当前位置:文档之家 › SANGFOR_AF_网页篡改防护解决方案V1.0

SANGFOR_AF_网页篡改防护解决方案V1.0

  • 格式:docx
  • 大小:123.03 KB
  • 文档页数:10

下载文档原格式

  / 10

合集下载

SANGFOR_AF_解决方案201107

SANGFOR_AF_解决方案201107

深信服NGAF解决方案深信服科技有限公司2011年7月4日第1章需求概述1.1背景介绍互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。

网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。

Web时代的安全问题已远远超于早期的单机安全问题,尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

目前更多的出现了以下的安全问题:投资成本攀升,运维效率下降许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。

购买的安全防护产品愈来愈多,问题也随之出现:大量的安全防护产品部署,需要大量专业安全管理人员负责维护,复杂的安全架构使得管理同样变得复杂化,由于企业采用了多套安全解决方案,这就要求有很多技术人员精通不同厂商的解决方案。

购买产品很简单,日常运维很复杂,这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。

而且不同厂商安全解决方案之间的协调性也有待商榷,当专业化的攻击和威胁来临时,这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。

对企业的管理者来说,如何降低管理成本、提高运维效率、提升企业安全水平,是目前最急待解决的问题。

“数据库泄密”、“网页遭篡改”等应用层安全事件频现2011年上半年,索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃,索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。

2011年5月10日上午消息,一些兜售廉价软件的黑客攻击了多个知名网站,包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。

SANGFOR_AF产品介绍

SANGFOR_AF产品介绍


高效精确的病毒检测能力
NGAF 提供先进的病毒防护功能,可从源头对 HTTP、FTP、SMTP、POP3 等协议流量中进行病毒查杀,也可查杀压缩包(zip,rar,gzip 等) 中的病毒。同时采用高效的流式扫描技术,可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。
智能 DOS/DDOS 攻击防护
特点
NGAF
涵 盖 传 统 安 全
测 检 容 内 向 双
下一代防火墙标准
URL

恶应 感
意用网信 特
信页息 息防防

拦隐篡泄
截藏改漏
深信服 NGAF 产品功能特点
精细的应用安全访问控制
可视化的应用识别
传统防火墙最主要的用途就是在非信任网络与信任网络通过访问控制实现安全管理。过去一个端口便代表了一个应用,防火墙的 问题并没有完全暴露出来。而随着应用程序的不断发展,采用端口跳跃、端口逃逸、多端口、随机端口的应用越来越多,使得传 统防火墙五元组的访问控制策略可读性、可视性,可控性受到巨大冲击,传统防火墙在 web2.0 时代已无法适应精细化访问控制的 需求。 NGAF 具有卓越的应用可视化功能,通过多种应用识别技术形成国内最大的应用特征识别库,可精确识别内外网的采用端口跳跃、 端口逃逸、多端口、随机端口的各类应用,为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。
NGAF 的统一威胁识别具备 2500+ 条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web 应用威胁特征库,可以全面识 别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库 CVE 严格的兼容性标准评审,获得 CVE 兼容性认证(CVE Compatible)。 深信服凭借在应用层领域 6 年以上的技术积累组建了专业的安全攻防团队,作为微软的 MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
SANGFOR_AF_安全防护方案建议模板v10

SANGFOR_AF_安全防护方案建议模板v10

SANGFOR_AF_安全防护方案建议模板v10深信服科技有限公司201X-XX-XX目录1 网络与应用环境面临的安全挑战41.1 应用多样化,端口的单一化41.2 黑客攻击方式和目的的变化41.3 端到端的万兆处理能力 52 传统安全设备日趋“无力”62.1 防火墙成为了“摆设” 62.2 IPS+A V+W AF补丁式的方案72.3 简单堆砌的UTM 73 下一代防火墙的产生与价值83.1 Gantner定义下一代防火墙83.2 深信服NGAF的特点与用户价值94 XXX网络安全现状104.1 网络与应用系统现状114.2 面临的内容安全威逼114.2.1 漏洞利用114.2.2 拒绝服务攻击和分布式拒绝服务攻击12 4.2.3 零时差攻击 134.2.4 间谍软件144.2.5 协议专门和违规检测144.2.6 侦测和扫描 154.2.7 Web入侵154.2.8 病毒木马165 NGAF安全加固解决方案165.1 总体方案165.2 数据中心服务器爱护175.3 广域网边界安全隔离与防护185.4 互联网出口边界防护196 深信服NGAF产品介绍206.1 更精细的应用层安全操纵20 6.2 更全面的内容级安全防护21 6.3 更高性能的应用层处理能力22 6.4 更完整的安全防护方案 23网络与应用环境面临的安全挑战应用多样化,端口的单一化在传统的网络安全建设中,为网络设置一个“尽职尽责”的门卫操纵应用访咨询的合法性依旧能够做到的。

因为,那时端口=应用、IP=用户,只要在交换机、路由器、防火墙做些基于“端口+IP”的访咨询操纵策略,就能够轻松实现用户的访咨询权限。

然而随着网络、应用的持续的进展,为了便于应用的跨平台、灵活部署,现在有成千上万种应用趋向于更少数的端口运行,差不多上基于HTTP 或者HTTPS协议(80、443端口)。

例如“快乐网”网站上能够运行159种应用程序(还在持续丰富)——谈天、游戏、图片分享等;“谷歌”的企业级应用套件甚至能够提供类似于Office、协作办公、视频分享如此的企业应用程序。

SANGFOR_AF_v6.2_新产品培训_20150518_yangtao

SANGFOR_AF_v6.2_新产品培训_20150518_yangtao



• •
网站防篡改2.0
注意事项
• • • 防篡改客户端与AF的部署模式无关,仅需客户端能与AF通 信即可,客户端生效后即使AF关机也不会失效 防篡改客户端的安装目录与进程有额外保护措施,无法直 接删除目录内文件,无法使用控制面板卸载防篡改客户端 防篡改客户端的卸载工具为安装目录中的tamper.exe,卸 载需要提供客户端密码 网站后台登陆防护支持旁路以外的其他部署模式,但当AF 做路由部署,网站内网端口与外网映射端口不一致时,邮 件认证后的跳转链接会错误跳转到内网端口,此时手动重 新打开网站后台网址即可,6.2R1预计改进

网站防篡改2.0
注意事项
• • • 防篡改客户端无法防护已存在的webshell对网站的修改, 测试前必须对网站目录进行webshell查杀 防篡改客户端的linux版本与webshell查杀功能合入预计将 在2015年下半年的AF新版本中提供 网站后台登陆防护由于是复用waf功能中的短信认证模块, 此功能产生的日志与直通标记为“用户登录权限防护”和 WAF,6.2R1版本预计改进 防篡改2.0只支持IPv4,不支持IPv6 防篡改2.0开启后,防火墙监听9000tcp端口与客户端通信 防篡改客户端仅记录拒绝动作,不记录允许动作
测试方法
• • • 对于所有操作系统的服务器均可演示后台登陆页面的邮件 认证 对于windows Server系统可以测试客户端防篡改软件,并 展示文件防篡改的效果 在客户真实网站的Windows服务器测试客户端防篡改前务 必对服务器目录进行webshell查杀
网站防篡改2.0
注意事项
• 客户端防篡改支持的系统有Windows 2003 x86/x64, Windows 2008 x86/x64,Windows 2008R2, Windows 2012,以上均为简体中文版 客户端防篡改暂不支持以上之外的操作系统,如linux、 windows 2000、windows XP、win7、win8等 防篡改客户端初始安装密码为admin,可跳过初次修改, 必须连接防火墙保证功能生效,防火墙可修改客户端密码 防篡改客户端内置了一部分常见web服务器的进程路径, 但不保证路径正确性,测试时务必测试网站上传文件与模 板编辑等修改文件的业务,若业务不正常,则查看客户端 日志页面,添加相应程序路径至白名单
SANGFOR_AF_白皮书V1.0-1108

SANGFOR_AF_白皮书V1.0-1108

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一一年八月目录1.概述 (3)2. 为什么需要下一代防火墙 (3)2.1网络发展的趋势使防火墙以及传统方案失效 (3)2.2替代性方案能否弥补 (4)2.2.1“打补丁式的方案” (4)2.2.2 UTM统一威胁管理 (4)3.下一代防火墙的诞生与价值 (4)3.1Gantner定义下一代防火墙 (4)3.2深信服下一代应用防火墙—NGAF (5)4.产品功能特点 (6)4.1更精细的应用层安全控制 (6)4.1.1可视化应用识别 (7)4.1.2多种用户识别方式 (7)4.1.3一体化应用访问控制策略 (8)4.1.4基于应用的流量管理 (9)4.2更全面的内容级安全防护 (10)4.2.1灰度威胁关联分析技术 (10)4.2.2基于攻击过程的服务器保护 (12)4.2.3强化的WEB安全防护 (13)4.2.4完整的终端安全保护 (14)4.3更高性能的应用层处理能力 (15)4.3.1单次解析架构 (15)4.3.2多核并行处理技术 (16)4.4更完整的安全防护方案 (16)5.关于深信服 (17)1.概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。

防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。

防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。

同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。

自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。

SANGFOR等保一体机5.0.0运维手册v1.0

SANGFOR等保一体机5.0.0运维手册v1.0

等保一体机5.0.0运维手册v1.0深信服科技有限公司目录1.关于文档 (2)2.等保一体机控制台登陆方式............................................错误!未定义书签。

3.等保一体机授权导入 (3)4.等保一体机安全架构配置................................................错误!未定义书签。

4.1.创建业务物理出口.............................................................错误!未定义书签。

4.2.创建安全应用 (15)4.3.自定义网络拓扑 (16)4.4.模板 (17)4.5.单点登陆 (18)5.等保一体机日常管理功能使用 (19)5.1.首页 (20)5.2.运营中心 (21)5.3.应用市场 (22)5.4.资源池 (18)5.5.系统管理 (22)6.常见问题 (29)1.关于文档介绍如何在日常工作中对等保一体机进行运维。

2.等保一体机控制台的登录方式等保一体机默认IP地址是10.251.251.251,将笔记本电脑配置一个10.251.251.0/24的IP,并与安装完成的主机eth0口直连。

在浏览器中输入https://10.251.251.251,并使用默认账号密码:admin/admin登录安全服务平台。

3.等保一体机授权导入当等保一体机授权需要更改的时候,可以在控制台“系统”——“平台授权”进行授权的更改,导入授权文件,授权文件为.cert格式的除了平台授权,部署安全应用还需要开相应的应用授权,否则没有应用授权创建不了安全应用。

因此,除了平台授权外,还需要导入相应的应用授权。

等保一体机支持安全应用列表为:安全应用应用规格AF下一代防火墙100M、200M、500M、1G、2G、3G、4G AD应用交付100M、200M、500M、1G、2G、3G、4G AC上网行为管理100M、200M、500M、1G、2G、3G、4G SSLVPN1-10000并发DAS数据库审计100M、200M、400MEDR1-2000并发10资产、20资产、50资产、100资产、OSM运维安全管理200资产、300资产、500资产20资产、50资产、100资产、LAS日志审计200资产、300资产、500资产50资产、100资产、BVT基线核查200资产、300资产、500资产20资产、50资产、100资产、聚铭日志审计200资产、300资产安全应用授权有效期包括安全应用功能有效期和服务有效期,功能有效期是永久的,但是服务有效期是有期限的,超出服务有效期,产品版本不能更新,规则库不能更新。

安恒网站卫士网页防篡改系统操作手册

安恒网站卫士网页防篡改系统操作手册

安恒网站卫士网页防篡改系统操作手册目录1产品简介······················································································································ 1-1 2登录防篡改管理系统······································································································· 2-12.2 注销 ························································································································2-22.3 主题 ························································································································2-32.3.1 黑色风格主题····································································································2-32.3.2 Metro风格 ·······································································································2-32.4 关于 ························································································································2-4 3监控频道······················································································································ 3-43.1 组查询······················································································································3-53.2 监控端查询················································································································3-5 4监控端管理··················································································································· 4-64.1 组管理······················································································································4-64.1.2 添加················································································································4-64.1.3 查询················································································································4-64.1.4 删除················································································································4-74.1.5 查看编辑··········································································································4-74.2 监控端管理················································································································4-84.2.2 立即激活··········································································································4-84.2.3 取消激活··········································································································4-94.2.4 查询················································································································4-94.2.5 删除·············································································································· 4-114.2.6 批量分组········································································································ 4-114.2.7 绑定模板········································································································ 4-114.2.8 解除模板········································································································ 4-124.2.9 查看编辑········································································································ 4-134.2.10 监控端配置 ··································································································· 4-134.2.11 发布端配置 ··································································································· 4-224.3 模板配置管理··········································································································· 4-254.3.1 添加·············································································································· 4-254.3.2 查询·············································································································· 4-264.3.3 删除·············································································································· 4-274.3.4 编辑查看········································································································ 4-27i / 78安恒网站卫士网页防篡改系统操作手册4.3.5 绑定模板········································································································ 4-274.3.6 模板配置········································································································ 4-28 5发布端管理··················································································································5-355.1 发布端管理·············································································································· 5-355.1.1 查询·············································································································· 5-355.1.2 删除·············································································································· 5-365.1.3 编辑查看········································································································ 5-365.1.4 发布端配置····································································································· 5-375.2 发布日志················································································································· 6-385.2.1 查询·············································································································· 6-385.2.2 删除·············································································································· 6-395.2.3 快速查询········································································································ 6-39 6日志···························································································································6-386.1 篡改日志················································································································· 6-386.1.1 查询·············································································································· 6-406.1.2 删除·············································································································· 6-406.1.3 快速查询········································································································ 6-416.1.4 导出·············································································································· 6-416.2 攻击日志················································································································· 6-416.2.1 查询·············································································································· 6-426.2.2 删除·············································································································· 6-426.2.3 快速查询········································································································ 6-426.2.4 导出·············································································································· 6-436.3 事件日志················································································································· 6-436.3.1 查询·············································································································· 6-436.3.2 删除·············································································································· 6-446.3.3 快速查询········································································································ 6-446.3.4 导出·············································································································· 6-44 7报表···························································································································7-457.1 报表 ······················································································································ 7-457.1.1 篡改日志报表·································································································· 7-457.1.2 攻击日志报表·································································································· 7-49 8系统管理·····················································································································8-538.1 服务器状态·············································································································· 8-538.2 用户信息················································································································· 8-548.2.1 修改admin帐号 ······························································································ 8-54ii / 78。

SANGFOR_AF_等保场景 配置指导手册说明书

SANGFOR_AF_等保场景 配置指导手册说明书

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付,协助用户满足GB/T-22239-2019等保三级的相关技术要求,特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域(三级系统域)增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求:1)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;配置步骤:1、点击【网络】-【接口/区域】。

SANGFOR_NGAF_v7.1_2017年度渠道初级认证培训07_网页防篡改2.0

SANGFOR_NGAF_v7.1_2017年度渠道初级认证培训07_网页防篡改2.0


如果说这台服务器上安装了深信服的防篡改2.0客户端会有什么不一
样的效果呢?
防篡改2.0客户端效果展示
黑客操作: 1.暴力破解3389端口,拿到客户的远程桌面密码 2.远程到客户的web服务器上 3.开始修改web代码重新给网站做一个恶意主页……这个时候!
创建文件……不行! 修改文件……还是不行!
删除文件……依然不行!
防篡改2.0客户端效果展示
黑客继续操作:
1.肯定有一个软件在做防护,找出这个软件…… 2.找到了原来是深信服的防篡改客户端,那我就卸载掉他
3.先尝试结束进程,然后在卸载程序
结束进程
需要密码才能卸载……放弃
进程又出来了!
没有卸载程序! 找到程序路径
防篡改2.0客户端效果展示
客户端和NGAF设备都支持拒绝日志查看
•在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站
目录文件进行的操作,不允许的程序无法修改网站目录内的内容
防篡改2.0二次认证相关界面
新增网站后台防护,防止黑客登录网站管理后台与FTP
NGAF6.2_网站防篡改 2.0 测试指导专题
背景说明
网页防篡改功能最早在 AF2.1 版本推出,主打网关形式缓存网站数据,并通 过代理页面数据,对比本地缓存的方式鉴别篡改是否发生,并在 AF4.6 版本添加 了缓存页面还原功能。然而网关版防篡改功能由于误判漏判情况严重, 更新网站 要额外手动触发防火墙更新缓存等问题导致此项功能反馈不佳, 为了解决这些遗 留问题,基于客户端版本的网站防篡改 2.0 在 AF6.2 版本推出,有望成为 AF 的 强有力卖点。
SANGFOR NGAF 基本网络配置介绍
Jan, 2017
培训内容
SANGFOR_NGAF_V6.6_2016年度渠道高级认证培训03_网页防篡改2.0

SANGFOR_NGAF_V6.6_2016年度渠道高级认证培训03_网页防篡改2.0

5. 若网站本身有webshell未删除,则防篡改客户端无法拦截webshell的文件 篡改行为
6. 防篡改客户端无法通过控制面板-卸载程序进行卸载,需要使用安装目录中 的tamper.exe进行卸载,卸载需要输入客户端密码
问题思考
1. 防篡改2.0能否防止已被黑客植入webshell的网页修改? 2. 防篡改2.0客户端是否支持Linux操作系统?
SANGFOR NGAF 网页防篡改2.0
培训内容 NGAF网页防篡改2.0
培训目标
1. 掌握网页防篡改2.0测试方法 2. 了解防篡改2.0排错及常见问题
网页防篡改2.0测试
SANGFOR NGAF
网页防篡改深2信.0服排公错司及简常介见问题
NGAF 网页防篡改2.0
1.1网页防篡改2.0测试 1.2网页防篡改2.0排错及常见问题
在初级的培训教材中我们介绍了网页防篡改2.0版 本产生的背景和原因这里就不做过多的陈述。
网页防篡改2.0的配置步骤分以下两部: 1.配置二次认证 2.安装客户端防篡改软件
1 网页防篡改2.0---二次认证
1. 服务器地址填写需要做二次认证的服 务器IP
2. 网站后台登录方式需要填写访问端口 及网站管理URL例如:如果后台访问 地址是 /amdin/ 那么则需要如图填写
2. 邮件认证即需要通过邮件验证码形式 发送邮件附件填写到页面上才能访问 管理员后台。
3. 如果两种认证方式都不勾选则默认全 部拒绝。
1 网页防篡改2.0---二次认证
如果使用了邮件认证则必须在WEBUI【系统】---【邮件服务器】配置发件人
1 网页防篡改2.0---二次认证
配置完成后访问上述管理页面会出现如下形式
2 网页防篡改2.0---防篡改客户端
SANGFOR_AF_产品介绍V1.0-1106

SANGFOR_AF_产品介绍V1.0-1106

产品概述:深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境,同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术,提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护,形成2-7层一体化安全防护解决方案。

内网数据中心可视化安全内部数据中心建设往往会因为安全性的考虑,而串行部署多种安全设备,从而造成了增加单点故障、出现性能瓶颈、流量不清晰、设备管理复杂、风险无法及时定位等问题。

深信服NGAF通过一体化的应用管控、应用防护,以及智能风险报表等功能,可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。

对外发布系统一体化安全防护近年来,金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。

这些暴露在公众面前的业务系统,面临着多样的安全威胁,一旦被入侵或者篡改了数据就会损坏企业形象,造成经济损失、负面的政治影响等问题。

深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。

高效的广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多,而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付,病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。

深信服NGAF先通过应用防护功能模块过滤掉各种垃圾流量,再通过可视化应用引擎针对关键业务进行多级带宽保障,为用户打造流量纯净、网络稳定、终端安全的广域网安全互联解决方案。

SANGFOR_AF_一纸通V1.0-1108

Sangfor NGAF 销售一纸通一、什么是下一代应用防火墙NGAF?NGAF英文为Next-Generation Appplication Firewall下一代应用防火墙。

NGAF是面向应用层设计,能识别用户、应用和内容,具备完整安全防护能力的高性能下一代防火墙。

NGAF的特点:用户和应用识别能力基于应用内容的安全检查在应用层实现高性能涵盖传统防火墙、IPS的主要功能,内部能够实现联动客户需求问题:应用为王的网络时代,应用无法识别、无法管控,无法制定有效、简便的安全策略深入内容的应用层攻击,看似正常访问,却泄露关键信息,比如针对Web服务器攻击用户增多、带宽扩容,想要管理集中、功能全面,并能满足日益增长的带宽要求传统设备无法满足:传统防火墙无法识别应用,无法防御应用层威胁传统IPS、AV应用安全设备无法深入内容,防御威胁种类单一,需要组合使用传统UTM仅仅将FW、IPS、AV简单整合多次拆包多次解析性能低下NGAF解决办法:识别用户、应用,有效管控应用,防御应用攻击,制定基于用户与应用的安全策略深入内容的安全防护,有效过滤风险内容,具备更完整的安全防护功能单次解析构架、多核并行处理有效提升应用层性能满足带宽要求四点价值:更精细的应用层安全:贴近国内应用、持续更新的应用识别规则库识别内外网超过650种应用、1000种动作(截止于2011年8月1日)支持包括AD域、Radius等8种用户身份识别方式面向用户与应用策略配置,减少错误配置的风险更全面的内容级安全防护:基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全,支持多种注入防范、XSS攻击、权限控制等完整的终端内容防护,支持web过滤、漏洞/病毒防护等更高性能的应用层处理能力:单次解析架构实现报文一次拆解、匹配多核并行处理技术提升应用层计算能力实现真正应用层万兆处理能力更完整的安全防护方案涵盖传统防火墙/VPN、IPS所有功能,并能够实现内部联动二、NGAF应用场景主要应用场景:对外发布业务安全保护:部署在网银、网上报税、网上营业厅、电子商务等系统出口,防止黑客入侵,保护关键业务和客户隐私信息,避免损害单位形象,造成经济损失;内网数据中心安全保护:部署在单位内部的财务、ERP、OA等服务器前面,精细控制访问权限,防止非法访问,防止企业机密信息被窃取,保障核心业务获取必要的带宽资源。

SANGFOR_AF_公安监控网络安全防护需求推广指导_1506

公安监控网络安全防护需求推广指导需求背景目前,各地市正在大力推进平安城市建设,平安城市的使用主体是公安部门,一般分为三个级别,自下而上分别为派出所、区县、市。

通过部署高清摄像头,对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控,预防违法犯罪事件发生,同时为事后取证提供保证。

这种监控网络通过专线控制下面数量众多的视频探头,探头采集视频数据并实时生成IP数据,同步传输到公安系统统一的存储区域,方便公安机构进行分析调用。

由于这些探头分属于很多不同的区域,并且由所在区域进行管理,当大量分散的IP探头接入网络中,极易造成IP地址冲突的问题。

同时,这些分散的监控体系也引入了很多风险节点,诸如IP视频探头、监控中心、网络传输节点、三方调用平台、公安体系终端等等都可能成为攻击的入口。

需求分析IP地址冲突:在城市的重要、热点区域部署大量IP摄像头,不仅能够有效预防违法犯罪事件发生,同时为事后取证提供保证,为平安城市建设提供了有效保障。

由于这些探头数量多,分布广,并且各个单位或社区都自主管理区域内的视频探头,因此造成了设备管理的分散和不统一,相同的IP地址可能被多个分支区域的设备使用,因而在接入公安系统统一平台后,就造成IP地址冲突的问题,导致传输数据中断,网络通信异常,甚至对应用系统造成威胁。

安全形势严峻:由于监控平台和管理终端的安全防护比较薄弱,很容易被黑客入侵、控制,进而影响整个公安内网的安全,导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。

同时,这些分散的监控体系也引入了诸多风险节点,如IP视频探头、监控中心、数据中心、网络传输节点、三方调用等等,都可能成为黑客入侵的入口。

近年不断爆出的国内视频监控设备存在漏洞,甚至被境外IP控制的事件,就充分的说明了监控体系严峻的网络安全形势,这些不仅对单位形象有损害,还可能泄漏核心机密数据,造成不可估量的经济、政治损失。

传统方案冗杂低效、防护不力:为了解决IP地址冲突,并实现网络边界隔离和公安系统内网保护,传统的做法是在每个接入公安局的网络前端部署传统防火墙设备,但接入的分支较多,导致要部署管理多台独立防火墙,不仅拥有成本高昂,还对部署管理和维护带来不便。

SANGFOR_AF_功能列表V1.0-1106

项目指标网关模式网桥模式混杂模式管理界面告警管理排障工具设备资源信息流量状态安全状态包过滤与状态检测抗攻击特性NAT功能IPSec VPN功能应用识别应用访问策略威胁检测机制威胁检测引擎防护攻击类型防护对象分类漏洞描述策略制定特征库数量防躲避深信服SIPS漏洞防护应用访问控制策略部署方式网关管理实时监控防火墙/VPN功能处理动作Web攻击防护Web服务隐藏策略制定其他应用防护访问权限控制病毒引擎防护类型病毒库数量处理动作URL过滤文件类型过滤ActiveX过滤脚本过滤多线路技术虚拟多线路应用流控网站流控文件流控时间控制目标IP流控本地认证第三方认证双因素认证IP、MAC认证公用账户账户有效期强制AD认证认证失败用户管理流量管理新用户认证单点登录页面跳转服务器防护病毒防护WEB安全防护认证后公告帐户导入组织结构用户状态查询IP服务路由服务数据中心日志分级审查统计报表趋势报表汇总报表汇总对比报表指定对比报表IPS\服务器防护统计病毒信息统计危险行为报表风险智能报表流速趋势报表报表订阅报表导出网络协议日志管理信服Sangfor NGAF下一代应用防火墙功能列表具体功能要求支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;同时开启支持网关和网桥模式支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障;提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员处理安全事件;可以提供静态的包过滤和动态包过滤功能。

支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET 、MMS、PPTP等; 传输层协议:TCP、UDP支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP 绑定功能。

Sangfor_AF_安全防护方案建议v

02
随着网络技术的快速发展和黑客 攻击手段的不断演变,AF需要不 断更新和优化安全防护策略,以 确保企业网络的安全性。
防护方案目的和意义
目的
通过实施本安全防护方案,提高AF系统的安全性、稳定性和可靠性,降低安全风险和减少潜在的经济损失。
意义
本方案将为企业用户提供更加全面、高效和智能的安全防护,有助于保障企业业务的正常运行和数据的安全。
定期备份安全设备的配置和日 志,以便在发生故障时迅速恢
复。
实施效果评估
性能评估
评估安全设备的性能,确保其能够满足客户 网络的需求。
可用性评估
评估安全设备的可用性,确保其稳定运行并 具备高可用性。
安全性评估
对防护方案进行安全性评估,发现并解决潜 在的安全风险。
用户满意度
收集用户反馈,了解他们对安全防护方案的 满意度和改进意见。
经过评估,发现安全防 护方案存在以下主要风 险
由于网络环境的复杂性 ,安全防护方案可能面 临各种网络攻击,如拒 绝服务攻击、恶意软件 感染等。
安全防护方案可能存在 数据泄露漏洞,攻击者 可以利用这些漏洞窃取 敏感信息。
安全防护方案可能存在 性能瓶颈,影响系统正 常运行。
应对措施建议及实施计划
应对措施建议
身份与访问管理
实施严格的身份验证和访 问控制机制,确保只有合 法用户能够访问敏感数据 。
安全审计
对关键应用程序进行安全 审计,确保应用程序不存 在安全漏洞。
数据层安全防护设计
数据加密
对敏感数据进行加密存储,防止数据泄露和非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略,确保数据不会因意外情况而丢 失。
05
安全防护方案运维及管理

SANGFOR_AF_产品简介V1.0-1108

Gartner定义下一代防火墙源引自:Gartner《Defining the Next-Generation Firewall》一、防火墙必须演进防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。

随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。

不断增长的带宽需求和新应用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式。

安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。

为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall,简称NGFW)”的产品。

如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

二、什么是NGFW?Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性:1.支持联机“bump-in-the-wire”配置,不中断网络运行。

2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。

IPS与防火墙的互动效果应当大于这两部分效果的总和。

例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。

深信服AF学习笔记

深信服AF学习笔记第1章设备管理1.1. 管理1、NGAF设备通过MANAGE⼝登录进⾏管理,MANAGE⼝IP:10.251.251.251 MANAGE⼝IP地址10.251.251.251不可修改(可以在MANAGE⼝添加多个IP地址)。

所以即使忘记了其他接⼝的IP,仍然可以通过MANAGE⼝出⼚IP登录NGAF设备。

2、升级包回复密码,U盘恢复(只恢复密码,不会恢复⽹络配置)U盘格式必须为FAT323、开启直通之后,认证系统、防⽕墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击和异常数据报⽂检测、NAT、流量审计、连接数控制除外) 均失效。

4、物理接⼝三种类型:路由接⼝、透明接⼝和虚拟⽹线接⼝三种类型第2章基本⽹络配置2.1. 路由接⼝5、接⼝WAN属性:部分功能要求出接⼝是WAN属性,⽐如流控、策略路由、VPN外⽹接⼝等。

6、添加下⼀跳⽹关并不会产⽣0.0.0.0默认路由,需要⼿动添加路由7、接⼝带宽设置于流控⽆关,主要⽤于策略路由根据带宽占⽤⽐例选路,流控的需要重新设定。

8、实时检测接⼝的链路状态功能,以及多条外⽹线路情况下,某条线路故障,流量⾃动切换到其它线路功能,均需开启链路故障检测。

9、WAN属性的接⼝必须开启链路故障检测功能,⾮WAN属性⽆需开启。

10、路由接⼝是ADSL拨号⽅式,需要勾选“添加默认路由”选项11、Eth0为固定的管理⼝,接⼝类型为路由⼝,且⽆法修改。

Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24⽆法删除。

2.2. 透明接⼝12、透明接⼝相当于普通的交换⽹⼝,不需要配置IP地址,不⽀持路由转发,根据MAC地址表转发数据。

部分功能要求接⼝是WAN属性,当接⼝设置成透明WAN⼝时,注意设备上架时接线⽅向,内外⽹⼝接反会导致部分功能失效。

2.3. 虚拟⽹线接⼝13、虚拟⽹线接⼝也是普通的交换接⼝,不需要配置IP地址,不⽀持路由转发,转发数据时,⽆需检查MAC表,直接从虚拟⽹线配对的接⼝转发。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

深信服网页篡改防护解决方案深信服科技有限公司2013年8月29日目录深信服网页篡改防护解决方案................................................................................- 1 -1应用背景.............................................................................................................- 3 -2需求分析.............................................................................................................- 3 -3深信服网页篡改防护解决方案.........................................................................- 4 -3.1方案概述 ..................................................................................................- 4 -3.2解决方案 ..................................................................................................- 5 -3.2.1网关型的网页防篡改,对服务器零消耗、零影响....................- 5 -3.2.2深度内容检测技术,可解析网站交互流量中隐藏的威胁........- 5 -3.2.3典型的Web攻击防护,防止Owasp十大web安全威胁 ........- 6 -3.2.4基于应用的漏洞防御,有效防止服务器漏洞利用攻击............- 6 -3.2.5多种匹配方式,灵活适合动静态网页篡改防护........................- 6 -3.2.6网站防护深度自定义,适应各行业网站特点............................- 7 -3.2.7丰富的篡改类型识别,可防护黑客的任意篡改形式................- 7 -3.2.8独立的网站更新通道,实现安全管理与业务更新两权分立....- 8 -3.2.9网站更新通道短信认证,提升网站更新通道的安全性............- 8 -3.2.10多种方式的篡改快照,可清晰界定网页内容合法性...............- 8 -3.2.11多种篡改应急处理机制,确保用户访问网站连续性...............- 8 -3.2.12快速及时的报警方式,便于应急响应并及时修复...................- 9 -4关于深信服.........................................................................................................- 9 -1应用背景近年来,网站安全事件数量不断攀升,网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2012年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2011年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。

CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2011年大幅上升,排名由第三位上升至第二位。

而网站安全问题进一步引发网站用户信息和数据的安全问题。

2012年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。

”2需求分析网站是网络中被访问最多的一种服务,也是最容易遭受攻击的。

网站直接代表着政府、企业的形象,一旦页面被篡改,将导致企业、政府形象和无形资产的巨大损失。

这种攻击方式和攻击后果屡见不鲜。

根据Gartner 的调查,信息安全攻击有75% 都是发生在Web 应用层,2/3的Web 站点都相当脆弱,易受攻击。

而针对web的攻击往往隐藏在大量的正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。

即使部署了层层的应用安全防护设备,网页还是被篡改了!这是因为安全防护并不能百分之百的确保所有攻击都被拦截,因为也不能确保网页不被篡改。

聪明的黑客甚至会利用最新的“0”day漏洞获取服务器权限,篡改网页。

基于此类现象和问题,按照各行业对网站及发布业务安全性的要求,对于网站的安全防护主要需要解决的问题和具备的防篡改措施如下:1、具备防护篡改网站各类攻击的完整安全防御体系。

包括针对web应用程序的web攻击;针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等;针对网站服务器群的系统漏洞利用攻击等攻击手段。

防止网页篡改需要具备从网络到系统再到应用层面的各类安全威胁的防护能力;2、具备事后验证网页内容发布合法性的检查。

一切发布于互联网或者内网用户的网页内容需要经过篡改与否的合规性检验,防止绕过防御体系潜入网站篡改网页的风险和管理员账号被窃取后正常发布的非法内容发布;3、具备网站更新人员的强认证通道,也便于网站更新业务的正常运转。

由于网站更新人员和安全设备管理人员通常不会是同一个部门,为了方便网站更新业务的正常运转,需要给网站内容维护人员一个专门的通道用于界定更新网站内容、界定网站内容是否为篡改行为。

同时为了增强该通道的安全性,需要增加强认证机制,比如短信认证、2次认证等手段以保证网站更新人员的合法性。

4、具备篡改后应急处理机制。

网页被篡改后,需要有良好的善后保障措施和业务承接能力。

以便于网站用户访问网站的连续性。

因此网页篡改防护需要能够提供动态防护L2-L7层的攻击,被攻击了也有篡改判定机制做到事后补偿的保护手段,确保网页不被篡改;同时需要具备篡改后应急响应的机制,即使网页内容被篡改了也不会发布与众。

3深信服网页篡改防护解决方案3.1方案概述深信服网页防篡改解决方案是网站的守护者,针对网站提供双重的防御体系。

深信服网页防篡改解决方案提供针对L2-L7层网站攻击的完整安全防御能力。

其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层安全威胁的问题,弥补了IPS入侵防护系统无法防护web攻击的弱点,弥补了基于web应用的WAF无法防止底层漏洞攻击的缺陷,为用户提供完整的网站应用层安全防护方案;此外深信服网页防篡改解决方案提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题,保护网站的完整性。

3.2解决方案3.2.1网关型的网页防篡改,对服务器零消耗、零影响深信服网页防篡改解决方案无需在服务器上装任何插件,对服务器性能无任何损耗,对服务器本身的生产环境无需做任何修改,是通过集成在设备中的防篡改技术的完整解决方案。

可适用于各种复杂的网站建设场景,可通过路由、网桥部署于网络中,不改变网络及网站服务器的原有环境,对于网站已经建设完成需要增强安全防御能力以及防篡改能力的网站尤为适合,针对安装于服务器上的防篡改软件或需要在服务器上安全插件的防篡改系统,具有很明显的优势。

深信服防篡改解决方案只需要管理员预先在控制台设置好需要防护的网站,设置后,系统会向该网站请求页面并且缓存到设备。

当用户访问网站的时候,数据经过防篡改系统,防篡改系统会根据预先缓存的页面与用户访问的页面进行比对,如有变动,则判断为篡改,跳转到指定页面并且通知管理员。

深信服防篡改系统的样本采样模块会将首次获取到的防护页面作为基准页面,通过一定时间反复或者通过手动更新轮询方式更新采集网站的样本,再次之后获取的页面为轮询页面。

采样得到的基准页面与轮询页面将通过模块中的检测算法进行轮询的检测与匹配。

若经过算法计算的基准页面与轮询页面出现不一致时,则判定网页存在篡改的风险,通过提交管理员审核的方式判定更新内容是合法更新还是非法篡改。

3.2.2深度内容检测技术,可解析网站交互流量中隐藏的威胁深信服防篡改解决方案具备深度的内容检测技术,通过该技术可以解析用户端到服务端完整的http请求,可解析在网站交互流量中隐藏的威胁并予以防御。

相对于纯软件的防篡改系统具有防攻击特性的优势,防止黑客入侵服务器获取服务器权限后,可随意将防篡改软件关闭,或者修改的风险。

深度内容检测技术实现对HTTP/HTTPS协议的深入解析,精确识别出协议中的各种要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,可以精确的检测其是否包含威胁内容。

而传统的IPS基于DPI深度数据包解析技术,只能实现在网络层数据包层面进行重组还原及特征匹配,无法解析基于HTTP协议的内容分析,很难有效检测针对web应用的攻击。

而具备简单web攻击防护的IPS,仅仅是基于简单的特征检测技术,存在大量的漏报误报的信息。

作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤。

3.2.3典型的Web攻击防护,防止Owasp十大web安全威胁该方案有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。

(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

3.2.4基于应用的漏洞防御,有效防止服务器漏洞利用攻击该方案漏洞防御功能可有效防止利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。

3.2.5多种匹配方式,灵活适合动静态网页篡改防护深信服网页篡改防护解决方案可能实现动态、静态网页的篡改检测,通过两种匹配方式对网页篡改进行检测与匹配。

一般情况下纯静态网页,则选择[精确匹配],全动态页面的网站选择[模糊匹配-灵敏度低],静/动态网页都有的网站可选择[模糊匹配-灵敏度高]或者[模糊匹配-灵敏度中]。