《新一代防火墙技术及应用》课件第3章 基本网络配置及常见网络环境部署

3.1基本功能介绍3.2基本网络配置介绍3.3常见网络环境部署1、部署模式NGAF具备灵活的网络适应能力，支持路由模式、透明模式、虚拟网线、混合模式、旁路部署，同时支持OSPF和RIP动态路由协议。路由模式透明模式混合模式旁路部署2、基于用户和应用的内容安全控制支持IP/MAC(跨三层)认证、本地密码认证、外部认证、LDAP单点登录等需要基于用户和应用做安全控制，要求对用户进行识别和对应用进行识别。NGAF具备全面的用户认证系统和海量的应用识别特征库。2、基于用户和应用的内容安全控制基于SANGFOR多年应用层的技术沉淀，NGAF具备海量的数据包应用层识别特征库，精准识别用户数据。超过1100种主流应用（2013年12月）深度内容识别智能识别2、基于用户和应用的内容安全控制2病毒防御针对HTTP、FTP、POP3、SMTP进行流杀毒，保护内网用户的上网安全4WEB过滤WEB管控，减少无关WEB应用的访问，提高内网用户的安全系数。例如：过滤钓鱼网站、过滤恶意文件等。1应用控制基于区域、用户做应用控制，减少不必要的访问，满足客户对互联网管控的需求。例如：禁止P2P下载、禁止网络流媒体等。内容安全控制四大功能3APT检测发现和定位感染了病毒、木马的机器，降低客户端安全风险。同时记录的日志有较高的可追溯性。内容安全模块

限制无关应用，保障核心业务、核心用户的带宽优化带宽利用率，保障访问稳定性，减少无谓的扩容成本流量管理3、带宽管理基于应用/网站/文件类型的智能流量管理动态带宽分配P2P智能识别与灵活控制多线路复用与智能选路流量可视化4、IPS、DOS/DDOS防护、服务器保护IPS入侵防御系统(

intrusionpreventionsystem):不管是操作系统本身，还是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包威胁网络信息安全。AF检查穿过的数据包，和内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置来决定是否允许这种数据包进入目标区域网络。根据客户端和服务器的不同特性，分为客户端漏洞和服务器漏洞。DOS/DDOS防护内网防护：用于保护设备的安全外网防护：用于保护内网的服务器免受来自外部的攻击4、IPS、DOS/DDOS防护、服务器保护4、IPS、DOS/DDOS防护、服务器保护服务器保护专门针对客户内网的WEB和FTP服务器设计的防攻击策略，服务器保护包括应用隐藏、网站攻击防护、口令防护、权限控制四部分功能。应用隐藏FTP隐藏：客户端登录FTP服务器时，服务器通常会返回FTP服务器版本信息，攻击者可以利用版本漏洞攻击FTP服务器。通过隐藏FTP服务器返回客户端的数据包相关信息保护服务器安全。HTTP隐藏：当客户端访问WEB网站的时候，服务器会通过HTTP报文头部返回客户端很多字段信息，例如Server、Via等，Via可能会泄露代理服务器的版本信息，攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。网站攻击防护服务器保护系统命令注入防护SQL注入防护XSS攻击防护CSRF攻击防护网页木马防护网站扫描WEBSHELL文件包含攻击目录遍历攻击信息泄露攻击服务器保护口令防护FTP弱口令防护：针对一些过于简单的用户名密码登录FTP进行过滤。符合过滤条件的客户端访问将会被设备阻断。需要到FTP服务器修改成符合规则的密码或者修改防火墙口令规则设置来解决。口令暴力破解防护：用于暴力破解密码防护，可以针对FTP和HTTP服务器进行防护文件上传过滤：过滤客户端上传到服务器的文件类型，提高服务器的安全系数。URL防护：主要功能是权限开关。例如禁止某个URL，则其余的防攻击等都无效，因为客户端都无法访问，更不会存在攻击。如果此处允许某个URL，则上述设置的防攻击等针对该URL都会无效，相当于一个白名单。权限控制服务器保护服务器保护网站篡改防护风险分析1、对目标IP进行端口扫描并识别服务2、对指定服务进行弱密码扫描3、根据扫描结果生成安全策略风险分析效果截图用户A服务器群针对用户A上网针对访问服务器功能小结5、数据中心近一个月安全趋势外网DOS攻击统计WEB应用防护统计网关杀毒统计具体行为日志数据中心可以用于查询和统计各功能模块产生的日志。例如可以查询出WEB应用防护阻断的攻击行为，以及可以查询到攻击源IP，目标IP等详细信息。可以统计出服务器在指定的时间内受到多少次DOS攻击等。

问题