《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件全套 01-全網(wǎng)行為管理概述-25-安全感知平臺功能說明-分析中心

全網(wǎng)行為管理概述全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價值全網(wǎng)行為管理的應(yīng)用場景目錄有線互聯(lián)網(wǎng)時期2006年深信服首家推出上網(wǎng)行為管理AC，幫助客戶實現(xiàn)“上網(wǎng)可視可控”移動互聯(lián)網(wǎng)時期2011年新增上網(wǎng)認證和移動應(yīng)用管控功能，滿足新場景需求2017年率先推出行為感知系統(tǒng)BA，讓行為數(shù)據(jù)更有價值萬物互聯(lián)新時期2020年升級為全網(wǎng)行為管理AC，實現(xiàn)“全網(wǎng)行為可視化可控”滿足物聯(lián)網(wǎng)、業(yè)務(wù)云化場景下的行為管理需求。全網(wǎng)行為管理發(fā)展歷史近年來，內(nèi)網(wǎng)安全事件頻發(fā)，過往企業(yè)只重視出口網(wǎng)絡(luò)安全建設(shè)的部署已經(jīng)越來越難防范層出不窮的內(nèi)網(wǎng)攻擊手段。內(nèi)網(wǎng)安全區(qū)別于安全威脅，攻擊者來自內(nèi)部，隱藏在眾多的業(yè)務(wù)數(shù)據(jù)中，難以檢測和防范，所造成的損失也往往更大。隱藏在內(nèi)網(wǎng)中的安全威脅溫州一黑客團伙使用自己的電腦接入醫(yī)院的自助服務(wù)電腦使用的網(wǎng)線連入醫(yī)院內(nèi)網(wǎng)竊取省內(nèi)多家醫(yī)院資料，獲利700多萬。烏克蘭核電站員工私接外網(wǎng)挖礦，涉嫌侵犯國家機密。某軍工科研所黃某利用職務(wù)便利備份內(nèi)網(wǎng)涉密資料出售境外機構(gòu)獲刑。內(nèi)網(wǎng)看似正常的業(yè)務(wù)行為中，實際上隱藏著巨大的“看不見管不住”安全隱患。為什么需要全網(wǎng)行為管理非法外聯(lián)用戶終端非法U盤訪問網(wǎng)站訪問論壇賭博網(wǎng)站發(fā)送郵件發(fā)微博淘寶網(wǎng)IM聊天反動論壇色情網(wǎng)站郵件外發(fā)核心文檔微博造謠言論非法進程HTTPS網(wǎng)站流量電話會議網(wǎng)盤上傳翻墻軟件微博上傳論壇上傳網(wǎng)盤下載論壇下載微博下載論壇惡意中傷他人QQ外發(fā)內(nèi)部文檔下載資料資產(chǎn)管理混亂終端違規(guī)接入入網(wǎng)行為不規(guī)范上網(wǎng)缺乏管控數(shù)據(jù)泄密風險事后溯源困難企業(yè)運維各環(huán)節(jié)中存在風險識別接入合規(guī)管控審計分析運維環(huán)節(jié)內(nèi)網(wǎng)IP經(jīng)常沖突，接入網(wǎng)絡(luò)上不了網(wǎng)日常運維排查網(wǎng)絡(luò)無法定位終端，經(jīng)常出現(xiàn)莫名其妙的地址上線出現(xiàn)安全事件溯源困難缺乏IP地址管理措施，IP對不上終端；缺乏終端資產(chǎn)識別技術(shù)，人為搜集繁瑣易錯。資產(chǎn)混亂現(xiàn)象分析外來人員隨意接入內(nèi)網(wǎng)終端未安裝殺毒軟件，私自連接外網(wǎng)，使用不安全U盤接入網(wǎng)絡(luò)，在內(nèi)網(wǎng)中瘋狂傳播病毒給內(nèi)網(wǎng)造成極大威脅內(nèi)網(wǎng)接入邊界模糊，缺乏內(nèi)網(wǎng)接入檢測手段物聯(lián)網(wǎng)興起，設(shè)備類型多樣，無法識別檢測管理制度如同空文，缺乏技術(shù)監(jiān)督導(dǎo)致執(zhí)行效果差違規(guī)接入現(xiàn)象分析企業(yè)辦公室淪為免費網(wǎng)吧，辦公效率低；政務(wù)人員上班時間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游，遭暗訪曝光，影響單位形象；學(xué)校電子閱覽室，學(xué)生使用IM聊天、看在線視頻、網(wǎng)游，影響學(xué)習(xí)。用戶上網(wǎng)權(quán)限缺乏管理;互聯(lián)網(wǎng)應(yīng)用泛濫、復(fù)雜、更新快等加大管理的困難性移動應(yīng)用快速增長，增加管理難度。上網(wǎng)難監(jiān)管現(xiàn)象分析微博、百度貼吧等已經(jīng)成為網(wǎng)絡(luò)造謠、人身攻擊的重災(zāi)區(qū)肆意外發(fā)反動、賭博、色情信息，遭受法律追究流行的自由門、無界瀏覽器等代理翻墻軟件，繞過公司管理上網(wǎng)監(jiān)管缺失，用戶肆意上網(wǎng)Web2.0使每人都成信息發(fā)布者缺乏日志記錄，無法舉證追蹤網(wǎng)絡(luò)違法現(xiàn)象分析上網(wǎng)體驗差，分支機構(gòu)與總部間數(shù)據(jù)交互慢語音、視頻會議系統(tǒng)斷斷續(xù)續(xù)郵件發(fā)送、資料下載受嚴重影響員工抱怨網(wǎng)絡(luò)環(huán)境，核心業(yè)務(wù)無法保障，IT部門屢遭投訴，部門績效受到影響P2P、流媒體等流量占用了70%以上的帶寬帶寬缺乏合理劃分與分配措施單純擴容帶寬，治標不治本帶寬濫用現(xiàn)象分析全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價值全網(wǎng)行為管理的應(yīng)用場景目錄內(nèi)部風險智能感知，全網(wǎng)行為可視可控：通過全網(wǎng)終端、應(yīng)用、流量和數(shù)據(jù)的可視可控，智能感知終端違規(guī)接入、敏感數(shù)據(jù)泄密、上網(wǎng)違規(guī)行為等內(nèi)部風險，解決上網(wǎng)管控、終端準入管控和數(shù)據(jù)泄密管控的一體化管控。全網(wǎng)行為管理核心價值可視可控終端入網(wǎng)管控數(shù)據(jù)泄密管控終端應(yīng)用流量數(shù)據(jù)上網(wǎng)管控識別收集內(nèi)網(wǎng)所有資產(chǎn)信息，包括IP地址的使用情況和終端類型、廠商、與MAC地址對應(yīng)關(guān)系對識別出來的資產(chǎn)信息做表格輸出，便于運維終端列表IP管理終端發(fā)現(xiàn)設(shè)置資產(chǎn)識別功能目的確認入網(wǎng)用戶身份，驗證其合法性；以該信息作為用戶標識，對用戶入網(wǎng)后行為進行合規(guī)性檢查、控制及審計；不需要認證IP/MAC綁定免認證；本地密碼認證；短信認證/二維碼認證；第三方服務(wù)器認證；單點登錄；802.1X認證。接入認證功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:入網(wǎng)前檢查終端有無安裝殺毒軟件、有無指定腳本文件、有無登錄域等，實現(xiàn)輕量級合規(guī)檢查管控接入終端的外聯(lián)行為包括連接非法WIFI、連接外網(wǎng)、雙網(wǎng)卡、U盤接入等非法行為殺軟檢查、登錄域檢查、操作系統(tǒng)檢查進程檢查、文件檢查、注冊表檢查計劃任務(wù)檢查、Windows賬號檢查、防篡改檢查外聯(lián)檢查、外聯(lián)控制、外設(shè)管控終端檢查功能目的入網(wǎng)終端操作系統(tǒng)登錄域違規(guī)進程……殺毒軟件其它封堵IM聊天、炒股、游戲、下載、在線視頻等應(yīng)用，規(guī)范上網(wǎng)行為，提高員工工作效率封堵代理、翻墻軟件，規(guī)避不當上網(wǎng)行為帶來的法律風險封堵郵件，防止敏感信息泄露應(yīng)用特征識別庫應(yīng)用管理標簽化精細化管控防共享防翻墻應(yīng)用控制功能目的應(yīng)用特征識別庫應(yīng)用管理標簽化防代理共享精細化管控過濾非法、不良網(wǎng)站，避免法律風險；過濾游戲、賭博、購物、在線視頻等網(wǎng)站，提高員工工作效率；過濾惡意網(wǎng)頁，保障上網(wǎng)安全；千萬級URL識別庫；URL智能識別系統(tǒng)；URL云共享；自定義URL；惡意網(wǎng)址過濾網(wǎng)頁過濾功能目的千萬級URL庫URL智能識別云共享自定義URL惡意網(wǎng)址過濾網(wǎng)頁過濾根據(jù)業(yè)務(wù)類型進行帶寬限制或保障，保證核心業(yè)務(wù)暢通運行；靈活分配帶寬資源，實現(xiàn)動態(tài)調(diào)整，提高帶寬利用率；基于用戶/用戶組/應(yīng)用/網(wǎng)站類型的流控；多級父子通道；動態(tài)流控；P2P智能流控；流控黑名單流量管理功能目的對多運營商線路進行有效負載精準的識別應(yīng)用，能夠進行有效引流動態(tài)智能選路應(yīng)用引流方案DNS透明代理應(yīng)用路由技術(shù)動態(tài)引流技術(shù)DSCP/tos標簽應(yīng)用選路目的功能記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，一旦發(fā)生網(wǎng)絡(luò)違法違規(guī)事件可作為追查證據(jù)統(tǒng)計用戶的上網(wǎng)時間、應(yīng)用流量、應(yīng)用分布等，為企業(yè)決策提供依據(jù)記錄內(nèi)網(wǎng)安全事件，幫助管理員發(fā)現(xiàn)安全威脅網(wǎng)頁訪問審計郵件審計IM聊天應(yīng)用審計外發(fā)文件審計微博、論壇發(fā)帖等行為審計功能目的全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價值全網(wǎng)行為管理的應(yīng)用場景目錄全網(wǎng)行為管理應(yīng)用場景場景維度數(shù)據(jù)價值分析終端準入管控上網(wǎng)行為管控多分支組網(wǎng)Internet數(shù)據(jù)中心網(wǎng)有線網(wǎng)員工隨意使用互聯(lián)網(wǎng)，需要網(wǎng)頁過濾和應(yīng)用封堵，提高員工工作效率上網(wǎng)體驗差，需要控制帶寬流量，保障核心業(yè)務(wù)暢通缺少上網(wǎng)行為記錄措施，一旦發(fā)生網(wǎng)絡(luò)違法，無法追蹤到人《網(wǎng)絡(luò)安全法》要求做上網(wǎng)審計，合規(guī)要求更嚴格通過接入認證的多種認證方式，構(gòu)建上網(wǎng)身份認證體系，保障人員接入上網(wǎng)安全通過對上網(wǎng)應(yīng)用精確識別與策略管控，規(guī)范員工上網(wǎng)行為對互聯(lián)網(wǎng)帶寬進行精細化流控，保障核心業(yè)務(wù)使用體驗通過行為審計，全面審計上網(wǎng)行為，滿足審計與合規(guī)需求全行業(yè)上網(wǎng)行為管控目標客戶客戶需求具體方案終端準入管控場景對終端上網(wǎng)做二層強管控，未通過認證不能訪問內(nèi)網(wǎng)服務(wù)器資源和外網(wǎng)資源，滿足可信接入的需求；啞終端免認證入網(wǎng)要求終端上網(wǎng)用戶必須安裝公司要求的殺毒軟件，否則不能上網(wǎng)。禁止研發(fā)部門訪問外網(wǎng)和終端接入U盤等存儲設(shè)備。全網(wǎng)行為管理設(shè)備網(wǎng)橋或者旁路部署，結(jié)合交換機開啟802.1X認證，未入網(wǎng)前不能訪問內(nèi)網(wǎng)資源。啟用殺軟檢查，未安裝對應(yīng)殺毒軟件不能上網(wǎng)。針對研發(fā)部門啟用外聯(lián)檢查和U盤管控，管控不合規(guī)行為?？蛻粜枨缶唧w方案多分支組網(wǎng)

分支和總部之間需要IPSEC組網(wǎng)；分支用戶統(tǒng)一在總部認證中心AC上認證，實現(xiàn)用戶認證統(tǒng)一在總部認證中心AC上維護；分支統(tǒng)一由總部集中管理設(shè)備下發(fā)管控策略，實現(xiàn)統(tǒng)一管控；分支統(tǒng)一由總部集中管理設(shè)備下發(fā)審計策略，并集中把日志傳到總部服務(wù)器區(qū)外置日志中心實現(xiàn)統(tǒng)一審計。多分支的企業(yè)、政府、金融等目標客戶客戶需求方案價值多分支VPN組網(wǎng)，把多個分支串聯(lián)到總部，方便統(tǒng)一運維。統(tǒng)一認證、管控和審計，滿足公安部門的監(jiān)管要求。數(shù)據(jù)價值分析需要對內(nèi)網(wǎng)審計到日志進行分析，提取有價值的信息。通過預(yù)先定義的關(guān)注內(nèi)容，對內(nèi)網(wǎng)外發(fā)的敏感信息進行分析，出現(xiàn)泄密風險時通知管理員，防止外發(fā)泄密，及時止損。建立數(shù)據(jù)外發(fā)規(guī)范，分析風險，防止敏感數(shù)據(jù)泄露。教育局（教育城域網(wǎng)）、多分支的企業(yè)、垂直體系的政府單位（公安、武警等）客戶需求應(yīng)用價值目標客戶全網(wǎng)行為管理部署模式路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄部署模式是指設(shè)備以什么樣的工作方式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。根據(jù)客戶需求及環(huán)境不同：AC設(shè)備支持路由、網(wǎng)橋、旁路部署模式,SG設(shè)備支持路由、網(wǎng)橋、旁路、單臂部署模式12.0版本之后支持認證部署模式，13.0版本之后認證模式功能以認證口的形式融入到普通模式中部署模式簡介1.單臂模式用于代理上網(wǎng)場景；2.認證模式多用于對接無線控制器和多分支統(tǒng)一認證場景設(shè)備以路由模式部署時，AC的工作方式與路由器相當，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備或者用戶的網(wǎng)絡(luò)環(huán)境規(guī)模比較小，需要將AC做網(wǎng)關(guān)使用時，建議以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時，AC必須以路由模式部署，其它工作模式?jīng)]有這些功能。路由模式簡介WAN：LAN：/24/24/24/24/241、網(wǎng)口配置：配置各網(wǎng)口地址。如果是固定IP，則填寫運營商給的IP地址及網(wǎng)關(guān)；如果是ADSL撥號上網(wǎng)，則填寫運營商給的撥號帳號和密碼；確定內(nèi)網(wǎng)口的IP；2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、用戶是否需要通過AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置NAT規(guī)則。4、檢查并放通防火墻規(guī)則。路由模式配置思路路由模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄設(shè)備以網(wǎng)橋模式部署時對客戶原有的網(wǎng)絡(luò)基本沒有改動。網(wǎng)橋模式部署AC時，對客戶來說AC就是個透明的設(shè)備，如果因為AC自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。網(wǎng)橋模式部署時AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP等功能。網(wǎng)橋模式簡介網(wǎng)橋模式應(yīng)用場景單網(wǎng)橋54/24/24Br0:/24多網(wǎng)橋54/24/24Br0:/2454/24Br0:/24/241、配置設(shè)備網(wǎng)橋地址，網(wǎng)關(guān)地址，DNS地址。2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，本案例就是三層環(huán)境，所以需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、檢查并放通防火墻規(guī)則。網(wǎng)橋模式配置思路網(wǎng)橋模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄旁路模式主要用于實現(xiàn)行為審計功能，不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過把設(shè)備的監(jiān)聽口接在交換機的鏡像口上同時鏡像交換機上下行的數(shù)據(jù)，從而實現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控與控制。這種模式對用戶的網(wǎng)絡(luò)環(huán)境沒有影響，即使設(shè)備本身宕機也不會對用戶的網(wǎng)絡(luò)造成中斷。旁路模式部署還可用于旁路重定向認證，在不改變網(wǎng)絡(luò)原有架構(gòu)的情況下對入網(wǎng)用戶進行認證。更多場景：旁路portal重定向認證+審計場景、旁路802.1X認證+基線核查+審計場景。注意：旁路部署模式只能對TCP應(yīng)用做控制，對基于UDP的應(yīng)用無法控制。不支持流量管理、NAT、VPN、DHCP等功能。旁路模式簡介RST作用：標示復(fù)位、用來異常的關(guān)閉連接。1.發(fā)送RST包關(guān)閉連接時，不必等緩沖區(qū)的包都發(fā)出去，直接就丟棄緩沖區(qū)中的包。2.而接收端收到RST包后，也不必發(fā)送ACK包來確認TCPRST1、交換機設(shè)置鏡像口，并接到AC監(jiān)聽口。2、配置需要審計的內(nèi)網(wǎng)網(wǎng)段和服務(wù)器網(wǎng)段。3、配置管理口地址，用于管理AC設(shè)備。旁路模式配置思路旁路模式效果展示路由模式可以實現(xiàn)設(shè)備所有功能，網(wǎng)橋模式其次，旁路模式多用于審計，只能對TCP應(yīng)用控制，控制功能最弱。路由模式對客戶原有網(wǎng)絡(luò)改造影響最大，網(wǎng)橋模式其次，旁路模式對客戶原有網(wǎng)絡(luò)改造無影響，即使設(shè)備宕機也不會影響客戶斷網(wǎng)。設(shè)備路由模式最多支持8條外網(wǎng)線路。網(wǎng)橋模式最多支持8對網(wǎng)橋，旁路模式除了管理口外，其它網(wǎng)口均可作為監(jiān)聽口，可以同時選擇多個網(wǎng)口作為監(jiān)聽口。部署模式小結(jié)路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄什么是VLAN？VirtualLAN（虛擬局域網(wǎng)）是物理設(shè)備上連接的不受物理位置限制的用戶的一個邏輯組。形象地說，交換機VLAN技術(shù)就是將1臺物理交換機劃分為若干臺邏輯上完全獨立的交換機。為什么引入VLAN？二層交換機不能阻隔廣播域，網(wǎng)絡(luò)規(guī)模越大，廣播危害也越嚴重路由器可以阻隔廣播，但價格比交換機貴，而且中低端路由器是使用軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)性能不高，會造成性能瓶頸大量的未知單播流量和無用組播流量帶來安全隱患難以管理和維護VLAN概念為什么需要VLAN廣播域廣播VLAN1VLAN2廣播域廣播域廣播Access端口

VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口：進該接口打上VLAN標記，出接口剝離VLAN標記；Tag=10Tag=20802.1Q公有標準默認情況，在802.1QTrunk上對所有的VLAN打Tag，除了NativeVLAN；NativeVLAN，也稱為本征VLAN，是在trunk上無需打標簽的VLAN，默認為vlan1，可手工修改Tag標記字段詳細信息：Tag標記字段包含一個2bytesEtherType（以太類型）字段、一個3bits的PRI字段、1bit的CFI字段、12bits的VLANID字段；VLAN協(xié)議不同交換機相同的vlan互訪解決方案：Trunk方案一方案二實現(xiàn)方式在交換機間為每一個vlan建立一條專有傳輸鏈路在交換機間建立一條專有鏈路承載多個vlan的流量優(yōu)點不需要其他協(xié)議的支持不需要占用過多的端口缺點占用了過多的端口需要專有協(xié)議支持VLAN間路由不同VLAN之間的數(shù)據(jù)包如何交互？

VLAN間路由路由器與每個VLAN建立一條物理連接，浪費大量的端口拓撲如右圖所示，交換機劃分了三個VLAN，VLANID分別為10，20，30。交換機外聯(lián)口配置為Trunk口，各Vlan間的互訪通過路由器實現(xiàn)。需求：部署全網(wǎng)行為管理設(shè)備替換出口路由器實現(xiàn)內(nèi)網(wǎng)行為的審計和控制。Trunk環(huán)境需求背景Trunk環(huán)境路由部署IP：，vid:10

，vid:20

，vid:30Trunk

二層交換機（可劃分VLAN）IP：0/24GW：/24vid:10IP：0/24GW：/24vid:30IP：0/24GW：/24vid:201、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好設(shè)備。2、配置LAN口IP，填寫內(nèi)網(wǎng)對應(yīng)VLAN的VLAN網(wǎng)關(guān)IP即可。Trunk環(huán)境路由配置Trunk環(huán)境網(wǎng)橋部署IP：，vid:10

，vid:20

，vid:30可劃分VLAN的交換機IP：0/24GW：/24vid:10IP：0/24GW：/24vid:30IP：0/24GW：/24vid:201、網(wǎng)橋模式部署在路由器與交換機之間，按網(wǎng)橋模式部署配置好設(shè)備2、可以給設(shè)備網(wǎng)橋配置其中一個VLAN中的可用IP來進行管理和更新規(guī)則庫3、或者給設(shè)備管理口配置其中一個VLAN中的可用IP（此時不用加vid）來進行管理和更新規(guī)則庫Trunk環(huán)境網(wǎng)橋部署配置接入認證基礎(chǔ)認證背景無認證技術(shù)IP/MAC認證目錄要求實現(xiàn)：IT部電腦IP不固定，認證不受限制辦公區(qū)用戶不能修改IP地址上網(wǎng)公共上網(wǎng)區(qū)則需要輸入賬號和密碼才能上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到。案例背景/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)認證框架認證方式portal認證密碼認證802.1x認證不允許認證(禁止上網(wǎng))本地密碼認證第三方服務(wù)器密碼認證短信認證二維碼認證Dkey認證OA認證單點登錄不需要認證需求一：IT部電腦IP不固定，認證不受限制需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、計算機名、源MAC地址來標識用戶。優(yōu)點：終端用戶上網(wǎng)認證的過程是透明的，不會感知設(shè)備的存在。一般適用于對認證要求不嚴格的場景數(shù)據(jù)包特征信息認證背景無認證技術(shù)IP/MAC認證目錄首先為辦公區(qū)的用戶建一個用戶組，在【接入管理】－【用戶管理】－【本地組/用戶】中，點新增，選擇【組】，定義組名：IT部新增【認證策略】，選擇認證方式為不需要認證，不綁定任何地址【認證后處理】-【非本地/域用戶使用該組上線】：IT部無認證配置思路/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)IT部員工通過設(shè)備上網(wǎng)時，【在線用戶管理】可以看到用戶已在上線不需要認證效果展示認證背景無認證技術(shù)IP/MAC認證目錄需求二：辦公區(qū)用戶不允許私自修改IP地址，否則禁止上網(wǎng)需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)問題一：數(shù)據(jù)包經(jīng)過二層交換機轉(zhuǎn)發(fā)后，數(shù)據(jù)包的源MAC地址會不會變化？問題二：數(shù)據(jù)包經(jīng)過三層交換機轉(zhuǎn)發(fā)后，數(shù)據(jù)包的源MAC地址會不會變化？問題三：我們?nèi)绾文塬@取到終端的真實IP/MAC表項呢？需求背景分析SNMP是基于TCP/IP協(xié)議族的網(wǎng)絡(luò)管理標準，是一種在IP網(wǎng)絡(luò)中管理網(wǎng)絡(luò)節(jié)點（如服務(wù)器、工作站、路由器、交換機等）的標準協(xié)議。SNMP協(xié)議概述管理信息庫MIB：任何一個被管理的資源都表示成一個對象，稱為被管理的對象。每個OID（ObjectIDentification）都對應(yīng)一個唯一的對象MIB庫OID值SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元，用來在管理進程和代理之間的交換。get-request操作：從代理進程處提取一個或多個參數(shù)值。get-next-request操作：從代理進程處提取緊跟當前參數(shù)值的下一個參數(shù)值。set-request操作：設(shè)置代理進程的一個或多個參數(shù)值。get-response操作：返回的一個或多個參數(shù)值。trap操作：代理進程主動發(fā)出的報文，通知管理進程有某些事情發(fā)生。SNMP協(xié)議數(shù)據(jù)單元get-requestget-next-requestget-responseget-responseset-requestget-responsetrapSNMP管理程序SNMP代理程序UDP端口161UDP端口162UDP端口161UDP端口161通過Wirehsark捕獲SNMP交互過程SNMP協(xié)議數(shù)據(jù)包工作原理防火墻172.16.1.1/24IP1

MAC1IP2

MAC2IP3

MAC3172.16.1.3/24①③②④思考：多個三層交換機的情況下如何獲??？工作原理防火墻/24/24/24/24/24１、首先為辦公區(qū)的用戶建一個用戶組，在【接入管理】－【用戶管理】－【本地組/用戶】中，點新增，選擇【組】，定義組名：辦公區(qū)２、新增【認證策略】，選擇認證方式為：不需要認證3、【認證后處理】-【非本地/域用戶使用該組上線】選擇：辦公區(qū)4、勾選【自動錄入綁定關(guān)系】-【自動錄入IP和MAC的綁定關(guān)系】三層網(wǎng)絡(luò)環(huán)境下特別注意，需要開啟以下功能：5、配置【認證高級選項】-【跨三層取MAC】（注意：要在三層設(shè)備上設(shè)置允許AC訪問其SNMP服務(wù)器）配置思路

【系統(tǒng)管理】—【在線用戶管理】可以看到用戶認證上線的身份?！居脩艄芾怼俊綢P/MAC綁定】可以查看到IP和MAC綁定成功。配置思路如果設(shè)備無法獲取到交換機的ARP表，應(yīng)該如何排查？1、檢查設(shè)備與交換機是否通訊正常2、檢查交換機的配置（是否允許AC訪問其SNMP服務(wù)器）、ACL和團體名3、檢查中間設(shè)備是否有攔截UDP161端口4、在電腦上通過BPSNMPUtil工具連接交換機，測試是否可以讀取ARP表5、AC只支持SNMPV1V2V2C版本協(xié)議思考總結(jié)如果以設(shè)備網(wǎng)橋模式部署在30位掩碼的網(wǎng)絡(luò)環(huán)境中如何獲取交換機的ARP表？防火墻和交換機啟30位掩碼的地址，我們的AC網(wǎng)橋?qū)⒉豢捎茫枰徒粨Q機通過snmp取mac需要用管理口為什么此時網(wǎng)橋不能用？30位掩碼下的整個網(wǎng)絡(luò)環(huán)境，只有兩個可用IPAC是網(wǎng)橋模式部署，所以AC上下的設(shè)備都得分配IP，此時AC分配不到IP，處于無IP網(wǎng)橋模式，因此要用管理口來另接交換機（此時交換機上也要進行配置網(wǎng)口與AC的管理口對接）思考總結(jié)IP/MAC綁定失?。?、查看是否在【跨三層取MAC】中沒有排除三層設(shè)備的MAC地址；2、在【IP/MAC綁定】中，查看PC的IP或MAC是否已經(jīng)綁定了其他MAC或者IP（同時查看三層設(shè)備的MAC是否被PC綁定了）思考總結(jié)跨三層識別方法二抓取arp包或dhcp包獲取MAC通過鏡像交換機arp或dhcp數(shù)據(jù)到設(shè)備空閑口（作為鏡像口）獲取用戶mac地址。實現(xiàn)方法一：在核心交換機上增加一個trunk口，允許所有vlan，把這個trunk口連到AC空閑網(wǎng)口上。這樣可以把所有廣播包復(fù)制到AC上，包括ARP包和DHCP的包。實現(xiàn)方法二：鏡像DHCP服務(wù)器接口進出流量擴展延伸應(yīng)用特征識別技術(shù)應(yīng)用識別需求與背景應(yīng)用識別技術(shù)應(yīng)用識別配置教學(xué)目標需求背景（一）：全天不允許使用QQ等聊天工具需求背景（二）：全天只允許特定QQ賬號上網(wǎng)，不允許其他QQ賬號上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24傳統(tǒng)行為檢測原理：傳統(tǒng)的網(wǎng)絡(luò)設(shè)備根據(jù)數(shù)據(jù)包的五元組（源IP，目的IP，源端口，目的端口，協(xié)議）這些特征等來識別應(yīng)用并進行丟棄、轉(zhuǎn)發(fā)、接收、處理等行為。通過識別協(xié)議為UDP，端口為8000，從而識別出是QQ聊天的應(yīng)用，將該類數(shù)據(jù)包全部丟棄，實現(xiàn)需求一功能需求背景１、

新增【上網(wǎng)策略】-【上網(wǎng)權(quán)限策略】-【策略設(shè)置】-【應(yīng)用控制】在應(yīng)用里面勾選IM，生效時間全天，移動終端設(shè)備里面勾選通訊聊天，動作拒絕，在【適用對象】選擇辦公區(qū)，即對辦工區(qū)的所有用戶關(guān)聯(lián)上這條控制策略。２、新增【上網(wǎng)策略】-【上網(wǎng)審計策略】-【應(yīng)用審計】添加，勾選所有選項，在【適用對象】選擇辦公區(qū)，即對辦工區(qū)的所有用戶關(guān)聯(lián)上這條識別策略。配置思路辦公區(qū)員工通過設(shè)備上網(wǎng)時，登錄QQ已經(jīng)不能在登錄了，登錄又如下提示，在我們的上網(wǎng)行為監(jiān)控里面可以記錄QQ已經(jīng)被拒絕，并審計了一些辦公區(qū)用戶的訪問應(yīng)用的行為。效果展示應(yīng)用識別需求與背景應(yīng)用識別技術(shù)應(yīng)用識別配置教學(xué)目標需求背景（一）：全天不允許使用QQ等聊天工具需求背景（二）：全天只允許特定QQ賬號上網(wǎng)，不允許其他QQ賬號上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24從數(shù)據(jù)包中發(fā)現(xiàn)，QQ用戶的字段在應(yīng)用層OICQ協(xié)議的Data字段。該需求需要識別特定的QQ用戶，而傳統(tǒng)的行為檢測只能對鏈路層、網(wǎng)絡(luò)層、傳輸層進行數(shù)據(jù)處理，不能對應(yīng)用層進行操作。應(yīng)用特征識別技術(shù)傳統(tǒng)行為檢測VS深度行為檢測應(yīng)用特征識別技術(shù)鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容傳統(tǒng)行為檢測范圍深度行為檢測范圍深度行為檢測技術(shù)產(chǎn)生背景：傳統(tǒng)技術(shù)無法識別精細的數(shù)據(jù)包應(yīng)用和行為，無法識別經(jīng)過偽裝的數(shù)據(jù)包，無法滿足現(xiàn)在的安全需求和可視需求。應(yīng)用特征識別技術(shù)深度行為檢測技術(shù)深度包檢測技術(shù)（DPI）深度流檢測技術(shù)（DFI）（1）可視化全網(wǎng)（2）流量精細化管理（3）減少或延遲帶寬投入，降低網(wǎng)絡(luò)運營成本（4）及時發(fā)現(xiàn)和抑制異常流量（5）透視全網(wǎng)服務(wù)質(zhì)量，保障關(guān)鍵業(yè)務(wù)質(zhì)量（6）豐富的QoS提供能力優(yōu)點：深度包檢測技術(shù)（DPI）深度包檢測不僅檢測源地址、目的地址、源端口、目的端口以及協(xié)議類型，還增加了應(yīng)用層分析，另外識別各種應(yīng)用及其內(nèi)容。應(yīng)用特征識別技術(shù)基于“特征字”的檢測技術(shù)基于應(yīng)用網(wǎng)關(guān)的檢測技術(shù)基于行為模式的檢測技術(shù)深度包檢測技術(shù)分類1、基于“特征字”的檢測技術(shù)（DPI）客戶需求：在客戶局域網(wǎng)中只允許電腦上網(wǎng)，不允許手機上網(wǎng)。需求分析：該需求需要能夠識別哪些上網(wǎng)數(shù)據(jù)是手機端發(fā)出的，哪些是PC端發(fā)出的。通過數(shù)據(jù)包分析，發(fā)現(xiàn)手機和電腦在同時上網(wǎng)的時候（同時使用HTTP協(xié)議）會在HTTP協(xié)議的User-Agent字段區(qū)分出手機數(shù)據(jù)和PC數(shù)據(jù)。應(yīng)用特征識別技術(shù)基于“特征字”的檢測技術(shù)（DPI）不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的特征，這些特征可能是特定的端口、特定的字符串或者特定的Bit序列?；凇疤卣髯帧钡淖R別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的特征信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用和內(nèi)容。通過對應(yīng)用特征信息的升級（例如http數(shù)據(jù)包中的User-Agent的位置），基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。應(yīng)用特征識別技術(shù)1.固定位置特征字匹配3.多連接聯(lián)合匹配以及狀態(tài)特征匹配2.變動位置的特征匹配基于“特征字”的檢測技術(shù)分類2.基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)（ALG）某些應(yīng)用的控制流和數(shù)據(jù)流是分離的，數(shù)據(jù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，根據(jù)對應(yīng)的協(xié)議，對控制流進行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。客戶需求：禁用VoIP視頻。需求分析：VoIP視頻協(xié)議是先使用控制信令來協(xié)商數(shù)據(jù)的傳輸，之后進行數(shù)據(jù)流的傳輸。VoIP視頻數(shù)據(jù)交換過程抓包如下：應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP視頻協(xié)議數(shù)據(jù)流VoIP視頻協(xié)議的數(shù)據(jù)流可以看到是基于UDP的，跟蹤數(shù)據(jù)流，發(fā)現(xiàn)該數(shù)據(jù)沒有任何特征，但是VoIP在進行數(shù)據(jù)傳輸前是有控制信令來協(xié)商數(shù)據(jù)的傳輸。應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP協(xié)議的控制信令1應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP協(xié)議的控制信令2應(yīng)用特征識別技術(shù)3.基于行為模式的檢測技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。例子：垃圾郵件行為模式識別SPAM（垃圾郵件）業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準確的識別出SPAM業(yè)務(wù)。應(yīng)用特征識別技術(shù)郵件服務(wù)器一個小時發(fā)一封郵件一個小時發(fā)一萬封郵件深度流檢測技術(shù)（DFI）DFI采用的是一種基于流量行為的應(yīng)用識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)等各有不同。基于流的行為特征，通過與已建立的應(yīng)用數(shù)據(jù)流的數(shù)據(jù)模型對比，判斷流的應(yīng)用類型或業(yè)務(wù)。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，從而實現(xiàn)鑒別應(yīng)用類型。應(yīng)用特征識別技術(shù)RTP流P2P流平均包長一般在130～220byte一般在450bytes之上下載時長較短較長連接速率較低（一般是20～84kbit/s）較高會話保持時間較長較短深度包檢測（DPI）VS深度流檢測（DFI）DFI僅對流量行為分析，因此只能對應(yīng)用類型進行籠統(tǒng)分類，如對滿足P2P流量模型的應(yīng)用統(tǒng)一識別為P2P流量，對符合網(wǎng)絡(luò)語音流量模型的類型統(tǒng)一歸類為VOIP流量，但是無法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過加密傳輸?shù)?，則采用DPI方式的流控技術(shù)則不能識別其具體應(yīng)用，而DFI方式的流控技術(shù)則不受影響，因為應(yīng)用流的狀態(tài)行為特征不會因加密而根本改變。應(yīng)用特征識別技術(shù)應(yīng)用識別需求與背景應(yīng)用識別技術(shù)應(yīng)用識別配置教學(xué)目標１、新增【行為管理】-【訪問權(quán)限策略】-【QQ號白名單】，將允許的QQ用戶加入QQ白名單，在【適用對象】選擇辦公區(qū)，即對辦工區(qū)的所有用戶關(guān)聯(lián)上這條控制策略。2、登錄在白名單內(nèi)的QQ號，可以正常登錄；登錄在白名單之外的QQ號，登錄失敗。配置思路辦公區(qū)員工通過設(shè)備上網(wǎng)時，一般用戶登錄QQ已經(jīng)不能在登錄（左圖），登錄有如下提示，QQ登錄被拒絕。但是白名單用戶可以正常登錄（右圖）效果展示行為審計概述行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄網(wǎng)絡(luò)安全法要求制定內(nèi)部安全管理制度和操作規(guī)程，落實安全保護責任明確責任人防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等采取防范保護措施法律、行政法規(guī)規(guī)定的其他義務(wù)其他法律義務(wù)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個月；s監(jiān)測、記錄并保留日志數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施數(shù)據(jù)分類、備份和加密行為審計架構(gòu)客戶端審計互聯(lián)網(wǎng)審計訪問網(wǎng)站、web郵件、論壇貼吧微博發(fā)帖、web網(wǎng)盤等行為查詢。應(yīng)用、流量、時長等數(shù)據(jù)統(tǒng)計。審計架構(gòu)業(yè)務(wù)審計IM客戶端、郵件客戶端、TeamViewer、向日葵遠程工具、XShell、Pshell等運維工具、網(wǎng)盤客戶端、U盤等附件外發(fā)審計。WEB、FTP、SMB業(yè)務(wù)系統(tǒng)的行為和流量審計。行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄結(jié)合前面的應(yīng)用識別技術(shù)行為審計技術(shù)應(yīng)用審計行為審計技術(shù)組成需要結(jié)構(gòu)url應(yīng)用行為未知應(yīng)用行為分發(fā)到不同審計模塊日志記錄行為審計模塊進入零拷貝緩沖區(qū)例：例：QQ/王者榮耀下載文件名例：史記.txt………………

審計到的數(shù)據(jù)怎么存儲？行為審計技術(shù)組成需要結(jié)構(gòu)分發(fā)到不同審計模塊提取必要信息行為審計模塊進入零拷貝緩沖區(qū)

發(fā)送日志日志中心：按不同日志類型存儲日志數(shù)據(jù)行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄在之前的課程中有介紹過“上網(wǎng)行為監(jiān)控”這個模塊，可以實時的看到一些“拒絕”或者“被記錄”的上網(wǎng)動作，但是實時的日志是會被刷掉的，那么如果想查以前的日志怎么辦？這個時候就需要登錄到日志中心去查看歷史日志了日志記錄方式此處跳轉(zhuǎn)到內(nèi)置日志中心此處跳轉(zhuǎn)到外置日志中心【如果有配置外置DC】日志查詢模塊，提供給管理員進行日志查詢的功能，包含所有行為查詢、訪問網(wǎng)站查詢、即時聊天日志查詢、郵件、發(fā)帖、發(fā)微博等日志查詢，能夠追查到各種違反組織規(guī)定的行為。日志查詢?nèi)罩練w類，簡潔清晰高級過濾選項這個模塊可以查詢到所有的行為日志，但是不會顯示行為內(nèi)容可以根據(jù)時間、用戶、組、應(yīng)用來查詢?nèi)罩鞠聢D是查詢所有行為日志截圖：日志查詢主要滿足客戶的流量分析、時長分析、用戶行為分析、合規(guī)性分析等需求。例如：統(tǒng)計應(yīng)用流量排行統(tǒng)計分析可以快速的自動生成精美的圖標呈現(xiàn)出來，并且可以自由切換不同風格的表格。統(tǒng)計分析客戶可訂閱指定的報表內(nèi)容，將訂閱的內(nèi)容上報到指定的郵箱進行審閱；滿足客戶流量時長分析、用戶行為分析、合規(guī)性分析等需求。報表中心報表中心行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄如何審計論壇微博發(fā)帖、WEB郵箱發(fā)送郵件、網(wǎng)頁網(wǎng)盤上傳附件等通過http/https協(xié)議外發(fā)的內(nèi)容？需求背景全網(wǎng)行為管理可以審計WEB郵箱、論壇、微博、網(wǎng)盤、筆記、網(wǎng)頁版IM、HTTP外發(fā)與下載、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)命令、URL等劃分了13個大類，每個大類細分了多種具體應(yīng)用，可選針對內(nèi)容或者附件進行審計可根據(jù)文件類型進行審計，避免審計的附件占用太大的空間?；ヂ?lián)網(wǎng)審計互聯(lián)網(wǎng)審計通過對流量的抓取和識別分析，從網(wǎng)絡(luò)流量中提取出host、username、subject等關(guān)鍵字段內(nèi)容，作為審計結(jié)果存放到日志中心。以新浪郵箱為例：首先用新浪郵箱發(fā)送封郵件，同時抓包，下圖是發(fā)送的郵件內(nèi)容：互聯(lián)網(wǎng)審計原理新浪發(fā)郵件數(shù)據(jù)包內(nèi)容互聯(lián)網(wǎng)審計原理然后在抓取163郵箱發(fā)郵件的數(shù)據(jù)包互聯(lián)網(wǎng)審計原理兩份數(shù)據(jù)包有什么異同？1、數(shù)據(jù)包的內(nèi)容格式完全不一樣，參數(shù)也不一樣。2、相同之處就是這兩個郵箱都是以明文方式發(fā)送的思考：密文的外發(fā)郵箱能審計嗎？外發(fā)郵件審計原理流量管理應(yīng)用場景

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶10M上網(wǎng)線路，內(nèi)網(wǎng)有200人，網(wǎng)絡(luò)管理員反映內(nèi)網(wǎng)上網(wǎng)較慢，AC設(shè)備以路由模式部署在公網(wǎng)出口，從AC設(shè)備應(yīng)用流量排名觀察，p2p下載，在線流媒體等占用帶寬很大?？蛻舨幌敕舛氯魏稳说娜魏螒?yīng)用，希望全天能優(yōu)先保證上網(wǎng)及郵件收發(fā)等關(guān)鍵應(yīng)用的流量，如果沒有這些關(guān)鍵應(yīng)用，p2p下載，在線流媒體等應(yīng)用可以盡量使用線路帶寬，避免帶寬浪費。P2P流量控制案例由背景分析客戶上網(wǎng)慢是由于高帶寬軟件(P2P，迅雷，在線視頻)吞噬了帶寬導(dǎo)致，但客戶不希望封堵這些應(yīng)用。所以我們可以使用流控功能把不合理的應(yīng)用帶寬控制在一個合理的范圍，把關(guān)鍵應(yīng)用優(yōu)先保證下帶寬，當沒有關(guān)鍵應(yīng)用時，高帶寬軟件可以突破限制，從而實現(xiàn)智能動態(tài)調(diào)整帶寬。需求分析流量管理前的數(shù)據(jù)流流量管理后的數(shù)據(jù)流配置建議：根據(jù)客戶的情況，我們需要建立兩種通道，保證通道和限制通道。1、保證通道針對所有員工，訪問網(wǎng)站，郵件，DNS，IM，辦工OA，微博論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%2、限制通道針對所有員工對P2P，P2P流媒體，文件下載，MEDIA進行帶寬限制，控制為總帶寬的20%，且同時勾選“抑制P2P下行丟包”和“當線路空閑時，允許突破限制”配置思路配置思路配置步驟一：設(shè)置公網(wǎng)線路的實際帶寬.點擊線路1進入配置框互聯(lián)網(wǎng)傳輸?shù)膯挝皇莃ps，10Mbps=1280KB/S配置思路配置步驟二：新增流量管理通道（保證關(guān)鍵應(yīng)用）建立保證通道，所有員工保證關(guān)鍵應(yīng)用訪問網(wǎng)站，郵件，DNS，IM，辦工OA，微薄論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%配置思路配置步驟三：新增流量管理通道（限制P2P）建立限制通道，所有員工對P2P，P2P流媒體，文件下載，MEDIA進行帶寬限制，控制為總帶寬的20%啟用“抑制p2p下行丟包”能夠更好控制udp應(yīng)用流量，限制通道且udp應(yīng)用較多時建議啟用。啟用“當線路空閑時，允許突然限制”，當網(wǎng)絡(luò)中沒有保證帶寬業(yè)務(wù)時，限制通道的應(yīng)用可以突破帶寬限制，避免帶寬浪費客戶背景：客戶網(wǎng)絡(luò)出口有兩條外網(wǎng)線路，100M電信和20M聯(lián)通，客戶要求電信線路分配30%的帶寬給技術(shù)部門，并要求技術(shù)部門每個用戶P2P和P2P流媒體應(yīng)用不超過100Kbps。這種情況應(yīng)該怎么去實現(xiàn)？P2P流量控制案例-擴展流量子通道概念流量子通道：將流量管理通道分級，使流量控制更加細化，更靈活。流量管理策略流量管理一級通道流量管理子通道

流量子通道應(yīng)用于對流量管理有細化需求的場景。比如一個公司有多個部門，給每個部門分配固定的帶寬，然后在這個帶寬范圍內(nèi)設(shè)置不同的流量管理策略。設(shè)置虛擬線路和線路帶寬，電信線路100M，網(wǎng)通線路20M新增一級通道，設(shè)定技術(shù)部門所有應(yīng)用帶寬不超過電信線路的30%新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps需求分析新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps配置思路

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄

客戶需求對所有下載進行流控，包括http文件下載（即瀏覽器目標另存為）的方式下載，但又不能影響打開網(wǎng)頁速度。需求背景下載網(wǎng)關(guān)升級客戶端，右鍵點擊下載然后復(fù)制下載鏈接，得到URL：/download/product/tools/SANGFOR_Updater6.0.zipHTTP下載流量控制技術(shù)數(shù)據(jù)包格式如下，可以看到下載文件的數(shù)據(jù)包和正常打開網(wǎng)站的數(shù)據(jù)包格式一模一樣！那么問題來了，如何才能只限制下載的速度，而不限制打開網(wǎng)站的速度呢？HTTP下載流量控制技術(shù)這種需求下，對于HTTP文件下載流控需要通過文件類型流控，如下圖：配置方法流量管理效果驗證方法：1、流控生效后，可以在客戶端電腦驗證流控效果2、可以從設(shè)備流量管理狀態(tài)查看流控效果。效果展示

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄實際使用環(huán)境，支持流量可視化功能流量可視化日常運維場景：在啟用流量管理功能后，幫助管理員檢視“啟用流控后”的流量使用情況在，評估流控通道的配置是否合理，并對通道配置進行調(diào)整，更好的分配流量。（條件限制沒有中文版效果圖）流量可視化

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶做了用戶限額策略，針對員工每天每月的流量、時長、流速等都是有限的，超限后直接封堵用戶的上網(wǎng)行為會影響員工的正常辦公，現(xiàn)想實現(xiàn)超限后給予低速通道上網(wǎng)，滿足基本上網(wǎng)需求。流量配額案例1、首先在流控管理新增一條懲罰通道，把通道限制一個范圍2、在用戶限額策略中，設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”，選擇第一步設(shè)置的懲罰通道。配置思路1、首先在流控管理新增一條懲罰通道，把通道限制一個范圍2、在用戶限額策略中，設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”，選擇第一步設(shè)置的懲罰通道。配置思路注意：1、懲罰通道只能是限制通道，且此通道不可再建子通道2、懲罰通道要按應(yīng)用來匹配，即一個用戶流量可以跑到多個懲罰通道（最多20），沒匹配上懲罰通道的流量繼續(xù)走原有的通道配置流程3、懲罰通道的生效時間、目的IP組、線路號也要有效注意事項下一代防火墻概述了解防火墻的定義及其發(fā)展歷程了解防火墻的發(fā)展歷程教學(xué)目標防火墻的定義防火墻發(fā)展歷程目錄防火墻的定義什么是防火墻？墻，始于防，忠于守。從古至今，墻予人以安全之意。防火墻的定義防火墻分類按物理特性劃分按性能劃分按防火墻結(jié)構(gòu)劃分按防火墻技術(shù)劃分防火墻分類軟件防火墻硬件防火墻百兆級防火墻千兆級防火墻······單一主機防火墻路由集成防火墻分布式防火墻······包過濾防火墻應(yīng)用代理防火墻狀態(tài)監(jiān)測防火墻······防火墻的定義防火墻的功能1.訪問控制2.地址轉(zhuǎn)換3.網(wǎng)絡(luò)環(huán)境支持4.帶寬管理功能7.高可用性6.用戶認證5.入侵檢測和攻擊防御防火墻的定義防火墻安全策略定義安全策略是按一定規(guī)則，控制設(shè)備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。主要應(yīng)用對跨防火墻的網(wǎng)絡(luò)互訪進行控制對設(shè)備本身的訪問進行控制防火墻的定義防火墻安全策略作用根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進行過濾篩選，再進行下一步操作。防火墻安全策略的原理入數(shù)據(jù)流出數(shù)據(jù)流

BBAABBBAAAA

AAAAAAPolicy0：允許APolicy1：拒絕B防火墻安全策略步驟1：入數(shù)據(jù)流經(jīng)過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)定義的安全策略對數(shù)據(jù)包進行處理默認策略操作防火墻的定義安全策略分類域間安全策略域內(nèi)安全策略接口包過濾Trust區(qū)域Untrust區(qū)域G0/0/0G0/0/1OutbountInbountTrust區(qū)域G0/0/0InbountOutbount防火墻的定義防火墻發(fā)展歷程目錄防火墻發(fā)展歷程防火墻發(fā)展進程防火墻發(fā)展歷程傳統(tǒng)防火墻（包過濾防火墻）——一個嚴格的規(guī)則表判斷信息數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口（五元組）工作范圍網(wǎng)絡(luò)層、傳輸層（3-4層）和路由器的區(qū)別普通的路由器只檢查數(shù)據(jù)包的目標地址，并選擇一個達到目的地址的最佳路徑。防火墻除了要決定目的路徑以外還需要根據(jù)已經(jīng)設(shè)定的規(guī)則進行判斷“是與否”。技術(shù)應(yīng)用包過濾技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（包過濾防火墻）——一個嚴格的規(guī)則表優(yōu)勢對于小型站點容易實現(xiàn)，處理速度快，價格便宜劣勢規(guī)則表很快會變得龐大復(fù)雜難運維，只能基于五元組包過濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)匹配規(guī)則：①有允許規(guī)則：是；②有拒絕規(guī)則：否；③無相關(guān)規(guī)則：否；防火墻發(fā)展歷程傳統(tǒng)防火墻（應(yīng)用代理防火墻）——每個應(yīng)用添加代理判斷信息所有應(yīng)用層的信息包工作范圍應(yīng)用層（7層）和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層，通過檢驗報頭進行規(guī)則表匹配。應(yīng)用代理防火墻工作7層，檢查所有的應(yīng)用層信息包，每個應(yīng)用需要添加對應(yīng)的代理服務(wù)。技術(shù)應(yīng)用應(yīng)用代理技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（應(yīng)用代理防火墻）——每個應(yīng)用添加代理優(yōu)勢檢查了應(yīng)用層的數(shù)據(jù)劣勢檢測效率低，配置運維難度極高，可伸縮性差代理一：客戶端到防火墻代理一：防火墻到服務(wù)器只檢查數(shù)據(jù)客戶端服務(wù)器防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測防火墻）——首次檢查建立會話表判斷信息IP地址、端口號、TCP標記工作范圍數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層（2-4層）和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層，通過檢驗報頭進行規(guī)則表匹配。是包過濾防火墻的升級版，一次檢查建立會話表，后期直接按會話表放行。技術(shù)應(yīng)用狀態(tài)檢測技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測防火墻）——首次檢查建立會話表優(yōu)勢主要檢查3-4層能夠保證效率，對TCP防御較好劣勢應(yīng)用層控制較弱，不檢查數(shù)據(jù)區(qū)包過濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程入侵檢測系統(tǒng)（IDS）——網(wǎng)絡(luò)攝像頭部署方式旁路部署，可多點部署工作范圍2-7層工作特點根據(jù)部署位置監(jiān)控到的流量進行攻擊事件監(jiān)控，屬于一個事后呈現(xiàn)的系統(tǒng)，相當于網(wǎng)絡(luò)上的監(jiān)控攝像頭目的傳統(tǒng)防火墻只能基于規(guī)則執(zhí)行“是”或“否”的策略，IDS主要是為了幫助管理員清晰的了解到網(wǎng)絡(luò)環(huán)境中發(fā)生了什么事情。防火墻發(fā)展歷程入侵檢測系統(tǒng)（IDS）——網(wǎng)絡(luò)攝像頭分析方式基于規(guī)則入侵檢測基于規(guī)則入侵檢測統(tǒng)計模型分析呈現(xiàn)防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)入侵檢測系統(tǒng)探測器分析器用戶接口防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅部署方式串聯(lián)部署工作范圍2-7層工作特點根據(jù)已知的安全威脅生成對應(yīng)的過濾器（規(guī)則），對于識別為流量的阻斷，對于未識別的放通目的IDS只能對網(wǎng)絡(luò)環(huán)境進行檢測，但卻無法進行防御，IPS主要是針對已知威脅進行防御防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅入侵防御系統(tǒng)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)（AV）——基于網(wǎng)絡(luò)側(cè)識別病毒文件判斷信息數(shù)據(jù)包工作范圍2-7層目的防止病毒文件通過外網(wǎng)絡(luò)進入到內(nèi)網(wǎng)環(huán)境數(shù)據(jù)包文件還原防病毒網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)（AV）——基于網(wǎng)絡(luò)側(cè)識別病毒文件和防火墻的區(qū)別防火墻發(fā)展歷程Web應(yīng)用防火墻（WAF）——專門用來保護web應(yīng)用判斷信息http協(xié)議數(shù)據(jù)的request和response工作范圍應(yīng)用層（7層）目的防止基于應(yīng)用層的攻擊影響Web應(yīng)用系統(tǒng)防火墻發(fā)展歷程Web應(yīng)用防火墻（WAF）——專門用來保護web應(yīng)用主要技術(shù)原理代理服務(wù)：會話雙向代理，用戶與服務(wù)器不產(chǎn)生直接鏈接，對于DDOS攻擊可以抑制特征識別：通過正則表達式的特征庫進行特征識別算法識別：針對攻擊方式進行模式化識別，如SQL注入、DDOS、XSS等Web應(yīng)用防火墻非信任網(wǎng)絡(luò)服務(wù)器防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網(wǎng)關(guān)包含功能FW、IDS、IPS、AV工作范圍2-7層（但是不具備web應(yīng)用防護能力）目的將多種安全問題通過一臺設(shè)備解決優(yōu)點功能多合一有效降低了硬件成本、人力成本、時間成本缺點模塊串聯(lián)檢測效率低，性能消耗大防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)UTM防火墻發(fā)展歷程下一代防火墻（NGFW）——升級版的UTM包含功能FW、IDS、IPS、AV、WAF工作范圍2-7層和UTM的區(qū)別與UTM相比增加的web應(yīng)用防護功能UTM是串行處理機制，NGFW是并行處理機制NGFW的性能更強，管理更高效防火墻的定義防火墻發(fā)展歷程總結(jié)下一代防火墻組網(wǎng)方案了解下一代防火墻組網(wǎng)方案教學(xué)目標下一代防火墻組網(wǎng)簡介下一代防火墻組網(wǎng)方案策略路由解決方案目錄下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求背景客戶需求：現(xiàn)有的拓撲如下圖，使用AF替換現(xiàn)有防火墻部署在出口，實現(xiàn)對內(nèi)網(wǎng)用戶和服務(wù)器安全防護。內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求分析：部署前我們需要做哪些準備工作？了解現(xiàn)有防火墻設(shè)備的內(nèi)外網(wǎng)接口配置內(nèi)網(wǎng)網(wǎng)段如何規(guī)劃，需要寫回程路由內(nèi)網(wǎng)服務(wù)器是否需要做端口映射是否需要做源地址轉(zhuǎn)換代理內(nèi)網(wǎng)電腦上網(wǎng)內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護策略滿足客戶需求現(xiàn)有拓撲是否完整下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置思路配置接口地址，并定義接口對應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增靜態(tài)路由，配置默認路由和回程路由配置代理上網(wǎng)：在【策略】-【地址轉(zhuǎn)換】中，新增源地址轉(zhuǎn)換配置端口映射：在【策略】-【地址轉(zhuǎn)換】中，新增服務(wù)器映射配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限：在【策略】-【訪問控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限配置安全防護策略：如業(yè)務(wù)防護策略、用戶防護策略等下一代防火墻組網(wǎng)方案路由模式組網(wǎng)單臂路由模式單臂路由是指在路由器的一個接口上通過配置子接口（邏輯接口，并不存在真正物理接口）的方式，實現(xiàn)原來相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境，購買AF設(shè)備打算部署在公網(wǎng)出口，代理內(nèi)網(wǎng)用戶上網(wǎng)，公網(wǎng)線路是光纖接入固定分配IP的，具體網(wǎng)絡(luò)拓撲如圖所示54/24/24/24/24/29/29下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟1配置接口地址，并定義接口對應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個接口作為內(nèi)外網(wǎng)口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟2配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增靜態(tài)路由，配置默認路由和回程路由。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟3配置代理上網(wǎng)：在【策略】-【地址轉(zhuǎn)換】中，新增NAT，配置源地址轉(zhuǎn)換。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟4配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限：在【策略】-【訪問控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)注意事項在路由模式部署時，防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，負責在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進行路由尋址，相當于路由器。其與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口均工作在三層，需要分別配置不同網(wǎng)段的IP地址路由模式部署支持更多的安全特性，如NAT、策略路由選擇，動態(tài)路由協(xié)議（OSPF、BGP、RIP等）等需要修改原網(wǎng)絡(luò)拓撲，對現(xiàn)有環(huán)境改動較大一般部署在需要進行路由轉(zhuǎn)發(fā)的位置，如出口路由器或替換已有路由器、老防火墻等場景下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求背景客戶需求：現(xiàn)有的拓撲如下圖，需要增加一臺AF設(shè)備做安全防護，但不能改動現(xiàn)有網(wǎng)絡(luò)環(huán)境內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求分析：部署前我們需要做哪些準備工作？內(nèi)外網(wǎng)接口定義管理地址配置，是否需要帶外管理，還是通過VLANIP管理配置路由，一般缺省路由用作防火墻上網(wǎng)，回程路由用作防火墻管理內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護策略滿足客戶需求下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置思路配置接口類型，并定義接口對應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性如所屬access或者trunk配置管理接口：在【網(wǎng)絡(luò)】-【接口】中，新增管理接口，或者配置vlan接口的邏輯接口做為管理接口，并分配管理地址配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增缺省路由和回程路由配置應(yīng)用控制策略，對不同區(qū)域間的訪問權(quán)限進行控制：在【策略】-【訪問控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，進行訪問權(quán)限控制配置安全防護策略：如：業(yè)務(wù)防護策略、用戶防護策略等下一代防火墻組網(wǎng)方案透明模式組網(wǎng)虛擬網(wǎng)線部署：虛擬網(wǎng)線部署是透明部署中另外一種特殊情況，和正常透明部署有如下區(qū)別和透明部署一樣，接口也是二層接口，但是被定義成虛擬網(wǎng)線接口虛擬網(wǎng)絡(luò)接口必須成對存在，轉(zhuǎn)發(fā)數(shù)據(jù)時，無需檢查MAC表，直接從虛擬網(wǎng)線配對的接口轉(zhuǎn)發(fā)虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口，一般的網(wǎng)橋環(huán)境下，推薦使用虛擬網(wǎng)線接口部署虛擬網(wǎng)線部署需要通過其他路由口進行管理下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境，有路由器部署在公網(wǎng)出口，現(xiàn)購買AF設(shè)備，不能改動原有環(huán)境，需做透明部署進去，具體網(wǎng)絡(luò)拓撲如下圖所示/24/24/24/2454/24下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟1配置接口類型，并定義接口對應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個接口做上下聯(lián)接口，并配置接口類型、所屬區(qū)域、基本屬性access（如在trunk環(huán)境需選擇trunk口）。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟2配置管理接口：在【網(wǎng)絡(luò)】-【接口】-【VLAN接口】中，配置vlan接口的邏輯接口做為管理接口，并分配管理地址。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟3配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增靜態(tài)路由，配置默認路由和回程路由。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟4配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限：在【策略】-【訪問控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)注意事項透明模式部署不支持NAT、策略路由選擇、動態(tài)路由協(xié)議（OSPF、BGP、RIP等）等需要了解上聯(lián)和下聯(lián)的方向，以免策略方向出錯一般部署在出口路由設(shè)備下聯(lián)方向，不會改動原有網(wǎng)絡(luò)環(huán)境終端安全風險&終端上網(wǎng)安全應(yīng)用控制技術(shù)

了解終端安全風險了解終端上網(wǎng)安全應(yīng)用控制技術(shù)教學(xué)目標終端安全風險目錄終端安全風險終端安全風險對于一個企業(yè)來說，90%以上的員工需要每天使用PC終端辦公，而終端是和互聯(lián)網(wǎng)“數(shù)據(jù)交換”的重要節(jié)點，且員工的水平參差不齊，因此企業(yè)網(wǎng)絡(luò)中80%的安全事件來自于終端。終端已經(jīng)成為黑客的戰(zhàn)略攻擊點。黑客攻擊的目的是獲取有價值的“數(shù)據(jù)”。他們控制終端以后，可以直接種植勒索病毒勒索客戶，更嚴重的是，黑客的目標往往是那些存儲著重要“數(shù)據(jù)”的服務(wù)器。受控的終端將成為黑客的跳板，黑客將通過失陷主機橫向掃描內(nèi)部網(wǎng)絡(luò)，發(fā)現(xiàn)組織網(wǎng)絡(luò)內(nèi)部重要的服務(wù)器，然后對這些重要服務(wù)器發(fā)起內(nèi)部攻擊。互聯(lián)網(wǎng)出口實現(xiàn)了組織內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邏輯隔離。對于內(nèi)部網(wǎng)絡(luò)接入用戶來說，僵尸網(wǎng)絡(luò)是最為嚴重的安全問題，黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端，形成僵尸網(wǎng)絡(luò)，進一步實現(xiàn)終端存儲的信息被竊取、終端被引導(dǎo)訪問釣魚網(wǎng)站、終端被利用作為攻擊跳板危害其他的各類資源等問題。終端安全風險終端安全風險終端安全風險終端安全風險黑客可以利用僵尸網(wǎng)絡(luò)展開更多的危害行為，如APT攻擊最常采用的跳板就是僵尸網(wǎng)絡(luò)。黑客利用僵尸網(wǎng)絡(luò)來實現(xiàn)滲透、監(jiān)視、竊取敏感數(shù)據(jù)等目的，危害非常大。僵尸網(wǎng)絡(luò)的主要危害有：看不見的風險高級持續(xù)威脅本地滲透擴散敏感信息竊取脆弱信息收集終端安全風險總結(jié)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)目錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略功能概述在客戶網(wǎng)絡(luò)環(huán)境中，如果沒有對網(wǎng)絡(luò)流量進行訪問控制，容易造成非相關(guān)人員訪問敏感數(shù)據(jù)或者登陸不相關(guān)的設(shè)備等。因此，需要防火墻來做邏輯上的隔離，允許其通過或丟棄數(shù)據(jù)包，過濾條件有源區(qū)域、目的區(qū)域、源地址、目的地址、目的服務(wù)和應(yīng)用。從而減少內(nèi)網(wǎng)外網(wǎng)環(huán)境帶來的威脅，更高效的管控網(wǎng)絡(luò)中的流量走向。財務(wù)服務(wù)器PCtrustDMZuntrustPC拒絕訪問財務(wù)服務(wù)器和P2P應(yīng)用終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略工作過程根據(jù)自定義的應(yīng)用控制策略，當數(shù)據(jù)包到達AF轉(zhuǎn)發(fā)時，從上往下依次匹配自定義的應(yīng)用控制策略，直到匹配上應(yīng)用控制策略為止，并根據(jù)應(yīng)用控制策略的動作對數(shù)據(jù)包進行允許或拒絕，同時創(chuàng)建一條會話。Web站點（:80）源地址目的地址目的端口80源區(qū)域untrust目的區(qū)域DMZ源地址目的地址服務(wù)80應(yīng)用any動作允許源地址目的地址目的端口80PC（）DMZuntrust策略：終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類基于服務(wù)的控制策略通過匹配數(shù)據(jù)包的五元組（源地址、目的地址、協(xié)議號、源端口、目的端口）來進行過濾動作，對任何數(shù)據(jù)包都可以立即進行攔截動作判斷?；趹?yīng)用的控制策略通過匹配數(shù)據(jù)包特征來進行過濾動作，需要一定數(shù)量的包通行后才能判斷應(yīng)用類型，然后進行攔截動作的判斷。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類配置應(yīng)用控制策略的時候，需要同時選擇服務(wù)和應(yīng)用兩種類型，兩種類型之間為“與”關(guān)系，必須要兩者的條件都匹配，策略才會生效。例如：客戶需要拒絕部分用戶打開網(wǎng)頁，如果應(yīng)用控制配置的服務(wù)選擇TCP、應(yīng)用選擇DNS，就會導(dǎo)致策略不生效，原因是平常解析域名的DNS協(xié)議是基于UDP協(xié)議，應(yīng)用控制識別流量發(fā)現(xiàn)是UDP而非TCP，與策略的匹配條件不一致，策略就不會去攔截對應(yīng)的流量。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景客戶一臺內(nèi)網(wǎng)PC機(0)允許訪問公司財務(wù)服務(wù)器(0),該站點開放了80端口訪問界面。同時，該PC允許訪問互聯(lián)網(wǎng)，但是禁止訪問P2P相關(guān)應(yīng)用，且只能8點至17點之間訪問互聯(lián)網(wǎng)。財務(wù)服務(wù)器PC終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟創(chuàng)建應(yīng)用控制策略，允許PC訪問公司財務(wù)服務(wù)器創(chuàng)建應(yīng)用控制策略，禁止PC訪問P2P應(yīng)用創(chuàng)建應(yīng)用策略，允許PC在特定時間內(nèi)訪問互聯(lián)網(wǎng)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1允許PC訪問公司財務(wù)服務(wù)器，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2禁止PC訪問P2P應(yīng)用，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3允許PC訪問公司財務(wù)服務(wù)器，在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略--長連接在一些特殊的環(huán)境下，實現(xiàn)服務(wù)器在一段時間中沒有收到客戶端的數(shù)據(jù)（應(yīng)用層數(shù)據(jù)），也不會斷開連接，這就需要AF配置長連接，防止會話超時刪除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服務(wù)any應(yīng)用any長連接3day策略：會話超時時間13day終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景某銀行數(shù)據(jù)庫服務(wù)器，提供下屬各個分支機構(gòu)的服務(wù)器對接，由于該數(shù)據(jù)庫服務(wù)器沒有重連機制，需要重啟等方式才能重新建立新連接。因此，為防止通信過程中AF會話超時，導(dǎo)致服務(wù)器重新連接造成會話異常，造成業(yè)務(wù)中斷，則需要保持連接。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)長連接配置操作界面為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】，點擊進入對應(yīng)策略，選擇高級選項設(shè)置。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略輔助功能應(yīng)用控制策略輔助功能主要用來協(xié)助我們分析、記錄和管理現(xiàn)有的策略。常用的輔助功能主要有以下幾個：標簽管理：對同一類策略打上相同標簽，可對標簽進行新增、編輯、刪除等操作策略變更原因記錄：在新增或修改策略時顯示變更原因輸入框，方便記錄變更原因模擬策略匹配：輸入五元組等信息，模擬策略匹配方式，給出最可能的匹配結(jié)果?？捎糜谂挪楣收?，或環(huán)境部署前的調(diào)試失效策略檢查：檢測因沖突、生效時間已過期、已超過一段時間未有匹配的等情況失效的策略實時沖突策略檢測：在新增、修改和移動策略時，實時對策略的沖突進行檢測并提醒。該功能啟用后，可能在策略數(shù)量過多時造成頁面加載延遲策略優(yōu)化：根據(jù)設(shè)置分析策略的等級，對所有的應(yīng)用控制策略進行分析，給出目前策略配置不合理的相關(guān)提示，方便進行快速優(yōu)化策略終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場景某客戶網(wǎng)絡(luò)中，互聯(lián)網(wǎng)區(qū)域AF應(yīng)用控制策略經(jīng)過長年的累積，策略數(shù)量較多，造成運維難度加大，且主要存在以下問題：存在較多失效策略同一類型策略存在多個，未對其進行打標簽標識無法判斷流量匹配那條應(yīng)用控制策略策略修改無記錄存在較多沖突策略，無法進行排查終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置案例某客戶核心網(wǎng)絡(luò)AF，存在過多的重復(fù)策略，且開放的端口較大，沒有進行策略最小化原則配置，同時存在同一類型的訪問策略未進行分類，難以辨別。策略增刪改沒有記錄，無法追溯到最具人員。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟：啟用失效策略檢查；對同一類型的策略可以進行打標簽處理；進行策略優(yōu)化，查找不合規(guī)則策略；策略的操作進行記錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1啟用失效策略檢查，當檢測到失效時狀態(tài)變?yōu)榧t色感嘆號。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】，點擊更多操作，選擇輔助工具，啟用失效策略檢查。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2對同一類型策略進行管理。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】，點擊更多操作，選擇輔助工具，選擇進行標簽管理。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3策略優(yōu)化，尋找設(shè)置不合理的策略。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略優(yōu)化】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情4應(yīng)用控制策略在指定查詢范圍內(nèi)的操作，進行變更的記錄和展示，方便對日常的維護工作有相應(yīng)的記錄和溯源。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略生命周期管理】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)注意事項開啟應(yīng)用控制策略的日志記錄功能，需要先在日志設(shè)置開啟應(yīng)用控制日志功能。默認禁止策略無法刪除普通策略無法移到默認策略之后終端上網(wǎng)安全應(yīng)用控制技術(shù)總結(jié)服務(wù)器安全風險

與DOS攻擊檢測和防御技術(shù)了解服務(wù)器安全風險了解DOS攻擊檢測和防御技術(shù)教學(xué)目標服務(wù)器安全風險DOS攻擊檢測和防御技術(shù)目錄服務(wù)器安全風險服務(wù)器安全風險不必要的訪問（如只提供HTTP服務(wù)）外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊（針對服務(wù)器操作系統(tǒng)等)根據(jù)軟件版本的已知漏洞進行攻擊,口令暴力破解，獲取用戶權(quán)限；SQL注入、XSS跨站腳本攻擊、跨站請求偽造等等掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改應(yīng)用識別、控制防火墻漏洞攻擊防護服務(wù)器保護風險分析網(wǎng)站篡改防護服務(wù)器安全風險DOS攻擊檢測和防御技術(shù)目錄DOS攻擊檢測和防御技術(shù)DoS攻擊背景2016年10月21日，美國提供動態(tài)DNS服務(wù)的DynDNS報告遭到DDoS攻擊，攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題，其中包括BBC、華爾街日報、CNN、紐約時報等一大批新聞網(wǎng)站集體宕機，Twitter甚至出現(xiàn)了近24小時0訪問的局面！此次事件中，黑客就是運用了DNS洪水攻擊手段。DOS攻擊檢測和防御技術(shù)DoS/DDoS攻擊介紹DoS攻擊——Denial

of

Service,

是一種拒絕服務(wù)攻擊，常用來使服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手