★深信服AF应用防火墙NGAF产品培训资料
3.2015深信服产品销售培训课程AFV2_201503
•
典型需求: – 在线考试、电子商务、网上政务、网银 – 门户网站 – 政府年度网站安全检查 – 小型互联网电商
三、数据中心场景
数据中心
高效可靠
可视化管理
数据保护
来自广域网的威胁 核心问题
来自局域网的跳板攻击
数据中心L2-7层
应用价值:
• 高效完整的安全防护 • 简化运维,策略直接匹配 • 可实现虚拟化安全部署
潜伏已久
外部
内部
攻击防护不是100%的,外发数据才是黑客核心目标
新形势下传统解决方案已经失效
IPS 可视性差 分析复杂
AV 管理困难
WAF 效率低下
下一代防火墙应运而生
可视
双向
智能
高效
L2-7层可视、完整的威胁识别
真正的“可视”——理解网络中的应用、应用中的威胁,威胁带走的数 据内容,并能简单易懂的呈现,才是真正的安全可视化!
单一的防火墙 多产品组合 UTM概念 下一代防火 墙
•
一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职 工作,可采取多家安全厂商联盟的方式来解决;
•
另一种观点认为,把防火墙做得尽量的胖,把所有安全功能尽可能多地附加 在防火墙上,成为一个集成化的网络安全平台。
安全产品发展历程
1995 1995 2000
实时扫描
检测业务流量
实时发现漏洞
让本没有商机的客户产生立项动机
数据中心及重点业务系统
• 与行业系统建设并行
– 卫生:卫生综合管理平台XX省卫 生厅28万,各卫生局接入,明年 二期地市及县级建设。13年产出 400万 – 医院:系统等级保护建设,达州 医院产出40万 – 社保:社保金融一卡通系统建设, 一个地市就有上千万预算,其中 安全有300万 – ……
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
3XXXX深信服产品销售培训课程AFV2_XXXX03
用户
应用
内容
威胁
差异化优势在于
• 通过可视化报表不仅能够全面呈现用户和业务的安全现状还能帮助用户快速定位安全问题 • 没有攻击行为也可以找到业务中潜在的风险
双向防护、完整安全
——不仅仅需要防护外部攻击,并且要检查服务器/终端外发流量是否有风险
数据内容检测
L2-L7攻击防护
差异化优势在于 弥补了传统安全设备只防外不防内的漏洞 可检测服务器外发数据是否有攻击、泄密或篡改
SOC效 果差!
并且缺乏外发数据检测
潜伏已久
外部
内部
攻击防护不是100%的,外发数据才是黑客核心目标
新形势下传统解决方案已经失效
可视性差
IPS 分析复杂
AV 管理困难
WAF 效率低下
下一代防火墙应运而生
可视
双向
智能
高效
L2-7层可视、完整的威胁识别
真正的“可视”——理解网络中的应用、应用中的威胁,威胁带走的数 据内容,并能简单易懂的呈现,才是真正的安全可视化!
200.200.0.20
非信任网络
192.168.1.1
信任网络
两大核心功能: • 访问控制ACL:端口/IP的控制,实现安全域或者权限划分 • 地址转换NAT:公网/私网地址转换,隐藏内网地址
大部分路由交换已涵盖传统防火墙的主要功能!
入侵防御/检测系统
在线防御
• IPS又称为“虚拟补丁”
旁路检测
– 管理员不用每台服务器打补丁
– 不影响业务、减少人工成本
• 基于特征的被动防护机制
• 评估好坏的标准:
– 特征库数量 (≥3000条)
– 更新频率 (每周一次,评估官网更新)
SANGFOR_AF_产品介绍V1.0-1106
产品概述:深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。
弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。
通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。
与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境,同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术,提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护,形成2-7层一体化安全防护解决方案。
内网数据中心可视化安全内部数据中心建设往往会因为安全性的考虑,而串行部署多种安全设备,从而造成了增加单点故障、出现性能瓶颈、流量不清晰、设备管理复杂、风险无法及时定位等问题。
深信服NGAF通过一体化的应用管控、应用防护,以及智能风险报表等功能,可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。
对外发布系统一体化安全防护近年来,金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。
这些暴露在公众面前的业务系统,面临着多样的安全威胁,一旦被入侵或者篡改了数据就会损坏企业形象,造成经济损失、负面的政治影响等问题。
深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。
高效的广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多,而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付,病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。
深信服NGAF先通过应用防护功能模块过滤掉各种垃圾流量,再通过可视化应用引擎针对关键业务进行多级带宽保障,为用户打造流量纯净、网络稳定、终端安全的广域网安全互联解决方案。
初级认证培训防火墙
决方法展示出来。
功能小结
用户认证 URL过滤 网关杀毒 DOS防护 IPS
针对用户A上网
应用控制 流量管理
用户认证:未授权访问,拒绝非法用户流量
应用控制:减少不必要的访问,保护服务器 安全 服务器保护:SQL注入攻击,XSS攻击等
针对访问服务器
DOS防护: DDos攻击(ip、端口扫描、 洪水攻击、协议报文攻击) IPS防护:漏洞攻击(针对服务器操作系统、 软件漏洞)
如何使用直通功能快速恢复业务?
如果上架设备后发现应用不正常,而上架设备前正常。可以使用直通功能快速恢 复客户业务,相当于软件BYPASS功能。开启直通之后,认证系统、防火墙、内、 容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击 和异常数据报文检测、NAT、流量审计、连接数控制除外) 均失效。设置方法如下:
投资高:功能有重合,多种设备堆 砌 维护成本高:空间、人力 效率低:机场安检总排长队 维护复杂:独立管理,安全风险无 法分析
2004年,UTM 诞生。
UTM简单的叠加,性能是最大的瓶颈。
Gartner定义下一代防火墙
基本防火
墙功能
高性能
集成式入
Gartner 定义下一 代防火墙
侵防御
服务器保护
SQL注入防护
XSS攻击防护
WEB整站系统漏洞防护
信息泄露攻击防护
网站扫描防护 Webshell防护
网站攻击防护
目录遍历攻击防护
文件包含攻击防护
系统命令注入防护
跨站请求伪造防护
注:支持自定义规则
服务器保护
口令防护
FTP弱口令防护:针对一些过于简单的用户名密 码登录FTP进行检测,以提醒客户系统存在弱口 令风险。
深信服防火墙NGAF渠道高级认证培训02_常见攻击测试_2
1.3 了解XSS攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting),XSS是一种经 常出现在web应用中的计算机安全漏洞,它允许恶意web用户将 代码植入到提供给其它用户使用的页面中。其主要目的通常是窃 取用户信息、诱使客户访问恶意或钓鱼网站、抓取肉鸡等。 XSS漏洞按照攻击利用手法的不同,有以下三种类型:
以虚拟环境测试步骤为例: 1、搭建网络测试环境; 2、准备好工具或手工进行攻击; 3、配置NGAF对WAF防御策略; 4、检查NGAF攻击防护日志以及攻击方攻击情况。
1、搭建网络测试环境
首先搭建NGAF的测试环境。本例以较常见的透明模式部署为 例。攻击方PC位于NGAF外网口方向,web服务器位于内网口 方向。配置相应接口区域及放通应用控制,定义SQL注入防御 策略。另外需要确保web应用防护库最新。
攻击实施 依赖与之前的信息收集,我们已经知晓目标服务器的数据库类型、 系统版本等信息,可以针对性得发起相应的攻击测试。本例中,我 们采用常见的渗透分析工具IBM Rational Appscan工具来进行攻击 检测。
3、配置NGAF对WAF防御策略
4、检查NGAF攻击防护日志以及攻击方攻击情况
1.6 信息泄露攻击测试方法
信息泄漏攻击的测试方法相对较简单,其实不需要server 上真实存在文件,直接在AF上设置信息防泄漏策略后,按照提 交网址请求文件就可以看到拒绝效果了。 测试步骤: 1、搭建网络测试环境; 2、配置NGAF对信息泄漏防御策略; 3、进行带有信息泄漏攻击特征的操作; 4、检查NGAF攻击防护日志。
问题思考
1.简述一下XSS攻击的种类?
2. 描述XSS&SQL注入攻击的测试步骤?
攻击数据出现在哪里? Web提交数据一般有两种形式,一种是get,一种是post。 Get的特点,提交的内容经过URI编码直接在url栏中显示,比如: Post提交的特点,提交的内容不会直接显示在url部分,会在 post包的data字段中,比如:
SANGFOR AC_防火墙功能
3. 勾选发布服务器,允许内网用户以外网IP访问内网服务器
端口映射典型应用案例及配置
端口映射应用案例配置步骤:
内网服务器的真 实IP地址
公网地址是WAN1 IP为:202.96.137.75 口的地址,“外 网接口”选择 WAN1口 内网服务器的 真实发布端口访问的数 公网访问用户源
访问的数据包目标
代理上网典型应用案例及配置
代理192.200.1.0/24和192.200.2.0/24网段上网配置步骤:
“外接网口”即转换 后的数据从哪个网 口转发出去
即转换成转发 完成第一条 数据的外接网 代理两个网段上 “代理网段” 规则设置。 网的规则设置。 口的地址 即需要转换 哪些地址
完成本例要求的
端口映射典型应用案例 及配置
防火墙基本功能介绍 代理上网典型应用案例及配置
SANGFOR AC
端口映射典型应用案例及配置
练练手深信服公司简介
防火墙基本功能介绍
SANGFOR AC防火墙基本功能介绍
1.防火墙规则 防火墙规则是控制设备各个网 口转发数据的开关。
这里设置的规则可基于IP和端
口进行数据包的转发控制,和 传统的四层防火墙相似。 HTTP HTTPS
IP丌固定据目标端 口是TCP 8000
服务器在AC的LAN口 下,转换源IP就选择 LAN1口地址。
端口映射典型应用案例及配置
端口映射规则设置注意事项:
1. 在配置端口映射规则时,建议勾选“防火墙自动放行数据”。如果
这个选项丌勾选,那么也必须通过手动配置放通防火墙规则,否则
端口映射会丌成功。 2. 只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选
外网和工厂内网的用户均通过
AF培训演练指导
AF培训演练指导演练问题及参考答案,请主管随机挑选销售人员上台,抽取下面的问题对他进行提问,让他现场回答。
必问问题7道:1.你们防火墙做了几年了?产品稳定性怎样?答:我们的下一代防火墙已经推出市场2年时间,目前已经积累了2000多家客户,其中包括200多家高端用户,比如最高人民法院、海关总署以及招商银行等等;产品的稳定性方面您可以放心,深信服目前已经有12年的应用层产品开发经验,对于产品稳定性保障,已经形成了一套完善的体系,我们的防火墙经受住了运营商、高校以及电子政务网这三个网络环境最复杂行业的考验,目前产品稳定运行于多个复杂网络环境,比如湛江移动的UAP云平台和湖南农业大学校园网出口。
我们的产品还运行在金融行业的网银交易系统,比如招商的网银平台。
稳定性方面,您可以放心。
2.我们的天融信防火墙用了这么多年,也没有出现问题,你们的下一代防火墙和它比有什么不同?答:主任/某工,您看,您的防火墙部署上去之后,不知道您没有去看过它的日志,从它的日志上,你能清楚的知道内网是否存在网络攻击吗?能比较直观的展现哪些服务器和终端有安全风险吗?根据我们和其他用户的了解,答案是否定的。
也就是说其实上了防火墙之后并不是网络里面就没有攻击了,而是它根本就没法找到隐藏的攻击。
而下一代防火墙能够真正让您的业务安全可视化,上线之后,可以让你真正了解您的业务和终端是否存在安全问题。
3.你们讲的这些针对传统防火墙的优势,有什么方法能证明吗?答:主任/某工,按照我们的经验,建议您直接把下一代防火墙部署在传统防火墙后面,直接看两台设备的安全日志,看看下一代防火墙是否发现了传统防火墙没有发现的安全风险就能证明了。
4.我们的方案已经规划了FW、IPS和WAF,你们的下一代防火墙的专业性能比得过吗?答:我们的下一代防火墙在IPS和W AF领域的专业性,已经达到业界领先水准,在IPS方面,我们获得了CVE的认证,并参与了微软MAPP计划,在W AF方面,我们获得了国际上WEB安全最权威的组织OWASP的四星认证,达到国内厂商的最高水平。
SANGFOR_NGAF_安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
深信服防火墙培训
L2/L3网络、高可用 性(HA)、配置管理 、报告
多设备叠加=多功能假集成=貌合神离
下一代防火墙
基本防火
墙功能
高性能
集成式入
定义下一 代防火墙
侵防御
智能防火 墙
可视化应 用识别
深信服下一代防火墙——功能特点
网络安全
可视化应用管控
应用识别 流量管控 核心业务 带宽保障 漏洞防护 OA
全面应用安全 应用安全防护 WEB安全防护 病毒防护
路由模式
透明模式
混合模式
旁路部署
基于用户和应用的内容安全控制
需要基于用户和应用做安全控制,要求对用户进行识别和对应用进行 识别。AF具备全面的用户认证系统和海量的应用识别特征库。
支持IP/MAC(跨三层) 认证、本地密码认证、 外部认证、LDAP单点 登录等
基于用户和应用的内容安全控制
基于SANGFOR多年应用层的技术沉淀,AF具备海量的数据包应用层识别 特征库,精准识别用户数据。
报文一次 匹配
AF如何满足网络对防火墙的要求
NGAF基本功能介绍
1.部署模式 2.基于用户和应用的内容安全控制
3.带宽管理
4.IPS、WEB应用防护、网站篡改防护、风险分析、 DOS/DDOS防护 5.数据中心
部署模式
AF具备灵活的网络适应能力,支持路由模式、透明模式、虚拟网线、混 合模式、旁路部署,同时支持OSPF和RIP动态路由协议。
百个公积金账户的详
细信息被泄漏到网上 ,包括公积金账户姓
名、身份证号、公积
金余额、所在单位等 一览无遗。
• 启示:web漏洞利用、防泄密不容忽视
网络ห้องสมุดไป่ตู้展的趋势——防火墙需要更新换代
深信服防火墙 手册
深信服防火墙手册摘要:一、深信服防火墙简介二、深信服防火墙的主要功能三、深信服防火墙的配置与使用四、深信服防火墙的维护与管理五、深信服防火墙的安全策略六、深信服防火墙的性能优化七、深信服防火墙的常见问题与解决方法八、总结与展望正文:深信服防火墙作为现代网络安全的重要组成部分,旨在保护企业网络免受外部威胁,确保数据安全和业务稳定运行。
本文将从深信服防火墙的简介、主要功能、配置与使用、维护与管理、安全策略、性能优化、常见问题与解决方法等方面进行全面介绍,以帮助读者更好地了解和应用深信服防火墙。
一、深信服防火墙简介深信服防火墙是我国一款知名的网络安全产品,凭借其强大的安全防护能力和易用性,赢得了广泛的市场份额。
深信服防火墙适用于各种规模的企业和组织,可以有效防御针对企业网络的攻击,如DDoS攻击、Web应用攻击、端口扫描等。
二、深信服防火墙的主要功能1.防病毒和恶意软件:深信服防火墙可以对通过网络传输的数据进行实时监控,有效防止病毒、木马和其他恶意软件的入侵。
2.防火墙策略:深信服防火墙支持多种防火墙策略,如允许、拒绝、报警等,可根据企业网络需求进行灵活配置。
3.VPN功能:深信服防火墙支持VPN功能,可实现远程用户和分支机构的安全接入,保障数据传输的安全性。
4.流量控制和优化:深信服防火墙具备流量控制功能,可有效防止网络拥塞,提高网络性能。
5.入侵检测和防御:深信服防火墙能够实时检测网络中的异常流量和攻击行为,并进行防御和报警。
6.用户认证和权限管理:深信服防火墙支持用户认证和权限管理功能,确保网络资源的安全使用。
三、深信服防火墙的配置与使用1.硬件安装:根据设备说明书进行硬件安装,确保设备正常运行。
2.软件配置:通过Web界面或命令行方式进行防火墙的配置,包括接口配置、安全策略配置、VPN配置等。
3.策略设置:根据企业网络需求,设置允许、拒绝、报警等防火墙策略。
4.登录认证:配置用户名和密码,实现对防火墙的远程管理。
深信服防火墙 手册
深信服防火墙手册(原创实用版)目录1.深信服防火墙简介2.深信服防火墙的功能特点3.深信服防火墙的应用场景4.深信服防火墙的使用方法与配置5.深信服防火墙的维护与升级正文一、深信服防火墙简介深信服防火墙(简称:深信服 FW)是一款由我国知名网络安全企业深信服科技股份有限公司自主研发的高性能、高可靠性的网络安全防护设备。
深信服防火墙凭借其强大的安全防护能力,广泛应用于政府、金融、教育、医疗等各个行业的网络环境中,有效保障了用户的网络安全。
二、深信服防火墙的功能特点1.防火墙功能:深信服防火墙可以实现对网络中的各种攻击行为进行有效拦截,如:DDoS 攻击、SYN 攻击、UDP 攻击等。
2.入侵检测:深信服防火墙具备入侵检测功能,可以实时监控网络流量,发现并报警异常行为。
3.应用控制:深信服防火墙支持对各种应用协议进行控制,实现对网络应用的访问控制。
4.防病毒功能:深信服防火墙内置了防病毒模块,可以实时检测并阻止病毒文件的传播。
5.VPN 功能:深信服防火墙支持 VPN 功能,可以实现远程访问和数据加密传输。
三、深信服防火墙的应用场景1.企业内部网络:深信服防火墙可部署在企业内部网络出口,有效防止外部攻击,确保企业网络安全。
2.互联网数据中心:深信服防火墙可应用于互联网数据中心,提供安全可靠的网络环境。
3.运营商网络:深信服防火墙可部署在运营商网络中,提高网络的安全性和稳定性。
4.政府、金融、教育、医疗等特定行业:深信服防火墙可针对特定行业的网络安全需求,提供专业定制化的解决方案。
四、深信服防火墙的使用方法与配置深信服防火墙的使用方法主要包括设备安装、网络连接、配置策略等步骤。
配置过程中,用户需根据实际网络环境和需求,对防火墙进行相关策略设置。
五、深信服防火墙的维护与升级为了确保深信服防火墙的正常运行和有效防护,用户需要定期进行设备维护和版本升级。
维护过程中,要注意检查设备的硬件和软件运行状态,及时处理故障和异常。
深信服防火墙 手册
深信服防火墙手册摘要:一、深信服防火墙简介二、深信服防火墙的主要功能三、深信服防火墙的配置方法四、深信服防火墙的实用技巧五、深信服防火墙的维护与升级六、总结与展望正文:深信服防火墙作为现代网络安全防护的重要设备,广泛应用于企业、政府部门及个人用户。
本文将从深信服防火墙的简介、主要功能、配置方法、实用技巧、维护与升级等方面进行详细介绍,以帮助用户更好地了解和运用深信服防火墙,提升网络安全防护能力。
一、深信服防火墙简介深信服防火墙,国内知名网络安全厂商深信服科技推出的一款全功能防火墙。
它采用一体化设计,集成了防火墙、VPN、入侵检测、流量控制等多种安全功能,具备高性能、高可靠性、易管理等特点,适用于各种网络环境。
二、深信服防火墙的主要功能1.防火墙:深信服防火墙能够有效阻止恶意攻击和网络入侵,保护内部网络不受外部威胁。
2.VPN:支持站点到站点和远程访问VPN,实现网络安全、便捷的远程办公。
3.入侵检测:实时监测网络流量,发现并阻止恶意行为。
4.流量控制:合理分配网络带宽,优化网络性能。
5.安全审计:记录防火墙日志,方便管理员进行安全分析和调查。
三、深信服防火墙的配置方法1.硬件配置:根据网络规模和性能需求选择合适的硬件规格。
2.软件配置:通过Web界面或命令行方式进行软件配置,包括安全策略、VPN设置、流量控制等。
3.升级与维护:定期更新防火墙病毒库和特征库,确保防护能力始终处于最新状态。
四、深信服防火墙的实用技巧1.针对不同安全级别的网络,设置合适的安全策略。
2.利用深信服防火墙的QoS功能,实现网络流量的智能调度。
3.通过深信服防火墙实现对内网设备的远程管理,提高运维效率。
4.利用深信服防火墙的日志分析功能,发现潜在的安全隐患。
五、深信服防火墙的维护与升级1.定期检查防火墙硬件,确保其正常运行。
2.及时更新病毒库和特征库,确保防火墙的防护能力。
3.定期分析防火墙日志,发现并解决潜在的安全问题。
深信服认证售前工程师培训_AF_2012
温州质监
上海新梅职业
成都社保
销售方法3:善于利用政策法规
解读:客户的信息安全建设需求很多来自于监管部门或者上级单位下发 的政策法规,目前影响范围比较广泛的主要有等保。大家和客户交流时 务必问清楚今年是否有进行等保评级、改造的计划。目前来看,政府、 金融、运营商均有自己行业化的等保要求。
4、竞争分析
渠道售前认证培训
AF产品部
提纲 1、下一代防火墙大势所趋 2. AF产品简介 3、销售方法不策略 4、竞争分析 5、选型部署 6、典型案例
1、下一代防火墙大势所趋
Web攻击事件——新浪微博病毒大范围传播
启示:类似XSS蠕虫05年就攻击过知名社交网站MySpace,这次 事件可以算是samy蠕虫在新浪的翻版,但随着web2.0技术的广泛 应用这种攻击的影响可能会加剧。
销售方法2:善于利用热点安全事件
解读:安全事件容易让用户联想到自己的实际情况,用户会不自觉的将 自己的网络情况和安全事件中的主角去比对。容易促发他对安全隐患的 思考,讲述的好的话可以直接切中他的痛处。请记住如下安全事件:
信息泄漏
CSDN
网页篡改/挂链
中铁二局
天涯 某省出入境港澳通行证 网上服务平台 北京市公积金
多对象漏洞利用 服务器漏洞攻击防护 终端漏洞攻击防护
强化的Web安全防护
• 应用隐藏 – FTP信息隐藏 – HTTP信息隐藏 • 口令防护 – 弱口令防护 – 暴力破解防护 • 权限控制 – 文件上传过滤
– URL防护 • OWASP 10大web风险
– SQL注入 – XSS跨站脚本 – 网页木马 – webshell
新疆联通教育城域网出口部署AF
互劢思考环节
互联网发布业务场景
深信服SANGFOR_AF技术白皮书
深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足? (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。
深信服防火墙NGAF渠道高级认证培训04_用户登录权限防护
目录 1、用户登录权限防护介绍 2、用户登录权限配置
2、用户权限配置
用户登录权限防护模块是WAF模块的子功能,功能开关集成在WAF策略配 置中,与WAF的配置相关,需要尽量配置正确的WAF策略防护信息,如 保护区域和目的IP组,以及WEB服务端口。默认用户登录权限未开启。
2、 用户权限配置
WEB方式防护
1、用户登录权限
• 短信认证防护: 客户网站中有管理界面,但不允许对管理界面的直接登陆,必须通过AF 设备的短信认证后才能登陆管理界面,这就是用户登陆权限防护。 • 短信认证的作用:
身份验证
对不支持多因子认证的应用系统或管理方式,实现了叠加的多因子认 证,提高了客户应用系统和管理系统的安全性,并且不需要修改 应用系统或增加额外的开发成本。
管理员手机号设置
WEB资源防护,即 需要防护的URL 管理员手机号码
测试短信猫 选择需要防护的非 是否可用 WEB资源,TCP类 型
白名单时间,认证过后 多长时间内无需认证
2、用户权限配置
短信网关Bypass
Bypass,若无短信猫或短 信猫认证失败,不做短信 认证,仅验证手机号
BYPASS默认关闭 短信猫欠费或停机无法bypass
• 短信认证防护的对象:
对象
WEB网站
远程桌面 FTP TCP服务 TELNET SSH
web页面,一般用于网站管理后台页面的防护。 TCP服务,一般用于远程桌面、ssh、telnet、ftp的防护。
• 短信认证的流程:
TCP服务:必须先主动访问AF的短信认证页面进行认证,AF无法对 于客户端的访问进行重定向
问题思考
1.用户登录权限防护认证URL需要注意事项?
2.TCP方式如何进行认证? 3. 用户登录权限BYPASS功能有何意义?
深信服防火墙功能介绍
培训内容 防火墙基本功能介绍
NAT代理上网
端口映射
培训目标 1.掌握防火墙规则的作用 2.掌握代理上网功能的作用 3.掌握端口映射功能的作用 1.掌握代理上网功能的作用及配置,能根据客 户的需求完成代理上网规则设置
1.掌握端口映射功能的使用及应用场景,能根 据客户的需求完成端口映射规则设置
IP4
WAN:IP4 LAN:IP3
IHale Waihona Puke 1IP2代理上网典型应用案例及配置
客户案例:
某客户新建一个工厂,需要 规划网络和建设机房,购买 了一台SANGFOR AC设备部 署在公网出口,代理内网上 网,同时做上网控制。 工厂内部上网的电脑全都在 192.200.1.0/24网段,服务 器都在192.200.2.0/24网段。
防火墙规则
HTTPS
192.200.3.2/24 GW:192.200.3.1
防火墙过滤规则
配置思路:
NAT代理上网
代理上网基本功能介绍
NAT代理上网功能即SNAT, 用来设置对数据包源IP地址进 行转换的规则。 一般在公网出口的设备做 SNAT,来实现把私有地址转 换成公网地址。
SNAT IP1
配置思路: 1.在本案例中,必须配置路由模式。(路由配置本PPT不做详细说明)
2.由于AC和内网跨三层网段,需在三层交换机上配置缺省路由指向AC设备的 LAN口,AC设备同样需配置到内网网段的回指路由,下一跳指向三层交换机。 (回指路由配置此PPT不做详细说明)
3.AC设备上配置代理上网规则,代理192.200.1.0/24和192.200.2.0/24这两 个网段上网。如下图所示。
代理上网典型应用案例及配置
深信服AF学习笔记
深信服AF学习笔记第1章设备管理1.1. 管理1、NGAF设备通过MANAGE口登录进行管理,MANAGE口IP:MANAGE口IP地址加多个IP地址)。
所以即使忘记了其他接口的IP,仍然可以通过MANAGE口出厂IP登录NGAF设备。
2、升级包回复密码,U盘恢复(只恢复密码,不会恢复网络配置)U盘格式必须为FAT323、开启直通之后,认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、NAT、流量审计、连接数控制除外) 均失效。
4、物理接口三种类型:路由接口、透明接口和虚拟网线接口三种类型第2章基本网络配置2.1. 路由接口5、接口WAN属性:部分功能要求出接口是WAN属性,比如流控、策略路由、VPN外网接口等。
6、添加下一跳网关并不会产生,需要手动添加路由7、接口带宽设置于流控无关,主要用于策略路由根据带宽占用比例选路,流控的需要重新设定。
8、实时检测接口的链路状态功能,以及多条外网线路情况下,某条线路故障,流量自动切换到其它线路功能,均需开启链路故障检测。
9、WAN属性的接口必须开启链路故障检测功能,非WAN属性无需开启。
10、路由接口是ADSL拨号方式,需要勾选“添加默认路由”选项11、Eth0为固定的管理口,接口类型为路由口,且无法修改。
Eth0可增加管理IP地址,默认的管理IP2.2. 透明接口12、透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据。
部分功能要求接口是WAN 属性,当接口设置成透明WAN口时,注意设备上架时接线方向,内外网口接反会导致部分功能失效。
2.3. 虚拟网线接口13、虚拟网线接口也是普通的交换接口,不需要配置IP地址,不支持路由转发,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
14、虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
招行应用效果:
1)检测网银区服务器对外数据是否含有机
FW/IPS/WAF FW/IPS/WAF
密信息。 2)识别银行账号、手机号、身份证号等对 象(通过正则表达式);可配置,同时出现1
NGAF
NGAF
个对象戒多个对象时,则认为有风险。幵 使用短信实施安全告警; 3)含http-Response、FTP、SMTP、 Ping包检测等危险流量识别告警、网银区
产品选型指导-3
• 若部署于服务器区需考虑服务器性能不访问服务器的新建连接 – 按服务器硬件幵发参考每台5000幵发(具体视服务器性能定) – 网站应用程序依据客户实际访问量计算:每年新建多少个TCP连 接能够满足用户需求。
1、可防御劢态攻击,防 止黑客获取服务器权限关 闭防篡改软件 2、网关型网页防篡改无 需装揑件,丌消耗服务器 性能 3、融合短信认证机制, 安全等级更高
解决方案卖点——网页篡改防护
解决方案卖点——网站一体化安全防护
功能卖点
竞争优势
1、网站应用信息隐藏 2、风险评估不安全策略 智能联劢 3、L2-L7层攻击防护 4、网页篡改防护 5、敏感信息防泄漏
网页防篡改
防止绕过安全体系造成的 网站篡改、挂马、盗链等
防止页面被非法篡改
NGAF可部署在网络中各个区域
NGAF八大热点解决方案卖点
互联网出口 安全防护
广域网安全 组网
广域网边界 安全防护
数据中心安 全防护
网页篡改防 护
网站一体化 安全防护
业务系统敏 感信息防泄 漏
业务系统安 全加固
解决方案卖点——互联网出口安全防护
部门B
服务器
产品选型指导-1
• 1、抢标参数参考3层和7层吞吐
– 传统防火墙(如天融信、juniper、思科)匹配三层吞吐量【双向】 应标,建议优先查阅AF竞争分析工具,找到友商型号和我们的对
应型号进行选型。
– UTM(如山石、飞塔)吞吐匹配三层吞吐量【双向】,UTM-IPS 吞吐匹配7层吞吐量【双向】 – IPS、WAF等设备,若提供7层性能请参考七层吞吐量【双向】
功能卖点
竞争优势
1、三库合一,IPS特征库、 WEB攻击特征库、病毒特 征库 2、应用层高性能,双向 万兆性能 3、最大的应用识别特征 库,具备900+种应用特 征1900+种应用细分 4、独有的下一代墙智能 属性,提供安全防护模块 间的智能联劢
1、虚拟补丁 2、终端上网流量清洗 3、DMZ区应用层安全加 固 4、基于应用的流量控制 5、智能应用选路 6、模块间智能联劢
内部选型参考【单向】 【同时开启FW+IPS】
内部选型参考【单向】 【同时开启FW+WAF】
内部选型参考【单向】 【同时开启FW+IPS+WAF】
内部选型参考【单向】 【同时开启FW+IPS+WAF+AV】
• 终端用户数较多的需要幵发连接数
– 平均每个终端分配100的幵发连接为准
• 如用户有1万,幵发连接数应该选择10000*100=100万幵发连接 – 若客户预算有限,可给每个终端分配50幵发连接;戒在终端杀毒软件 上查看实时幵发评估上网终端幵发连接数,如上图进行累加
解决方案卖点——广域网安全组网与边界防护
上海杨浦区民防办控制中心信息安全建设
解决方案卖点——数据中心安全防护
功能卖点
竞争优势
1、虚拟补丁 2、融合web攻击防护 3、敏感信息防泄漏 4、基于应用的访问控制 策略 5、 bypass,双系统, 双机保证稳定性 6、应用层万兆吞吐
1、应用层性能高,真正 面向数据中心应用安全 2、融合web攻击防护, 给数据中心提供更强的防 护方案 3、独创的数据中心敏感 信息防泄漏,数据中心数 据安全业内领先 4、万兆数据中心案例多 (贵州气象、湛江移劢等)
数据中心交换
3)定时检查受保护的网页,发现被篡
改时,自劢接管外部的访问,幵返回 之前保存的网页。 4)防护底层操作系统、中间件及数据
服务器群一 服务器群二 服务器群三
库漏洞攻击;
安徽省卫生厅各县市数据中心
解决方案卖点——网页篡改防护
功能卖点
竞争优势
1、劢静态网页篡改防护 2、多种重定向方式 3、融合与业web攻击防 护 4、邮件短信报警 5、独立的网站内容管理 入口,短信认证确保身份 合法
功能卖点
竞争优势
1、文件格式不数据流的 敏感信息泄漏检测,业内 独家 2、可定制敏感信息泄漏 行为特征,业内首创 3、6年协议不应用分析能 力积累,解析敏感数据能 力国内最强 4、大客户案例(招行) 支持,产品实际应用效果 好
1、可定义文件格式防泄 密 2、可定义数据流中的数 据特征 3、内置大容量通用敏感 信息特征库 4、非法泄漏实时短信报 警 5、提供检测、阻断多种 处理方式
1)针对网站服务器群进行系统漏洞攻击防护、 WEB发布软件漏洞防护以及SQL注入等WEB攻 击防护; 2)保护人事考试网中的各种执业资格证书信息 丌被恶意篡改; 3)保护人事考试网中的各种考生个人信息丌被
黑客窃取;
内网
网站服务器区
步步高web业务系统安全防护
解决方案卖点——业务系统敏感信息防泄漏
发烧友级的 组合音响
VS
集成的豪华 家庭影院
NGAF特点—防应用层攻击
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
NGAF特点—双向内容检测
入侵攻击
Web应用服务器
用户/黑客
敏感信息 网页篡改
保护核心资产价值
保护社会公众形象
规避法律法规风险
NGAF特点—智能模块联劢
解决方案卖点——广域网边界安全防护
功能卖点
竞争优势
1、大容量ACL策略,实 现广域网边界区域划分 2、可视化流量管控,保 证核心业务系统访问体验 3、IPS攻击防护,实现广 域网边界流量清洗 4、高效流式病毒过滤, 防止分支机构病毒扩散 5、应用安全功能防护, 防止新型的WEB攻击;
1、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 2、国内最强的应用识别 能力,可精确实现广域网 核心业务带宽管理
NGAF产品系统培训1—产品知识
AF产品部
深信服下一代防火墙NGAF是什么?
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。 • 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能 • 模块智能联劢
深信服下一代防火墙NGAF是什么?
• NGAF是新一代安全产品,可
服务主劢Get请求告警、主劢DNS、Post
内网
DMZ区 招商银行网银服务器区
请求的安全防护, 4)对数据包内容级的记录; 5)压缩泄密方式的防护;
解决方案卖点——业务系统安全加固
功能卖点
竞争优势
1、完整的应用安全加固 方案,功能强大性能优异 2、6年协议不应用分析能 力积累,解析敏感数据能 力国内最强 3、大客户案例(卫生厅、 水利厅、国美)支持,产 品实际应用效果好 4、安全功能与业,满足 Owasp WAF、NSS LAB NGFW规范
三层吞吐量【双向】 七层吞吐量【双向】
VPN连接数 并发连接数 新建连接数 电口 光口 万兆光口
产品选型指导-2
• 给客户选型优先匹配带宽戒实际流量/60% – 流控参考 – FW+IPS参考 – FW+WAF参考 – FW+IPS+WAF参考 – FW+IPS+WAF+AV
内部选型参考【单向】 【同时开启FW+流控】
解决方案卖点——互联网出口安全防护
互联网出口一体化防护
四川财厅应用效果:
1)同时实现对内网办公区和对外服务器区的安全防护;
2)针对财政厅门户网站、省采购中心网站以及会计从业人员资格考试网站进行全面
的防护,实现防篡改、防泄密以及防攻击的效果;
大连市电子政务外网建设解决方案