SANGFOR NGAF V6.度渠道高级认证培训05 风险发现和防护.ppt

* * * * * * * * * * * * * * * * SANGFOR NGAF 风险发现和防护 培训内容 培训目标 风险分析 1.掌握分风险分析的主要功能及操作 WEB扫描 1.掌握WEB扫描器对网站的扫描使用 实时漏洞分析 1.掌握如何自动更新和手动更新规则库 目录 1、风险分析 2、WEB扫描 3、实时漏洞分析 1、风险分析 需求 服务器可能存在如下问题： （1）不必要的端口开放 （2）服务器自身系统漏洞（针对服务器操作系统） （3）服务器自身软件存在漏洞 （4）网站登录弱密码 风险分析主要包括两大功能： 一是对目标IP进行端口扫描，它能让管理员清楚了解服务器开放的端口和服务，以及服务器上可能存在哪些漏洞，让管理员及时关闭不必要的端口、封堵漏洞，提高服务器的安全性； 二是对目标网站进行弱密码扫描，解决数据库弱口令访问不安全的问题。与此同时，风险分析能够做到根据扫描结果智能的生成相应的规则，为客户提供安全防护。 1、风险分析 风险分析配置界面： 定义应用控制策略、IPS、WAF检测的源区域，检测这个区域到目标IP是否有做相应的应用控制策略、IPS和WEB应用防护规则 服务器IP 设置风险分析的条件，定义分析对象 1、风险分析 选择进行弱密码扫描的应用 1、常规密码字典只包含系统的默认密码。 2、自定义用户名为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名以外，还会去匹配是否存在sangfor这个用户名。 3、自定义密码为sangfor，NGAF设备在进行弱密码扫描时，除了扫描默认的用户名是否匹配默认的密码以外，还会去匹配默认的用户名是否使用了sangfor这个密码。 弱密码扫描的设置 1、风险分析 设置好端口扫描和弱密码扫描后 ，点击开始扫描，会扫描到如下结果 勾选需要防护的风险类型，点击“提交”，将会根据风险提示自动生成IPS规则和WEB应用防护规则。 点击扫描结果的操作按钮，会自动弹出匹配策略，点击“提交”即可自动生成一条拒绝访问的应用控制策略 1、风险分析 生成PDF格式的主动扫描分析报表 导出风险分析报表，以及查看自动添加的规则 目录 1、风险分析 2、WEB扫描 3、实时漏洞分析 2、WEB扫描器 支持针对下列漏洞的扫描： SQL注入、SQL盲注、跨站脚本攻击(XSS)、存储型跨站脚本攻击、操作系统命令、本地文件包含、远程文件包含、暴力破解、弱密码登录、跨站请求伪造(CSRF)、XPATH注入、LDAP注入、响应分割、服务器端包含(SSI)、不安全重定向、不安全的DAV配置、不安全的HTTP方法、启用了WebDAV、iframe钓鱼、跨站跟踪(XST)、phpinfo信息泄露、不安全的PHP配置、发现目录列表、发现隐藏目录 1、WEB扫描前需要告知用户：扫描有破坏网站数据的风险，不能直接扫描生产网服务器，客户应提供一个镜像服务器用来扫漏洞 2、如果一定要直接扫描生产网服务器，需要取得客户许可并跟客户强调说明风险，并在扫描前备份网站数据与源代码，保证出现问题后能恢复原状 2、WEB扫描器 站点设置 通过脚本自动探测服务器、操作系统等类型 填写好起始URL以及扫描模板，点击右边的笔形图标可以进入编辑界面 2、WEB扫描器 内置的扫描模板（快速与完整）不可改动，所以需要在下拉菜单中点击添加，添加一个模板再进行编辑，如下图： 勾选加强扫描，会发送一些带有绕过WAF数据的攻击 自定义404页面信息，加快扫描速度 正则表达式支持参考DLP模块 扫描策略支持排除URL、文件以及参数 测试策略即扫描的漏洞集合，可自定义，内置的快速与完整策略不可删除 2、WEB扫描器 配置好url与模板后，点开始扫描 注意事项：如果有WAF策略保护了目标URL并开启了拒绝，就会出现“起始URL 已防护，不再进行扫描”的提示，禁用或放行相关WAF策略后才能扫描 2、WEB扫描器 扫描完成后可查看漏洞的测试过程、描述以及建议方案 2、WEB扫描器 扫描完成后可以导出HTML报表 2、WEB扫描器 WEB扫描器注意事项： 目标URL如果有对应的WAF策略并开启拒绝，是不能扫描的，需要禁用或放行WAF策略 双机不会同步web扫描器配置 需要登录才能扫描的场景只支持用户名和密码认证，不支持包含有验证码等场景 扫描完成后应及时导出报表，设备不会保存报表，开始新的扫描报表就会清空 目录 1、风险分析 2、WEB扫描 3、实时漏洞分析 3、实时漏洞分析 实时漏洞分析是一种被动漏洞扫描器，需要数据经过设备或者通过旁路将数据镜像过来才能分析，实时发现用户网络中存在的安全问题，此过程不干预设备数据转发流程，不发reset包，不影响性能，仅输出漏洞信息报表。实时漏洞分析需通过多功能序列