AF_漏洞攻击防护适用于AFv8.0.35及以上版本第1页
课程内容课程目标漏洞攻击防护功能概述了解漏洞攻击防护使用需求背景。漏洞攻击防护功能配置掌握漏洞攻击防护功能配置思路和方法。漏洞攻击防护功能案例结合案例了解漏洞攻击防护在真实场景中的应用。第2页
需求背景漏洞攻击,任何一个计算机网络的营造都有其不完善的一面,漏洞攻击就是攻击者利用这一点,在网络系统的构建组织中寻找漏洞,入侵用户系统,窃取相关信息,对网络系统安全构成威胁。典型案例是2016年OpenSSL被爆出存在新安全漏洞“水牢漏洞”,这一漏洞使黑客有机会攻击网站并读取密码、信用卡账号、金融数据加密等信息,由于全球超过半数的网站服务器都使用OpenSSL协议加密,此次安全漏洞为全球网站带来巨大安全挑战。《2017年中国互联网网络安全报告》中数据给出,CNVD收集新增漏洞约16万个,高危漏洞占比35.2%,排名前三的分别为应用程序漏洞、Web应用漏洞和操作系统漏洞。而除了漏洞的频发,攻击手法也从传统的僵木蠕、Dos/DDoS等向0day、勒索病毒、APT、社会工程学等新型高级威胁演进。第3页
功能介绍AF产品集成漏洞攻击防护能力,围绕精确识别,有效阻断的核心理念,通过对网络流量的深度解析,可及时准确发现各类非法入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。可以应对对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解。AF相比传统入侵防御系统更加强调通过多维度的检测技术包含基于AI和沙箱等技术实现识别的精确性,同时,通过简单的运维操作方式提升管理和运维的有效性第4页
应用场景第5页业务系统漏洞攻击防护场景主要障碍:业务系统一直是漏洞高频爆发的点,一方面是操作系统自身可能存在相应的系统漏洞。另一方面上面承载的业务软件,同样也存在相应的漏洞。而业务系统的漏洞补丁修复同样也是比较大的障碍点,考虑到业务系统的稳定性要求,并不能随时保持补丁更新的状态。功能价值:部署在业务系统前端,有效识别各类针对业务系统的漏洞攻击,防止因业务系统存在漏洞,而导致的入侵事件。客户端漏洞攻击防护场景主要障碍:终端用户的网络安全能力普遍并不高,上网过程中可能访问到恶意网站,或者点开钓鱼邮件等。导致过程中下载间谍/广告/欺骗类软件,从而被外部非常人员控制利用带来安全风险。功能价值:根据终端用户主动发起的访问行为,识别风险,并加以控制。防止如浏览器及其插件、PDF/WORD/FLASH等文件格式的漏洞攻击防护。
配置思路预制条件明确需要防护的对象是业务系统还是终端业务,并确定其IP地址范围;如业务系统有WEB系统,同时需要确认端口是否是标准80,如不是,提前梳理出WEB端口;如业务系统,确认业务系统自身有没有主动上网需求,同时访问的目标对象是否明确。配置步骤完成业务系统的对象定义;进入【对象】-【安全策略模板】-【漏洞攻击防护】,完成对象模板新增(默认自带两个模板)。进入【策略】-【安全策略】-【安全防护策略】,根据防护对象是业务系统/终端用户,完成【业务防护策略】/【用户防护策略】关于“漏洞攻击防护”功能的策略配置。验证上一步所配置策略有效性有效性,是否可达预期。点击【监控】-【安全日志】,是否可查看到相应的“漏洞攻击防护”日志。第6页
配置案例某用户网络规模较小,采购了一台AF,计划部署在出口。而内网有业务系统和上网终端同时存在,有相应的网段区分。希望对内网无论是业务系统还是上网终端,都能进行漏洞攻击的防护,同时业务系统日常并不能直接进行补丁修复,一般是一年有两次漏洞修复的变更期,在业务系统未修复漏洞前,也要做好漏洞的防护工作,避免已知漏洞的利用导致的入侵事件。简单的逻辑拓扑如下图:第7页AF交换机外网测试PC(模拟xhack客户端)2010内网测试PC(模拟xhack服务端)
配置案例1、定义业务对象:【对象】——【网络对象】界面新增“IP地址对象”,如下图:第8页
配置案例2、完成基于“业务系统漏洞防护”的模板配置(默认带了一个“默认模板_业务保护场景”模块,一般场景可以直接使用),如下图:第9页【功能项说明】保护服务器:主要面向业务软件和操作系统相关漏洞防护,如DNS漏洞、数据库漏洞等;保护客户端:主要面向上网终端和操作系统相关漏洞防护,如浏览器漏洞、文件漏洞等;口令暴力破解:主要面向对业务系统或操作系统发起的口令暴破的攻击防护,如RDP暴破、FTP爆破等。另外RDP和SMB协议可支持慢速暴破,以及SMB还支持分布式暴破攻击防护;恶意软件:主要面向终端安装了一些恶意软件从而被非法控制和横向传播等风险的防护。如后门软件、间谍软件等。【选择说明】在业务系统的防护场景,默认选择“保护服务器”和“口令暴力破解”两个防护项;如内部业务系统有主动上网权限,且上网