专业务实学以致用计算机网络安全技术与实施SANGFORNGAF基本功能介绍专业务实学以致用培训内容培训目标NGAF产品的产生背景1.了解NGAF产品的产生背景NGAF基本功能介绍1.掌握SANGFORNGAF产品的基本功能:部署模式、内容安全控制、流量管理、防攻击特性、数据中心新手上路1.掌握如何登录到NGAF的控制台2.掌握如何恢复NGAF设备的出厂配置3.掌握如何通过直通功能快速恢复业务专业务实学以致用NGAF产品的产生背景NGAF基本功能介绍深信服公司简介新手上路SANGFORNGAF专业务实学以致用防火墙需要更新换代•传统的防火墙基于包头信息•可是却无法分辨应用及其内容•也不能区分用户•更无法分析记录用户的行为网络发展的趋势——防火墙需要更新换代网络在改变•网络已经深入日常生活•1、大量的新应用建立在HTTP/HTTPS标准协议之上•2、许多威胁依附在应用之中传播肆虐•3、Gartner报告:75%的攻击来自应用层•攻击的多样化、黑客平民化仅80端口上的应用就有N种,防火墙如何限制?专业务实学以致用投资高:功能有重合,多种设备堆砌维护成本高:空间、人力效率低:机场安检总排长队维护复杂:独立管理,安全风险无法分析2004年,UTM诞生。替代性方案——补丁式设备堆叠由于防火墙功能单一出现了“串糖葫芦式”的部署方式UTM简单的叠加,性能是最大的瓶颈。FWIPSAVWAFUTM专业务实学以致用Gartner定义下一代防火墙基本防火墙功能集成式入侵防御可视化应用识别智能防火墙高性能Gartner定义下一代防火墙专业务实学以致用网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽保障OA合法业务带宽限制应用安全防护WEB安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处理统一签名统一策略报文一次匹配潜在威胁漏洞防护服务器防护病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证NAT抗攻击深信服下一代防火墙——功能特点VPN专业务实学以致用NGAF如何满足网络对防火墙的要求专业务实学以致用NGAF基本功能介绍部署模式基于用户和应用的内容安全控制带宽管理IPS、服务器保护、DOS/DDOS防护数据中心专业务实学以致用部署模式NGAF具备灵活的网络适应能力,支持路由模式、透明模式、虚拟网线、混合模式、双机(VRRP)、同时支持OSPF和RIP动态路由协议。路由模式透明模式混合模式VLANIP:202.96.137.75GW:202.96.137.1ServerA:202.96.137.76GW:202.96.137.1PC:192.168.1.2/24GW:192.168.1.1LAN192.168.1.1双机部署专业务实学以致用基于用户和应用的内容安全控制支持IP/MAC(跨三层)认证、本地密码认证、外部认证、LDAP单点登录等需要基于用户和应用做安全控制,要求对用户进行识别和对应用进行识别。NGAF具备全面的用户认证系统和海量的应用识别特征库。专业务实学以致用基于用户和应用的内容安全控制基于SANGFOR多年应用层的技术沉淀,NGAF具备海量的数据包应用层识别特征库,精准识别用户数据。超过700种主流应用深度内容识别智能识别专业务实学以致用基于用户和应用的内容安全控制2病毒防御•针对HTTP、FTP、POP3、SMTP进行流杀毒,保护内网用户的上网安全3WEB过滤•WEB管控,减少无关WEB应用的访问,提高内网用户的安全系数。例如:过滤钓鱼网站、过滤恶意脚本、过滤恶意插件等。1应用控制•基于区域、用户做应用控制,减少不必要的访问,满足客户对互联网管控的需求。例如:禁止P2P下载、禁止网络流媒体等。内容安全控制三大功能专业务实学以致用限制无关应用,保障核心业务、核心用户的带宽优化带宽利用率,保障访问稳定性,减少无谓的扩容成本流量管理带宽管理基于应用/网站/文件类型的智能流量管理动态带宽分配P2P智能识别与灵活控制多线路复用与智能选路流量可视化专业务实学以致用IPS、DOS/DDOS防护、服务器保护IPS入侵防御系统(intrusionpreventionsystem):不管是操作系统本身,还是运行之上的应用软件程序,都可能存在一些安全漏洞,攻击者可以利用这些漏洞发起带攻击性的数据包威胁网络信息安全。AF检查穿过的数据包,和内置的漏洞规则列表进行比较,确定这种数据包的真正用途,然后根据用户配置来决定是否允许这种数据包进入目标区域网络。根据客户端和服务器的不同特性,分为客户端漏洞和服务器漏洞。专业务实学以致用DOS/DDOS防护内网防护:用于保护内网用户上网的安全外网防护:用于保护内网的服务器免受来自外部的攻击IPS、DOS/DDOS防护、服务器保护专业务实学以致用IPS、DOS/DDOS防护、服务器保护服务器保护专门针对客户内网的WEB和FTP服务器设计的防攻击策略,服务器保护包括应用隐藏、网站攻击防护、口令防护、权限控制四部分功能。应用隐藏FTP隐藏:客户端登录FTP服务器时,服务器通常会返回FTP服务器版本信息,攻击者可以利用版本漏洞攻击FTP服务器。通过隐藏FTP服务器返回客户端的数据包相关信息保护服务器安全。HTTP隐藏:当客户端访问WEB网站的时候,服务器会通过HTTP报文头部返回客户端很多字段信息,例如Server、Via等,Via可能会泄露代理服务器的版本信息,攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。专业务实学以致用网站攻击防护服务器保护系统命令注入防护SQL注入防护XSS攻击防护CSRF攻击防护网页木马防护网站扫描WEBSHELL文件包含攻击目录遍历攻击信息泄露攻击专业务实学以致用服务器保护口令防护FTP弱口令防护:针对一些过于简单的用户名密码登录FTP进行过滤。符合过滤条件的客户端访问将会被设备阻断。需要到FTP服务器修改成符合规则的密码或者修改防火墙口令规则设置来解决。口令暴力破解防护:用于暴力破解密码防护,可以针对FTP和HTTP服务器进行防护专业务实学以致用文件上传过滤:过滤客户端上传到服务器的文件类型,提高服务器的安全系数。URL防护:主要功能是权限开关。例如禁止某个URL,则其余的防攻击等都无效,因为客户端都无法访问,更不会存在攻击。如果此处允许某个URL,则上述设置的防攻击等针对该URL都会无效,相当于一个白名单。权限控制服务器保护专业务实学以致用用户A服务器群针对用户A上网URL过滤应用控制脚本插件过滤网关杀毒DOS防护IPS针对访问服务器应用控制:减少不必要的访问,保护服务器安全。服务器保护:SQL注入攻击,XSS攻击等DOS防护:DDos攻击(ip、端口扫描、洪水攻击、协议报文攻击)IPS防护:漏洞攻击(针对服务器操作系统、软件漏洞)功能小结用户认证流量管理用户认证:未授权访问,拒绝非法用户流量。专业务实学以致用数据中心近一个月安全趋势外网DOS攻击统计WEB应用防护统计网关杀毒统计具体行为日志数据中心可以用于查询和统计各功能模块产生的日志。例如可以查询出WEB应用防护阻断的攻击行为,以及可以查询到攻击源IP,目标IP等详细信息。可以统计出服务器在指定的时间内受到多少次DOS攻击等。专业务实学以致用新手上路如何登录NGAF设备控制台?如何恢复NGAF设备出厂配置?如何使用直通功能快速恢复业务?NGAF型号介绍专业务实学以致用如何登录NGAF设备控制台?NGAF设备通过MANAGE口登录进行管理,MANAGE口IP:10.251.251.251。登录方法:使用一根交叉线连接设备的MANAGE口和电脑网卡,电脑配置一个10.251.251.0/24网段的IP地址(10.251.251.251除外),确保电脑和设备MANAGE口IP在同网段后,在电脑的浏览器中输登录设备的网关控制台,控制台默认的账号密码为admin/sangfor注意:MANAGE口IP地址10.251.251.251不可修改(可以在MANAGE口添加多个IP地址)。所以即使忘记了其他接口的IP,仍然可以通过MANAGE口出厂IP登录NGAF设备。专业务实学以致用如何恢复NGAF设备出厂配置?第一步:首先登录深信服官方网站下载升级客户端5.0,安装到PC客户端。第二步:下载NGAF升级包(需要确保升级包版本与设备当前版本一致,R版本也必须保持一致,例如1.0R1的设备只能用1.0R1的升级包恢复,不能用1.0R2版本的升级包)。确认方法:在登录控制台界面点击“查看版本”,查看当前的版本信息与下载的升级包是否一致。第三步:打开网关升级与备份系统。第四步:加载第2步中的NGAF升级包。第五步:点击【系统】-【直接连接】,输入设备IP地址和密码(dlanrecover)连入设备。第六步:点击【升级】-【恢复默认配置】,如有提示,点击“是”,即可恢复出厂配置。详细截图操作示范请查看《网关升级客户端5.0操作指南》专业务实学以致用NGAF型号介绍型号电口(个数)SFP千兆光口(个数)万兆光口(个数)AF-10204无无AF-11104无无AF-11204无无AF-12106无无AF-13206无无AF-16206无无AF-17208无无AF-202082无AF-302064无AF-4020104无AF-602084无AF-702084无AF-80208无2NGAF设备常见型号以及网口个数如下表专业务实学以致用问题思考请说出NGAF设备支持的部署模式有哪些?请问FTP隐藏有什么作用?原理是什么?请问NGAF设备是否支持病毒过滤功能?NGAF设备忘记了接口IP地址怎么办?如何登陆设备?专业务实学以致用