目錄
1.風險分析
客戶需求:作爲公司的網絡管理人員,肯定想了解當前服務器安全狀況,是否服務器存在如下問題等:
- 不必要的端口開放
- 服務器自身系統漏洞(針對服務器操作系統)
- 服務器自身軟件存在漏洞
- 網站登錄弱密碼
1.1 功能介紹
風險分析主要包括兩大功能:
- 對目標IP進行端口掃描,它能讓管理員清楚瞭解服務器開放的端口和服務,以及服務器上可能存在哪些漏洞,讓管理員及時關閉不必要的端口、封堵漏洞,提高服務器的安全性;
- 對目標網站進行弱密碼掃描,解決數據庫弱口令訪問不安全的問題。與此同時,風險分析能夠做到根據掃描結果智能的生成相應的規則,爲客戶提供安全防護。
1.2 配置思路
- 首先在頂部【安全助手】-【風險分析】中配置不可信來訪區域、訪問的目標IP範圍和端口。
- 啓用弱密碼掃描、點擊“開始掃描”即可。
- 查看防護風險報告,並根據報告做相應整改。
- 首次使用先彈出【免責聲明】框,需要“同意”後再可繼續使用,後續也不會再次彈出。
2.Web掃描
深信服AF的WEB掃描器是深信服結合多年來在web應用安全上的研究成果,基於大量信息安全事件應急響應的豐富經驗下開發出的一款安全掃描器,該掃描器旨在幫助廣大用戶對web服務器網站進行深度的安全掃描,指紋識別,漏洞驗證,全面預知web應用系統的安全現狀,並提供專業的安全加固建議。
1.豐富的掃描插件
支持SQL注入,XSS跨站腳本攻擊,目錄遍歷,CSRF跨站請求僞造,遠程文件包含,命令注入,敏感信息泄露,Struct 2漏洞等衆多掃描插件,覆蓋所有OWASP TOP10高危漏洞,保證全面深入的WEB網站掃描效果。
2.智能網站指紋識別
支持對web網站服務器操作系統類型:Apache,IIS,Tomcat,Nginx,Weblogic等服務器/中間件類型;php/jsp/asp /c#/.net/python等網站語言類型進行自動識別,並和CVE/CNNVD漏洞庫智能關聯分析。
3.專家級漏洞分析和修復建議
爲幫助廣大web管理人員輕易讀懂和掌握專業性較強的安全報告內容,告別晦澀難懂的漏洞掃描報告,深信服WEB掃描器檢測報告對漏洞進行了非常詳細和介紹和漏洞危害說明,並將安全檢查過程中發送的payload測試報文進行高亮顯示,web管理人員通過高亮顯示部分的信息,即能輕易初步掌握漏洞原因。
2.1 配置思路
- 首先在頂部【安全助手】-【WEB掃描】中配置掃描的URL,以及使用的掃描模板。
- 配置完成之後,點擊“開始掃描”或“定時掃描”即可。
- 查看掃描結果
- 首次使用先彈出【免責聲明】框,需要“同意”後再可繼續使用,後續也不會再次彈出。
WEB掃描器注意事項:
- 目標URL如果有對應的WAF策略並開啓拒絕,是不能掃描的,需要禁用或放行相應WAF策略和應用控制策略。
- 雙機不會同步web掃描器配置。
- 需要登錄才能掃描的場景只支持用戶名和密碼認證,不支持包含有驗證碼等場景。
- 掃描完成後應及時導出報表,設備不會保存報表,開始新的掃描報表就會清空。
- 掃描有破壞網站數據的風險,不能直接掃描生產網服務器,客戶應提供一個鏡像服務器用來掃漏洞。
- 如果一定要直接掃描生產網服務器,掃描前備份網站數據與源代碼,保證出現問題後能恢復原狀。
3.實時漏洞分析
客戶需求:
對內網服務器自身進行安全檢查,但又不想對現有的業務造成任何的影響。
解決方案:
深信服AF實時漏洞分析系統實時檢測經過設備的應用流量,對流量進行對應的應用解析並匹配實時漏洞分析識別庫,從而來發現服務器可能存在風險和漏洞。
優點:
- 實時發現客戶網絡環境的安全缺陷,且不會給網絡及服務器產生額外的流量及性能負擔。
- 自動生成報表,報表中包含安全缺陷並給出相應的整改方案,爲用戶展現安全防護能力。
3.1 功能原理
1.旁路檢測
實時漏洞分析採用的是旁路檢測技術,即將待檢測的數據包鏡像一份到待檢測隊列,檢測進程對檢測的數據包進行掃描檢測,對原有數據包的轉發不會造成任何性能影響。
2.強大的漏洞特徵庫
實時漏洞分析所使用的漏洞特徵庫由深信服北京研究中心安全專家針對目前最新的軟件、系統等漏洞提取特徵,形成庫並快速的更新到AF設備,保證識別出網絡中出現的最新漏洞。
3.2 配置思路
- 在【策略】-【安全防護策略】裏,新增【業務防護策略】,配置好相應的區域和對象屬性後,直接選擇開啓“實時漏洞分析”功能即可。
- 在【運行狀態】-【業務安全】-【實時漏洞分析】頁面,點擊"重新發現",會清空對應策略當前的報表,重新發現漏洞。
注意事項
- 被動漏洞掃描依賴應用識別結果,需要此功能正常運行建議先開通應用識別庫序列號。
- 實時漏洞分析功能不支持集中管理。
- 實時漏洞分析僅支持tcp協議,不支持udp協議分析,如dns等服務。
- FTP與HTTP支持任意端口識別,其他服務僅支持標準端口,如mysql、ssh等服務。
- 每條分析策略相互獨立,若服務器IP組有重疊,則發現的漏洞也會有重複。
4.熱點事件預警與處置
目前安全管理現狀:
- 最近有什麼安全事件基本不知道。
- 0Day爆發後不能及時處理。
- 服務器是否有漏洞是否有打上補丁包了,基本不瞭解也不知道操作。
- 防護對象存在漏洞且未被有效防護管理員應該怎麼防護,基本不知道。
4.1 功能介紹
1.熱點事件蒐集
當0Day漏洞事件爆發後,熱點事件預警與處置中心會在48小時內製作出針對該事件的熱點事件庫,事件庫包含:事件內容、詳細威脅說明、漏洞掃描工具、防護策略。
2.信息推送
熱點事件庫製作好之後將被即時推送至每一臺接入互聯網的AF中,設備自動更新熱點事件庫後,用戶即可在設備中查看到最新的熱點事件,並且可以點擊事件鏈接到熱點事件預警與處置中心查看該安全事件更詳細的信息。
3.自動掃描
熱點事件庫更新後,設備即可自動開始對防護對象進行掃描。用戶可自行定義、配置防護對象,若用戶未配置防護對象,深信服AF會自動將內網服務器列爲防護對象,並對其進行掃描。除自動掃描漏洞外,AF還提供漏洞手動掃描功能,用戶可在漏洞修復後再次進行掃描確認漏洞是否成功修復,或者對新構建的網絡環境進行安全體檢。
4.一鍵防護
當漏洞掃描結束後,若防護對象存在漏洞且未被有效防護,AF提供了針對所有掃描發現的風險的一鍵防護功能,用戶只需點擊一次,設備即會自動更新對應規則特徵,生成相應防護策略,使掃描發現的安全風險處於有效防護狀態。
4.2 原理
在雲端通過安全事件響應分析模塊自動對安全事件進行及時的響應和分析,產出安全事件的危害描述、漏洞特徵、攻擊特徵和防護策略,網關設備通過更新機制把安全事件更新包更新到本地,並通過控制檯彈窗的方式告知用戶當前的安全事件和危害,本地掃描器針對漏洞特徵對當前防護的業務系統進行全面掃描分析定位是否存在此安全事件漏洞。
如果本地存在安全漏洞,則通過安全引擎對此漏洞的安全攻擊特徵進行防護,並且通過自動化生成安全防護策略的方式幫助用戶達到全面有效防護此安全事件的目的。
在對此安全事件完成安全防護後,本地掃描器還會再次掃描評估是否全面有效的防護了此安全事件。
4.3 配置思路
- 在【安全助手】-【熱點事件預警與處置】-【設置】中設置服務器網絡對象和防護選項。
- 【防護選項】勾選【新事件爆發後自動掃描】後可以在新事件發生之後自動對防護的IP組進行掃描。
- 點擊【獲取最新情報】,用於連接SANGFOR服務器,獲取最新的熱點事件預警與處置。
- 首次使用先彈出【免責聲明】框,需要“同意”後再可繼續使用,後續也不會再次彈出。同時在“服務器網絡對象”處一定要設置明確可控的範圍網段,不能留空。
注意事項:
- 熱點事件預警與處置推送需要保證設備能夠正常訪問網絡
- 熱點事件預警與處置掃描需保證AF和內網服務器路由可達
- 熱點事件預警與處置防護會生成拒絕動作的安全策略
5.安全處理中心
如何實現安全可視和簡單高效的實現安全運營?
安全狀況總覽
可在【運行狀態】->【安全運營中心】中查看業務的情況
攻擊舉證信息全面可視
攻擊地圖
全球IP地址庫提供互聯網“定位”服務;可在【運行狀態】->【業務安全】->【攻擊事件彙總】中查看實時攻擊地圖