《网络安全设备原理与应用》 课件 01-全网行为管理概述；02-全网行为管理部署模式

全网行为管理概述全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录有线互联网时期2006年深信服首家推出上网行为管理AC，帮助客户实现“上网可视可控”移动互联网时期2011年新增上网认证和移动应用管控功能，满足新场景需求2017年率先推出行为感知系统BA，让行为数据更有价值万物互联新时期2020年升级为全网行为管理AC，实现“全网行为可视化可控”满足物联网、业务云化场景下的行为管理需求。全网行为管理发展历史近年来，内网安全事件频发，过往企业只重视出口网络安全建设的部署已经越来越难防范层出不穷的内网攻击手段。内网安全区别于安全威胁，攻击者来自内部，隐藏在众多的业务数据中，难以检测和防范，所造成的损失也往往更大。隐藏在内网中的安全威胁温州一黑客团伙使用自己的电脑接入医院的自助服务电脑使用的网线连入医院内网窃取省内多家医院资料，获利700多万。乌克兰核电站员工私接外网挖矿，涉嫌侵犯国家机密。某军工科研所黄某利用职务便利备份内网涉密资料出售境外机构获刑。内网看似正常的业务行为中，实际上隐藏着巨大的“看不见管不住”安全隐患。为什么需要全网行为管理非法外联用户终端非法U盘访问网站访问论坛赌博网站发送邮件发微博淘宝网IM聊天反动论坛色情网站邮件外发核心文档微博造谣言论非法进程HTTPS网站流量电话会议网盘上传翻墙软件微博上传论坛上传网盘下载论坛下载微博下载论坛恶意中伤他人QQ外发内部文档下载资料资产管理混乱终端违规接入入网行为不规范上网缺乏管控数据泄密风险事后溯源困难企业运维各环节中存在风险识别接入合规管控审计分析运维环节内网IP经常冲突，接入网络上不了网日常运维排查网络无法定位终端，经常出现莫名其妙的地址上线出现安全事件溯源困难缺乏IP地址管理措施，IP对不上终端；缺乏终端资产识别技术，人为搜集繁琐易错。资产混乱现象分析外来人员随意接入内网终端未安装杀毒软件，私自连接外网，使用不安全U盘接入网络，在内网中疯狂传播病毒给内网造成极大威胁内网接入边界模糊，缺乏内网接入检测手段物联网兴起，设备类型多样，无法识别检测管理制度如同空文，缺乏技术监督导致执行效果差违规接入现象分析企业办公室沦为免费网吧，办公效率低；政务人员上班时间网络聊天、炒股、网游，遭暗访曝光，影响单位形象；学校电子阅览室，学生使用IM聊天、看在线视频、网游，影响学习。用户上网权限缺乏管理;互联网应用泛滥、复杂、更新快等加大管理的困难性移动应用快速增长，增加管理难度。上网难监管现象分析微博、百度贴吧等已经成为网络造谣、人身攻击的重灾区肆意外发反动、赌博、色情信息，遭受法律追究流行的自由门、无界浏览器等代理翻墙软件，绕过公司管理上网监管缺失，用户肆意上网Web2.0使每人都成信息发布者缺乏日志记录，无法举证追踪网络违法现象分析上网体验差，分支机构与总部间数据交互慢语音、视频会议系统断断续续邮件发送、资料下载受严重影响员工抱怨网络环境，核心业务无法保障，IT部门屡遭投诉，部门绩效受到影响P2P、流媒体等流量占用了70%以上的带宽带宽缺乏合理划分与分配措施单纯扩容带宽，治标不治本带宽滥用现象分析全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录内部风险智能感知，全网行为可视可控：通过全网终端、应用、流量和数据的可视可控，智能感知终端违规接入、敏感数据泄密、上网违规行为等内部风险，解决上网管控、终端准入管控和数据泄密管控的一体化管控。全网行为管理核心价值可视可控终端入网管控数据泄密管控终端应用流量数据上网管控识别收集内网所有资产信息，包括IP地址的使用情况和终端类型、厂商、与MAC地址对应关系对识别出来的资产信息做表格输出，便于运维终端列表IP管理终端发现设置资产识别功能目的确认入网用户身份，验证其合法性；以该信息作为用户标识，对用户入网后行为进行合规性检查、控制及审计；不需要认证IP/MAC绑定免认证；本地密码认证；短信认证/二维码认证；第三方服务器认证；单点登录；802.1X认证。接入认证功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:入网前检查终端有无安装杀毒软件、有无指定脚本文件、有无登录域等，实现轻量级合规检查管控接入终端的外联行为包括连接非法WIFI、连接外网、双网卡、U盘接入等非法行为杀软检查、登录域检查、操作系统检查进程检查、文件检查、注册表检查计划任务检查、Windows账号检查、防篡改检查外联检查、外联控制、外设管控终端检查功能目的入网终端操作系统登录域违规进程……杀毒软件其它封堵IM聊天、炒股、游戏、下载、在线视频等应用，规范上网行为，提高员工工作效率封堵代理、翻墙软件，规避不当上网行为带来的法律风险封堵邮件，防止敏感信息泄露应用特征识别库应用管理标签化精细化管控防共享防翻墙应用控制功能目的应用特征识别库应用管理标签化防代理共享精细化管控过滤非法、不良网站，避免法律风险；过滤游戏、赌博、购物、在线视频等网站，提高员工工作效率；过滤恶意网页，保障上网安全；千万级URL识别库；URL智能识别系统；URL云共享；自定义URL；恶意网址过滤网页过滤功能目的千万级URL库URL智能识别云共享自定义URL恶意网址过滤网页过滤根据业务类型进行带宽限制或保障，保证核心业务畅通运行；灵活分配带宽资源，实现动态调整，提高带宽利用率；基于用户/用户组/应用/网站类型的流控；多级父子通道；动态流控；P2P智能流控；流控黑名单流量管理功能目的对多运营商线路进行有效负载精准的识别应用，能够进行有效引流动态智能选路应用引流方案DNS透明代理应用路由技术动态引流技术DSCP/tos标签应用选路目的功能记录内网用户的上网行为，一旦发生网络违法违规事件可作为追查证据统计用户的上网时间、应用流量、应用分布等，为企业决策提供依据记录内网安全事件，帮助管理员发现安全威胁网页访问审计邮件审计IM聊天应用审计外发文件审计微博、论坛发帖等行为审计功能目的全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录全网行为管理应用场景场景维度数据价值分析终端准入管控上网行为管控多分支组网Internet数据中心网有线网员工随意使用互联网，需要网页过滤和应用封堵，提高员工工作效率上网体验差，需要控制带宽流量，保障核心业务畅通缺少上网行为记录措施，一旦发生网络违法，无法追踪到人《网络安全法》要求做上网审计，合规要求更严格通过接入认证的多种认证方式，构建上网身份认证体系，保障人员接入上网安全通过对上网应用精确识别与策略管控，规范员工上网行为对互联网带宽进行精细化流控，保障核心业务使用体验通过行为审计，全面审计上网行为，满足审计与合规需求全行业上网行为管控目标客户客户需求具体方案终端准入管控场景对终端上网做二层强管控，未通过认证不能访问内网服务器资源和外网资源，满足可信接入的需求；哑终端免认证入网要求终端上网用户必须安装公司要求的杀毒软件，否则不能上网。禁止研发部门访问外网和终端接入U盘等存储设备。全网行为管理设备网桥或者旁路部署，结合交换机开启802.1X认证，未入网前不能访问内网资源。启用杀软检查，未安装对应杀毒软件不能上网。针对研发部门启用外联检查和U盘管控，管控不合规行为。客户需求具体方案多分支组网

分支和总部之间需要IPSEC组网；分支用户统一在总部认证中心AC上认证，实现用户认证统一在总部认证中心AC上维护；分支统一由总部集中管理设备下发管控策略，实现统一管控；分支统一由总部集中管理设备下发审计策略，并集中把日志传到总部服务器区外置日志中心实现统一审计。多分支的企业、政府、金融等目标客户客户需求方案价值多分支VPN组网，把多个分支串联到总部，方便统一运维。统一认证、管控和审计，满足公安部门的监管要求。数据价值分析需要对内网审计到日志进行分析，提取有价值的信息。通过预先定义的关注内容，对内网外发的敏感信息进行分析，出现泄密风险时通知管理员，防止外发泄密，及时止损。建立数据外发规范，分析风险，防止敏感数据泄露。教育局（教育城域网）、多分支的企业、垂直体系的政府单位（公安、武警等）客户需求应用价值目标客户全网行为管理部署模式路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录部署模式是指设备以什么样的工作方式部署到客户网络中去，不同的部署模式对客户原有网络的影响各有不同；设备在不同模式下支持的功能也各不一样，设备以何种方式部署需要综合用户具体的网络环境和功能需求而定。根据客户需求及环境不同：AC设备支持路由、网桥、旁路部署模式,SG设备支持路由、网桥、旁路、单臂部署模式12.0版本之后支持认证部署模式，13.0版本之后认证模式功能以认证口的形式融入到普通模式中部署模式简介1.单臂模式用于代理上网场景；2.认证模式多用于对接无线控制器和多分支统一认证场景设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。路由模式简介WAN：LAN：/24/24/24/24/241、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。4、检查并放通防火墙规则。路由模式配置思路路由模式效果展示路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。网桥模式简介网桥模式应用场景单网桥54/24/24Br0:/24多网桥54/24/24Br0:/2454/24Br0:/24/241、配置设备网桥地址，网关地址，DNS地址。2、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、检查并放通防火墙规则。网桥模式配置思路网桥模式效果展示路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录旁路模式主要用于实现行为审计功能，不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口上同时镜像交换机上下行的数据，从而实现对上网数据的监控与控制。这种模式对用户的网络环境没有影响，即使设备本身宕机也不会对用户的网络造成中断。旁路模式部署还可用于旁路重定向认证，在不改变网络原有架构的情况下对入网用户进行认证。更多场景：旁路portal重定向认证+审计场景、旁路802.1X认证+基线核查+审计场景。注意：旁路部署模式只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、VPN、DHCP等功能。旁路模式简介RST作用：标示复位、用来异常的关闭连接。1.发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。2.而接收端收到RST包后，也不必发送ACK包来确认TCPRST1、交换机设置镜像口，并接到AC监听口。2、配置需要审计的内网网段和服务器网段。3、配置管理口地址，用于管理AC设备。旁路模式配置思路旁路模式效果展示路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。部署模式小结路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录什么是VLAN？VirtualLAN（虚拟局域网）是物理设备上连接的不受物理位置限制的用户的一个逻辑组。形象地说，交换机VLAN技术就是将1台物理交换机划分为若干台逻辑上完全独立的交换机。为什么引入VLAN？二层交换机不能阻隔广播域，网络规模越大，广播危害也越严重路由器可以阻隔广播，但价格比交换机贵，而且中低端路由器是使用软件转发，转发性能不高，会造成性能瓶颈大量的未知单播流量和无用组播流量带来安全隐患难以管理和维护VLAN概念为什么需要VLAN广播域广播VLAN1VLAN2广播域广播域广播Access端口

VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口：进该接口打上VLAN标记，出接口剥离VLAN标记；Tag=10Tag=20802.1Q公有标准默认情况，在802.1QTrunk上对所有的VLAN打Tag，除了NativeVLAN；NativeVLAN，也称为本征VLAN，是在trunk上无需打标签的VLAN，默认为vlan1，可手工修改Tag标记字段详细信息：Tag标记字段包含一个2bytesEtherType（以太类型）字段、一个3bits的PRI字段、1bit的CFI字段、12bits的VLANID字段；VLAN协议不同交换机相同的vlan互访解决方案：Trunk方案一方案二实现方式在交换机间为每一个vlan建立一条专有传输链路在交换机间建立一条专有链路承载多个vlan的流量优点不需要其他协议的支持不需要占用过多的端口缺点占用了过多的端口需要专有协议支持VLAN间路由不同VLAN之间的数据包