渠道高级认证培训10_安全防护课件.ppt

培训内容 培训目标 防DOS攻击 1.了解防DOS攻击适用场景 2.掌握防DOS攻击配置方法 网关杀毒 1.掌握网关杀毒测试方法 防DOS攻击 SANGFOR ACSG 网关杀毒 防DOS攻击 防DOS攻击介绍 防DOS攻击即设备对于DOS攻击的防护，通过设备能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。 设备可以阻止DOS攻击的类型有每个IP在一分钟内向几一个目标IP和端口发起的最大连接数及每个IP在每秒钟发起的攻击包次数（攻击包包括SYN包，ICMP及小于100字节的TCP/UDP小包） 防DOS攻击配置不当，会导致内网断网，所以默认不建议开启，当确实有此需求时，才启用。 防DOS攻击配置 防DOS攻击总开关 注意，启用内网网段列表后，内网网段必须填全，如果没有填全，则不在此列中的PC上网直接被认为是DOS攻击，被丢弃，导致断网。如果不启用内网网段列表，则对经过的所有数据包进行条件匹配，匹配上才认为是DOS攻击 此选项不建议启用 排除指定的地址不做DOS攻击检测，一般适用于内网服务器，因为服务器流量比较大，根据实际情况填写 设置检测攻击条件，及检测到攻击后的处理，可以设置封锁时间及发送告警邮件通知管理员。连接数条件推荐设置1024，攻击包条件推荐5000 防DOS攻击配置 当检测到DOS攻击时，系统日志会打出告警日志，如下图所示 注意 开启防dos攻击后，如果本机所在的网段不在防dos内网网段列表中，则本机到设备443，51111和22345三个端口是默认放行的，到设备其它端口或经过设备的数据流会全部被拦截。 网关杀毒 网关杀毒介绍 设备本身集成了第三方杀毒引擎，部署在网络前端，对过往的数据流量进行病毒检测查杀，防止病毒影响内网安全。网关杀毒可以针对http下载，ftp下载，pop3/imap收邮件及smtp发邮件四种数据流杀毒。 病毒库更新需要授权，授权后，病毒库会每天自动更新 网关杀毒配置 设置网关杀毒类型，一般全选。 排除不需要杀毒的网站，默认排除了PC常见杀毒软件病毒库更新地址，以免PC病毒库更新被判断为病毒导致无法更新。 注意 网关杀毒支持的四种协议杀毒，http下载，ftp下载，pop3/imap及smtp杀毒都是全局开关。其中http下载和ftp下载杀毒直接在网关杀毒中启用即可生效，但pop3/imap/smtp杀毒是通过邮件代理实现的，还需要在上网策略中启用邮件过滤，关联到用户或组，并且确保设备可上网。 下面以smtp邮件杀毒为例，说明网关杀毒测试方法 邮件杀毒配置步骤 1、准备工作 （1）检查设备本身是否可以上外网，要确保设备本身能够上网 （2）检查病毒库升级授权是否过期，病毒库是否当前最新。要确保病毒库升级授权已开启，且病毒库当前最新。 邮件杀毒配置步骤 2、新建认证策略，用户组等（此处略） 3、新建上网权限策略，并启用邮件过滤关联到用户或组，如下图。 邮件杀毒配置步骤 4、新建上网审计策略，并关联到用户或组，如下图。 邮件杀毒配置步骤 5、启用网关杀毒 邮件杀毒配置步骤 6、配置事件告警。即当检测到病毒时，发送告警邮件到管理员邮箱 邮件杀毒配置步骤 7、通过邮件客户端发送一封带病毒的原始邮件