深信服上网行为管理-安全防护指南

1、深信服上网行为管理安全防护指南培训内容培训目标防DOS攻击1.了解防DOS攻击适用场景2.掌握防DOS攻击配置方法网关杀毒1.掌握网关杀毒测试方法防DOS攻击SANGFOR AC&SG 网关杀毒防DOS攻击防DOS攻击介绍防DOS攻击即设备对于DOS攻击的防护，通过设备能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。设备可以阻止DOS攻击的类型有每个IP在一分钟内向几一个目标IP和端口发起的最大连接数及每个IP在每秒钟发起的攻击包次数（攻击包包括SYN包，ICMP及小于100字节的TCP/UDP小包）防DOS攻击配置不当，会导致内网断网，所以默认不建议开启，当确实有此需求时，

2、才启用。防DOS攻击配置防DOS攻击总开关注意，启用内网网段列表后，内网网段必须填全，如果没有填全，则不在此列中的PC上网直接被认为是DOS攻击，被丢弃，导致断网。如果不启用内网网段列表，则对经过的所有数据包进行条件匹配，匹配上才认为是DOS攻击此选项不建议启用排除指定的地址不做DOS攻击检测，一般适用于内网服务器，因为服务器流量比较大，根据实际情况填写设置检测攻击条件，及检测到攻击后的处理，可以设置封锁时间及发送告警邮件通知管理员。连接数条件推荐设置1024，攻击包条件推荐5000防DOS攻击配置当检测到DOS攻击时，系统日志会打出告警日志，如下图所示注意开启防dos攻击后，如果本机所在的网

3、段不在防dos内网网段列表中，则本机到设备443，51111和22345三个端口是默认放行的，到设备其它端口或经过设备的数据流会全部被拦截。网关杀毒网关杀毒介绍设备本身集成了第三方杀毒引擎，部署在网络前端，对过往的数据流量进行病毒检测查杀，防止病毒影响内网安全。网关杀毒可以针对http下载，ftp下载，pop3/imap收邮件及smtp发邮件四种数据流杀毒。病毒库更新需要授权，授权后，病毒库会每天自动更新网关杀毒配置设置网关杀毒类型，一般全选。排除不需要杀毒的网站，默认排除了PC常见杀毒软件病毒库更新地址，以免PC病毒库更新被判断为病毒导致无法更新。注意网关杀毒支持的四种协议杀毒，http下载

4、，ftp下载，pop3/imap及smtp杀毒都是全局开关。其中http下载和ftp下载杀毒直接在网关杀毒中启用即可生效，但pop3/imap/smtp杀毒是通过邮件代理实现的，还需要在上网策略中启用邮件过滤，关联到用户或组，并且确保设备可上网。下面以smtp邮件杀毒为例，说明网关杀毒测试方法邮件杀毒配置步骤1、准备工作（1）检查设备本身是否可以上外网，要确保设备本身能够上网（2）检查病毒库升级授权是否过期，病毒库是否当前最新。要确保病毒库升级授权已开启，且病毒库当前最新。邮件杀毒配置步骤2、新建认证策略，用户组等（此处略）3、新建上网权限策略，并启用邮件过滤关联到用户或组，如下图。邮件杀毒配置步骤4、新建上网审计策略，并关联到用户或组，如下图。邮件杀毒配置步骤5、启用网关杀毒邮件杀毒配置步骤6、配置事件告警。即当检测到病毒时，发送告警邮件到管理员邮箱邮件杀毒配置步骤7、通过邮件客户端发送一封带病毒的原始邮件邮件杀毒配置步骤8、设备检测到病毒效果首页，运行状态页面，右下角小喇叭提示发现病毒。如下图管理员告警邮箱也收到发现病毒的事件告警邮件，如下图数据中心记录网关杀毒日志，如下