内网安全控制与审计解决方案

1、内网安全控制与审计解决方案技术创新，变革未来网络扩容的怪圈：为什么带宽总不够用流量管理混乱：内网中未知的业务应用流量管理还停留在带宽上：不能保证合法应用的有效带宽本课程系统地介绍了内网安全控制及审计技术的应用背景、具备的重要功能、典型应用等。引入了解什么是内网安全控制及审计技术掌握行为识别技术的实现和功能掌握行为审计技术的实现和功能掌握行为控制技术的实现和功能掌握内网安全控制及审计技术的典型应用课程目标学习完本课程，您应该能够：内网安全控制及审计技术背景行为识别技术的实现行为审计技术的实现行为控制技术的实现典型应用与配置目录企业内网安全威胁未授权访问是最主要的威胁之一源自组织内部的网络滥用也会

2、造成巨大损失内网安全制度和纪律的落实缺少技术手段支持内网安全问题：内部网络滥用（1）P2P应用抢占大量企业网带宽影响正常应用：视频会议时断时续、网页打不开、邮件发不出去企业陷入网络带宽扩容的怪圈：扩容拥塞扩容又拥塞根据2009年某大型运营商发布的一份调查显示，以BT、eDonkey为代表的P2P应用，消耗了60%以上的网络带宽！内网安全问题：内部网络滥用（2）企业员工上班时间网聊、炒股、游戏、访问与工作无关的网站等严重影响了企业的效益访问不良网站可能会感染病毒、蠕虫、木马，带来严重安全问题邪教、反动网站会带来政治问题以上网络使用行为也存在信息泄漏的风险，或者会被有意识的作为泄漏企业秘密的渠道内

3、网安全问题：潜在的信息泄漏途径计算机的I/O输出端口（如串、并口）可移动存储介质（移动硬盘、U盘等）打印机内部网络共享计算机软、硬件对外部网络的无限制访问内网安全管理的困境目前的带宽管理模式是基于带宽的粗旷式管理，对网络上业务类型及使用信息等知之甚少，无法实现完全监控和管理。传统解决方案如防火墙和路由器无法监测各种网络应用、上网信息的记录。无法进行事后审计安全事件太杂太多，有用信息不能提取管理员无法对用户行为进行审计和事后追根朔源如何防止网络资源的滥用和通过网络进行的信息泄漏，实现内网安全控制与审计？对用户上网行为进行深入分析，识别出相关应用。采取阻断、限流、警告等控制手段。通过采集相关访问信

4、息，实现事后行为审计。行为识别行为控制行为审计内网安全控制与审计的目标兼顾安全与工作效率！内网安全控制及审计技术的背景行为识别技术行为审计技术行为控制技术典型应用与配置目录行为识别的基本原理如何通过技术手段识别上网行为及应用？基于端口的识别部分应用程序通常使用固定的端口进行通信，使区分不同的应用流量变得较为容易。基于负载信息的识别部分协议在报文数据字段中含有协议特征字符串，这些字符串通常是公开的或容易得到，通过检测和匹配这一字符串完成识别。基于行为特征的识别利用部分应用协议的数据流量与其他应用协议数据流量在行为特征上的差异，来进行区分。P2P流量识别举例（1）基于端口的识别最初的P2P流量可通

5、过端口号进行识别。在P2P应用兴起的早期，大多数应用使用的都是固定端口，例如，早期的Fasttrack使用1214端口进行通讯，Gnutella使用6346-6347端口，BitTorrent使用6881-6889端口等。但是很快便出现了大量采用可变端口及伪装端口的 P2P应用软件，简单的通过分析分组首部的端口信息已经无法识别出这类应用的存在。P2P流量识别举例（2）基于负载信息的识别Bit Torrent的Payload特征为“0 x13Bit”。eDonkey2000的Payload特征为0 xe319010000。Gnutella的连接建立报文具有下述格式：GNUTELLA CONNEC

6、T/nn而应答报文格式如下：GNUTELLA OKnn符合上述特征的数据包即视为P2P数据包。这种检测方法易于理解、升级方便、维护简单，不受端口动态变化的限制，是目前运用最普遍的方法。P2P流量识别举例（3）基于行为特征的识别 流量模式识别法P2P应用的特点是持续时间长、平均速率较高以及总的传输字节数高。与文件传输如FTP等应用有些类似，但是该类应用可以很方便的通过端口号识别出来。根据流所包含的字节数，可以很容易将普通Web流量同P2P文件共享流量区分开。连接模式识别法TCP/UDP协议对分析技术(IP，PORT)分析技术行为识别技术的实现H3C UAAE（Universal Applicat

7、ion Apperceiving Engine，通用应用感知引擎）技术统一的应用协议及应用定义语言技术应用协议模型化分类识别技术应用协议及应用智能决策技术 UAAE基本概念应用管理应用管理是指在深度、智能感知应用的基础上，对应用作全面、透明的管理，如应用入侵抵御、应用带宽管理和应用审计管理等。应用识别应用识别是指依据应用本身的特征，将承载在同一类型应用协议上的不同应用区分出来。应用协议识别应用协议识别是指依据应用协议的不同模型化分类，使用不同的识别技术，准确地识别应用协议。UAAE技术优点H3C UAAE通过通用的应用协议和应用定义语言，能够动态升级应用识别库，解决及时识别新应用的问题。H3C

8、 UAAE以模型化分类识别技术将应用协议及应用进行分类识别，兼顾了识别效率和准确性；对于同一报文使用不同的分类识别技术识别出的应用协议依据优先级进行智能决策。H3C UAAE在准确识别应用协议的基础上，深度、智能感知应用，在应用环境中检测和抵御攻击，把各种应用及其行为置于明确的可管理的前提下，实现准确的应用带宽管理和透明的应用审计管理。UAAE技术架构 协议定义统一的定义语言协议模块化识别和智能决策状态跟踪协议解析应用环境分析协议特征状态机定义应用定义应用特征状态机定义特征识别智能识别的基本概念和流程协议识别、协议解析、特征识别、应用环境分析和状态跟踪UAAE应用识别引擎模型化和智能决策模型化

9、识别应用协议固定端口协议识别协商协议识别隧道协议识别特征及特征状态机协议识别协议插件确认智能决策对于同一个应用报文使用多种识别方法得出多个应用协议时，需要采取智能决策机制，准确识别出应用协议。UAAE对各种识别手段和验证方法进行优先级排序，高优先级的识别结果动态智能的替换低优先级的识别结果，大大提高了识别精确度。扩展与升级扩展、可升级的应用识别和行为识别能力UAAE识别技术P2P业务识别即时通信业务识别炒股软件游戏其他业务日志/报表分析输出UAAE的重要功能P2P业务识别 支持对常见P2P业务的识别 采用特征库分析技术 用户自定义类型（通过端口号）功能说明 P2P业务识别Thunder（迅雷）

10、、BitTorrent、eMule（电骡）、eDonkey（电驴）、Tencent Download 其他业务应用类型说明 即时通讯类MSN、QQ、Google Talk、Yahoo Messenger 炒股软件Big Wisdom （大智慧） 、Straight Flush（同花顺） 游戏World of Warcraft（魔兽世界）、Globallink 其它流媒体、WEB访问、FTP下载、网络管理内网安全控制及审计技术的背景行为识别技术行为审计技术行为控制技术典型应用与配置目录审计的基本概念财务审计的三个关键点：所有的帐务往来都要清晰可见借贷之间应该是平衡的交易的合理性与合规性网络安全审

11、计的目的是为了在过去的记录中寻找“攻击”的证据，不仅能重现“攻击”的过程，而且这些“证据”是不可以被后来修改的。网络审计技术目标和功能记录使用者(有可能是外来者，也可能是内部人员)的行为过程确定使用者的身份不仅能记录下来，而且可以重现使用者的“工作”过程审计记录的数据是不可更改的网络审计技术分类网络行为审计数据库审计运维审计互联网审计业务合规性审计行为审计的技术实现协议审计处理流程在协议识别后，根据用户配置的审计选项可以对HTTP协议、FTP协议、SMTP协议、POP3协议、QQ协议和MSN协议等主流网络应用协议进行审计。审计策略一个协议审计策略由一系列的审计规则组成，每一个审计规则对应一个协

12、议类型，规定了用户所关心的协议类型。用户通过定义一个或多个协议审计策略，并可以对不同的保护对象应用不同的协议审计策略，实现了高度的可定制性。用户行为监管Web应用监管用户访问的URL、host字段、用户通过HTTP协议上传/下载的文件名信息、访问时间。电子邮件应用审计收件人、发件人、抄送人、暗送人、邮件标题和邮件中的附件名。QQ/MSN应用审计用户ID或者用户名、用户进行文字聊天/语音聊天/视频聊天的对端用户、用户下线的时间等。FTP协议审计用户名、用户登陆时间、用户进入的文件目录、用户上传或下载的文件名、上传或下载文件的时间。应用流量分析业务使用用户明细各种业务的流量趋势单个业务流量曲线单个

13、用户的某类应用业务流量趋势应用业务分布饼图内网安全控制及审计技术的背景行为识别技术的实现行为审计技术的实现行为控制技术的实现典型应用于配置目录行为控制技术概述：相关基本概念接口：通常是指一个物理接口。通道带宽：通常将一个接口或段的出方向带宽划分成多个通道，每个通道都可以分配不同的平均带宽和峰值带宽，通过该通道的流量可设置是否允许带宽借用。段：一个“段”可以理解成一条物理链路或多对物理链路。带宽管理技术介绍基于段的带宽管理以段为基础，限制一个段的两个不同方向流量，进行带宽隔离，防止带宽滥用、误用基于用户的带宽管理在一个段上，根据内网或外网IP地址将流量划分成不同的用户或用户组，对每个用户或用户组

14、进行带宽管理带宽管理技术介绍基于服务的带宽管理按照流量所属的应用层协议或服务，为不同用户的不同服务的流量定义不同的控制策略。阻断或隔离允许通过带宽限速报文捕获带宽滥用告警通知内网安全控制及审计技术的背景行为识别技术的实现行为审计技术的实现行为控制技术的实现典型应用与配置目录SecCenter 安全管理平台概览可运营的安全服务平台提供用户web自助服务，病毒通告，应急响应等多视角的安全监测，提供基于事件、应用、流量与用户的丰富报表，实现用户上网行为审计拓扑管理，集中策略部署，灵活定义特色服务如VPN/DDOS等策略，降低业务开通成本监控关联展示各项安全事件，针对安全策略实现安全响应，支持与iMC

15、网管系统协同联动被管资源SecCenter统一管理平台支撑系统安全基础设备（FW/VPN/UTM/IPS/ACG/Anti-X)安 全 审 计 中 心安 全 事 件 管 理 中 心安全响应管理中心安全策略/安全流程/工单系统安全管理平台基础框架（拓扑管理/License管理/性能监控/报表系统）安 全 策 略 部 署 中 心病 毒 预 警攻 击 事 件漏 洞 分 析NAT 日志审计网络流量分析URL 行为分析设备配置集中策略部署业 务 部 署应 用 监 控 分 析文本SecCenter A1000产品 SecCenter A1000是H3C公司推出的安全管理解决方案中的重要组成部分，基于硬件的智能、高效的安全信息及事件管理（SIEM）系统。收集&分析数据知识SyslogNetStream二进制日志WMI、APIH3C SecCenter安全事件网络事件系统事件应用事件主要功能可管理近100家主流厂家的安全与网络产品1000+种报表的自动或手工生成流量与攻击的实时监控海量事件关联和威胁分析安全审计分析与追踪溯源Netflow文本SecCenter应用控制与审计管理系统 H3C SecCenter应用控制与审计管理系统（简称：ACG Manager）是一款基于应用层的应用分析与管理系统，是H3C公司安全