SANGFOR-AF-应用防火墙测试报告模版

深信服应用防火墙测试报告深信服科技有限公司20XX年XX月XX日目录HYPERLINK1. 测试背景说明 3HYPERLINK1.1 测试背景 3HYPERLINK1.2 测试目的 3HYPERLINK1.3 测试拓扑 3HYPERLINK1.4 功能开启说明 3HYPERLINK2. 现网流量分析 4HYPERLINK2.1 流量可视和流量控制效果 4HYPERLINK2.2 应用流量统计 4HYPERLINK2.3 网络流量构成 5HYPERLINK2.4 网络安全概况 6HYPERLINK2.5 服务器安全概况 6HYPERLINK2.6 终端安全概况 7HYPERLINK2.7 最近攻击来源 7HYPERLINK3. 安全结果分析 7HYPERLINK3.1 网络安全趋势 7HYPERLINK3.2 服务器安全统计 8HYPERLINK3.3 受攻击服务器威胁及趋势统计 8HYPERLINK3.4 攻击详情分析 8HYPERLINK3.5 攻击来源统计 9HYPERLINK3.6 终端漏洞威胁统计 9HYPERLINK3.7 终端漏洞威胁及详细信息 9HYPERLINK3.8 终端病毒防 10HYPERLINK4. 特色功能展示 10HYPERLINK4.1 应用访问控制策略 10HYPERLINK4.2 智能联动防御策略 11HYPERLINK4.3 数据泄密防护 12HYPERLINK4.4 网页防篡改 13HYPERLINK4.5 用户登录权限保护 13HYPERLINK5. 总结及建议 14

测试背景说明测试背景 本次测试的主要目的，是验证应用防火墙的产品各功能是否满足用户使用的需求。应用防火墙的主要功能项如下： 1、基础防火墙功能：基础防火墙的功能包括访问控制、地址转换、DOS攻击防护能力的测试； 2、网络接入功能：验证防火墙是否具备良好的网络适应性； 3、应用防火墙功能：增强防火墙对所经流量的控制，实现更多元组的访问控制策略，至少具备基于应用和用户的访问控制策略； 4、应用安全防护功能：应用防火墙具备对http等应用层协议的理解能力，可识别出基于http协议中隐藏的安全威胁，包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等，从根源上解决了Web系统被入侵、数据被篡改的可能性； 5、日志审计与报表：设备应具备详细的攻击日志和报表功能，便于事后查询； 6、统一集中管理：设备分布式部署时，由于设备过多，会导致管理维护成本的增加，应用防火墙支持集中管理接入功能来实现统一管理，减少设备维护管理成本。测试目的验证产品稳定性、性能都达到XX客户的要求；验证产品对各类攻击（包括网络层和应用层）有效检测和防护；验证产品能对内部流量、连接做有效识别和控制；验证产品能对服务区和办公区做有效防护；测试拓扑功能开启说明为了同时保护服务器与终端安全，本次测试开启了流量控制、漏洞攻击防护、web攻击防护、敏感信息防泄露、网页防篡改、模块间智能联动等模块（此处截图说明测试设备开启了哪些功能。）现网流量分析流量可视和流量控制效果 由上图可以看出通过开启流量控制的功能，使网络流量保持稳定，没有出现异常的突发大流量的情况。 通过数据中心可以统计出各应用的上下行流量，了解内部用户网络使用情况， 通过防火墙的流量控制系统对各类应用流量的管理，如限制各种迅雷下载、在线看电影等流量，保证正常业务的稳定运行。应用流量统计 由应用流量统计图可以看出，网络中访问网站、股票交易以及游戏流量占据TOP3的位置，由于游戏、股票交易流量属于非关键流量，可以适当增加带宽保障的策略。网络流量构成 网络流量统计构成可从多维度看到网络实际流量的构成，如上图可以清晰的看到是哪个用户/IP使用了什么应用占用了多少带宽。网络安全概况 本次测试过程中发现，网络中存在的攻击较多，主要是应用层攻击：DOS攻击对服务器性能的消耗可能导致服务器瘫痪SQL注入攻击对数据危险巨大，可导致数据库数据被篡改XSS攻击可导致门户网站被篡改缓冲区溢出监测可导致潜在的系统崩溃、业务中断而方法过滤、系统命令注入、目录遍历等为为上述攻击提供前哨准备步骤服务器安全概况 此处从服务端角度分析AF能够给服务端安全防护带来的价值。 上图统计了服务器安全概况，X、X、X几台服务器由于访问的人数最多，面向互联网所遭受来自僵尸网络或者主动攻击的数量最多，额外需要进行安全加固并制定更严格的安全防护策略。终端安全概况 此处从服务端角度分析AF能够给服务端安全防护带来的价值。 内网的终端统计的安全状况如上图，面临的威胁主要是病毒攻击，除了在终端上安装杀毒软件之外，为了防止终端因为中病毒木马向外发起异常流量需要在网关处防止恶意流量外发。最近攻击来源安全结果分析网络安全趋势 从最近的一个月检测到的受攻击次数，看到被测网络的一个安全趋势。 由上图可见，最近一个月的安全趋势相对平稳，可能由于僵尸网络或者被动攻击比较多。服务器安全统计 此图通过直观的方式显示出，服务器在遭受安全攻击时的统计图，通过这里我们可以发现，每台服务器都被检测到有服务器安全攻击，其中26的这台服务器的被攻击率为55%。从而可以看出深信服的NGAF对整体的服务器起到了很大的防护作用。受攻击服务器威胁及趋势统计攻击详情分析 上图所示为典型的web攻击—SQL注入攻击。详细的攻击分析中显示了数据包的构成内容，可参考存在SQL注入的注入点的路径修正系统的漏洞以避免该类型攻击的再次发生。 SQL注入指的是当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。攻击来源统计 上图列出了所有目标服务器遭受服务器安全攻击的次数、攻击来源、攻击趋势，在这里可以点击“来源”准确判断出攻击者，点击攻击次数可详细显示出相关攻击的类型、所匹配的特征库ID。终端漏洞威胁统计 上图所示，3这台终端遭受的攻击最为频繁，可对这台终端进行必要的逻辑隔离通过攻击类型查看该终端所遭受的攻击，并及时清理该终端的潜在威胁以免网内其他终端受到影响。终端漏洞威胁及详细信息终端病毒防 如上图所示，该日志显示了终端在发送邮件时携带病毒的防护效果。终端发送邮件携带病毒是最常见的一类病毒传播方式，从网关处对其内容检测可以有效防止病毒木马通过邮件接收与发送进行传播。特色功能展示应用访问控制策略 应用控制策略是下一代防火墙实现L2-L7层可视化控制的基础，通过增加访问控制的元素来实现L2-L7层的访问控制。解决了大量应用集中在少量端口上传统防火墙无法制定针对性细粒度的访问控制策略的问题。使得访问控制策略变得更为可视。智能联动防御策略 如上图智能联动策略的自动生成，可对持续发起攻击的IP/用户自动生成临时的访问控制策略，以抑制攻击者持续发起攻击，提高攻击者攻击成本，防御未知攻击。数据泄密防护 数据泄露防护可制定自定义的信息泄露防护规则，防止攻击者绕过安全防御体系对服务器内敏感信息的窃取行为。网页防篡改 网页篡改防护是网站防护最后一道防线，通过攻击防护+篡改检测的手段可以提高网站的安全性。既可以防止网站受到攻击，也可以防止即使网站受到攻击后篡改信息也不会发布到用户端，起到双重防护的效果。用户登录权限保护 对特定的URL访问路径或者服务，提供短信验证码的强认证方式，防止敏感信息被随意访问。总结及建议客户的网络中存在什么样的安全风险。哪些威胁是传统防火墙无法防御的。应用防火墙的优势展现在测试结果中的哪部分。针对此次测试的分析结果，建议客户开启那些功能。除加硬件设备防护外，帮助客户分析做其他一些安全措