《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 05-行為審計(jì)概述；06-流量管理應(yīng)用場(chǎng)景

行為審計(jì)概述行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄網(wǎng)絡(luò)安全法要求制定內(nèi)部安全管理制度和操作規(guī)程，落實(shí)安全保護(hù)責(zé)任明確責(zé)任人防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等采取防范保護(hù)措施法律、行政法規(guī)規(guī)定的其他義務(wù)其他法律義務(wù)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個(gè)月；s監(jiān)測(cè)、記錄并保留日志數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施數(shù)據(jù)分類、備份和加密行為審計(jì)架構(gòu)客戶端審計(jì)互聯(lián)網(wǎng)審計(jì)訪問(wèn)網(wǎng)站、web郵件、論壇貼吧微博發(fā)帖、web網(wǎng)盤等行為查詢。應(yīng)用、流量、時(shí)長(zhǎng)等數(shù)據(jù)統(tǒng)計(jì)。審計(jì)架構(gòu)業(yè)務(wù)審計(jì)IM客戶端、郵件客戶端、TeamViewer、向日葵遠(yuǎn)程工具、XShell、Pshell等運(yùn)維工具、網(wǎng)盤客戶端、U盤等附件外發(fā)審計(jì)。WEB、FTP、SMB業(yè)務(wù)系統(tǒng)的行為和流量審計(jì)。行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄結(jié)合前面的應(yīng)用識(shí)別技術(shù)行為審計(jì)技術(shù)應(yīng)用審計(jì)行為審計(jì)技術(shù)組成需要結(jié)構(gòu)url應(yīng)用行為未知應(yīng)用行為分發(fā)到不同審計(jì)模塊日志記錄行為審計(jì)模塊進(jìn)入零拷貝緩沖區(qū)例：例：QQ/王者榮耀下載文件名例：史記.txt………………

審計(jì)到的數(shù)據(jù)怎么存儲(chǔ)？行為審計(jì)技術(shù)組成需要結(jié)構(gòu)分發(fā)到不同審計(jì)模塊提取必要信息行為審計(jì)模塊進(jìn)入零拷貝緩沖區(qū)

發(fā)送日志日志中心：按不同日志類型存儲(chǔ)日志數(shù)據(jù)行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄在之前的課程中有介紹過(guò)“上網(wǎng)行為監(jiān)控”這個(gè)模塊，可以實(shí)時(shí)的看到一些“拒絕”或者“被記錄”的上網(wǎng)動(dòng)作，但是實(shí)時(shí)的日志是會(huì)被刷掉的，那么如果想查以前的日志怎么辦？這個(gè)時(shí)候就需要登錄到日志中心去查看歷史日志了日志記錄方式此處跳轉(zhuǎn)到內(nèi)置日志中心此處跳轉(zhuǎn)到外置日志中心【如果有配置外置DC】日志查詢模塊，提供給管理員進(jìn)行日志查詢的功能，包含所有行為查詢、訪問(wèn)網(wǎng)站查詢、即時(shí)聊天日志查詢、郵件、發(fā)帖、發(fā)微博等日志查詢，能夠追查到各種違反組織規(guī)定的行為。日志查詢?nèi)罩練w類，簡(jiǎn)潔清晰高級(jí)過(guò)濾選項(xiàng)這個(gè)模塊可以查詢到所有的行為日志，但是不會(huì)顯示行為內(nèi)容可以根據(jù)時(shí)間、用戶、組、應(yīng)用來(lái)查詢?nèi)罩鞠聢D是查詢所有行為日志截圖：日志查詢主要滿足客戶的流量分析、時(shí)長(zhǎng)分析、用戶行為分析、合規(guī)性分析等需求。例如：統(tǒng)計(jì)應(yīng)用流量排行統(tǒng)計(jì)分析可以快速的自動(dòng)生成精美的圖標(biāo)呈現(xiàn)出來(lái)，并且可以自由切換不同風(fēng)格的表格。統(tǒng)計(jì)分析客戶可訂閱指定的報(bào)表內(nèi)容，將訂閱的內(nèi)容上報(bào)到指定的郵箱進(jìn)行審閱；滿足客戶流量時(shí)長(zhǎng)分析、用戶行為分析、合規(guī)性分析等需求。報(bào)表中心報(bào)表中心行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄如何審計(jì)論壇微博發(fā)帖、WEB郵箱發(fā)送郵件、網(wǎng)頁(yè)網(wǎng)盤上傳附件等通過(guò)http/https協(xié)議外發(fā)的內(nèi)容？需求背景全網(wǎng)行為管理可以審計(jì)WEB郵箱、論壇、微博、網(wǎng)盤、筆記、網(wǎng)頁(yè)版IM、HTTP外發(fā)與下載、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)命令、URL等劃分了13個(gè)大類，每個(gè)大類細(xì)分了多種具體應(yīng)用，可選針對(duì)內(nèi)容或者附件進(jìn)行審計(jì)可根據(jù)文件類型進(jìn)行審計(jì)，避免審計(jì)的附件占用太大的空間?；ヂ?lián)網(wǎng)審計(jì)互聯(lián)網(wǎng)審計(jì)通過(guò)對(duì)流量的抓取和識(shí)別分析，從網(wǎng)絡(luò)流量中提取出host、username、subject等關(guān)鍵字段內(nèi)容，作為審計(jì)結(jié)果存放到日志中心。以新浪郵箱為例：首先用新浪郵箱發(fā)送封郵件，同時(shí)抓包，下圖是發(fā)送的郵件內(nèi)容：互聯(lián)網(wǎng)審計(jì)原理新浪發(fā)郵件數(shù)據(jù)包內(nèi)容互聯(lián)網(wǎng)審計(jì)原理然后在抓取163郵箱發(fā)郵件的數(shù)據(jù)包互聯(lián)網(wǎng)審計(jì)原理兩份數(shù)據(jù)包有什么異同？1、數(shù)據(jù)包的內(nèi)容格式完全不一樣，參數(shù)也不一樣。2、相同之處就是這兩個(gè)郵箱都是以明文方式發(fā)送的思考：密文的外發(fā)郵箱能審計(jì)嗎？外發(fā)郵件審計(jì)原理流量管理應(yīng)用場(chǎng)景

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶10M上網(wǎng)線路，內(nèi)網(wǎng)有200人，網(wǎng)絡(luò)管理員反映內(nèi)網(wǎng)上網(wǎng)較慢，AC設(shè)備以路由模式部署在公網(wǎng)出口，從AC設(shè)備應(yīng)用流量排名觀察，p2p下載，在線流媒體等占用帶寬很大?？蛻舨幌敕舛氯魏稳说娜魏螒?yīng)用，希望全天能優(yōu)先保證上網(wǎng)及郵件收發(fā)等關(guān)鍵應(yīng)用的流量，如果沒有這些關(guān)鍵應(yīng)用，p2p下載，在線流媒體等應(yīng)用可以盡量使用線路帶寬，避免帶寬浪費(fèi)。P2P流量控制案例由背景分析客戶上網(wǎng)慢是由于高帶寬軟件(P2P，迅雷，在線視頻)吞噬了帶寬導(dǎo)致，但客戶不希望封堵這些應(yīng)用。所以我們可以使用流控功能把不合理的應(yīng)用帶寬控制在一個(gè)合理的范圍，把關(guān)鍵應(yīng)用優(yōu)先保證下帶寬，當(dāng)沒有關(guān)鍵應(yīng)用時(shí)，高帶寬軟件可以突破限制，從而實(shí)現(xiàn)智能動(dòng)態(tài)調(diào)整帶寬。需求分析流量管理前的數(shù)據(jù)流流量管理后的數(shù)據(jù)流配置建議：根據(jù)客戶的情況，我們需要建立兩種通道，保證通道和限制通道。1、保證通道針對(duì)所有員工，訪問(wèn)網(wǎng)站，郵件，DNS，IM，辦工OA，微博論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%2、限制通道針對(duì)所有員工對(duì)P2P，P2P流媒體，文件下載，MEDIA進(jìn)行帶寬限制，控制為總帶寬的20%，且同時(shí)勾選“抑制P2P下行丟包”和“當(dāng)線路空閑時(shí)，允許突破限制”配置思路配置思路配置步驟一：設(shè)置公網(wǎng)線路的實(shí)際帶寬.點(diǎn)擊線路1進(jìn)入配置框互聯(lián)網(wǎng)傳輸?shù)膯挝皇莃ps，10Mbps=1280KB/S配置思路配置步驟二：新增流量管理通道（保證關(guān)鍵應(yīng)用）建立保證通道，所有員工保證關(guān)鍵應(yīng)用訪問(wèn)網(wǎng)站，郵件，DNS，IM，辦工OA，微薄論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%配置思路配置步驟三：新增流量管理通道（限制P2P）建立限制通道，所有員工對(duì)P2P，P2P流媒體，文件下載，MEDIA進(jìn)行帶寬限制，控制為總帶寬的20%啟用“抑制p2p下行丟包”能夠更好控制udp應(yīng)用流量，限制通道且udp應(yīng)用較多時(shí)建議啟用。啟用“當(dāng)線路空閑時(shí)，允許突然限制”，當(dāng)網(wǎng)絡(luò)中沒有保證帶寬業(yè)務(wù)時(shí)，限制通道的應(yīng)用可以突破帶寬限制，避免帶寬浪費(fèi)客戶背景：客戶網(wǎng)絡(luò)出口有兩條外網(wǎng)線路，100M電信和20M聯(lián)通，客戶要求電信線路分配30%的帶寬給技術(shù)部門，并要求技術(shù)部門每個(gè)用戶P2P和P2P流媒體應(yīng)用不超過(guò)100Kbps。這種情況應(yīng)該怎么去實(shí)現(xiàn)？P2P流量控制案例-擴(kuò)展流量子通道概念流量子通道：將流量管理通道分級(jí)，使流量控制更加細(xì)化，更靈活。流量管理策略流量管理一級(jí)通道流量管理子通道

流量子通道應(yīng)用于對(duì)流量管理有細(xì)化需求的場(chǎng)景。比如一個(gè)公司有多個(gè)部門，給每個(gè)部門分配固定的帶寬，然后在這個(gè)帶寬范圍內(nèi)設(shè)置不同的流量管理策略。設(shè)置虛擬線路和線路帶寬，電信線路100M，網(wǎng)通線路20M新增一級(jí)通道，設(shè)定技術(shù)部門所有應(yīng)用帶寬不超過(guò)電信線路的30%新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps需求分析新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps配置思路

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄

客戶需求對(duì)所有下載進(jìn)行流控，包括http文件下載（即瀏覽器目標(biāo)另存為）的方式下載，但又不能影響打開網(wǎng)頁(yè)速度。需求背景下載網(wǎng)關(guān)升級(jí)客戶端，右鍵點(diǎn)擊下載然后復(fù)制下載鏈接，得到URL：/download/product/tools/SANGFOR_Updater6.0.zipHTTP下載流量控制技術(shù)數(shù)據(jù)包格式如下，可以看到下載文件的數(shù)據(jù)包和正常打開網(wǎng)站的數(shù)據(jù)包格式一模一樣！那么問(wèn)題來(lái)了，如何才能只限制下載的速度，而不限制打開網(wǎng)站的速度呢？HTTP下載流量控制技術(shù)這種需求下，對(duì)于HTTP文件下載流控需要通過(guò)文件類型流控，如下圖：配置方法流量管理效果驗(yàn)證方法：1、流控生效后，可以在客戶端電腦驗(yàn)證流控效果2、可以從設(shè)備流量管理狀態(tài)查看流控效果。效果展示

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄實(shí)際使用環(huán)境，支持流量可視化功能流量可視化日常運(yùn)維場(chǎng)景：在啟用流量管理功能后，幫助管理員檢視“啟用流控后”的流量使用情況在，評(píng)估流控通道的配置是否合理，并對(duì)通道配置進(jìn)行調(diào)整，更好的分配流量。（條件限制沒有中文版效果圖）流量可視化

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶做了用戶限額策略，針對(duì)員工每天每月的流量、時(shí)長(zhǎng)、流速等都是有限的，超限后直接封堵用戶的上網(wǎng)行為會(huì)影響員工的正常辦公，現(xiàn)想實(shí)現(xiàn)超限后給予低速通道上網(wǎng)，滿足基本上網(wǎng)需求。流量配額案例1、首先在流控管理新增一條懲罰通道，把通道限制一個(gè)范圍2、在用戶限額策略中，設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”，選擇第一步設(shè)置的懲罰通道。配置思路1、首先在流控管理新增一條懲罰