《网络安全设备原理与应用》 课件全套 01-全网行为管理概述-25-安全感知平台功能说明-分析中心

全网行为管理概述全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录有线互联网时期2006年深信服首家推出上网行为管理AC，帮助客户实现“上网可视可控”移动互联网时期2011年新增上网认证和移动应用管控功能，满足新场景需求2017年率先推出行为感知系统BA，让行为数据更有价值万物互联新时期2020年升级为全网行为管理AC，实现“全网行为可视化可控”满足物联网、业务云化场景下的行为管理需求。全网行为管理发展历史近年来，内网安全事件频发，过往企业只重视出口网络安全建设的部署已经越来越难防范层出不穷的内网攻击手段。内网安全区别于安全威胁，攻击者来自内部，隐藏在众多的业务数据中，难以检测和防范，所造成的损失也往往更大。隐藏在内网中的安全威胁温州一黑客团伙使用自己的电脑接入医院的自助服务电脑使用的网线连入医院内网窃取省内多家医院资料，获利700多万。乌克兰核电站员工私接外网挖矿，涉嫌侵犯国家机密。某军工科研所黄某利用职务便利备份内网涉密资料出售境外机构获刑。内网看似正常的业务行为中，实际上隐藏着巨大的“看不见管不住”安全隐患。为什么需要全网行为管理非法外联用户终端非法U盘访问网站访问论坛赌博网站发送邮件发微博淘宝网IM聊天反动论坛色情网站邮件外发核心文档微博造谣言论非法进程HTTPS网站流量电话会议网盘上传翻墙软件微博上传论坛上传网盘下载论坛下载微博下载论坛恶意中伤他人QQ外发内部文档下载资料资产管理混乱终端违规接入入网行为不规范上网缺乏管控数据泄密风险事后溯源困难企业运维各环节中存在风险识别接入合规管控审计分析运维环节内网IP经常冲突，接入网络上不了网日常运维排查网络无法定位终端，经常出现莫名其妙的地址上线出现安全事件溯源困难缺乏IP地址管理措施，IP对不上终端；缺乏终端资产识别技术，人为搜集繁琐易错。资产混乱现象分析外来人员随意接入内网终端未安装杀毒软件，私自连接外网，使用不安全U盘接入网络，在内网中疯狂传播病毒给内网造成极大威胁内网接入边界模糊，缺乏内网接入检测手段物联网兴起，设备类型多样，无法识别检测管理制度如同空文，缺乏技术监督导致执行效果差违规接入现象分析企业办公室沦为免费网吧，办公效率低；政务人员上班时间网络聊天、炒股、网游，遭暗访曝光，影响单位形象；学校电子阅览室，学生使用IM聊天、看在线视频、网游，影响学习。用户上网权限缺乏管理;互联网应用泛滥、复杂、更新快等加大管理的困难性移动应用快速增长，增加管理难度。上网难监管现象分析微博、百度贴吧等已经成为网络造谣、人身攻击的重灾区肆意外发反动、赌博、色情信息，遭受法律追究流行的自由门、无界浏览器等代理翻墙软件，绕过公司管理上网监管缺失，用户肆意上网Web2.0使每人都成信息发布者缺乏日志记录，无法举证追踪网络违法现象分析上网体验差，分支机构与总部间数据交互慢语音、视频会议系统断断续续邮件发送、资料下载受严重影响员工抱怨网络环境，核心业务无法保障，IT部门屡遭投诉，部门绩效受到影响P2P、流媒体等流量占用了70%以上的带宽带宽缺乏合理划分与分配措施单纯扩容带宽，治标不治本带宽滥用现象分析全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录内部风险智能感知，全网行为可视可控：通过全网终端、应用、流量和数据的可视可控，智能感知终端违规接入、敏感数据泄密、上网违规行为等内部风险，解决上网管控、终端准入管控和数据泄密管控的一体化管控。全网行为管理核心价值可视可控终端入网管控数据泄密管控终端应用流量数据上网管控识别收集内网所有资产信息，包括IP地址的使用情况和终端类型、厂商、与MAC地址对应关系对识别出来的资产信息做表格输出，便于运维终端列表IP管理终端发现设置资产识别功能目的确认入网用户身份，验证其合法性；以该信息作为用户标识，对用户入网后行为进行合规性检查、控制及审计；不需要认证IP/MAC绑定免认证；本地密码认证；短信认证/二维码认证；第三方服务器认证；单点登录；802.1X认证。接入认证功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:入网前检查终端有无安装杀毒软件、有无指定脚本文件、有无登录域等，实现轻量级合规检查管控接入终端的外联行为包括连接非法WIFI、连接外网、双网卡、U盘接入等非法行为杀软检查、登录域检查、操作系统检查进程检查、文件检查、注册表检查计划任务检查、Windows账号检查、防篡改检查外联检查、外联控制、外设管控终端检查功能目的入网终端操作系统登录域违规进程……杀毒软件其它封堵IM聊天、炒股、游戏、下载、在线视频等应用，规范上网行为，提高员工工作效率封堵代理、翻墙软件，规避不当上网行为带来的法律风险封堵邮件，防止敏感信息泄露应用特征识别库应用管理标签化精细化管控防共享防翻墙应用控制功能目的应用特征识别库应用管理标签化防代理共享精细化管控过滤非法、不良网站，避免法律风险；过滤游戏、赌博、购物、在线视频等网站，提高员工工作效率；过滤恶意网页，保障上网安全；千万级URL识别库；URL智能识别系统；URL云共享；自定义URL；恶意网址过滤网页过滤功能目的千万级URL库URL智能识别云共享自定义URL恶意网址过滤网页过滤根据业务类型进行带宽限制或保障，保证核心业务畅通运行；灵活分配带宽资源，实现动态调整，提高带宽利用率；基于用户/用户组/应用/网站类型的流控；多级父子通道；动态流控；P2P智能流控；流控黑名单流量管理功能目的对多运营商线路进行有效负载精准的识别应用，能够进行有效引流动态智能选路应用引流方案DNS透明代理应用路由技术动态引流技术DSCP/tos标签应用选路目的功能记录内网用户的上网行为，一旦发生网络违法违规事件可作为追查证据统计用户的上网时间、应用流量、应用分布等，为企业决策提供依据记录内网安全事件，帮助管理员发现安全威胁网页访问审计邮件审计IM聊天应用审计外发文件审计微博、论坛发帖等行为审计功能目的全网行为管理需求背景全网行为管理核心价值全网行为管理的应用场景目录全网行为管理应用场景场景维度数据价值分析终端准入管控上网行为管控多分支组网Internet数据中心网有线网员工随意使用互联网，需要网页过滤和应用封堵，提高员工工作效率上网体验差，需要控制带宽流量，保障核心业务畅通缺少上网行为记录措施，一旦发生网络违法，无法追踪到人《网络安全法》要求做上网审计，合规要求更严格通过接入认证的多种认证方式，构建上网身份认证体系，保障人员接入上网安全通过对上网应用精确识别与策略管控，规范员工上网行为对互联网带宽进行精细化流控，保障核心业务使用体验通过行为审计，全面审计上网行为，满足审计与合规需求全行业上网行为管控目标客户客户需求具体方案终端准入管控场景对终端上网做二层强管控，未通过认证不能访问内网服务器资源和外网资源，满足可信接入的需求；哑终端免认证入网要求终端上网用户必须安装公司要求的杀毒软件，否则不能上网。禁止研发部门访问外网和终端接入U盘等存储设备。全网行为管理设备网桥或者旁路部署，结合交换机开启802.1X认证，未入网前不能访问内网资源。启用杀软检查，未安装对应杀毒软件不能上网。针对研发部门启用外联检查和U盘管控，管控不合规行为。客户需求具体方案多分支组网

分支和总部之间需要IPSEC组网；分支用户统一在总部认证中心AC上认证，实现用户认证统一在总部认证中心AC上维护；分支统一由总部集中管理设备下发管控策略，实现统一管控；分支统一由总部集中管理设备下发审计策略，并集中把日志传到总部服务器区外置日志中心实现统一审计。多分支的企业、政府、金融等目标客户客户需求方案价值多分支VPN组网，把多个分支串联到总部，方便统一运维。统一认证、管控和审计，满足公安部门的监管要求。数据价值分析需要对内网审计到日志进行分析，提取有价值的信息。通过预先定义的关注内容，对内网外发的敏感信息进行分析，出现泄密风险时通知管理员，防止外发泄密，及时止损。建立数据外发规范，分析风险，防止敏感数据泄露。教育局（教育城域网）、多分支的企业、垂直体系的政府单位（公安、武警等）客户需求应用价值目标客户全网行为管理部署模式路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录部署模式是指设备以什么样的工作方式部署到客户网络中去，不同的部署模式对客户原有网络的影响各有不同；设备在不同模式下支持的功能也各不一样，设备以何种方式部署需要综合用户具体的网络环境和功能需求而定。根据客户需求及环境不同：AC设备支持路由、网桥、旁路部署模式,SG设备支持路由、网桥、旁路、单臂部署模式12.0版本之后支持认证部署模式，13.0版本之后认证模式功能以认证口的形式融入到普通模式中部署模式简介1.单臂模式用于代理上网场景；2.认证模式多用于对接无线控制器和多分支统一认证场景设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。路由模式简介WAN：LAN：/24/24/24/24/241、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。4、检查并放通防火墙规则。路由模式配置思路路由模式效果展示路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。网桥模式简介网桥模式应用场景单网桥54/24/24Br0:/24多网桥54/24/24Br0:/2454/24Br0:/24/241、配置设备网桥地址，网关地址，DNS地址。2、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、检查并放通防火墙规则。网桥模式配置思路网桥模式效果展示路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录旁路模式主要用于实现行为审计功能，不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口上同时镜像交换机上下行的数据，从而实现对上网数据的监控与控制。这种模式对用户的网络环境没有影响，即使设备本身宕机也不会对用户的网络造成中断。旁路模式部署还可用于旁路重定向认证，在不改变网络原有架构的情况下对入网用户进行认证。更多场景：旁路portal重定向认证+审计场景、旁路802.1X认证+基线核查+审计场景。注意：旁路部署模式只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、VPN、DHCP等功能。旁路模式简介RST作用：标示复位、用来异常的关闭连接。1.发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。2.而接收端收到RST包后，也不必发送ACK包来确认TCPRST1、交换机设置镜像口，并接到AC监听口。2、配置需要审计的内网网段和服务器网段。3、配置管理口地址，用于管理AC设备。旁路模式配置思路旁路模式效果展示路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。部署模式小结路由部署解决方案网桥部署解决方案旁路部署解决方案TRUNK部署解决方案目录什么是VLAN？VirtualLAN（虚拟局域网）是物理设备上连接的不受物理位置限制的用户的一个逻辑组。形象地说，交换机VLAN技术就是将1台物理交换机划分为若干台逻辑上完全独立的交换机。为什么引入VLAN？二层交换机不能阻隔广播域，网络规模越大，广播危害也越严重路由器可以阻隔广播，但价格比交换机贵，而且中低端路由器是使用软件转发，转发性能不高，会造成性能瓶颈大量的未知单播流量和无用组播流量带来安全隐患难以管理和维护VLAN概念为什么需要VLAN广播域广播VLAN1VLAN2广播域广播域广播Access端口

VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口：进该接口打上VLAN标记，出接口剥离VLAN标记；Tag=10Tag=20802.1Q公有标准默认情况，在802.1QTrunk上对所有的VLAN打Tag，除了NativeVLAN；NativeVLAN，也称为本征VLAN，是在trunk上无需打标签的VLAN，默认为vlan1，可手工修改Tag标记字段详细信息：Tag标记字段包含一个2bytesEtherType（以太类型）字段、一个3bits的PRI字段、1bit的CFI字段、12bits的VLANID字段；VLAN协议不同交换机相同的vlan互访解决方案：Trunk方案一方案二实现方式在交换机间为每一个vlan建立一条专有传输链路在交换机间建立一条专有链路承载多个vlan的流量优点不需要其他协议的支持不需要占用过多的端口缺点占用了过多的端口需要专有协议支持VLAN间路由不同VLAN之间的数据包如何交互？

VLAN间路由路由器与每个VLAN建立一条物理连接，浪费大量的端口拓扑如右图所示，交换机划分了三个VLAN，VLANID分别为10，20，30。交换机外联口配置为Trunk口，各Vlan间的互访通过路由器实现。需求：部署全网行为管理设备替换出口路由器实现内网行为的审计和控制。Trunk环境需求背景Trunk环境路由部署IP：，vid:10

，vid:20

，vid:30Trunk

二层交换机（可划分VLAN）IP：0/24GW：/24vid:10IP：0/24GW：/24vid:30IP：0/24GW：/24vid:201、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好设备。2、配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可。Trunk环境路由配置Trunk环境网桥部署IP：，vid:10

，vid:20

，vid:30可划分VLAN的交换机IP：0/24GW：/24vid:10IP：0/24GW：/24vid:30IP：0/24GW：/24vid:201、网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库3、或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库Trunk环境网桥部署配置接入认证基础认证背景无认证技术IP/MAC认证目录要求实现：IT部电脑IP不固定，认证不受限制办公区用户不能修改IP地址上网公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到。案例背景/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区认证框架认证方式portal认证密码认证802.1x认证不允许认证(禁止上网)本地密码认证第三方服务器密码认证短信认证二维码认证Dkey认证OA认证单点登录不需要认证需求一：IT部电脑IP不固定，认证不受限制需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区设备根据数据包的源IP地址、计算机名、源MAC地址来标识用户。优点：终端用户上网认证的过程是透明的，不会感知设备的存在。一般适用于对认证要求不严格的场景数据包特征信息认证背景无认证技术IP/MAC认证目录首先为办公区的用户建一个用户组，在【接入管理】－【用户管理】－【本地组/用户】中，点新增，选择【组】，定义组名：IT部新增【认证策略】，选择认证方式为不需要认证，不绑定任何地址【认证后处理】-【非本地/域用户使用该组上线】：IT部无认证配置思路/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区IT部员工通过设备上网时，【在线用户管理】可以看到用户已在上线不需要认证效果展示认证背景无认证技术IP/MAC认证目录需求二：办公区用户不允许私自修改IP地址，否则禁止上网需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区问题一：数据包经过二层交换机转发后，数据包的源MAC地址会不会变化？问题二：数据包经过三层交换机转发后，数据包的源MAC地址会不会变化？问题三：我们如何能获取到终端的真实IP/MAC表项呢？需求背景分析SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。SNMP协议概述管理信息库MIB：任何一个被管理的资源都表示成一个对象，称为被管理的对象。每个OID（ObjectIDentification）都对应一个唯一的对象MIB库OID值SNMP规定了5种协议数据单元，用来在管理进程和代理之间的交换。get-request操作：从代理进程处提取一个或多个参数值。get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。set-request操作：设置代理进程的一个或多个参数值。get-response操作：返回的一个或多个参数值。trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。SNMP协议数据单元get-requestget-next-requestget-responseget-responseset-requestget-responsetrapSNMP管理程序SNMP代理程序UDP端口161UDP端口162UDP端口161UDP端口161通过Wirehsark捕获SNMP交互过程SNMP协议数据包工作原理防火墙172.16.1.1/24IP1

MAC1IP2

MAC2IP3

MAC3172.16.1.3/24①③②④思考：多个三层交换机的情况下如何获取？工作原理防火墙/24/24/24/24/24１、首先为办公区的用户建一个用户组，在【接入管理】－【用户管理】－【本地组/用户】中，点新增，选择【组】，定义组名：办公区２、新增【认证策略】，选择认证方式为：不需要认证3、【认证后处理】-【非本地/域用户使用该组上线】选择：办公区4、勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】三层网络环境下特别注意，需要开启以下功能：5、配置【认证高级选项】-【跨三层取MAC】（注意：要在三层设备上设置允许AC访问其SNMP服务器）配置思路

【系统管理】—【在线用户管理】可以看到用户认证上线的身份。【用户管理】—【IP/MAC绑定】可以查看到IP和MAC绑定成功。配置思路如果设备无法获取到交换机的ARP表，应该如何排查？1、检查设备与交换机是否通讯正常2、检查交换机的配置（是否允许AC访问其SNMP服务器）、ACL和团体名3、检查中间设备是否有拦截UDP161端口4、在电脑上通过BPSNMPUtil工具连接交换机，测试是否可以读取ARP表5、AC只支持SNMPV1V2V2C版本协议思考总结如果以设备网桥模式部署在30位掩码的网络环境中如何获取交换机的ARP表？防火墙和交换机启30位掩码的地址，我们的AC网桥将不可用，需要和交换机通过snmp取mac需要用管理口为什么此时网桥不能用？30位掩码下的整个网络环境，只有两个可用IPAC是网桥模式部署，所以AC上下的设备都得分配IP，此时AC分配不到IP，处于无IP网桥模式，因此要用管理口来另接交换机（此时交换机上也要进行配置网口与AC的管理口对接）思考总结IP/MAC绑定失败？1、查看是否在【跨三层取MAC】中没有排除三层设备的MAC地址；2、在【IP/MAC绑定】中，查看PC的IP或MAC是否已经绑定了其他MAC或者IP（同时查看三层设备的MAC是否被PC绑定了）思考总结跨三层识别方法二抓取arp包或dhcp包获取MAC通过镜像交换机arp或dhcp数据到设备空闲口（作为镜像口）获取用户mac地址。实现方法一：在核心交换机上增加一个trunk口，允许所有vlan，把这个trunk口连到AC空闲网口上。这样可以把所有广播包复制到AC上，包括ARP包和DHCP的包。实现方法二：镜像DHCP服务器接口进出流量扩展延伸应用特征识别技术应用识别需求与背景应用识别技术应用识别配置教学目标需求背景（一）：全天不允许使用QQ等聊天工具需求背景（二）：全天只允许特定QQ账号上网，不允许其他QQ账号上网需求背景/24FE-FC-FE-E9-9E-95/24/24办公区/24IT部/24公共上网区防火墙/24传统行为检测原理：传统的网络设备根据数据包的五元组（源IP，目的IP，源端口，目的端口，协议）这些特征等来识别应用并进行丢弃、转发、接收、处理等行为。通过识别协议为UDP，端口为8000，从而识别出是QQ聊天的应用，将该类数据包全部丢弃，实现需求一功能需求背景１、

新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用里面勾选IM，生效时间全天，移动终端设备里面勾选通讯聊天，动作拒绝，在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。２、新增【上网策略】-【上网审计策略】-【应用审计】添加，勾选所有选项，在【适用对象】选择办公区，即对办工区的所有用户关联上这条识别策略。配置思路办公区员工通过设备上网时，登录QQ已经不能在登录了，登录又如下提示，在我们的上网行为监控里面可以记录QQ已经被拒绝，并审计了一些办公区用户的访问应用的行为。效果展示应用识别需求与背景应用识别技术应用识别配置教学目标需求背景（一）：全天不允许使用QQ等聊天工具需求背景（二）：全天只允许特定QQ账号上网，不允许其他QQ账号上网需求背景/24FE-FC-FE-E9-9E-95/24/24办公区/24IT部/24公共上网区防火墙/24从数据包中发现，QQ用户的字段在应用层OICQ协议的Data字段。该需求需要识别特定的QQ用户，而传统的行为检测只能对链路层、网络层、传输层进行数据处理，不能对应用层进行操作。应用特征识别技术传统行为检测VS深度行为检测应用特征识别技术链路层头部IP头部传输层协议头部数据内容链路层头部IP头部传输层协议头部数据内容传统行为检测范围深度行为检测范围深度行为检测技术产生背景：传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的数据包，无法满足现在的安全需求和可视需求。应用特征识别技术深度行为检测技术深度包检测技术（DPI）深度流检测技术（DFI）（1）可视化全网（2）流量精细化管理（3）减少或延迟带宽投入，降低网络运营成本（4）及时发现和抑制异常流量（5）透视全网服务质量，保障关键业务质量（6）丰富的QoS提供能力优点：深度包检测技术（DPI）深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容。应用特征识别技术基于“特征字”的检测技术基于应用网关的检测技术基于行为模式的检测技术深度包检测技术分类1、基于“特征字”的检测技术（DPI）客户需求：在客户局域网中只允许电脑上网，不允许手机上网。需求分析：该需求需要能够识别哪些上网数据是手机端发出的，哪些是PC端发出的。通过数据包分析，发现手机和电脑在同时上网的时候（同时使用HTTP协议）会在HTTP协议的User-Agent字段区分出手机数据和PC数据。应用特征识别技术基于“特征字”的检测技术（DPI）不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。通过对应用特征信息的升级（例如http数据包中的User-Agent的位置），基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。应用特征识别技术1.固定位置特征字匹配3.多连接联合匹配以及状态特征匹配2.变动位置的特征匹配基于“特征字”的检测技术分类2.基于应用层网关的检测技术（ALG）某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流，根据对应的协议，对控制流进行解析，从协议内容中识别出相应的业务流。客户需求：禁用VoIP视频。需求分析：VoIP视频协议是先使用控制信令来协商数据的传输，之后进行数据流的传输。VoIP视频数据交换过程抓包如下：应用特征识别技术基于应用层网关的检测技术--VoIP视频协议数据流VoIP视频协议的数据流可以看到是基于UDP的，跟踪数据流，发现该数据没有任何特征，但是VoIP在进行数据传输前是有控制信令来协商数据的传输。应用特征识别技术基于应用层网关的检测技术--VoIP协议的控制信令1应用特征识别技术基于应用层网关的检测技术--VoIP协议的控制信令2应用特征识别技术3.基于行为模式的检测技术基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作行为模式识别技术通常用于无法根据协议判断的业务的识别。例子：垃圾邮件行为模式识别SPAM（垃圾邮件）业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出SPAM业务。应用特征识别技术邮件服务器一个小时发一封邮件一个小时发一万封邮件深度流检测技术（DFI）DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。应用特征识别技术RTP流P2P流平均包长一般在130～220byte一般在450bytes之上下载时长较短较长连接速率较低（一般是20～84kbit/s）较高会话保持时间较长较短深度包检测（DPI）VS深度流检测（DFI）DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但是无法判断该流量是否采用H.323或其他协议。如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。应用特征识别技术应用识别需求与背景应用识别技术应用识别配置教学目标１、新增【行为管理】-【访问权限策略】-【QQ号白名单】，将允许的QQ用户加入QQ白名单，在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。2、登录在白名单内的QQ号，可以正常登录；登录在白名单之外的QQ号，登录失败。配置思路办公区员工通过设备上网时，一般用户登录QQ已经不能在登录（左图），登录有如下提示，QQ登录被拒绝。但是白名单用户可以正常登录（右图）效果展示行为审计概述行为审计需求背景行为审计技术日志记录查询互联网审计技术目录网络安全法要求制定内部安全管理制度和操作规程，落实安全保护责任明确责任人防范计算机病毒和网络攻击、网络侵入等采取防范保护措施法律、行政法规规定的其他义务其他法律义务采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于六个月；s监测、记录并保留日志数据分类、重要数据备份和加密等措施数据分类、备份和加密行为审计架构客户端审计互联网审计访问网站、web邮件、论坛贴吧微博发帖、web网盘等行为查询。应用、流量、时长等数据统计。审计架构业务审计IM客户端、邮件客户端、TeamViewer、向日葵远程工具、XShell、Pshell等运维工具、网盘客户端、U盘等附件外发审计。WEB、FTP、SMB业务系统的行为和流量审计。行为审计需求背景行为审计技术日志记录查询互联网审计技术目录结合前面的应用识别技术行为审计技术应用审计行为审计技术组成需要结构url应用行为未知应用行为分发到不同审计模块日志记录行为审计模块进入零拷贝缓冲区例：例：QQ/王者荣耀下载文件名例：史记.txt………………

审计到的数据怎么存储？行为审计技术组成需要结构分发到不同审计模块提取必要信息行为审计模块进入零拷贝缓冲区

发送日志日志中心：按不同日志类型存储日志数据行为审计需求背景行为审计技术日志记录查询互联网审计技术目录在之前的课程中有介绍过“上网行为监控”这个模块，可以实时的看到一些“拒绝”或者“被记录”的上网动作，但是实时的日志是会被刷掉的，那么如果想查以前的日志怎么办？这个时候就需要登录到日志中心去查看历史日志了日志记录方式此处跳转到内置日志中心此处跳转到外置日志中心【如果有配置外置DC】日志查询模块，提供给管理员进行日志查询的功能，包含所有行为查询、访问网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询，能够追查到各种违反组织规定的行为。日志查询日志归类，简洁清晰高级过滤选项这个模块可以查询到所有的行为日志，但是不会显示行为内容可以根据时间、用户、组、应用来查询日志下图是查询所有行为日志截图：日志查询主要满足客户的流量分析、时长分析、用户行为分析、合规性分析等需求。例如：统计应用流量排行统计分析可以快速的自动生成精美的图标呈现出来，并且可以自由切换不同风格的表格。统计分析客户可订阅指定的报表内容，将订阅的内容上报到指定的邮箱进行审阅；满足客户流量时长分析、用户行为分析、合规性分析等需求。报表中心报表中心行为审计需求背景行为审计技术日志记录查询互联网审计技术目录如何审计论坛微博发帖、WEB邮箱发送邮件、网页网盘上传附件等通过http/https协议外发的内容？需求背景全网行为管理可以审计WEB邮箱、论坛、微博、网盘、笔记、网页版IM、HTTP外发与下载、网络协议、网络命令、URL等划分了13个大类，每个大类细分了多种具体应用，可选针对内容或者附件进行审计可根据文件类型进行审计，避免审计的附件占用太大的空间。互联网审计互联网审计通过对流量的抓取和识别分析，从网络流量中提取出host、username、subject等关键字段内容，作为审计结果存放到日志中心。以新浪邮箱为例：首先用新浪邮箱发送封邮件，同时抓包，下图是发送的邮件内容：互联网审计原理新浪发邮件数据包内容互联网审计原理然后在抓取163邮箱发邮件的数据包互联网审计原理两份数据包有什么异同？1、数据包的内容格式完全不一样，参数也不一样。2、相同之处就是这两个邮箱都是以明文方式发送的思考：密文的外发邮箱能审计吗？外发邮件审计原理流量管理应用场景

P2P流量控制案例

HTTP下载流量控制案例流量可视化流量配额案例目录客户背景：客户10M上网线路，内网有200人，网络管理员反映内网上网较慢，AC设备以路由模式部署在公网出口，从AC设备应用流量排名观察，p2p下载，在线流媒体等占用带宽很大。客户不想封堵任何人的任何应用，希望全天能优先保证上网及邮件收发等关键应用的流量，如果没有这些关键应用，p2p下载，在线流媒体等应用可以尽量使用线路带宽，避免带宽浪费。P2P流量控制案例由背景分析客户上网慢是由于高带宽软件(P2P，迅雷，在线视频)吞噬了带宽导致，但客户不希望封堵这些应用。所以我们可以使用流控功能把不合理的应用带宽控制在一个合理的范围，把关键应用优先保证下带宽，当没有关键应用时，高带宽软件可以突破限制，从而实现智能动态调整带宽。需求分析流量管理前的数据流流量管理后的数据流配置建议：根据客户的情况，我们需要建立两种通道，保证通道和限制通道。1、保证通道针对所有员工，访问网站，邮件，DNS，IM，办工OA，微博论坛网上银行等常见应用保证带宽最低50%，最高100%2、限制通道针对所有员工对P2P，P2P流媒体，文件下载，MEDIA进行带宽限制，控制为总带宽的20%，且同时勾选“抑制P2P下行丢包”和“当线路空闲时，允许突破限制”配置思路配置思路配置步骤一：设置公网线路的实际带宽.点击线路1进入配置框互联网传输的单位是bps，10Mbps=1280KB/S配置思路配置步骤二：新增流量管理通道（保证关键应用）建立保证通道，所有员工保证关键应用访问网站，邮件，DNS，IM，办工OA，微薄论坛网上银行等常见应用保证带宽最低50%，最高100%配置思路配置步骤三：新增流量管理通道（限制P2P）建立限制通道，所有员工对P2P，P2P流媒体，文件下载，MEDIA进行带宽限制，控制为总带宽的20%启用“抑制p2p下行丢包”能够更好控制udp应用流量，限制通道且udp应用较多时建议启用。启用“当线路空闲时，允许突然限制”，当网络中没有保证带宽业务时，限制通道的应用可以突破带宽限制，避免带宽浪费客户背景：客户网络出口有两条外网线路，100M电信和20M联通，客户要求电信线路分配30%的带宽给技术部门，并要求技术部门每个用户P2P和P2P流媒体应用不超过100Kbps。这种情况应该怎么去实现？P2P流量控制案例-扩展流量子通道概念流量子通道：将流量管理通道分级，使流量控制更加细化，更灵活。流量管理策略流量管理一级通道流量管理子通道

流量子通道应用于对流量管理有细化需求的场景。比如一个公司有多个部门，给每个部门分配固定的带宽，然后在这个带宽范围内设置不同的流量管理策略。设置虚拟线路和线路带宽，电信线路100M，网通线路20M新增一级通道，设定技术部门所有应用带宽不超过电信线路的30%新增子通道，设定技术部门P2P和P2P流媒体应用，单用户上下行限制100Kbps需求分析新增子通道，设定技术部门P2P和P2P流媒体应用，单用户上下行限制100Kbps配置思路

P2P流量控制案例

HTTP下载流量控制案例流量可视化流量配额案例目录

客户需求对所有下载进行流控，包括http文件下载（即浏览器目标另存为）的方式下载，但又不能影响打开网页速度。需求背景下载网关升级客户端，右键点击下载然后复制下载链接，得到URL：/download/product/tools/SANGFOR_Updater6.0.zipHTTP下载流量控制技术数据包格式如下，可以看到下载文件的数据包和正常打开网站的数据包格式一模一样！那么问题来了，如何才能只限制下载的速度，而不限制打开网站的速度呢？HTTP下载流量控制技术这种需求下，对于HTTP文件下载流控需要通过文件类型流控，如下图：配置方法流量管理效果验证方法：1、流控生效后，可以在客户端电脑验证流控效果2、可以从设备流量管理状态查看流控效果。效果展示

P2P流量控制案例

HTTP下载流量控制案例流量可视化流量配额案例目录实际使用环境，支持流量可视化功能流量可视化日常运维场景：在启用流量管理功能后，帮助管理员检视“启用流控后”的流量使用情况在，评估流控通道的配置是否合理，并对通道配置进行调整，更好的分配流量。（条件限制没有中文版效果图）流量可视化

P2P流量控制案例

HTTP下载流量控制案例流量可视化流量配额案例目录客户背景：客户做了用户限额策略，针对员工每天每月的流量、时长、流速等都是有限的，超限后直接封堵用户的上网行为会影响员工的正常办公，现想实现超限后给予低速通道上网，满足基本上网需求。流量配额案例1、首先在流控管理新增一条惩罚通道，把通道限制一个范围2、在用户限额策略中，设置“限额超出处理”为“处罚”并且勾选“添加到流控通道”，选择第一步设置的惩罚通道。配置思路1、首先在流控管理新增一条惩罚通道，把通道限制一个范围2、在用户限额策略中，设置“限额超出处理”为“处罚”并且勾选“添加到流控通道”，选择第一步设置的惩罚通道。配置思路注意：1、惩罚通道只能是限制通道，且此通道不可再建子通道2、惩罚通道要按应用来匹配，即一个用户流量可以跑到多个惩罚通道（最多20），没匹配上惩罚通道的流量继续走原有的通道配置流程3、惩罚通道的生效时间、目的IP组、线路号也要有效注意事项下一代防火墙概述了解防火墙的定义及其发展历程了解防火墙的发展历程教学目标防火墙的定义防火墙发展历程目录防火墙的定义什么是防火墙？墙，始于防，忠于守。从古至今，墙予人以安全之意。防火墙的定义防火墙分类按物理特性划分按性能划分按防火墙结构划分按防火墙技术划分防火墙分类软件防火墙硬件防火墙百兆级防火墙千兆级防火墙······单一主机防火墙路由集成防火墙分布式防火墙······包过滤防火墙应用代理防火墙状态监测防火墙······防火墙的定义防火墙的功能1.访问控制2.地址转换3.网络环境支持4.带宽管理功能7.高可用性6.用户认证5.入侵检测和攻击防御防火墙的定义防火墙安全策略定义安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。主要应用对跨防火墙的网络互访进行控制对设备本身的访问进行控制防火墙的定义防火墙安全策略作用根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。防火墙安全策略的原理入数据流出数据流

BBAABBBAAAA

AAAAAAPolicy0：允许APolicy1：拒绝B防火墙安全策略步骤1：入数据流经过防火墙步骤2：查找防火墙安全策略判断是否允许下一步操作步骤３：防火墙根据定义的安全策略对数据包进行处理默认策略操作防火墙的定义安全策略分类域间安全策略域内安全策略接口包过滤Trust区域Untrust区域G0/0/0G0/0/1OutbountInbountTrust区域G0/0/0InbountOutbount防火墙的定义防火墙发展历程目录防火墙发展历程防火墙发展进程防火墙发展历程传统防火墙（包过滤防火墙）——一个严格的规则表判断信息数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）工作范围网络层、传输层（3-4层）和路由器的区别普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用包过滤技术防火墙发展历程传统防火墙（包过滤防火墙）——一个严格的规则表优势对于小型站点容易实现，处理速度快，价格便宜劣势规则表很快会变得庞大复杂难运维，只能基于五元组包过滤防火墙非信任网络信任网络匹配规则：①有允许规则：是；②有拒绝规则：否；③无相关规则：否；防火墙发展历程传统防火墙（应用代理防火墙）——每个应用添加代理判断信息所有应用层的信息包工作范围应用层（7层）和包过滤防火墙的区别包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。技术应用应用代理技术防火墙发展历程传统防火墙（应用代理防火墙）——每个应用添加代理优势检查了应用层的数据劣势检测效率低，配置运维难度极高，可伸缩性差代理一：客户端到防火墙代理一：防火墙到服务器只检查数据客户端服务器防火墙发展历程传统防火墙（状态检测防火墙）——首次检查建立会话表判断信息IP地址、端口号、TCP标记工作范围数据链路层、网络层、传输层（2-4层）和包过滤防火墙的区别包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。技术应用状态检测技术防火墙发展历程传统防火墙（状态检测防火墙）——首次检查建立会话表优势主要检查3-4层能够保证效率，对TCP防御较好劣势应用层控制较弱，不检查数据区包过滤防火墙非信任网络信任网络防火墙发展历程入侵检测系统（IDS）——网络摄像头部署方式旁路部署，可多点部署工作范围2-7层工作特点根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头目的传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。防火墙发展历程入侵检测系统（IDS）——网络摄像头分析方式基于规则入侵检测基于规则入侵检测统计模型分析呈现防火墙非信任网络信任网络入侵检测系统探测器分析器用户接口防火墙发展历程入侵防御系统（IPS）——抵御2-7层已知威胁部署方式串联部署工作范围2-7层工作特点根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通目的IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御防火墙发展历程入侵防御系统（IPS）——抵御2-7层已知威胁入侵防御系统非信任网络信任网络防火墙发展历程防病毒网关（AV）——基于网络侧识别病毒文件判断信息数据包工作范围2-7层目的防止病毒文件通过外网络进入到内网环境数据包文件还原防病毒网关非信任网络信任网络防火墙发展历程防病毒网关（AV）——基于网络侧识别病毒文件和防火墙的区别防火墙发展历程Web应用防火墙（WAF）——专门用来保护web应用判断信息http协议数据的request和response工作范围应用层（7层）目的防止基于应用层的攻击影响Web应用系统防火墙发展历程Web应用防火墙（WAF）——专门用来保护web应用主要技术原理代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制特征识别：通过正则表达式的特征库进行特征识别算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等Web应用防火墙非信任网络服务器防火墙发展历程统一威胁管理（UTM）——多合一安全网关包含功能FW、IDS、IPS、AV工作范围2-7层（但是不具备web应用防护能力）目的将多种安全问题通过一台设备解决优点功能多合一有效降低了硬件成本、人力成本、时间成本缺点模块串联检测效率低，性能消耗大防火墙发展历程统一威胁管理（UTM）——多合一安全网关非信任网络信任网络UTM防火墙发展历程下一代防火墙（NGFW）——升级版的UTM包含功能FW、IDS、IPS、AV、WAF工作范围2-7层和UTM的区别与UTM相比增加的web应用防护功能UTM是串行处理机制，NGFW是并行处理机制NGFW的性能更强，管理更高效防火墙的定义防火墙发展历程总结下一代防火墙组网方案了解下一代防火墙组网方案教学目标下一代防火墙组网简介下一代防火墙组网方案策略路由解决方案目录下一代防火墙组网方案路由模式组网需求背景客户需求：现有的拓扑如下图，使用AF替换现有防火墙部署在出口，实现对内网用户和服务器安全防护。内网用户服务器区下一代防火墙组网方案路由模式组网需求分析：部署前我们需要做哪些准备工作？了解现有防火墙设备的内外网接口配置内网网段如何规划，需要写回程路由内网服务器是否需要做端口映射是否需要做源地址转换代理内网电脑上网内外网权限需要做哪些控制需要配置哪些安全防护策略满足客户需求现有拓扑是否完整下一代防火墙组网方案路由模式组网配置思路配置接口地址，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由配置代理上网：在【策略】-【地址转换】中，新增源地址转换配置端口映射：在【策略】-【地址转换】中，新增服务器映射配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限配置安全防护策略：如业务防护策略、用户防护策略等下一代防火墙组网方案路由模式组网单臂路由模式单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墙组网方案路由模式组网配置案例某用户网络是跨三层的环境，购买AF设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP的，具体网络拓扑如图所示54/24/24/24/24/29/29下一代防火墙组网方案路由模式组网配置步骤1配置接口地址，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，分别选择两个接口作为内外网口，并配置接口类型、所属区域、基本属性、IP地址。下一代防火墙组网方案路由模式组网配置步骤2配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由。下一代防火墙组网方案路由模式组网配置步骤3配置代理上网：在【策略】-【地址转换】中，新增NAT，配置源地址转换。下一代防火墙组网方案路由模式组网配置步骤4配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。下一代防火墙组网方案路由模式组网注意事项在路由模式部署时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址路由模式部署支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等需要修改原网络拓扑，对现有环境改动较大一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景下一代防火墙组网方案透明模式组网需求背景客户需求：现有的拓扑如下图，需要增加一台AF设备做安全防护，但不能改动现有网络环境内网用户服务器区下一代防火墙组网方案透明模式组网需求分析：部署前我们需要做哪些准备工作？内外网接口定义管理地址配置，是否需要带外管理，还是通过VLANIP管理配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理内外网权限需要做哪些控制需要配置哪些安全防护策略满足客户需求下一代防火墙组网方案透明模式组网配置思路配置接口类型，并定义接口对应的区域：在【网络】-【接口】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性如所属access或者trunk配置管理接口：在【网络】-【接口】中，新增管理接口，或者配置vlan接口的逻辑接口做为管理接口，并分配管理地址配置路由：在【网络】-【路由】中，新增缺省路由和回程路由配置应用控制策略，对不同区域间的访问权限进行控制：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制配置安全防护策略：如：业务防护策略、用户防护策略等下一代防火墙组网方案透明模式组网虚拟网线部署：虚拟网线部署是透明部署中另外一种特殊情况，和正常透明部署有如下区别和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口虚拟网络接口必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发虚拟网线接口的转发性能高于透明接口，一般的网桥环境下，推荐使用虚拟网线接口部署虚拟网线部署需要通过其他路由口进行管理下一代防火墙组网方案透明模式组网配置案例某用户网络是跨三层的环境，有路由器部署在公网出口，现购买AF设备，不能改动原有环境，需做透明部署进去，具体网络拓扑如下图所示/24/24/24/2454/24下一代防火墙组网方案透明模式组网配置步骤1配置接口类型，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，分别选择两个接口做上下联接口，并配置接口类型、所属区域、基本属性access（如在trunk环境需选择trunk口）。下一代防火墙组网方案透明模式组网配置步骤2配置管理接口：在【网络】-【接口】-【VLAN接口】中，配置vlan接口的逻辑接口做为管理接口，并分配管理地址。下一代防火墙组网方案透明模式组网配置步骤3配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由。下一代防火墙组网方案透明模式组网配置步骤4配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。下一代防火墙组网方案透明模式组网注意事项透明模式部署不支持NAT、策略路由选择、动态路由协议（OSPF、BGP、RIP等）等需要了解上联和下联的方向，以免策略方向出错一般部署在出口路由设备下联方向，不会改动原有网络环境终端安全风险&终端上网安全应用控制技术

了解终端安全风险了解终端上网安全应用控制技术教学目标终端安全风险目录终端安全风险终端安全风险对于一个企业来说，90%以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80%的安全事件来自于终端。终端已经成为黑客的战略攻击点。黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。终端安全风险终端安全风险终端安全风险终端安全风险黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：看不见的风险高级持续威胁本地渗透扩散敏感信息窃取脆弱信息收集终端安全风险总结终端上网的安全-应用控制技术目录终端上网的安全-应用控制技术应用控制策略功能概述在客户网络环境中，如果没有对网络流量进行访问控制，容易造成非相关人员访问敏感数据或者登陆不相关的设备等。因此，需要防火墙来做逻辑上的隔离，允许其通过或丢弃数据包，过滤条件有源区域、目的区域、源地址、目的地址、目的服务和应用。从而减少内网外网环境带来的威胁，更高效的管控网络中的流量走向。财务服务器PCtrustDMZuntrustPC拒绝访问财务服务器和P2P应用终端上网的安全-应用控制技术应用控制策略工作过程根据自定义的应用控制策略，当数据包到达AF转发时，从上往下依次匹配自定义的应用控制策略，直到匹配上应用控制策略为止，并根据应用控制策略的动作对数据包进行允许或拒绝，同时创建一条会话。Web站点（:80）源地址目的地址目的端口80源区域untrust目的区域DMZ源地址目的地址服务80应用any动作允许源地址目的地址目的端口80PC（）DMZuntrust策略：终端上网的安全-应用控制技术应用控制策略分类基于服务的控制策略通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对任何数据包都可以立即进行拦截动作判断。基于应用的控制策略通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。终端上网的安全-应用控制技术应用控制策略分类配置应用控制策略的时候，需要同时选择服务和应用两种类型，两种类型之间为“与”关系，必须要两者的条件都匹配，策略才会生效。例如：客户需要拒绝部分用户打开网页，如果应用控制配置的服务选择TCP、应用选择DNS，就会导致策略不生效，原因是平常解析域名的DNS协议是基于UDP协议，应用控制识别流量发现是UDP而非TCP，与策略的匹配条件不一致，策略就不会去拦截对应的流量。终端上网的安全-应用控制技术应用场景客户一台内网PC机(0)允许访问公司财务服务器(0),该站点开放了80端口访问界面。同时，该PC允许访问互联网，但是禁止访问P2P相关应用，且只能8点至17点之间访问互联网。财务服务器PC终端上网的安全-应用控制技术配置思路配置步骤创建应用控制策略，允许PC访问公司财务服务器创建应用控制策略，禁止PC访问P2P应用创建应用策略，允许PC在特定时间内访问互联网终端上网的安全-应用控制技术配置详情1允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情2禁止PC访问P2P应用，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术配置详情3允许PC访问公司财务服务器，在【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击新增终端上网的安全-应用控制技术应用控制策略--长连接在一些特殊的环境下，实现服务器在一段时间中没有收到客户端的数据（应用层数据），也不会断开连接，这就需要AF配置长连接，防止会话超时删除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服务any应用any长连接3day策略：会话超时时间13day终端上网的安全-应用控制技术应用场景某银行数据库服务器，提供下属各个分支机构的服务器对接，由于该数据库服务器没有重连机制，需要重启等方式才能重新建立新连接。因此，为防止通信过程中AF会话超时，导致服务器重新连接造成会话异常，造成业务中断，则需要保持连接。终端上网的安全-应用控制技术长连接配置操作界面为【策略】→【访问控制】→【应用控制策略】→【策略配置】，点击进入对应策略，选择高级选项设置。终端上网的安全-应用控制技术应用控制策略辅助功能应用控制策略辅助功能主要用来协助我们分析、记录和管理现有的策略。常用的辅助功能主要有以下几个：标签管理：对同一类策略打上相同标签，可对标签进行新增、编辑、删除等操作策略变更原因记录：在新增或修改策略时显示变更原因输入框，方便记录变更原因模拟策略匹配：输入五元组等信息，模拟策略匹配方式，给出最可能的匹配结果。可用于排查故障，或环境部署前的调试失效策略检查：检测因冲突、生效时间已过期、已超过一段时间未有匹配的等情况失效的策略实时冲突策略检测：在新增、修改和移动策略时，实时对策略的冲突进行检测并提醒。该功能启用后，可能在策略数量过多时造成页面加载延迟策略优化：根据设置分析策略的等级，对所有的应用控制策略进行分析，给出目前策略配置不合理的相关提示，方便进行快速优化策略终端上网的安全-应用控制技术应用场景某客户网络中，互联网区域AF应用控制策略经过长年的累积，策略数量较多，造成运维难度加大，且主要存在以下问题：存在较多失效策略同一类型策略存在多个，未对其进行打标签标识无法判断流量匹配那条应用控制策略策略修改无记录存在较多冲突策略，无法进行排查终端上网的安全-应用控制技术配置案例某客户核心网络AF，存在过多的重复策略，且开放的端口较大，没有进行策略最小化原则配置，同时存在同一类型的访问策略未进行分类，难以辨别。策略增删改没有记录，无法追溯到最具人员。终端上网的安全-应用控制技术配置思路配置步骤：启用失效策略检查；对同一类型的策略可以进行打标签处理；进行策略优化，查找不合规则策略；策略的操作进行记录终端上网的安全-应用控制技术配置详情1启用失效策略检查，当检测到失效时状态变为红色感叹号。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，启用失效策略检查。终端上网的安全-应用控制技术配置详情2对同一类型策略进行管理。操作步骤为【策略】→【访问控制】→【应用控制策略】，点击更多操作，选择辅助工具，选择进行标签管理。终端上网的安全-应用控制技术配置详情3策略优化，寻找设置不合理的策略。操作步骤为【策略】→【访问控制】→【应用控制策略】→【策略优化】终端上网的安全-应用控制技术配置详情4应用控制策略在指定查询范围内的操作，进行变更的记录和展示，方便对日常的维护工作有相应的记录和溯源。操作步骤为【策略】→【访问控制】→【应用控制策略】→【策略生命周期管理】终端上网的安全-应用控制技术注意事项开启应用控制策略的日志记录功能，需要先在日志设置开启应用控制日志功能。默认禁止策略无法删除普通策略无法移到默认策略之后终端上网安全应用控制技术总结服务器安全风险

与DOS攻击检测和防御技术了解服务器安全风险了解DOS攻击检测和防御技术教学目标服务器安全风险DOS攻击检测和防御技术目录服务器安全风险服务器安全风险不必要的访问（如只提供HTTP服务）外网发起IP或端口扫描、DDOS攻击等漏洞攻击（针对服务器操作系统等)根据软件版本的已知漏洞进行攻击,口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪造等等扫描网站开放的端口以及弱密码网站被攻击者篡改应用识别、控制防火墙漏洞攻击防护服务器保护风险分析网站篡改防护服务器安全风险DOS攻击检测和防御技术目录DOS攻击检测和防御技术DoS攻击背景2016年10月21日，美国提供动态DNS服务的DynDNS报告遭到DDoS攻击，攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括BBC、华尔街日报、CNN、纽约时报等一大批新闻网站集体宕机，Twitter甚至出现了近24小时0访问的局面！此次事件中，黑客就是运用了DNS洪水攻击手段。DOS攻击检测和防御技术DoS/DDoS攻击介绍DoS攻击——Denial

of

Service,

是一种拒绝服务攻击，常用来使服务器或网络瘫痪的网络攻击手