SANGFOR_NGAF_V6.6_2016年度渠道高级认证培训05_风险发现和防护

SANGFORNGAF风险发现和防护,目录,1、风险分析2、WEB扫描3、实时漏洞分析,1、风险分析,需求,服务器可能存在如下问题：（1）不必要的端口开放（2）服务器自身系统漏洞（针对服务器操作系统）（3）服务器自身软件存在漏洞（4）网站登录弱密码,风险分析主要包括两大功能：一是对目标IP进行端口扫描，它能让管理员清楚了解服务器开放的端口和服务，以及服务器上可能存在哪些漏洞，让管理员及时关闭不必要的端口、封堵漏洞，提高服务器的安全性；二是对目标网站进行弱密码扫描，解决数据库弱口令访问不安全的问题。与此同时，风险分析能够做到根据扫描结果智能的生成相应的规则，为客户提供安全防护。,1、风险分析,风险分析配置界面：,定义应用控制策略、IPS、WAF检测的源区域，检测这个区域到目标IP是否有做相应的应用控制策略、IPS和WEB应用防护规则,服务器IP,设置风险分析的条件，定义分析对象,1、风险分析,选择进行弱密码扫描的应用,1、常规密码字典只包含系统的默认密码。2、自定义用户名为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名以外，还会去匹配是否存在sangfor这个用户名。3、自定义密码为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名是否匹配默认的密码以外，还会去匹配默认的用户名是否使用了sangfor这个密码。,弱密码扫描的设置,1、风险分析,设置好端口扫描和弱密码扫描后，点击开始扫描，会扫描到如下结果,勾选需要防护的风险类型，点击“提交”，将会根据风险提示自动生成IPS规则和WEB应用防护规则。,点击扫描结果的操作按钮，会自动弹出匹配策略，点击“提交”即可自动生成一条拒绝访问的应用控制策略,1、风险分析,生成PDF格式的主动扫描分析报表,导出风险分析报表，以及查看自动添加的规则,目录,1、风险分析2、WEB扫描3、实时漏洞分析,2、WEB扫描器,支持针对下列漏洞的扫描：SQL注入、SQL盲注、跨站脚本攻击(XSS)、存储型跨站脚本攻击、操作系统命令、本地文件包含、远程文件包含、暴力破解、弱密码登录、跨站请求伪造(CSRF)、XPATH注入、LDAP注入、响应分割、服务器端包含(SSI)、不安全重定向、不安全的DAV配置、不安全的HTTP方法、启用了WebDAV、iframe钓鱼、跨站跟踪(XST)、phpinfo信息泄露、不安全的PHP配置、发现目录列表、发现隐藏目录,1、WEB扫描前需要告知用户：扫描有破坏网站数据的风险，不能直接扫描生产网服务器，客户应提供一个镜像服务器用来扫漏洞2、如果一定要直接扫描生产网服务器，需要取得客户许可并跟客户强调说明风险，并在扫描前备份网站数据与源代码，保证出现问题后能恢复原状,2、WEB扫描器,站点设置,通过脚本自动探测服务器、操作系统等类型,填写好起始URL以及扫描模板，点击右边的笔形图标可以进入编辑界面,2、WEB扫描器,内置的扫描模板（快速与完整）不可改动，所以需要在下拉菜单中点击添加，添加一个模板再进行编辑，如下图：,勾选加强扫描，会发送一些带有绕过WAF数据的攻击,自定义404页面信息，加快扫描速度正则表达式支持参考DLP模块,扫描策略支持排除URL、文件以及参数,测试策略即扫描的漏洞集合，可自定义，内置的快速与完整策略不可删除,2、WEB扫描器,配置好url与模板后，点开始扫描,注意事项：如果有WAF策略保护了目标URL并开启了拒绝，就会出现“起始URL已防护，不再进行扫描”的提示，禁用或放行相关WAF策略后才能扫描,2、WEB扫描器,扫描完成后可查看漏洞的测试过程、描述以及建议方案,2、WEB扫描器,扫描完成后可以导出HTML报表,2、WEB扫描器,WEB扫描器注意事项：目标URL如果有对应的WAF策略并开启拒绝，是不能扫描的，需要禁用或放行WAF策略双机不会同步web扫描器配置需要登录才能扫描的场景只支持用户名和密码认证，不支持包含有验证码等场景扫描完成后应及时导出报表，设备不会保存报表，开始新的扫描报表就会清空,目录,1、风险分析2、WEB扫描3、实时漏洞分析,3、实时漏洞分析,实时漏洞分析是一种被动漏洞扫描器，需要数据经过设备或者通过旁路将数据镜像过来才能分析，实时发现用户网络中存在的安全问题，此过程不干预设备数据转发流程，不发reset包，不影响性能，仅输出漏洞信息报表。实时漏洞分析需通过多功能序列号开启,3、实时漏洞分析,实时漏洞分析功能包含三个部分1.实时漏洞分析策略配置页面（定义分析条件）2.实时漏洞分析识别库（与规则库进行匹配）3.实时漏洞分析报表（生成报表，查看规则）,3、实时漏洞分析,实时漏洞分析策略配置页面,3、实时漏洞分析,实时漏洞分析策略配置页面实时漏洞分析仅需指定服务器区域和服务器IP组即可，若服务器IP组配置为全部，则会出现温馨提示,3、实时漏洞分析,实时漏洞分析识别库安全防护对象菜单中新增实时漏洞分析识别库，在AF6.3以后该规则库需要收费,3、实时漏洞分析,实时漏洞分析识别库,因此功能仅为被动分析，故无拒绝动作,3、实时漏洞分析,实时漏洞分析报表NGAF运行状态-系统状态新增最近发现的服务器风险,3、实时漏洞分析,实时漏洞分析报表NGAF运行状态-新增实时漏洞分析页面,3、实时漏洞分析,实时漏洞分析报表点击每条策略的查看，即可看到对应的服务器报表,3、实时漏洞分析,实时漏洞分析报表点击每条策略的重新发现，即可清空当前报表，重新发现漏洞,3、实时漏洞分析,实时漏洞分析报表对于每个漏洞，被动扫描器会对比当前IPS/WAF配置，提示该漏洞是否已进行防护，或是AF无法防护的潜在风险,3、实时漏洞分析,实时漏洞分析报表对于每个具体漏洞，报表会给出详细信息，包括解决方案和解决过程每种服务器的每个漏洞不统计发现次数，仅更新最近发现时间,3、实时漏洞分析,注意事项被动漏洞扫描依赖应用识别结果，需要此功能正常运行建议先开通应用识别库序列号实时漏洞分析功能不支持集中管理实时漏洞分析仅支持tcp协议，不支持udp协议分析，如dns等服