决了内网办公区终端面临的风险问题。
新疆联通大客户高流量互联网出口
中国联合网络通信有限公司新疆维吾尔自治区分公司为给其大客户提供安全、稳定的互联网接入业务,同时确保大客户门户网站访问的安全性。
通过在大客户的互联网出口和服务器前端部署2台高性能的NGAF设备,提供应用管控、服务器防护、终端内容过滤等功能,可满足未来5年8G以上流量,10000人以上并发的高性能需求。
目前已部署上线、稳定运行。
陕煤集团门户网站安全建设
陕煤集团门户网站是对外发布信息的窗口,是广大用户办理业务的便捷通道。
但门户网站却面临越来越严峻的WEB安全形势,诸如注入攻击、跨站攻击、DDOS攻击、脚本攻击、暴力破解等安全事件屡见不鲜。
而已经部署的防火墙、IPS等设备在应对WEB攻击时显得力不从心,如何做好网站安全建设成为陕煤集团信息中心今年的首要任务。
通过在防火墙后方透明部署深信服下一代应用防火墙,为陕煤集团门户提供基于攻击过程的Web安全防护解决方案。
从WEB攻击扫描、入侵、破坏三个过程关注WEB系统安全,同时提供丰富的日志报表帮助陕煤集团信息中心维护网站安全。
重庆百事达实现网站安全防护及流量带宽保障
重庆百事达汽车有限公司是一家以汽车贸易和服务为主营业务的大型民营企业。
除了常规的营销,网络订购、网络代理也成为重庆百事达销售额主要来源之一,因此网站的安全以及体验也从一定意义上影响着公司的销售额。
而由于门户网站与上网终端同属一个出口,有限的带宽、巨大的访问量以及P2P的泛滥给百事达IT部门带来巨大的压力。
深信服NGAF下一代防火墙的部署,将WEB服务器单独划分DMZ区进行强化的WEB安全防护,并制定带宽保障策略,使得网站维护达到安全、高效、稳定的效果,提升了用户访问体验。
同时通过应用管控的功能,限制大量非法、存在风险的互联网应用,保证内网的纯净,使IT部门的压力降到了最低。
河北农业大学打造园区网出口安全和审计方案
河北农业大学园区网建设过程中遇到如下几个棘手的问题:如何将宿舍网络、教务系统网络、互联网进行安全隔离的基础上实现资源共享?如何切断来自互联网的安全威胁?如何审计互联网非法言论的发布?针对这几个问题,深信服提供了下一代应用防火墙和上网行为管理的互联网出口解决方案。
将河北农业大学园区网的几个重要组成部分合理的划分了安全域,有效保证了各个网络的独立性;针对教务系统服务器提供漏洞防护、服务器防护等功能,保障教务系统的安全;通过上网行为管理有效的解决了互联网安全审计的难题,有效的控制了来自互联网的安全风险。