目录
1.风险分析
客户需求:作为公司的网络管理人员,肯定想了解当前服务器安全状况,是否服务器存在如下问题等:
- 不必要的端口开放
- 服务器自身系统漏洞(针对服务器操作系统)
- 服务器自身软件存在漏洞
- 网站登录弱密码
1.1 功能介绍
风险分析主要包括两大功能:
- 对目标IP进行端口扫描,它能让管理员清楚了解服务器开放的端口和服务,以及服务器上可能存在哪些漏洞,让管理员及时关闭不必要的端口、封堵漏洞,提高服务器的安全性;
- 对目标网站进行弱密码扫描,解决数据库弱口令访问不安全的问题。与此同时,风险分析能够做到根据扫描结果智能的生成相应的规则,为客户提供安全防护。
1.2 配置思路
- 首先在顶部【安全助手】-【风险分析】中配置不可信来访区域、访问的目标IP范围和端口。
- 启用弱密码扫描、点击“开始扫描”即可。
- 查看防护风险报告,并根据报告做相应整改。
- 首次使用先弹出【免责声明】框,需要“同意”后再可继续使用,后续也不会再次弹出。
2.Web扫描
深信服AF的WEB扫描器是深信服结合多年来在web应用安全上的研究成果,基于大量信息安全事件应急响应的丰富经验下开发出的一款安全扫描器,该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描,指纹识别,漏洞验证,全面预知web应用系统的安全现状,并提供专业的安全加固建议。
1.丰富的扫描插件
支持SQL注入,XSS跨站脚本攻击,目录遍历,CSRF跨站请求伪造,远程文件包含,命令注入,敏感信息泄露,Struct 2漏洞等众多扫描插件,覆盖所有OWASP TOP10高危漏洞,保证全面深入的WEB网站扫描效果。
2.智能网站指纹识别
支持对web网站服务器操作系统类型:Apache,IIS,Tomcat,Nginx,Weblogic等服务器/中间件类型;php/jsp/asp /c#/.net/python等网站语言类型进行自动识别,并和CVE/CNNVD漏洞库智能关联分析。
3.专家级漏洞分析和修复建议
为帮助广大web管理人员轻易读懂和掌握专业性较强的安全报告内容,告别晦涩难懂的漏洞扫描报告,深信服WEB扫描器检测报告对漏洞进行了非常详细和介绍和漏洞危害说明,并将安全检查过程中发送的payload测试报文进行高亮显示,web管理人员通过高亮显示部分的信息,即能轻易初步掌握漏洞原因。
2.1 配置思路
- 首先在顶部【安全助手】-【WEB扫描】中配置扫描的URL,以及使用的扫描模板。
- 配置完成之后,点击“开始扫描”或“定时扫描”即可。
- 查看扫描结果
- 首次使用先弹出【免责声明】框,需要“同意”后再可继续使用,后续也不会再次弹出。
WEB扫描器注意事项:
- 目标URL如果有对应的WAF策略并开启拒绝,是不能扫描的,需要禁用或放行相应WAF策略和应用控制策略。
- 双机不会同步web扫描器配置。
- 需要登录才能扫描的场景只支持用户名和密码认证,不支持包含有验证码等场景。
- 扫描完成后应及时导出报表,设备不会保存报表,开始新的扫描报表就会清空。
- 扫描有破坏网站数据的风险,不能直接扫描生产网服务器,客户应提供一个镜像服务器用来扫漏洞。
- 如果一定要直接扫描生产网服务器,扫描前备份网站数据与源代码,保证出现问题后能恢复原状。
3.实时漏洞分析
客户需求:
对内网服务器自身进行安全检查,但又不想对现有的业务造成任何的影响。
解决方案:
深信服AF实时漏洞分析系统实时检测经过设备的应用流量,对流量进行对应的应用解析并匹配实时漏洞分析识别库,从而来发现服务器可能存在风险和漏洞。
优点:
- 实时发现客户网络环境的安全缺陷,且不会给网络及服务器产生额外的流量及性能负担。
- 自动生成报表,报表中包含安全缺陷并给出相应的整改方案,为用户展现安全防护能力。
3.1 功能原理
1.旁路检测
实时漏洞分析采用的是旁路检测技术,即将待检测的数据包镜像一份到待检测队列,检测进程对检测的数据包进行扫描检测,对原有数据包的转发不会造成任何性能影响。
2.强大的漏洞特征库
实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全专家针对目前最新的软件、系统等漏洞提取特征,形成库并快速的更新到AF设备,保证识别出网络中出现的最新漏洞。
3.2 配置思路
- 在【策略】-【安全防护策略】里,新增【业务防护策略】,配置好相应的区域和对象属性后,直接选择开启“实时漏洞分析”功能即可。
- 在【运行状态】-【业务安全】-【实时漏洞分析】页面,点击"重新发现",会清空对应策略当前的报表,重新发现漏洞。
注意事项
- 被动漏洞扫描依赖应用识别结果,需要此功能正常运行建议先开通应用识别库序列号。
- 实时漏洞分析功能不支持集中管理。
- 实时漏洞分析仅支持tcp协议,不支持udp协议分析,如dns等服务。
- FTP与HTTP支持任意端口识别,其他服务仅支持标准端口,如mysql、ssh等服务。
- 每条分析策略相互独立,若服务器IP组有重叠,则发现的漏洞也会有重复。
4.热点事件预警与处置
目前安全管理现状:
- 最近有什么安全事件基本不知道。
- 0Day爆发后不能及时处理。
- 服务器是否有漏洞是否有打上补丁包了,基本不了解也不知道操作。
- 防护对象存在漏洞且未被有效防护管理员应该怎么防护,基本不知道。
4.1 功能介绍
1.热点事件搜集
当0Day漏洞事件爆发后,热点事件预警与处置中心会在48小时内制作出针对该事件的热点事件库,事件库包含:事件内容、详细威胁说明、漏洞扫描工具、防护策略。
2.信息推送
热点事件库制作好之后将被即时推送至每一台接入互联网的AF中,设备自动更新热点事件库后,用户即可在设备中查看到最新的热点事件,并且可以点击事件链接到热点事件预警与处置中心查看该安全事件更详细的信息。
3.自动扫描
热点事件库更新后,设备即可自动开始对防护对象进行扫描。用户可自行定义、配置防护对象,若用户未配置防护对象,深信服AF会自动将内网服务器列为防护对象,并对其进行扫描。除自动扫描漏洞外,AF还提供漏洞手动扫描功能,用户可在漏洞修复后再次进行扫描确认漏洞是否成功修复,或者对新构建的网络环境进行安全体检。
4.一键防护
当漏洞扫描结束后,若防护对象存在漏洞且未被有效防护,AF提供了针对所有扫描发现的风险的一键防护功能,用户只需点击一次,设备即会自动更新对应规则特征,生成相应防护策略,使扫描发现的安全风险处于有效防护状态。
4.2 原理
在云端通过安全事件响应分析模块自动对安全事件进行及时的响应和分析,产出安全事件的危害描述、漏洞特征、攻击特征和防护策略,网关设备通过更新机制把安全事件更新包更新到本地,并通过控制台弹窗的方式告知用户当前的安全事件和危害,本地扫描器针对漏洞特征对当前防护的业务系统进行全面扫描分析定位是否存在此安全事件漏洞。
如果本地存在安全漏洞,则通过安全引擎对此漏洞的安全攻击特征进行防护,并且通过自动化生成安全防护策略的方式帮助用户达到全面有效防护此安全事件的目的。
在对此安全事件完成安全防护后,本地扫描器还会再次扫描评估是否全面有效的防护了此安全事件。
4.3 配置思路
- 在【安全助手】-【热点事件预警与处置】-【设置】中设置服务器网络对象和防护选项。
- 【防护选项】勾选【新事件爆发后自动扫描】后可以在新事件发生之后自动对防护的IP组进行扫描。
- 点击【获取最新情报】,用于连接SANGFOR服务器,获取最新的热点事件预警与处置。
- 首次使用先弹出【免责声明】框,需要“同意”后再可继续使用,后续也不会再次弹出。同时在“服务器网络对象”处一定要设置明确可控的范围网段,不能留空。
注意事项:
- 热点事件预警与处置推送需要保证设备能够正常访问网络
- 热点事件预警与处置扫描需保证AF和内网服务器路由可达
- 热点事件预警与处置防护会生成拒绝动作的安全策略
5.安全处理中心
如何实现安全可视和简单高效的实现安全运营?
安全状况总览
可在【运行状态】->【安全运营中心】中查看业务的情况
攻击举证信息全面可视
攻击地图
全球IP地址库提供互联网“定位”服务;可在【运行状态】->【业务安全】->【攻击事件汇总】中查看实时攻击地图