深信服應用防火墻測試報告深信服科技有限公司20XX年XX月XX日目錄HYPERLINK1. 測試背景說明 3HYPERLINK1.1 測試背景 3HYPERLINK1.2 測試目的 3HYPERLINK1.3 測試拓撲 3HYPERLINK1.4 功能開啟說明 3HYPERLINK2. 現(xiàn)網(wǎng)流量分析 4HYPERLINK2.1 流量可視和流量控制效果 4HYPERLINK2.2 應用流量統(tǒng)計 4HYPERLINK2.3 網(wǎng)絡流量構成 5HYPERLINK2.4 網(wǎng)絡安全概況 6HYPERLINK2.5 服務器安全概況 6HYPERLINK2.6 終端安全概況 7HYPERLINK2.7 最近攻擊來源 7HYPERLINK3. 安全結果分析 7HYPERLINK3.1 網(wǎng)絡安全趨勢 7HYPERLINK3.2 服務器安全統(tǒng)計 8HYPERLINK3.3 受攻擊服務器威脅及趨勢統(tǒng)計 8HYPERLINK3.4 攻擊詳情分析 8HYPERLINK3.5 攻擊來源統(tǒng)計 9HYPERLINK3.6 終端漏洞威脅統(tǒng)計 9HYPERLINK3.7 終端漏洞威脅及詳細信息 9HYPERLINK3.8 終端病毒防 10HYPERLINK4. 特色功能展示 10HYPERLINK4.1 應用訪問控制策略 10HYPERLINK4.2 智能聯(lián)動防御策略 11HYPERLINK4.3 數(shù)據(jù)泄密防護 12HYPERLINK4.4 網(wǎng)頁防篡改 13HYPERLINK4.5 用戶登錄權限保護 13HYPERLINK5. 總結及建議 14

測試背景說明測試背景 本次測試的主要目的，是驗證應用防火墻的產(chǎn)品各功能是否滿足用戶使用的需求。應用防火墻的主要功能項如下： 1、基礎防火墻功能：基礎防火墻的功能包括訪問控制、地址轉換、DOS攻擊防護能力的測試； 2、網(wǎng)絡接入功能：驗證防火墻是否具備良好的網(wǎng)絡適應性； 3、應用防火墻功能：增強防火墻對所經(jīng)流量的控制，實現(xiàn)更多元組的訪問控制策略，至少具備基于應用和用戶的訪問控制策略； 4、應用安全防護功能：應用防火墻具備對http等應用層協(xié)議的理解能力，可識別出基于http協(xié)議中隱藏的安全威脅，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性； 5、日志審計與報表：設備應具備詳細的攻擊日志和報表功能，便于事后查詢； 6、統(tǒng)一集中管理：設備分布式部署時，由于設備過多，會導致管理維護成本的增加，應用防火墻支持集中管理接入功能來實現(xiàn)統(tǒng)一管理，減少設備維護管理成本。測試目的驗證產(chǎn)品穩(wěn)定性、性能都達到XX客戶的要求；驗證產(chǎn)品對各類攻擊（包括網(wǎng)絡層和應用層）有效檢測和防護；驗證產(chǎn)品能對內(nèi)部流量、連接做有效識別和控制；驗證產(chǎn)品能對服務區(qū)和辦公區(qū)做有效防護；測試拓撲功能開啟說明為了同時保護服務器與終端安全，本次測試開啟了流量控制、漏洞攻擊防護、web攻擊防護、敏感信息防泄露、網(wǎng)頁防篡改、模塊間智能聯(lián)動等模塊（此處截圖說明測試設備開啟了哪些功能。）現(xiàn)網(wǎng)流量分析流量可視和流量控制效果 由上圖可以看出通過開啟流量控制的功能，使網(wǎng)絡流量保持穩(wěn)定，沒有出現(xiàn)異常的突發(fā)大流量的情況。 通過數(shù)據(jù)中心可以統(tǒng)計出各應用的上下行流量，了解內(nèi)部用戶網(wǎng)絡使用情況， 通過防火墻的流量控制系統(tǒng)對各類應用流量的管理，如限制各種迅雷下載、在線看電影等流量，保證正常業(yè)務的穩(wěn)定運行。應用流量統(tǒng)計 由應用流量統(tǒng)計圖可以看出，網(wǎng)絡中訪問網(wǎng)站、股票交易以及游戲流量占據(jù)TOP3的位置，由于游戲、股票交易流量屬于非關鍵流量，可以適當增加帶寬保障的策略。網(wǎng)絡流量構成 網(wǎng)絡流量統(tǒng)計構成可從多維度看到網(wǎng)絡實際流量的構成，如上圖可以清晰的看到是哪個用戶/IP使用了什么應用占用了多少帶寬。網(wǎng)絡安全概況 本次測試過程中發(fā)現(xiàn)，網(wǎng)絡中存在的攻擊較多，主要是應用層攻擊：DOS攻擊對服務器性能的消耗可能導致服務器癱瘓SQL注入攻擊對數(shù)據(jù)危險巨大，可導致數(shù)據(jù)庫數(shù)據(jù)被篡改XSS攻擊可導致門戶網(wǎng)站被篡改緩沖區(qū)溢出監(jiān)測可導致潛在的系統(tǒng)崩潰、業(yè)務中斷而方法過濾、系統(tǒng)命令注入、目錄遍歷等為為上述攻擊提供前哨準備步驟服務器安全概況 此處從服務端角度分析AF能夠給服務端安全防護帶來的價值。 上圖統(tǒng)計了服務器安全概況，X、X、X幾臺服務器由于訪問的人數(shù)最多，面向互聯(lián)網(wǎng)所遭受來自僵尸網(wǎng)絡或者主動攻擊的數(shù)量最多，額外需要進行安全加固并制定更嚴格的安全防護策略。終端安全概況 此處從服務端角度分析AF能夠給服務端安全防護帶來的價值。 內(nèi)網(wǎng)的終端統(tǒng)計的安全狀況如上圖，面臨的威脅主要是病毒攻擊，除了在終端上安裝殺毒軟件之外，為了防止終端因為中病毒木馬向外發(fā)起異常流量需要在網(wǎng)關處防止惡意流量外發(fā)。最近攻擊來源安全結果分析網(wǎng)絡安全趨勢 從最近的一個月檢測到的受攻擊次數(shù)，看到被測網(wǎng)絡的一個安全趨勢。 由上圖可見，最近一個月的安全趨勢相對平穩(wěn)，可能由于僵尸網(wǎng)絡或者被動攻擊比較多。服務器安全統(tǒng)計 此圖通過直觀的方式顯示出，服務器在遭受安全攻擊時的統(tǒng)計圖，通過這里我們可以發(fā)現(xiàn)，每臺服務器都被檢測到有服務器安全攻擊，其中26的這臺服務器的被攻擊率為55%。從而可以看出深信服的NGAF對整體的服務器起到了很大的防護作用。受攻擊服務器威脅及趨勢統(tǒng)計攻擊詳情分析 上圖所示為典型的web攻擊—SQL注入攻擊。詳細的攻擊分析中顯示了數(shù)據(jù)包的構成內(nèi)容，可參考存在SQL注入的注入點的路徑修正系統(tǒng)的漏洞以避免該類型攻擊的再次發(fā)生。 SQL注入指的是當應用程序使用輸入內(nèi)容來構造動態(tài)sql語句以訪問數(shù)據(jù)庫時，會發(fā)生sql注入攻擊。如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞，也會發(fā)生sql注入。sql注入可能導致攻擊者使用應用程序登陸在數(shù)據(jù)庫中執(zhí)行命令。相關的SQL注入可以通過測試工具pangolin進行。如果應用程序使用特權過高的帳戶連接到數(shù)據(jù)庫，這種問題會變得很嚴重。在某些表單中，用戶輸入的內(nèi)容直接用來構造動態(tài)sql命令，或者作為存儲過程的輸入?yún)?shù)，這些表單特別容易受到sql注入的攻擊。而許多網(wǎng)站程序在編寫時，沒有對用戶輸入的合法性進行判斷或者程序中本身的變量處理不當，使應用程序存在安全隱患。攻擊來源統(tǒng)計 上圖列出了所有目標服務器遭受服務器安全攻擊的次數(shù)、攻擊來源、攻擊趨勢，在這里可以點擊“來源”準確判斷出攻擊者，點擊攻擊次數(shù)可詳細顯示出相關攻擊的類型、所匹配的特征庫ID。終端漏洞威脅統(tǒng)計 上圖所示，3這臺終端遭受的攻擊最為頻繁，可對這臺終端進行必要的邏輯隔離通過攻擊類型查看該終端所遭受的攻擊，并及時清理該終端的潛在威脅以免網(wǎng)內(nèi)其他終端受到影響。終端漏洞威脅及詳細信息終端病毒防 如上圖所示，該日志顯示了終端在發(fā)送郵件時攜帶病毒的防護效果。終端發(fā)送郵件攜帶病毒是最常見的一類病毒傳播方式，從網(wǎng)關處對其內(nèi)容檢測可以有效防止病毒木馬通過郵件接收與發(fā)送進行傳播。特色功能展示應用訪問控制策略 應用控制策略是下一代防火墻實現(xiàn)L2-L7層可視化控制的基礎，通過增加訪問控制的元素來實現(xiàn)L2-L7層的訪問控制。解決了大量應用集中在少量端口上傳統(tǒng)防火墻無法制定針對性細粒度的訪問控制策略的問題。使得訪問控制策略變得更為可視。智能聯(lián)動防御策略 如上圖智能聯(lián)動策略的自動生成，可對持續(xù)發(fā)起攻擊的IP/用戶自動生成臨時的訪問控制策略，以抑制攻擊者持續(xù)發(fā)起攻擊，提高攻擊者攻擊成本，防御未知攻擊。數(shù)據(jù)泄密防護 數(shù)據(jù)泄露防護可制定自定義的信息泄露防護規(guī)則，防止攻擊者繞過安全防御體系對服務器內(nèi)敏感信息的竊取行為。網(wǎng)頁防篡改 網(wǎng)頁篡改防護是網(wǎng)站防護最后一道防線，通過攻擊防護+篡改檢測的手段可以提高網(wǎng)站的安全性。既可以防止網(wǎng)站受到攻擊，也可以防止即使網(wǎng)站受到攻擊后篡改信息也不會發(fā)布到用戶端，起到雙重防護的效果。用戶登錄權限保護 對特定的URL訪問路徑或者服務，提供短信驗證碼的強認證方式，防止敏感信息被隨意訪問?？偨Y及建議客戶的網(wǎng)絡中存在什么樣的安全風險。哪些威脅是傳統(tǒng)防火墻無法防御的。應用防火墻的優(yōu)勢展現(xiàn)在測試結果中的哪部分。針對此次測試的分析結果，建議客戶開啟那些功能。除加硬件設備防護外，幫助客戶分析做其他一些安全措