9.1風險分析9.2WEB掃描9.3實時漏洞分析9.4本章小結新一代防火墻技術及應用12學習目標掌握風險分析的主要功能以及操作掌握WEB掃描器對網站的掃描使用掌握如何自動更新和手動更新規則庫本章重點風險分析的主要功能以及操作WEB掃描器對網站的掃描使用本章難點風險分析的主要功能以及操作WEB掃描器對網站的掃描使用新一代防火墻技術及應用在企業中，一般需要很多服務器，有一些是對外提供服務的，有一些是對內提供服務的，所以服務器在企業的網絡中發揮著非常重要的作用。但是在企業中服務器可能存在如下問題：1、不必要的端口開放；2、服務器自身系統存在的漏洞（針對服務器操作系統）；3、服務器自身軟件存在的漏洞；4、網站登錄弱密碼。這些問題如果不加以注意的話，黑客就會利用這些便利攻入公司的服務器，對公司的網絡造成不可估量的損失，這時對網絡以及服務器進行安全的風險發現以及防護就顯得非常主要了。新一代防火墻技術及應用3

9.1風險分析新一代防火墻技術及應用49.1風險分析

風險發現和防護主要包括兩大功能，一是對目標IP進行端口掃描，它能讓管理員清楚了解服務器開放的端口和服務，以及服務器上可能存在哪些漏洞，讓管理員及時關閉不必要的端口、封堵漏洞，提高服務器的安全性；二是對目標IP進行弱密碼掃描，解決數據庫弱口令訪問不安全的問題。與此同時，風險分析能夠做到根據掃描結果智能的生成相應的規則，為客戶提供安全防護。配置界面如圖所示：[不可信來訪區域]：定義應用控制策略、IPS、WAF檢測的源區域，檢測這個區域到目標IP是否有做相應的應用控制策略、IPS和WEB應用防護規則。[訪問的目標IP范圍]：定義進行端口掃描或者是弱密碼掃描的目標IP地址范圍。新一代防火墻技術及應用59.1風險分析

[指定端口]：定義需要對目標IP的哪些端口進行掃描。點擊80,81,8001,8002…，則彈出【選擇端口】的編輯框，如圖所示：設備內置了服務器經常開放的一些端口，若需要新增對其他端口的掃描，點擊新增添加即可。新一代防火墻技術及應用69.1風險分析勾選[啟用弱密碼掃描]，則啟用弱密碼掃描功能。界面如圖所示：點擊啟用弱密碼掃描，彈出【啟用弱密碼掃描】的編輯框，如圖所示：新一代防火墻技術及應用79.1風險分析[掃描范圍]：勾選對哪些應用服務進行弱密碼掃描，如圖所示：[掃描方式]：定義弱密碼掃描的掃描方式，可以分為常規密碼字典掃描和完整密碼字典掃描。常規密碼字典只包含系統的默認密碼。新一代防火墻技術及應用89.1風險分析[執行完整掃描]：由于RDP、VNC協議的密碼掃描需要耗費較長的時間，若需要對這兩種協議也進行完整密碼字典掃描，還需要勾選上“執行完整掃描”。[自定義用戶名列表]：用于自定義需要匹配的用戶名。此時會在相應字典列表的用戶名里增加自定義的用戶名。比如說，此時的自定義用戶名為sangfor，NGAF設備在進行弱密碼掃描時，除了掃描默認的用戶名以外，還會去匹配是否存在sangfor這個用戶名。[自定義密碼字典列表]：用于自定義需要匹配的弱密碼。此時會在相應字典列表的密碼里增加自定義的密碼。比如說，此時的自定義密碼為sangfor，NGAF設備在進行弱密碼掃描時，除了掃描默認的用戶名是否匹配默認的密碼以外，還會去匹配默認的用戶名是否使用了sangfor這個密碼。新一代防火墻技術及應用99.1風險分析設置好端口掃描和弱密碼掃描后，點擊，將會在下方顯示掃描結果，界面如圖所示：新一代防火墻技術及應用109.1風險分析點擊相應掃描結果的操作按鈕，將會彈出端口屏蔽策略界面，如圖所示：點擊提交，會進行端口屏蔽，自動生成一條拒絕訪問的應用控制策略。新一代防火墻技術及應用119.1風險分析勾選相應的掃描結果，點擊防護風險，彈出的界面如圖所示：勾選需要防護的風險類型，點擊提交，將會根據風險提示自動生成IPS規則和WEB應用防護規則。點擊導出PDF，將生成PDF格式的主動掃描分析報表。新一代防火墻技術及應用129.1風險分析點擊查看已添加策略，將顯示通過“防護風險”生成的防護規則，如圖所示：此時，可以通過點擊策略名稱查看防護規則的配置。新一代防火墻技術及應用13

9.2WEB掃描新一代防火墻技術及應用149.2WEB掃描WEB掃描器：支持針對下列漏洞的掃描：SQL注入、SQL盲注、跨站腳本攻擊(XSS)、存儲型跨站腳本攻擊、操作系統命令、本地文件包含、遠程文件包含、暴力破解、弱密碼登錄、跨站請求偽造(CSRF)、XPATH注入、LDAP注入、響應分割、服務器端包含(SSI)、不安全重定向、不安全的DAV配置、不安全的HTTP方法、啟用了WebDAV、iframe釣魚、跨站跟蹤(XST)、phpinfo信息泄露、不安全的PHP配置、發現目錄列表、發現隱藏目錄。1、WEB掃描前需要告知用戶：掃描有破壞網站數據的風險，不能直接掃描生產網服務器，客戶應提供一個鏡像服務器用來掃漏洞。2、如果一定要直接掃描生產網服務器，需要取得客戶許可并跟客戶強調說明風險，并在掃描前備份網站數據與源代碼，保證出現問題后能恢復原狀。新一代防火墻技術及應用159.2WEB掃描填寫好起始URL以及掃描模板，點擊右邊的筆形圖標可以進入編輯界面，如圖所示。新一代防火墻技術及應用169.2WEB掃描內置的掃描模板（快速與完整）不可改動，所以需要在下拉菜單中點擊添加，添加一個模板再進行編輯，如圖所示：防火墻技術與應用179.2WEB掃描測試策略即掃描的漏洞集合，可自定義，內置的快速與完整策略不可刪除。配置好URL與模板后，點擊開始掃描，如圖所示：注意事項：如果有WAF策略保護了目標URL并開啟了拒絕，就會出現“起始URL已防護，不再進行掃描”的提示，禁用或放行相關WAF策略后才能掃描，如圖所示：新一代防火墻技術及應用189.2WEB掃描掃描完成后可查看漏洞的測試過程、描述以及建議方案，如圖所示：新一代防火墻技術及應用199.2WEB掃描掃描完成后可以導出HTML報表，如圖所示：WEB掃描器注意事項：目標URL如果有對應的WAF策略并開啟拒絕，是不能掃描的，需要禁用或放行WAF策略。雙機不會同步web掃描器配置。需要登錄才能掃描的場景只支持用戶名和密碼認證，不支持包含有驗證碼等場景。掃描完成后應及時導出報表，設備不會保存報表，開始新的掃描報表就會清空。新一代防火墻技術及應用20

9.3實時漏洞分析新一代防火墻技術及應用219.3實時漏洞分析實時漏洞分析是一種被動漏洞掃描器，需要數據經過設備或者通過旁路將數據鏡像過來才能分析，實時發現用戶網絡中存在的安全問題，此過程不干預設備數據轉發流程，不發reset包，不影響性能，僅輸出漏洞信息報表。實時漏洞分析需通過多功能序列號開啟，如圖所示：新一代防火墻技術及應用229.3實時漏洞分析實時漏洞分析功能包含三個部分：1.實時漏洞分析策略配置頁面（定義分析條件）2.實時漏洞分析識別庫（與規則庫進行匹配）3.實時漏洞分析報表（生成報表，查看規則）實時漏洞分析策略配置頁面如圖所示：注意：實時漏洞分析僅需指定服務器區域和服務器IP組即可，若服務器IP組配置為全部，則會出現溫馨提示。新一代防火墻技術及應用239.3實時漏洞分析實時漏洞分析識別庫：安全防護對象菜單中新增實時漏洞分析識別庫，在AF6.3以后該規則庫需要收費，如圖所示：新一代防火墻技術及應用249.3實時漏洞分析實時漏洞分析報表：NGAF運行狀態-系統狀態新增最近發現的服務器風險，如圖所示：新一代防火墻技術及應用259.3實時漏洞分析實時漏洞分析報表：NGAF運行狀態-新增實時漏洞分析頁面，如圖所示：新一代防火墻技術及應用269.3實時漏洞分析實時漏洞分析報表：點擊每條策略的查看，即可看到對應的服務器報表，如圖所示：新一代防火墻技術及應用279.3實時漏洞分析實時漏洞分析報表：點擊每條策略的重新發現，即可清空當前報表，重新發現漏洞，如圖所示：新一代防火墻技術及應用289.3實時漏洞分析實時漏洞分析報表：對于每個漏洞，被動掃描器會對比當前IPS/WAF配置，提示該漏洞是否已進行防護，或是AF無法防護的潛在風險，如圖所示：新一代防火墻技術及應用299.3實時漏洞分析實時漏洞分析報表：1、對于每個具體漏洞，報表會給出詳細信息，包括解決方案和解決過程，2、每種服務器的每個漏洞不統計發現次數，僅更新最近發現時間，如圖所示：防火墻技術與應用309.3實時漏洞分析實時漏洞分析注意事項：1、被動漏洞掃描依賴應用識別結果，需要此功能正常運行建議先開通應用識別庫序列號。2、實時漏洞分析功能不支持集中管理。3、實時漏洞分析僅支持tcp協議，不支持udp協議分析，如dns等服務。4、FTP與HTTP支持