1.风险分析技术
1.1客户需求
作为公司的网络管理人员,肯定想了解当前服务器安全状况, 是否服务器存在如下问题等:
(1)不必要的端口开放
(2)服务器自身系统漏洞(针对服务器操作系统)
(3)服务器自身软件存在漏洞
(4)网站登录弱密码
1.2 功能介绍
风险分析主要包括两大功能
(1)对目标IP进行端口扫描
对目标IP进行端口扫描,它能让管理员清楚了解服务器开放的端口和服务,以及服务器上可能存在哪些漏洞,让管理员及时关闭不必要的端口、 封堵漏洞,提高服务器的安全性
(2)对目标网站进行弱密码扫描
对目标网站进行弱密码扫描,解决数据库弱口令访问不安全的问题。与此同时,风险分析能够做到根据扫描结果智能的生成相应的规则,为客户提供安全防护。
1.3 配置思路
1.首先在【风险发现和防护】-【风险分析】中配置不可信来访区域、访问的目 标IP范围和端口。
2.启用弱密码扫描、点击“开始扫描”即可。
3.查看防护风险报告,并根据报告做相应整改。
2.WEB扫描技术
2.1 功能介绍
深信服NGAF的WEB扫描器是深信服结合多年来在web应用安全上的研究成果,基于大量信息安全事件应急响应的丰富经验下开发出的一款安全扫描器 ,该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描,指纹识别,漏洞验证,全面预知web应用系统的安全现状,并提供专业的安全加固建议。
(1)网站扫描
SQL注入
XSS跨站
目录遍历
CSRF跨站请求伪造
Struct 2漏洞
支持SQL注入,XSS跨站脚本攻击,目录遍历,CSRF跨站请求伪造,远程文件包含,命令注入,敏感信息泄露,Struct 2漏洞等众多扫描插件,覆盖所有OWASP TOP10高危漏 洞,保证全面深入的WEB网站扫描效果
(2)指纹识别
智能识别网站(网站 系统类型,软件版本等) 指纹信息与CVE漏洞库精确匹配
支持对web网站服务器操作系统类型:Apache,IIS,Tomcat,Nginx,Weblogic等服务器/中间件类型;php/jsp/asp/c#/.net/python等网站语言类型进行自动识别,并 和CVE/CNNVD漏洞库智能关联分析。
(3)漏洞验证
快速验证网站漏洞危害 并给出专家级漏洞 修复方案
为帮助广大web管理人员轻易读懂和掌握专业性较强的安全报告内容,告别晦涩难懂的漏洞扫描报告,深信服WEB扫描器检测报告对漏洞进行了非常详细和介绍和漏洞危害说明,并将安全检查过程中发送的payload测试报文进行高亮显示,web管理人员通过高亮显示部分的信息,即能轻易初步掌握漏洞原因
2.2 配置思路
1.首先在【风险发现和防护】-【WEB扫描】中配置扫描的url地址和扫描模 板。
2.配置完成之后,点击“开始扫描”或“定时扫描”即可。
3.查看扫描结果。
2.3 思考总结
WEB扫描器注意事项:
1.目标URL如果有对应的WAF策略并开启拒绝,是不能扫描的,需要禁用或放行WAF策略。
2.双机不会同步web扫描器配置。
3. 需要登录才能扫描的场景只支持用户名和密码认证,不支持包含有验证码等场景。
4.扫描完成后应及时导出报表,设备不会保存报表,开始新的扫描报表就会清空。
5. 扫描有破坏网站数据的风险,不能直接扫描生产网服务器,客户应提供 一个镜像服务器用来扫漏洞。
6. 如果一定要直接扫描生产网服务器,扫描前备份网站数据与源代码,保 证出现问题后能恢复原状。
3.实时漏洞分析技术
3.1 客户需求
对内网服务器自身进行安全检查,但又不想对现有的业务造成任何的影响。
3.2 解决方案
深信服NGAF实时漏洞分析系统实时旁路地检测经过设备的应用流量,对流量进行对应的应用解析,对解析后的应用数据匹配实时漏洞分析识别库,发现服务器存在漏洞。
优点:
1.实时发现客户网络环境的安全缺陷,且不会给网络产生额外的流量。
2.生成报表,报表中包含安全缺陷并给出相应的整改方案,为用户展现安全防护能力。
3.3 配置思路
1.先配置实时漏洞分析策略。
在【风险发现和防护】-【实时漏洞分析】 中配置新增加策略,选择服务器所在区域,选择服务器网络对象对应内网服务器。
2.在【实时漏洞分析页面】,点击"重新发现",会清空对应策略当前的报表,重新发现漏洞。
3.点击【所有策略汇总】用于将所有已生成的漏洞报表进行汇总,并通过汇总报表的形式展现给客户,并根据漏洞报表建议做相应的方案整改。
3.4 思考总结
注意事项:
- 被动漏洞扫描依赖应用识别结果,需要此功能正常运行建议先开通应用识别库序列号。
- 实时漏洞分析功能不支持集中管理。
3.实时漏洞分析仅支持tcp协议,不支持udp协议分析,如dns等服务。
- FTP与HTTP支持任意端口识别,其他服务仅支持标准端口,如mysql、ssh 等服务。
5.每条分析策略相互独立,若服务器IP组有重叠,则发现的漏洞也会有重复。
4.威胁情报预警与处置
4.1需求
目前安全管理现状
1.最近有什么安全事件基本不知道。
2. ODay爆发后不能及时处理。
3.服务器是否有漏洞是否有打上补丁包了,基本不了解也不知道操作。
4. 防护对象存在漏洞且未被有效防护管理员应该怎么防护,基本不知道。
需求:利用一个安全功能解决上述问题
4.2 功能介绍
(1)热点事件搜集
当0Day漏洞事件爆发后,威胁情报预警与处置中心会在48小时内制作出针对该事件的热点事件库,事件库包含:事件内容、详细威胁说明、漏洞扫描工具 、防护策略。
(2)信息推送
热点事件库制作好之后将被即时推送至每一台接入互联网的NGAF中,设备自动更新热点事件库后,用户即可在设备中查看到最新的热点事件,并且可以点击事件链接到威胁情报预警与处置中心查看该安全事件更详细的信息。
(3)漏洞扫描
热点事件库更新后,设备即可自动开始对防护对象进行扫描。用户可自行定义 、配置防护对象,若用户未配置防护对象,深信服NGAF会自动将内网服务器列为防护对象,并对其进行扫描。除自动扫描漏洞外,NGAF还提供漏洞手动扫描功能,用户可在漏洞修复后再次进行扫描确认漏洞是否成功修复,或者对新构建的网络环境进行安全体检
(4)一键防护
当漏洞扫描结束后,若防护对象存在漏洞且未被有效防护,NGAF提供了针对所有扫描发现的风险的一键防护功能,用户只需点击一次,设备即会自动更新对应规则特征,生成相应防护策略,使扫描发现的安全风险处于有效防护状态。
4.3 功能原理
4.4 配置思路
1.在【风险发现和防护】-【威胁情报预警与处置】-【设置】中设置服务器网络对象和防护选项。
2.【防护选项】勾选【新事件爆发后自动扫描】后可以在新事件发生之后自动对防护的 IP组进行扫描。
3.点击【获取最新情报】,用于连接SANGFOR服务器,获取最新的威胁情报预警与处置。
4.5 思考总结
注意事项:
- 威胁情报预警与处置推送需要保证设备能够正常访问网络
- 威胁情报预警与处置扫描需保证AF和内网服务器路由可达
- 威胁情报预警与处置防护会生成拒绝动作的安全策略
5.安全处理中心
5.1 需求背景
实现安全可视和简单高效的实现安全运营
5.2 安全状况总览
5.3业务风险可视
5.4 攻击路径可视
被控制的终端
被控制的服务器
5.5 攻击者地图
全球IP地址库提供互联网“定位”服务
