《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 1.1 全網(wǎng)行為安全概述-3.2 IPSec VPN技術(shù)_第1頁
《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 1.1 全網(wǎng)行為安全概述-3.2 IPSec VPN技術(shù)_第2頁
《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 1.1 全網(wǎng)行為安全概述-3.2 IPSec VPN技術(shù)_第3頁
《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 1.1 全網(wǎng)行為安全概述-3.2 IPSec VPN技術(shù)_第4頁
《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 1.1 全網(wǎng)行為安全概述-3.2 IPSec VPN技術(shù)_第5頁
已閱讀5頁,還剩340頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

全網(wǎng)行為管理概述全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄有線互聯(lián)網(wǎng)時(shí)期2006年深信服首家推出上網(wǎng)行為管理AC,幫助客戶實(shí)現(xiàn)“上網(wǎng)可視可控”移動(dòng)互聯(lián)網(wǎng)時(shí)期2011年新增上網(wǎng)認(rèn)證和移動(dòng)應(yīng)用管控功能,滿足新場(chǎng)景需求2017年率先推出行為感知系統(tǒng)BA,讓行為數(shù)據(jù)更有價(jià)值萬物互聯(lián)新時(shí)期2020年升級(jí)為全網(wǎng)行為管理AC,實(shí)現(xiàn)“全網(wǎng)行為可視化可控”滿足物聯(lián)網(wǎng)、業(yè)務(wù)云化場(chǎng)景下的行為管理需求。全網(wǎng)行為管理發(fā)展歷史近年來,內(nèi)網(wǎng)安全事件頻發(fā),過往企業(yè)只重視出口網(wǎng)絡(luò)安全建設(shè)的部署已經(jīng)越來越難防范層出不窮的內(nèi)網(wǎng)攻擊手段。內(nèi)網(wǎng)安全區(qū)別于安全威脅,攻擊者來自內(nèi)部,隱藏在眾多的業(yè)務(wù)數(shù)據(jù)中,難以檢測(cè)和防范,所造成的損失也往往更大。隱藏在內(nèi)網(wǎng)中的安全威脅溫州一黑客團(tuán)伙使用自己的電腦接入醫(yī)院的自助服務(wù)電腦使用的網(wǎng)線連入醫(yī)院內(nèi)網(wǎng)竊取省內(nèi)多家醫(yī)院資料,獲利700多萬。烏克蘭核電站員工私接外網(wǎng)挖礦,涉嫌侵犯國家機(jī)密。某軍工科研所黃某利用職務(wù)便利備份內(nèi)網(wǎng)涉密資料出售境外機(jī)構(gòu)獲刑。內(nèi)網(wǎng)看似正常的業(yè)務(wù)行為中,實(shí)際上隱藏著巨大的“看不見管不住”安全隱患。為什么需要全網(wǎng)行為管理非法外聯(lián)用戶終端非法U盤訪問網(wǎng)站訪問論壇賭博網(wǎng)站發(fā)送郵件發(fā)微博淘寶網(wǎng)IM聊天反動(dòng)論壇色情網(wǎng)站郵件外發(fā)核心文檔微博造謠言論非法進(jìn)程HTTPS網(wǎng)站流量電話會(huì)議網(wǎng)盤上傳翻墻軟件微博上傳論壇上傳網(wǎng)盤下載論壇下載微博下載論壇惡意中傷他人QQ外發(fā)內(nèi)部文檔下載資料資產(chǎn)管理混亂終端違規(guī)接入入網(wǎng)行為不規(guī)范上網(wǎng)缺乏管控?cái)?shù)據(jù)泄密風(fēng)險(xiǎn)事后溯源困難企業(yè)運(yùn)維各環(huán)節(jié)中存在風(fēng)險(xiǎn)識(shí)別接入合規(guī)管控審計(jì)分析運(yùn)維環(huán)節(jié)內(nèi)網(wǎng)IP經(jīng)常沖突,接入網(wǎng)絡(luò)上不了網(wǎng)日常運(yùn)維排查網(wǎng)絡(luò)無法定位終端,經(jīng)常出現(xiàn)莫名其妙的地址上線出現(xiàn)安全事件溯源困難缺乏IP地址管理措施,IP對(duì)不上終端;缺乏終端資產(chǎn)識(shí)別技術(shù),人為搜集繁瑣易錯(cuò)。資產(chǎn)混亂現(xiàn)象分析外來人員隨意接入內(nèi)網(wǎng)終端未安裝殺毒軟件,私自連接外網(wǎng),使用不安全U盤接入網(wǎng)絡(luò),在內(nèi)網(wǎng)中瘋狂傳播病毒給內(nèi)網(wǎng)造成極大威脅內(nèi)網(wǎng)接入邊界模糊,缺乏內(nèi)網(wǎng)接入檢測(cè)手段物聯(lián)網(wǎng)興起,設(shè)備類型多樣,無法識(shí)別檢測(cè)管理制度如同空文,缺乏技術(shù)監(jiān)督導(dǎo)致執(zhí)行效果差違規(guī)接入現(xiàn)象分析企業(yè)辦公室淪為免費(fèi)網(wǎng)吧,辦公效率低;政務(wù)人員上班時(shí)間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游,遭暗訪曝光,影響單位形象;學(xué)校電子閱覽室,學(xué)生使用IM聊天、看在線視頻、網(wǎng)游,影響學(xué)習(xí)。用戶上網(wǎng)權(quán)限缺乏管理;互聯(lián)網(wǎng)應(yīng)用泛濫、復(fù)雜、更新快等加大管理的困難性移動(dòng)應(yīng)用快速增長(zhǎng),增加管理難度。上網(wǎng)難監(jiān)管現(xiàn)象分析微博、百度貼吧等已經(jīng)成為網(wǎng)絡(luò)造謠、人身攻擊的重災(zāi)區(qū)肆意外發(fā)反動(dòng)、賭博、色情信息,遭受法律追究流行的自由門、無界瀏覽器等代理翻墻軟件,繞過公司管理上網(wǎng)監(jiān)管缺失,用戶肆意上網(wǎng)Web2.0使每人都成信息發(fā)布者缺乏日志記錄,無法舉證追蹤網(wǎng)絡(luò)違法現(xiàn)象分析上網(wǎng)體驗(yàn)差,分支機(jī)構(gòu)與總部間數(shù)據(jù)交互慢語音、視頻會(huì)議系統(tǒng)斷斷續(xù)續(xù)郵件發(fā)送、資料下載受嚴(yán)重影響員工抱怨網(wǎng)絡(luò)環(huán)境,核心業(yè)務(wù)無法保障,IT部門屢遭投訴,部門績(jī)效受到影響P2P、流媒體等流量占用了70%以上的帶寬帶寬缺乏合理劃分與分配措施單純擴(kuò)容帶寬,治標(biāo)不治本帶寬濫用現(xiàn)象分析全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄內(nèi)部風(fēng)險(xiǎn)智能感知,全網(wǎng)行為可視可控:通過全網(wǎng)終端、應(yīng)用、流量和數(shù)據(jù)的可視可控,智能感知終端違規(guī)接入、敏感數(shù)據(jù)泄密、上網(wǎng)違規(guī)行為等內(nèi)部風(fēng)險(xiǎn),解決上網(wǎng)管控、終端準(zhǔn)入管控和數(shù)據(jù)泄密管控的一體化管控。全網(wǎng)行為管理核心價(jià)值可視可控終端入網(wǎng)管控?cái)?shù)據(jù)泄密管控終端應(yīng)用流量數(shù)據(jù)上網(wǎng)管控識(shí)別收集內(nèi)網(wǎng)所有資產(chǎn)信息,包括IP地址的使用情況和終端類型、廠商、與MAC地址對(duì)應(yīng)關(guān)系對(duì)識(shí)別出來的資產(chǎn)信息做表格輸出,便于運(yùn)維終端列表IP管理終端發(fā)現(xiàn)設(shè)置資產(chǎn)識(shí)別功能目的確認(rèn)入網(wǎng)用戶身份,驗(yàn)證其合法性;以該信息作為用戶標(biāo)識(shí),對(duì)用戶入網(wǎng)后行為進(jìn)行合規(guī)性檢查、控制及審計(jì);不需要認(rèn)證IP/MAC綁定免認(rèn)證;本地密碼認(rèn)證;短信認(rèn)證/二維碼認(rèn)證;第三方服務(wù)器認(rèn)證;單點(diǎn)登錄;802.1X認(rèn)證。接入認(rèn)證功能目的Name:Group:IP:Name:Group:IP:Name:Group:IP:入網(wǎng)前檢查終端有無安裝殺毒軟件、有無指定腳本文件、有無登錄域等,實(shí)現(xiàn)輕量級(jí)合規(guī)檢查管控接入終端的外聯(lián)行為包括連接非法WIFI、連接外網(wǎng)、雙網(wǎng)卡、U盤接入等非法行為殺軟檢查、登錄域檢查、操作系統(tǒng)檢查進(jìn)程檢查、文件檢查、注冊(cè)表檢查計(jì)劃任務(wù)檢查、Windows賬號(hào)檢查、防篡改檢查外聯(lián)檢查、外聯(lián)控制、外設(shè)管控終端檢查功能目的入網(wǎng)終端操作系統(tǒng)登錄域違規(guī)進(jìn)程……殺毒軟件其它封堵IM聊天、炒股、游戲、下載、在線視頻等應(yīng)用,規(guī)范上網(wǎng)行為,提高員工工作效率封堵代理、翻墻軟件,規(guī)避不當(dāng)上網(wǎng)行為帶來的法律風(fēng)險(xiǎn)封堵郵件,防止敏感信息泄露應(yīng)用特征識(shí)別庫應(yīng)用管理標(biāo)簽化精細(xì)化管控防共享防翻墻應(yīng)用控制功能目的應(yīng)用特征識(shí)別庫應(yīng)用管理標(biāo)簽化防代理共享精細(xì)化管控過濾非法、不良網(wǎng)站,避免法律風(fēng)險(xiǎn);過濾游戲、賭博、購物、在線視頻等網(wǎng)站,提高員工工作效率;過濾惡意網(wǎng)頁,保障上網(wǎng)安全;千萬級(jí)URL識(shí)別庫;URL智能識(shí)別系統(tǒng);URL云共享;自定義URL;惡意網(wǎng)址過濾網(wǎng)頁過濾功能目的千萬級(jí)URL庫URL智能識(shí)別云共享自定義URL惡意網(wǎng)址過濾網(wǎng)頁過濾根據(jù)業(yè)務(wù)類型進(jìn)行帶寬限制或保障,保證核心業(yè)務(wù)暢通運(yùn)行;靈活分配帶寬資源,實(shí)現(xiàn)動(dòng)態(tài)調(diào)整,提高帶寬利用率;基于用戶/用戶組/應(yīng)用/網(wǎng)站類型的流控;多級(jí)父子通道;動(dòng)態(tài)流控;P2P智能流控;流控黑名單流量管理功能目的對(duì)多運(yùn)營(yíng)商線路進(jìn)行有效負(fù)載精準(zhǔn)的識(shí)別應(yīng)用,能夠進(jìn)行有效引流動(dòng)態(tài)智能選路應(yīng)用引流方案DNS透明代理應(yīng)用路由技術(shù)動(dòng)態(tài)引流技術(shù)DSCP/tos標(biāo)簽應(yīng)用選路目的功能記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為,一旦發(fā)生網(wǎng)絡(luò)違法違規(guī)事件可作為追查證據(jù)統(tǒng)計(jì)用戶的上網(wǎng)時(shí)間、應(yīng)用流量、應(yīng)用分布等,為企業(yè)決策提供依據(jù)記錄內(nèi)網(wǎng)安全事件,幫助管理員發(fā)現(xiàn)安全威脅網(wǎng)頁訪問審計(jì)郵件審計(jì)IM聊天應(yīng)用審計(jì)外發(fā)文件審計(jì)微博、論壇發(fā)帖等行為審計(jì)功能目的全網(wǎng)行為管理需求背景全網(wǎng)行為管理核心價(jià)值全網(wǎng)行為管理的應(yīng)用場(chǎng)景目錄全網(wǎng)行為管理應(yīng)用場(chǎng)景場(chǎng)景維度數(shù)據(jù)價(jià)值分析終端準(zhǔn)入管控上網(wǎng)行為管控多分支組網(wǎng)Internet數(shù)據(jù)中心網(wǎng)有線網(wǎng)員工隨意使用互聯(lián)網(wǎng),需要網(wǎng)頁過濾和應(yīng)用封堵,提高員工工作效率上網(wǎng)體驗(yàn)差,需要控制帶寬流量,保障核心業(yè)務(wù)暢通缺少上網(wǎng)行為記錄措施,一旦發(fā)生網(wǎng)絡(luò)違法,無法追蹤到人《網(wǎng)絡(luò)安全法》要求做上網(wǎng)審計(jì),合規(guī)要求更嚴(yán)格通過接入認(rèn)證的多種認(rèn)證方式,構(gòu)建上網(wǎng)身份認(rèn)證體系,保障人員接入上網(wǎng)安全通過對(duì)上網(wǎng)應(yīng)用精確識(shí)別與策略管控,規(guī)范員工上網(wǎng)行為對(duì)互聯(lián)網(wǎng)帶寬進(jìn)行精細(xì)化流控,保障核心業(yè)務(wù)使用體驗(yàn)通過行為審計(jì),全面審計(jì)上網(wǎng)行為,滿足審計(jì)與合規(guī)需求全行業(yè)上網(wǎng)行為管控目標(biāo)客戶客戶需求具體方案終端準(zhǔn)入管控場(chǎng)景對(duì)終端上網(wǎng)做二層強(qiáng)管控,未通過認(rèn)證不能訪問內(nèi)網(wǎng)服務(wù)器資源和外網(wǎng)資源,滿足可信接入的需求;啞終端免認(rèn)證入網(wǎng)要求終端上網(wǎng)用戶必須安裝公司要求的殺毒軟件,否則不能上網(wǎng)。禁止研發(fā)部門訪問外網(wǎng)和終端接入U(xiǎn)盤等存儲(chǔ)設(shè)備。全網(wǎng)行為管理設(shè)備網(wǎng)橋或者旁路部署,結(jié)合交換機(jī)開啟802.1X認(rèn)證,未入網(wǎng)前不能訪問內(nèi)網(wǎng)資源。啟用殺軟檢查,未安裝對(duì)應(yīng)殺毒軟件不能上網(wǎng)。針對(duì)研發(fā)部門啟用外聯(lián)檢查和U盤管控,管控不合規(guī)行為??蛻粜枨缶唧w方案多分支組網(wǎng)

分支和總部之間需要IPSEC組網(wǎng);分支用戶統(tǒng)一在總部認(rèn)證中心AC上認(rèn)證,實(shí)現(xiàn)用戶認(rèn)證統(tǒng)一在總部認(rèn)證中心AC上維護(hù);分支統(tǒng)一由總部集中管理設(shè)備下發(fā)管控策略,實(shí)現(xiàn)統(tǒng)一管控;分支統(tǒng)一由總部集中管理設(shè)備下發(fā)審計(jì)策略,并集中把日志傳到總部服務(wù)器區(qū)外置日志中心實(shí)現(xiàn)統(tǒng)一審計(jì)。多分支的企業(yè)、政府、金融等目標(biāo)客戶客戶需求方案價(jià)值多分支VPN組網(wǎng),把多個(gè)分支串聯(lián)到總部,方便統(tǒng)一運(yùn)維。統(tǒng)一認(rèn)證、管控和審計(jì),滿足公安部門的監(jiān)管要求。數(shù)據(jù)價(jià)值分析需要對(duì)內(nèi)網(wǎng)審計(jì)到日志進(jìn)行分析,提取有價(jià)值的信息。通過預(yù)先定義的關(guān)注內(nèi)容,對(duì)內(nèi)網(wǎng)外發(fā)的敏感信息進(jìn)行分析,出現(xiàn)泄密風(fēng)險(xiǎn)時(shí)通知管理員,防止外發(fā)泄密,及時(shí)止損。建立數(shù)據(jù)外發(fā)規(guī)范,分析風(fēng)險(xiǎn),防止敏感數(shù)據(jù)泄露。教育局(教育城域網(wǎng))、多分支的企業(yè)、垂直體系的政府單位(公安、武警等)客戶需求應(yīng)用價(jià)值目標(biāo)客戶全網(wǎng)行為管理部署模式路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄部署模式是指設(shè)備以什么樣的工作方式部署到客戶網(wǎng)絡(luò)中去,不同的部署模式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同;設(shè)備在不同模式下支持的功能也各不一樣,設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。根據(jù)客戶需求及環(huán)境不同:AC設(shè)備支持路由、網(wǎng)橋、旁路部署模式,SG設(shè)備支持路由、網(wǎng)橋、旁路、單臂部署模式12.0版本之后支持認(rèn)證部署模式,13.0版本之后認(rèn)證模式功能以認(rèn)證口的形式融入到普通模式中部署模式簡(jiǎn)介1.單臂模式用于代理上網(wǎng)場(chǎng)景;2.認(rèn)證模式多用于對(duì)接無線控制器和多分支統(tǒng)一認(rèn)證場(chǎng)景設(shè)備以路由模式部署時(shí),AC的工作方式與路由器相當(dāng),具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備或者用戶的網(wǎng)絡(luò)環(huán)境規(guī)模比較小,需要將AC做網(wǎng)關(guān)使用時(shí),建議以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時(shí),AC必須以路由模式部署,其它工作模式?jīng)]有這些功能。路由模式簡(jiǎn)介WAN:LAN:/24/24/24/24/241、網(wǎng)口配置:配置各網(wǎng)口地址。如果是固定IP,則填寫運(yùn)營(yíng)商給的IP地址及網(wǎng)關(guān);如果是ADSL撥號(hào)上網(wǎng),則填寫運(yùn)營(yíng)商給的撥號(hào)帳號(hào)和密碼;確定內(nèi)網(wǎng)口的IP;2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境,如果是的話需要添加相應(yīng)的回包路由,將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、用戶是否需要通過AC設(shè)備上網(wǎng),如果是的話,需要設(shè)置NAT規(guī)則。4、檢查并放通防火墻規(guī)則。路由模式配置思路路由模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄設(shè)備以網(wǎng)橋模式部署時(shí)對(duì)客戶原有的網(wǎng)絡(luò)基本沒有改動(dòng)。網(wǎng)橋模式部署AC時(shí),對(duì)客戶來說AC就是個(gè)透明的設(shè)備,如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開啟硬件bypass功能,即可恢復(fù)網(wǎng)絡(luò)通信。網(wǎng)橋模式部署時(shí)AC不支持NAT(代理上網(wǎng)和端口映射)、VPN、DHCP等功能。網(wǎng)橋模式簡(jiǎn)介網(wǎng)橋模式應(yīng)用場(chǎng)景單網(wǎng)橋54/24/24Br0:/24多網(wǎng)橋54/24/24Br0:/2454/24Br0:/24/241、配置設(shè)備網(wǎng)橋地址,網(wǎng)關(guān)地址,DNS地址。2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境,本案例就是三層環(huán)境,所以需要添加相應(yīng)的回包路由,將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、檢查并放通防火墻規(guī)則。網(wǎng)橋模式配置思路網(wǎng)橋模式效果展示路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄旁路模式主要用于實(shí)現(xiàn)行為審計(jì)功能,不需要改變用戶的網(wǎng)絡(luò)環(huán)境,通過把設(shè)備的監(jiān)聽口接在交換機(jī)的鏡像口上同時(shí)鏡像交換機(jī)上下行的數(shù)據(jù),從而實(shí)現(xiàn)對(duì)上網(wǎng)數(shù)據(jù)的監(jiān)控與控制。這種模式對(duì)用戶的網(wǎng)絡(luò)環(huán)境沒有影響,即使設(shè)備本身宕機(jī)也不會(huì)對(duì)用戶的網(wǎng)絡(luò)造成中斷。旁路模式部署還可用于旁路重定向認(rèn)證,在不改變網(wǎng)絡(luò)原有架構(gòu)的情況下對(duì)入網(wǎng)用戶進(jìn)行認(rèn)證。更多場(chǎng)景:旁路portal重定向認(rèn)證+審計(jì)場(chǎng)景、旁路802.1X認(rèn)證+基線核查+審計(jì)場(chǎng)景。注意:旁路部署模式只能對(duì)TCP應(yīng)用做控制,對(duì)基于UDP的應(yīng)用無法控制。不支持流量管理、NAT、VPN、DHCP等功能。旁路模式簡(jiǎn)介RST作用:標(biāo)示復(fù)位、用來異常的關(guān)閉連接。1.發(fā)送RST包關(guān)閉連接時(shí),不必等緩沖區(qū)的包都發(fā)出去,直接就丟棄緩沖區(qū)中的包。2.而接收端收到RST包后,也不必發(fā)送ACK包來確認(rèn)TCPRST1、交換機(jī)設(shè)置鏡像口,并接到AC監(jiān)聽口。2、配置需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段和服務(wù)器網(wǎng)段。3、配置管理口地址,用于管理AC設(shè)備。旁路模式配置思路旁路模式效果展示路由模式可以實(shí)現(xiàn)設(shè)備所有功能,網(wǎng)橋模式其次,旁路模式多用于審計(jì),只能對(duì)TCP應(yīng)用控制,控制功能最弱。路由模式對(duì)客戶原有網(wǎng)絡(luò)改造影響最大,網(wǎng)橋模式其次,旁路模式對(duì)客戶原有網(wǎng)絡(luò)改造無影響,即使設(shè)備宕機(jī)也不會(huì)影響客戶斷網(wǎng)。設(shè)備路由模式最多支持8條外網(wǎng)線路。網(wǎng)橋模式最多支持8對(duì)網(wǎng)橋,旁路模式除了管理口外,其它網(wǎng)口均可作為監(jiān)聽口,可以同時(shí)選擇多個(gè)網(wǎng)口作為監(jiān)聽口。部署模式小結(jié)路由部署解決方案網(wǎng)橋部署解決方案旁路部署解決方案TRUNK部署解決方案目錄什么是VLAN?VirtualLAN(虛擬局域網(wǎng))是物理設(shè)備上連接的不受物理位置限制的用戶的一個(gè)邏輯組。形象地說,交換機(jī)VLAN技術(shù)就是將1臺(tái)物理交換機(jī)劃分為若干臺(tái)邏輯上完全獨(dú)立的交換機(jī)。為什么引入VLAN?二層交換機(jī)不能阻隔廣播域,網(wǎng)絡(luò)規(guī)模越大,廣播危害也越嚴(yán)重路由器可以阻隔廣播,但價(jià)格比交換機(jī)貴,而且中低端路由器是使用軟件轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)性能不高,會(huì)造成性能瓶頸大量的未知單播流量和無用組播流量帶來安全隱患難以管理和維護(hù)VLAN概念為什么需要VLAN廣播域廣播VLAN1VLAN2廣播域廣播域廣播Access端口

VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口:進(jìn)該接口打上VLAN標(biāo)記,出接口剝離VLAN標(biāo)記;Tag=10Tag=20802.1Q公有標(biāo)準(zhǔn)默認(rèn)情況,在802.1QTrunk上對(duì)所有的VLAN打Tag,除了NativeVLAN;NativeVLAN,也稱為本征VLAN,是在trunk上無需打標(biāo)簽的VLAN,默認(rèn)為vlan1,可手工修改Tag標(biāo)記字段詳細(xì)信息:Tag標(biāo)記字段包含一個(gè)2bytesEtherType(以太類型)字段、一個(gè)3bits的PRI字段、1bit的CFI字段、12bits的VLANID字段;VLAN協(xié)議不同交換機(jī)相同的vlan互訪解決方案:Trunk方案一方案二實(shí)現(xiàn)方式在交換機(jī)間為每一個(gè)vlan建立一條專有傳輸鏈路在交換機(jī)間建立一條專有鏈路承載多個(gè)vlan的流量?jī)?yōu)點(diǎn)不需要其他協(xié)議的支持不需要占用過多的端口缺點(diǎn)占用了過多的端口需要專有協(xié)議支持VLAN間路由不同VLAN之間的數(shù)據(jù)包如何交互?

VLAN間路由路由器與每個(gè)VLAN建立一條物理連接,浪費(fèi)大量的端口拓?fù)淙缬覉D所示,交換機(jī)劃分了三個(gè)VLAN,VLANID分別為10,20,30。交換機(jī)外聯(lián)口配置為Trunk口,各Vlan間的互訪通過路由器實(shí)現(xiàn)。需求:部署全網(wǎng)行為管理設(shè)備替換出口路由器實(shí)現(xiàn)內(nèi)網(wǎng)行為的審計(jì)和控制。Trunk環(huán)境需求背景Trunk環(huán)境路由部署IP:,vid:10

,vid:20

,vid:30Trunk

二層交換機(jī)(可劃分VLAN)IP:0/24GW:/24vid:10IP:0/24GW:/24vid:30IP:0/24GW:/24vid:201、AC路由模式部署直接替代原有的路由器(或FW),并按照路由模式部署配置好設(shè)備。2、配置LAN口IP,填寫內(nèi)網(wǎng)對(duì)應(yīng)VLAN的VLAN網(wǎng)關(guān)IP即可。Trunk環(huán)境路由配置Trunk環(huán)境網(wǎng)橋部署IP:,vid:10

,vid:20

,vid:30可劃分VLAN的交換機(jī)IP:0/24GW:/24vid:10IP:0/24GW:/24vid:30IP:0/24GW:/24vid:201、網(wǎng)橋模式部署在路由器與交換機(jī)之間,按網(wǎng)橋模式部署配置好設(shè)備2、可以給設(shè)備網(wǎng)橋配置其中一個(gè)VLAN中的可用IP來進(jìn)行管理和更新規(guī)則庫3、或者給設(shè)備管理口配置其中一個(gè)VLAN中的可用IP(此時(shí)不用加vid)來進(jìn)行管理和更新規(guī)則庫Trunk環(huán)境網(wǎng)橋部署配置接入認(rèn)證基礎(chǔ)認(rèn)證背景無認(rèn)證技術(shù)IP/MAC認(rèn)證目錄要求實(shí)現(xiàn):IT部電腦IP不固定,認(rèn)證不受限制辦公區(qū)用戶不能修改IP地址上網(wǎng)公共上網(wǎng)區(qū)則需要輸入賬號(hào)和密碼才能上網(wǎng),確保網(wǎng)絡(luò)行為能跟蹤到。案例背景/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)認(rèn)證框架認(rèn)證方式portal認(rèn)證密碼認(rèn)證802.1x認(rèn)證不允許認(rèn)證(禁止上網(wǎng))本地密碼認(rèn)證第三方服務(wù)器密碼認(rèn)證短信認(rèn)證二維碼認(rèn)證Dkey認(rèn)證OA認(rèn)證單點(diǎn)登錄不需要認(rèn)證需求一:IT部電腦IP不固定,認(rèn)證不受限制需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、計(jì)算機(jī)名、源MAC地址來標(biāo)識(shí)用戶。優(yōu)點(diǎn):終端用戶上網(wǎng)認(rèn)證的過程是透明的,不會(huì)感知設(shè)備的存在。一般適用于對(duì)認(rèn)證要求不嚴(yán)格的場(chǎng)景數(shù)據(jù)包特征信息認(rèn)證背景無認(rèn)證技術(shù)IP/MAC認(rèn)證目錄首先為辦公區(qū)的用戶建一個(gè)用戶組,在【接入管理】-【用戶管理】-【本地組/用戶】中,點(diǎn)新增,選擇【組】,定義組名:IT部新增【認(rèn)證策略】,選擇認(rèn)證方式為不需要認(rèn)證,不綁定任何地址【認(rèn)證后處理】-【非本地/域用戶使用該組上線】:IT部無認(rèn)證配置思路/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)IT部員工通過設(shè)備上網(wǎng)時(shí),【在線用戶管理】可以看到用戶已在上線不需要認(rèn)證效果展示認(rèn)證背景無認(rèn)證技術(shù)IP/MAC認(rèn)證目錄需求二:辦公區(qū)用戶不允許私自修改IP地址,否則禁止上網(wǎng)需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)問題一:數(shù)據(jù)包經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)后,數(shù)據(jù)包的源MAC地址會(huì)不會(huì)變化?問題二:數(shù)據(jù)包經(jīng)過三層交換機(jī)轉(zhuǎn)發(fā)后,數(shù)據(jù)包的源MAC地址會(huì)不會(huì)變化?問題三:我們?nèi)绾文塬@取到終端的真實(shí)IP/MAC表項(xiàng)呢?需求背景分析SNMP是基于TCP/IP協(xié)議族的網(wǎng)絡(luò)管理標(biāo)準(zhǔn),是一種在IP網(wǎng)絡(luò)中管理網(wǎng)絡(luò)節(jié)點(diǎn)(如服務(wù)器、工作站、路由器、交換機(jī)等)的標(biāo)準(zhǔn)協(xié)議。SNMP協(xié)議概述管理信息庫MIB:任何一個(gè)被管理的資源都表示成一個(gè)對(duì)象,稱為被管理的對(duì)象。每個(gè)OID(ObjectIDentification)都對(duì)應(yīng)一個(gè)唯一的對(duì)象MIB庫OID值SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元,用來在管理進(jìn)程和代理之間的交換。get-request操作:從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值。get-next-request操作:從代理進(jìn)程處提取緊跟當(dāng)前參數(shù)值的下一個(gè)參數(shù)值。set-request操作:設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值。get-response操作:返回的一個(gè)或多個(gè)參數(shù)值。trap操作:代理進(jìn)程主動(dòng)發(fā)出的報(bào)文,通知管理進(jìn)程有某些事情發(fā)生。SNMP協(xié)議數(shù)據(jù)單元get-requestget-next-requestget-responseget-responseset-requestget-responsetrapSNMP管理程序SNMP代理程序UDP端口161UDP端口162UDP端口161UDP端口161通過Wirehsark捕獲SNMP交互過程SNMP協(xié)議數(shù)據(jù)包工作原理防火墻172.16.1.1/24IP1

MAC1IP2

MAC2IP3

MAC3172.16.1.3/24①③②④思考:多個(gè)三層交換機(jī)的情況下如何獲???工作原理防火墻/24/24/24/24/241、首先為辦公區(qū)的用戶建一個(gè)用戶組,在【接入管理】-【用戶管理】-【本地組/用戶】中,點(diǎn)新增,選擇【組】,定義組名:辦公區(qū)2、新增【認(rèn)證策略】,選擇認(rèn)證方式為:不需要認(rèn)證3、【認(rèn)證后處理】-【非本地/域用戶使用該組上線】選擇:辦公區(qū)4、勾選【自動(dòng)錄入綁定關(guān)系】-【自動(dòng)錄入IP和MAC的綁定關(guān)系】三層網(wǎng)絡(luò)環(huán)境下特別注意,需要開啟以下功能:5、配置【認(rèn)證高級(jí)選項(xiàng)】-【跨三層取MAC】(注意:要在三層設(shè)備上設(shè)置允許AC訪問其SNMP服務(wù)器)配置思路

【系統(tǒng)管理】—【在線用戶管理】可以看到用戶認(rèn)證上線的身份?!居脩艄芾怼俊綢P/MAC綁定】可以查看到IP和MAC綁定成功。配置思路如果設(shè)備無法獲取到交換機(jī)的ARP表,應(yīng)該如何排查?1、檢查設(shè)備與交換機(jī)是否通訊正常2、檢查交換機(jī)的配置(是否允許AC訪問其SNMP服務(wù)器)、ACL和團(tuán)體名3、檢查中間設(shè)備是否有攔截UDP161端口4、在電腦上通過BPSNMPUtil工具連接交換機(jī),測(cè)試是否可以讀取ARP表5、AC只支持SNMPV1V2V2C版本協(xié)議思考總結(jié)如果以設(shè)備網(wǎng)橋模式部署在30位掩碼的網(wǎng)絡(luò)環(huán)境中如何獲取交換機(jī)的ARP表?防火墻和交換機(jī)啟30位掩碼的地址,我們的AC網(wǎng)橋?qū)⒉豢捎?,需要和交換機(jī)通過snmp取mac需要用管理口為什么此時(shí)網(wǎng)橋不能用?30位掩碼下的整個(gè)網(wǎng)絡(luò)環(huán)境,只有兩個(gè)可用IPAC是網(wǎng)橋模式部署,所以AC上下的設(shè)備都得分配IP,此時(shí)AC分配不到IP,處于無IP網(wǎng)橋模式,因此要用管理口來另接交換機(jī)(此時(shí)交換機(jī)上也要進(jìn)行配置網(wǎng)口與AC的管理口對(duì)接)思考總結(jié)IP/MAC綁定失敗?1、查看是否在【跨三層取MAC】中沒有排除三層設(shè)備的MAC地址;2、在【IP/MAC綁定】中,查看PC的IP或MAC是否已經(jīng)綁定了其他MAC或者IP(同時(shí)查看三層設(shè)備的MAC是否被PC綁定了)思考總結(jié)跨三層識(shí)別方法二抓取arp包或dhcp包獲取MAC通過鏡像交換機(jī)arp或dhcp數(shù)據(jù)到設(shè)備空閑口(作為鏡像口)獲取用戶mac地址。實(shí)現(xiàn)方法一:在核心交換機(jī)上增加一個(gè)trunk口,允許所有vlan,把這個(gè)trunk口連到AC空閑網(wǎng)口上。這樣可以把所有廣播包復(fù)制到AC上,包括ARP包和DHCP的包。實(shí)現(xiàn)方法二:鏡像DHCP服務(wù)器接口進(jìn)出流量擴(kuò)展延伸應(yīng)用特征識(shí)別技術(shù)應(yīng)用識(shí)別需求與背景應(yīng)用識(shí)別技術(shù)應(yīng)用識(shí)別配置教學(xué)目標(biāo)需求背景(一):全天不允許使用QQ等聊天工具需求背景(二):全天只允許特定QQ賬號(hào)上網(wǎng),不允許其他QQ賬號(hào)上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24傳統(tǒng)行為檢測(cè)原理:傳統(tǒng)的網(wǎng)絡(luò)設(shè)備根據(jù)數(shù)據(jù)包的五元組(源IP,目的IP,源端口,目的端口,協(xié)議)這些特征等來識(shí)別應(yīng)用并進(jìn)行丟棄、轉(zhuǎn)發(fā)、接收、處理等行為。通過識(shí)別協(xié)議為UDP,端口為8000,從而識(shí)別出是QQ聊天的應(yīng)用,將該類數(shù)據(jù)包全部丟棄,實(shí)現(xiàn)需求一功能需求背景1、

新增【上網(wǎng)策略】-【上網(wǎng)權(quán)限策略】-【策略設(shè)置】-【應(yīng)用控制】在應(yīng)用里面勾選IM,生效時(shí)間全天,移動(dòng)終端設(shè)備里面勾選通訊聊天,動(dòng)作拒絕,在【適用對(duì)象】選擇辦公區(qū),即對(duì)辦工區(qū)的所有用戶關(guān)聯(lián)上這條控制策略。2、新增【上網(wǎng)策略】-【上網(wǎng)審計(jì)策略】-【應(yīng)用審計(jì)】添加,勾選所有選項(xiàng),在【適用對(duì)象】選擇辦公區(qū),即對(duì)辦工區(qū)的所有用戶關(guān)聯(lián)上這條識(shí)別策略。配置思路辦公區(qū)員工通過設(shè)備上網(wǎng)時(shí),登錄QQ已經(jīng)不能在登錄了,登錄又如下提示,在我們的上網(wǎng)行為監(jiān)控里面可以記錄QQ已經(jīng)被拒絕,并審計(jì)了一些辦公區(qū)用戶的訪問應(yīng)用的行為。效果展示應(yīng)用識(shí)別需求與背景應(yīng)用識(shí)別技術(shù)應(yīng)用識(shí)別配置教學(xué)目標(biāo)需求背景(一):全天不允許使用QQ等聊天工具需求背景(二):全天只允許特定QQ賬號(hào)上網(wǎng),不允許其他QQ賬號(hào)上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24從數(shù)據(jù)包中發(fā)現(xiàn),QQ用戶的字段在應(yīng)用層OICQ協(xié)議的Data字段。該需求需要識(shí)別特定的QQ用戶,而傳統(tǒng)的行為檢測(cè)只能對(duì)鏈路層、網(wǎng)絡(luò)層、傳輸層進(jìn)行數(shù)據(jù)處理,不能對(duì)應(yīng)用層進(jìn)行操作。應(yīng)用特征識(shí)別技術(shù)傳統(tǒng)行為檢測(cè)VS深度行為檢測(cè)應(yīng)用特征識(shí)別技術(shù)鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容傳統(tǒng)行為檢測(cè)范圍深度行為檢測(cè)范圍深度行為檢測(cè)技術(shù)產(chǎn)生背景:傳統(tǒng)技術(shù)無法識(shí)別精細(xì)的數(shù)據(jù)包應(yīng)用和行為,無法識(shí)別經(jīng)過偽裝的數(shù)據(jù)包,無法滿足現(xiàn)在的安全需求和可視需求。應(yīng)用特征識(shí)別技術(shù)深度行為檢測(cè)技術(shù)深度包檢測(cè)技術(shù)(DPI)深度流檢測(cè)技術(shù)(DFI)(1)可視化全網(wǎng)(2)流量精細(xì)化管理(3)減少或延遲帶寬投入,降低網(wǎng)絡(luò)運(yùn)營(yíng)成本(4)及時(shí)發(fā)現(xiàn)和抑制異常流量(5)透視全網(wǎng)服務(wù)質(zhì)量,保障關(guān)鍵業(yè)務(wù)質(zhì)量(6)豐富的QoS提供能力優(yōu)點(diǎn):深度包檢測(cè)技術(shù)(DPI)深度包檢測(cè)不僅檢測(cè)源地址、目的地址、源端口、目的端口以及協(xié)議類型,還增加了應(yīng)用層分析,另外識(shí)別各種應(yīng)用及其內(nèi)容。應(yīng)用特征識(shí)別技術(shù)基于“特征字”的檢測(cè)技術(shù)基于應(yīng)用網(wǎng)關(guān)的檢測(cè)技術(shù)基于行為模式的檢測(cè)技術(shù)深度包檢測(cè)技術(shù)分類1、基于“特征字”的檢測(cè)技術(shù)(DPI)客戶需求:在客戶局域網(wǎng)中只允許電腦上網(wǎng),不允許手機(jī)上網(wǎng)。需求分析:該需求需要能夠識(shí)別哪些上網(wǎng)數(shù)據(jù)是手機(jī)端發(fā)出的,哪些是PC端發(fā)出的。通過數(shù)據(jù)包分析,發(fā)現(xiàn)手機(jī)和電腦在同時(shí)上網(wǎng)的時(shí)候(同時(shí)使用HTTP協(xié)議)會(huì)在HTTP協(xié)議的User-Agent字段區(qū)分出手機(jī)數(shù)據(jù)和PC數(shù)據(jù)。應(yīng)用特征識(shí)別技術(shù)基于“特征字”的檢測(cè)技術(shù)(DPI)不同的應(yīng)用通常依賴于不同的協(xié)議,而不同的協(xié)議都有其特殊的特征,這些特征可能是特定的端口、特定的字符串或者特定的Bit序列?;凇疤卣髯帧钡淖R(shí)別技術(shù)通過對(duì)業(yè)務(wù)流中特定數(shù)據(jù)報(bào)文中的特征信息的檢測(cè)以確定業(yè)務(wù)流承載的應(yīng)用和內(nèi)容。通過對(duì)應(yīng)用特征信息的升級(jí)(例如http數(shù)據(jù)包中的User-Agent的位置),基于特征的識(shí)別技術(shù)可以很方便的進(jìn)行功能擴(kuò)展,實(shí)現(xiàn)對(duì)新協(xié)議的檢測(cè)。應(yīng)用特征識(shí)別技術(shù)1.固定位置特征字匹配3.多連接聯(lián)合匹配以及狀態(tài)特征匹配2.變動(dòng)位置的特征匹配基于“特征字”的檢測(cè)技術(shù)分類2.基于應(yīng)用層網(wǎng)關(guān)的檢測(cè)技術(shù)(ALG)某些應(yīng)用的控制流和數(shù)據(jù)流是分離的,數(shù)據(jù)流沒有任何特征。這種情況下,我們就需要采用應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識(shí)別出控制流,根據(jù)對(duì)應(yīng)的協(xié)議,對(duì)控制流進(jìn)行解析,從協(xié)議內(nèi)容中識(shí)別出相應(yīng)的業(yè)務(wù)流。客戶需求:禁用VoIP視頻。需求分析:VoIP視頻協(xié)議是先使用控制信令來協(xié)商數(shù)據(jù)的傳輸,之后進(jìn)行數(shù)據(jù)流的傳輸。VoIP視頻數(shù)據(jù)交換過程抓包如下:應(yīng)用特征識(shí)別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測(cè)技術(shù)--VoIP視頻協(xié)議數(shù)據(jù)流VoIP視頻協(xié)議的數(shù)據(jù)流可以看到是基于UDP的,跟蹤數(shù)據(jù)流,發(fā)現(xiàn)該數(shù)據(jù)沒有任何特征,但是VoIP在進(jìn)行數(shù)據(jù)傳輸前是有控制信令來協(xié)商數(shù)據(jù)的傳輸。應(yīng)用特征識(shí)別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測(cè)技術(shù)--VoIP協(xié)議的控制信令1應(yīng)用特征識(shí)別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測(cè)技術(shù)--VoIP協(xié)議的控制信令2應(yīng)用特征識(shí)別技術(shù)3.基于行為模式的檢測(cè)技術(shù)基于對(duì)終端已經(jīng)實(shí)施的行為的分析,判斷出用戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作行為模式識(shí)別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識(shí)別。例子:垃圾郵件行為模式識(shí)別SPAM(垃圾郵件)業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的,只有通過對(duì)用戶行為的分析,才能夠準(zhǔn)確的識(shí)別出SPAM業(yè)務(wù)。應(yīng)用特征識(shí)別技術(shù)郵件服務(wù)器一個(gè)小時(shí)發(fā)一封郵件一個(gè)小時(shí)發(fā)一萬封郵件深度流檢測(cè)技術(shù)(DFI)DFI采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù),即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)等各有不同?;诹鞯男袨樘卣鳎ㄟ^與已建立的應(yīng)用數(shù)據(jù)流的數(shù)據(jù)模型對(duì)比,判斷流的應(yīng)用類型或業(yè)務(wù)。DFI技術(shù)正是基于這一系列流量的行為特征,建立流量特征模型,通過分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對(duì)比,從而實(shí)現(xiàn)鑒別應(yīng)用類型。應(yīng)用特征識(shí)別技術(shù)RTP流P2P流平均包長(zhǎng)一般在130~220byte一般在450bytes之上下載時(shí)長(zhǎng)較短較長(zhǎng)連接速率較低(一般是20~84kbit/s)較高會(huì)話保持時(shí)間較長(zhǎng)較短深度包檢測(cè)(DPI)VS深度流檢測(cè)(DFI)DFI僅對(duì)流量行為分析,因此只能對(duì)應(yīng)用類型進(jìn)行籠統(tǒng)分類,如對(duì)滿足P2P流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量,對(duì)符合網(wǎng)絡(luò)語音流量模型的類型統(tǒng)一歸類為VOIP流量,但是無法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過加密傳輸?shù)?,則采用DPI方式的流控技術(shù)則不能識(shí)別其具體應(yīng)用,而DFI方式的流控技術(shù)則不受影響,因?yàn)閼?yīng)用流的狀態(tài)行為特征不會(huì)因加密而根本改變。應(yīng)用特征識(shí)別技術(shù)應(yīng)用識(shí)別需求與背景應(yīng)用識(shí)別技術(shù)應(yīng)用識(shí)別配置教學(xué)目標(biāo)1、新增【行為管理】-【訪問權(quán)限策略】-【QQ號(hào)白名單】,將允許的QQ用戶加入QQ白名單,在【適用對(duì)象】選擇辦公區(qū),即對(duì)辦工區(qū)的所有用戶關(guān)聯(lián)上這條控制策略。2、登錄在白名單內(nèi)的QQ號(hào),可以正常登錄;登錄在白名單之外的QQ號(hào),登錄失敗。配置思路辦公區(qū)員工通過設(shè)備上網(wǎng)時(shí),一般用戶登錄QQ已經(jīng)不能在登錄(左圖),登錄有如下提示,QQ登錄被拒絕。但是白名單用戶可以正常登錄(右圖)效果展示行為審計(jì)概述行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄網(wǎng)絡(luò)安全法要求制定內(nèi)部安全管理制度和操作規(guī)程,落實(shí)安全保護(hù)責(zé)任明確責(zé)任人防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等采取防范保護(hù)措施法律、行政法規(guī)規(guī)定的其他義務(wù)其他法律義務(wù)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個(gè)月;s監(jiān)測(cè)、記錄并保留日志數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施數(shù)據(jù)分類、備份和加密行為審計(jì)架構(gòu)客戶端審計(jì)互聯(lián)網(wǎng)審計(jì)訪問網(wǎng)站、web郵件、論壇貼吧微博發(fā)帖、web網(wǎng)盤等行為查詢。應(yīng)用、流量、時(shí)長(zhǎng)等數(shù)據(jù)統(tǒng)計(jì)。審計(jì)架構(gòu)業(yè)務(wù)審計(jì)IM客戶端、郵件客戶端、TeamViewer、向日葵遠(yuǎn)程工具、XShell、Pshell等運(yùn)維工具、網(wǎng)盤客戶端、U盤等附件外發(fā)審計(jì)。WEB、FTP、SMB業(yè)務(wù)系統(tǒng)的行為和流量審計(jì)。行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄結(jié)合前面的應(yīng)用識(shí)別技術(shù)行為審計(jì)技術(shù)應(yīng)用審計(jì)行為審計(jì)技術(shù)組成需要結(jié)構(gòu)url應(yīng)用行為未知應(yīng)用行為分發(fā)到不同審計(jì)模塊日志記錄行為審計(jì)模塊進(jìn)入零拷貝緩沖區(qū)例:例:QQ/王者榮耀下載文件名例:史記.txt………………

審計(jì)到的數(shù)據(jù)怎么存儲(chǔ)?行為審計(jì)技術(shù)組成需要結(jié)構(gòu)分發(fā)到不同審計(jì)模塊提取必要信息行為審計(jì)模塊進(jìn)入零拷貝緩沖區(qū)

發(fā)送日志日志中心:按不同日志類型存儲(chǔ)日志數(shù)據(jù)行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄在之前的課程中有介紹過“上網(wǎng)行為監(jiān)控”這個(gè)模塊,可以實(shí)時(shí)的看到一些“拒絕”或者“被記錄”的上網(wǎng)動(dòng)作,但是實(shí)時(shí)的日志是會(huì)被刷掉的,那么如果想查以前的日志怎么辦?這個(gè)時(shí)候就需要登錄到日志中心去查看歷史日志了日志記錄方式此處跳轉(zhuǎn)到內(nèi)置日志中心此處跳轉(zhuǎn)到外置日志中心【如果有配置外置DC】日志查詢模塊,提供給管理員進(jìn)行日志查詢的功能,包含所有行為查詢、訪問網(wǎng)站查詢、即時(shí)聊天日志查詢、郵件、發(fā)帖、發(fā)微博等日志查詢,能夠追查到各種違反組織規(guī)定的行為。日志查詢?nèi)罩練w類,簡(jiǎn)潔清晰高級(jí)過濾選項(xiàng)這個(gè)模塊可以查詢到所有的行為日志,但是不會(huì)顯示行為內(nèi)容可以根據(jù)時(shí)間、用戶、組、應(yīng)用來查詢?nèi)罩鞠聢D是查詢所有行為日志截圖:日志查詢主要滿足客戶的流量分析、時(shí)長(zhǎng)分析、用戶行為分析、合規(guī)性分析等需求。例如:統(tǒng)計(jì)應(yīng)用流量排行統(tǒng)計(jì)分析可以快速的自動(dòng)生成精美的圖標(biāo)呈現(xiàn)出來,并且可以自由切換不同風(fēng)格的表格。統(tǒng)計(jì)分析客戶可訂閱指定的報(bào)表內(nèi)容,將訂閱的內(nèi)容上報(bào)到指定的郵箱進(jìn)行審閱;滿足客戶流量時(shí)長(zhǎng)分析、用戶行為分析、合規(guī)性分析等需求。報(bào)表中心報(bào)表中心行為審計(jì)需求背景行為審計(jì)技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計(jì)技術(shù)目錄如何審計(jì)論壇微博發(fā)帖、WEB郵箱發(fā)送郵件、網(wǎng)頁網(wǎng)盤上傳附件等通過http/https協(xié)議外發(fā)的內(nèi)容?需求背景全網(wǎng)行為管理可以審計(jì)WEB郵箱、論壇、微博、網(wǎng)盤、筆記、網(wǎng)頁版IM、HTTP外發(fā)與下載、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)命令、URL等劃分了13個(gè)大類,每個(gè)大類細(xì)分了多種具體應(yīng)用,可選針對(duì)內(nèi)容或者附件進(jìn)行審計(jì)可根據(jù)文件類型進(jìn)行審計(jì),避免審計(jì)的附件占用太大的空間。互聯(lián)網(wǎng)審計(jì)互聯(lián)網(wǎng)審計(jì)通過對(duì)流量的抓取和識(shí)別分析,從網(wǎng)絡(luò)流量中提取出host、username、subject等關(guān)鍵字段內(nèi)容,作為審計(jì)結(jié)果存放到日志中心。以新浪郵箱為例:首先用新浪郵箱發(fā)送封郵件,同時(shí)抓包,下圖是發(fā)送的郵件內(nèi)容:互聯(lián)網(wǎng)審計(jì)原理新浪發(fā)郵件數(shù)據(jù)包內(nèi)容互聯(lián)網(wǎng)審計(jì)原理然后在抓取163郵箱發(fā)郵件的數(shù)據(jù)包互聯(lián)網(wǎng)審計(jì)原理兩份數(shù)據(jù)包有什么異同?1、數(shù)據(jù)包的內(nèi)容格式完全不一樣,參數(shù)也不一樣。2、相同之處就是這兩個(gè)郵箱都是以明文方式發(fā)送的思考:密文的外發(fā)郵箱能審計(jì)嗎?外發(fā)郵件審計(jì)原理流量管理應(yīng)用場(chǎng)景

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景:客戶10M上網(wǎng)線路,內(nèi)網(wǎng)有200人,網(wǎng)絡(luò)管理員反映內(nèi)網(wǎng)上網(wǎng)較慢,AC設(shè)備以路由模式部署在公網(wǎng)出口,從AC設(shè)備應(yīng)用流量排名觀察,p2p下載,在線流媒體等占用帶寬很大??蛻舨幌敕舛氯魏稳说娜魏螒?yīng)用,希望全天能優(yōu)先保證上網(wǎng)及郵件收發(fā)等關(guān)鍵應(yīng)用的流量,如果沒有這些關(guān)鍵應(yīng)用,p2p下載,在線流媒體等應(yīng)用可以盡量使用線路帶寬,避免帶寬浪費(fèi)。P2P流量控制案例由背景分析客戶上網(wǎng)慢是由于高帶寬軟件(P2P,迅雷,在線視頻)吞噬了帶寬導(dǎo)致,但客戶不希望封堵這些應(yīng)用。所以我們可以使用流控功能把不合理的應(yīng)用帶寬控制在一個(gè)合理的范圍,把關(guān)鍵應(yīng)用優(yōu)先保證下帶寬,當(dāng)沒有關(guān)鍵應(yīng)用時(shí),高帶寬軟件可以突破限制,從而實(shí)現(xiàn)智能動(dòng)態(tài)調(diào)整帶寬。需求分析流量管理前的數(shù)據(jù)流流量管理后的數(shù)據(jù)流配置建議:根據(jù)客戶的情況,我們需要建立兩種通道,保證通道和限制通道。1、保證通道針對(duì)所有員工,訪問網(wǎng)站,郵件,DNS,IM,辦工OA,微博論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%,最高100%2、限制通道針對(duì)所有員工對(duì)P2P,P2P流媒體,文件下載,MEDIA進(jìn)行帶寬限制,控制為總帶寬的20%,且同時(shí)勾選“抑制P2P下行丟包”和“當(dāng)線路空閑時(shí),允許突破限制”配置思路配置思路配置步驟一:設(shè)置公網(wǎng)線路的實(shí)際帶寬.點(diǎn)擊線路1進(jìn)入配置框互聯(lián)網(wǎng)傳輸?shù)膯挝皇莃ps,10Mbps=1280KB/S配置思路配置步驟二:新增流量管理通道(保證關(guān)鍵應(yīng)用)建立保證通道,所有員工保證關(guān)鍵應(yīng)用訪問網(wǎng)站,郵件,DNS,IM,辦工OA,微薄論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%,最高100%配置思路配置步驟三:新增流量管理通道(限制P2P)建立限制通道,所有員工對(duì)P2P,P2P流媒體,文件下載,MEDIA進(jìn)行帶寬限制,控制為總帶寬的20%啟用“抑制p2p下行丟包”能夠更好控制udp應(yīng)用流量,限制通道且udp應(yīng)用較多時(shí)建議啟用。啟用“當(dāng)線路空閑時(shí),允許突然限制”,當(dāng)網(wǎng)絡(luò)中沒有保證帶寬業(yè)務(wù)時(shí),限制通道的應(yīng)用可以突破帶寬限制,避免帶寬浪費(fèi)客戶背景:客戶網(wǎng)絡(luò)出口有兩條外網(wǎng)線路,100M電信和20M聯(lián)通,客戶要求電信線路分配30%的帶寬給技術(shù)部門,并要求技術(shù)部門每個(gè)用戶P2P和P2P流媒體應(yīng)用不超過100Kbps。這種情況應(yīng)該怎么去實(shí)現(xiàn)?P2P流量控制案例-擴(kuò)展流量子通道概念流量子通道:將流量管理通道分級(jí),使流量控制更加細(xì)化,更靈活。流量管理策略流量管理一級(jí)通道流量管理子通道

流量子通道應(yīng)用于對(duì)流量管理有細(xì)化需求的場(chǎng)景。比如一個(gè)公司有多個(gè)部門,給每個(gè)部門分配固定的帶寬,然后在這個(gè)帶寬范圍內(nèi)設(shè)置不同的流量管理策略。設(shè)置虛擬線路和線路帶寬,電信線路100M,網(wǎng)通線路20M新增一級(jí)通道,設(shè)定技術(shù)部門所有應(yīng)用帶寬不超過電信線路的30%新增子通道,設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用,單用戶上下行限制100Kbps需求分析新增子通道,設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用,單用戶上下行限制100Kbps配置思路

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄

客戶需求對(duì)所有下載進(jìn)行流控,包括http文件下載(即瀏覽器目標(biāo)另存為)的方式下載,但又不能影響打開網(wǎng)頁速度。需求背景下載網(wǎng)關(guān)升級(jí)客戶端,右鍵點(diǎn)擊下載然后復(fù)制下載鏈接,得到URL:/download/product/tools/SANGFOR_Updater6.0.zipHTTP下載流量控制技術(shù)數(shù)據(jù)包格式如下,可以看到下載文件的數(shù)據(jù)包和正常打開網(wǎng)站的數(shù)據(jù)包格式一模一樣!那么問題來了,如何才能只限制下載的速度,而不限制打開網(wǎng)站的速度呢?HTTP下載流量控制技術(shù)這種需求下,對(duì)于HTTP文件下載流控需要通過文件類型流控,如下圖:配置方法流量管理效果驗(yàn)證方法:1、流控生效后,可以在客戶端電腦驗(yàn)證流控效果2、可以從設(shè)備流量管理狀態(tài)查看流控效果。效果展示

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄實(shí)際使用環(huán)境,支持流量可視化功能流量可視化日常運(yùn)維場(chǎng)景:在啟用流量管理功能后,幫助管理員檢視“啟用流控后”的流量使用情況在,評(píng)估流控通道的配置是否合理,并對(duì)通道配置進(jìn)行調(diào)整,更好的分配流量。(條件限制沒有中文版效果圖)流量可視化

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景:客戶做了用戶限額策略,針對(duì)員工每天每月的流量、時(shí)長(zhǎng)、流速等都是有限的,超限后直接封堵用戶的上網(wǎng)行為會(huì)影響員工的正常辦公,現(xiàn)想實(shí)現(xiàn)超限后給予低速通道上網(wǎng),滿足基本上網(wǎng)需求。流量配額案例1、首先在流控管理新增一條懲罰通道,把通道限制一個(gè)范圍2、在用戶限額策略中,設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”,選擇第一步設(shè)置的懲罰通道。配置思路1、首先在流控管理新增一條懲罰通道,把通道限制一個(gè)范圍2、在用戶限額策略中,設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”,選擇第一步設(shè)置的懲罰通道。配置思路注意:1、懲罰通道只能是限制通道,且此通道不可再建子通道2、懲罰通道要按應(yīng)用來匹配,即一個(gè)用戶流量可以跑到多個(gè)懲罰通道(最多20),沒匹配上懲罰通道的流量繼續(xù)走原有的通道配置流程3、懲罰通道的生效時(shí)間、目的IP組、線路號(hào)也要有效注意事項(xiàng)下一代防火墻概述了解防火墻的定義及其發(fā)展歷程了解防火墻的發(fā)展歷程教學(xué)目標(biāo)防火墻的定義防火墻發(fā)展歷程目錄防火墻的定義什么是防火墻?墻,始于防,忠于守。從古至今,墻予人以安全之意。防火墻的定義防火墻分類按物理特性劃分按性能劃分按防火墻結(jié)構(gòu)劃分按防火墻技術(shù)劃分防火墻分類軟件防火墻硬件防火墻百兆級(jí)防火墻千兆級(jí)防火墻······單一主機(jī)防火墻路由集成防火墻分布式防火墻······包過濾防火墻應(yīng)用代理防火墻狀態(tài)監(jiān)測(cè)防火墻······防火墻的定義防火墻的功能1.訪問控制2.地址轉(zhuǎn)換3.網(wǎng)絡(luò)環(huán)境支持4.帶寬管理功能7.高可用性6.用戶認(rèn)證5.入侵檢測(cè)和攻擊防御防火墻的定義防火墻安全策略定義安全策略是按一定規(guī)則,控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略。規(guī)則的本質(zhì)是包過濾。主要應(yīng)用對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制對(duì)設(shè)備本身的訪問進(jìn)行控制防火墻的定義防火墻安全策略作用根據(jù)定義的規(guī)則對(duì)經(jīng)過防火墻的流量進(jìn)行過濾篩選,再進(jìn)行下一步操作。防火墻安全策略的原理入數(shù)據(jù)流出數(shù)據(jù)流

BBAABBBAAAA

AAAAAAPolicy0:允許APolicy1:拒絕B防火墻安全策略步驟1:入數(shù)據(jù)流經(jīng)過防火墻步驟2:查找防火墻安全策略判斷是否允許下一步操作步驟3:防火墻根據(jù)定義的安全策略對(duì)數(shù)據(jù)包進(jìn)行處理默認(rèn)策略操作防火墻的定義安全策略分類域間安全策略域內(nèi)安全策略接口包過濾Trust區(qū)域Untrust區(qū)域G0/0/0G0/0/1OutbountInbountTrust區(qū)域G0/0/0InbountOutbount防火墻的定義防火墻發(fā)展歷程目錄防火墻發(fā)展歷程防火墻發(fā)展進(jìn)程防火墻發(fā)展歷程傳統(tǒng)防火墻(包過濾防火墻)——一個(gè)嚴(yán)格的規(guī)則表判斷信息數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口(五元組)工作范圍網(wǎng)絡(luò)層、傳輸層(3-4層)和路由器的區(qū)別普通的路由器只檢查數(shù)據(jù)包的目標(biāo)地址,并選擇一個(gè)達(dá)到目的地址的最佳路徑。防火墻除了要決定目的路徑以外還需要根據(jù)已經(jīng)設(shè)定的規(guī)則進(jìn)行判斷“是與否”。技術(shù)應(yīng)用包過濾技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻(包過濾防火墻)——一個(gè)嚴(yán)格的規(guī)則表優(yōu)勢(shì)對(duì)于小型站點(diǎn)容易實(shí)現(xiàn),處理速度快,價(jià)格便宜劣勢(shì)規(guī)則表很快會(huì)變得龐大復(fù)雜難運(yùn)維,只能基于五元組包過濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)匹配規(guī)則:①有允許規(guī)則:是;②有拒絕規(guī)則:否;③無相關(guān)規(guī)則:否;防火墻發(fā)展歷程傳統(tǒng)防火墻(應(yīng)用代理防火墻)——每個(gè)應(yīng)用添加代理判斷信息所有應(yīng)用層的信息包工作范圍應(yīng)用層(7層)和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層,通過檢驗(yàn)報(bào)頭進(jìn)行規(guī)則表匹配。應(yīng)用代理防火墻工作7層,檢查所有的應(yīng)用層信息包,每個(gè)應(yīng)用需要添加對(duì)應(yīng)的代理服務(wù)。技術(shù)應(yīng)用應(yīng)用代理技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻(應(yīng)用代理防火墻)——每個(gè)應(yīng)用添加代理優(yōu)勢(shì)檢查了應(yīng)用層的數(shù)據(jù)劣勢(shì)檢測(cè)效率低,配置運(yùn)維難度極高,可伸縮性差代理一:客戶端到防火墻代理一:防火墻到服務(wù)器只檢查數(shù)據(jù)客戶端服務(wù)器防火墻發(fā)展歷程傳統(tǒng)防火墻(狀態(tài)檢測(cè)防火墻)——首次檢查建立會(huì)話表判斷信息IP地址、端口號(hào)、TCP標(biāo)記工作范圍數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層(2-4層)和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層,通過檢驗(yàn)報(bào)頭進(jìn)行規(guī)則表匹配。是包過濾防火墻的升級(jí)版,一次檢查建立會(huì)話表,后期直接按會(huì)話表放行。技術(shù)應(yīng)用狀態(tài)檢測(cè)技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻(狀態(tài)檢測(cè)防火墻)——首次檢查建立會(huì)話表優(yōu)勢(shì)主要檢查3-4層能夠保證效率,對(duì)TCP防御較好劣勢(shì)應(yīng)用層控制較弱,不檢查數(shù)據(jù)區(qū)包過濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程入侵檢測(cè)系統(tǒng)(IDS)——網(wǎng)絡(luò)攝像頭部署方式旁路部署,可多點(diǎn)部署工作范圍2-7層工作特點(diǎn)根據(jù)部署位置監(jiān)控到的流量進(jìn)行攻擊事件監(jiān)控,屬于一個(gè)事后呈現(xiàn)的系統(tǒng),相當(dāng)于網(wǎng)絡(luò)上的監(jiān)控?cái)z像頭目的傳統(tǒng)防火墻只能基于規(guī)則執(zhí)行“是”或“否”的策略,IDS主要是為了幫助管理員清晰的了解到網(wǎng)絡(luò)環(huán)境中發(fā)生了什么事情。防火墻發(fā)展歷程入侵檢測(cè)系統(tǒng)(IDS)——網(wǎng)絡(luò)攝像頭分析方式基于規(guī)則入侵檢測(cè)基于規(guī)則入侵檢測(cè)統(tǒng)計(jì)模型分析呈現(xiàn)防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)探測(cè)器分析器用戶接口防火墻發(fā)展歷程入侵防御系統(tǒng)(IPS)——抵御2-7層已知威脅部署方式串聯(lián)部署工作范圍2-7層工作特點(diǎn)根據(jù)已知的安全威脅生成對(duì)應(yīng)的過濾器(規(guī)則),對(duì)于識(shí)別為流量的阻斷,對(duì)于未識(shí)別的放通目的IDS只能對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè),但卻無法進(jìn)行防御,IPS主要是針對(duì)已知威脅進(jìn)行防御防火墻發(fā)展歷程入侵防御系統(tǒng)(IPS)——抵御2-7層已知威脅入侵防御系統(tǒng)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)(AV)——基于網(wǎng)絡(luò)側(cè)識(shí)別病毒文件判斷信息數(shù)據(jù)包工作范圍2-7層目的防止病毒文件通過外網(wǎng)絡(luò)進(jìn)入到內(nèi)網(wǎng)環(huán)境數(shù)據(jù)包文件還原防病毒網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)(AV)——基于網(wǎng)絡(luò)側(cè)識(shí)別病毒文件和防火墻的區(qū)別防火墻發(fā)展歷程Web應(yīng)用防火墻(WAF)——專門用來保護(hù)web應(yīng)用判斷信息http協(xié)議數(shù)據(jù)的request和response工作范圍應(yīng)用層(7層)目的防止基于應(yīng)用層的攻擊影響Web應(yīng)用系統(tǒng)防火墻發(fā)展歷程Web應(yīng)用防火墻(WAF)——專門用來保護(hù)web應(yīng)用主要技術(shù)原理代理服務(wù):會(huì)話雙向代理,用戶與服務(wù)器不產(chǎn)生直接鏈接,對(duì)于DDOS攻擊可以抑制特征識(shí)別:通過正則表達(dá)式的特征庫進(jìn)行特征識(shí)別算法識(shí)別:針對(duì)攻擊方式進(jìn)行模式化識(shí)別,如SQL注入、DDOS、XSS等Web應(yīng)用防火墻非信任網(wǎng)絡(luò)服務(wù)器防火墻發(fā)展歷程統(tǒng)一威脅管理(UTM)——多合一安全網(wǎng)關(guān)包含功能FW、IDS、IPS、AV工作范圍2-7層(但是不具備web應(yīng)用防護(hù)能力)目的將多種安全問題通過一臺(tái)設(shè)備解決優(yōu)點(diǎn)功能多合一有效降低了硬件成本、人力成本、時(shí)間成本缺點(diǎn)模塊串聯(lián)檢測(cè)效率低,性能消耗大防火墻發(fā)展歷程統(tǒng)一威脅管理(UTM)——多合一安全網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)UTM防火墻發(fā)展歷程下一代防火墻(NGFW)——升級(jí)版的UTM包含功能FW、IDS、IPS、AV、WAF工作范圍2-7層和UTM的區(qū)別與UTM相比增加的web應(yīng)用防護(hù)功能UTM是串行處理機(jī)制,NGFW是并行處理機(jī)制NGFW的性能更強(qiáng),管理更高效防火墻的定義防火墻發(fā)展歷程總結(jié)下一代防火墻組網(wǎng)方案了解下一代防火墻組網(wǎng)方案教學(xué)目標(biāo)下一代防火墻組網(wǎng)簡(jiǎn)介下一代防火墻組網(wǎng)方案策略路由解決方案目錄下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求背景客戶需求:現(xiàn)有的拓?fù)淙缦聢D,使用AF替換現(xiàn)有防火墻部署在出口,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶和服務(wù)器安全防護(hù)。內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求分析:部署前我們需要做哪些準(zhǔn)備工作?了解現(xiàn)有防火墻設(shè)備的內(nèi)外網(wǎng)接口配置內(nèi)網(wǎng)網(wǎng)段如何規(guī)劃,需要寫回程路由內(nèi)網(wǎng)服務(wù)器是否需要做端口映射是否需要做源地址轉(zhuǎn)換代理內(nèi)網(wǎng)電腦上網(wǎng)內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護(hù)策略滿足客戶需求現(xiàn)有拓?fù)涫欠裢暾乱淮阑饓M網(wǎng)方案路由模式組網(wǎng)配置思路配置接口地址,并定義接口對(duì)應(yīng)的區(qū)域:在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中,選擇接口,并配置接口類型、所屬區(qū)域、基本屬性、IP地址配置路由:在【網(wǎng)絡(luò)】-【路由】中,新增靜態(tài)路由,配置默認(rèn)路由和回程路由配置代理上網(wǎng):在【策略】-【地址轉(zhuǎn)換】中,新增源地址轉(zhuǎn)換配置端口映射:在【策略】-【地址轉(zhuǎn)換】中,新增服務(wù)器映射配置應(yīng)用控制策略,放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限:在【策略】-【訪問控制】-【應(yīng)用控制策略】中,新增應(yīng)用控制策略,放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限配置安全防護(hù)策略:如業(yè)務(wù)防護(hù)策略、用戶防護(hù)策略等下一代防火墻組網(wǎng)方案路由模式組網(wǎng)單臂路由模式單臂路由是指在路由器的一個(gè)接口上通過配置子接口(邏輯接口,并不存在真正物理接口)的方式,實(shí)現(xiàn)原來相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境,購買AF設(shè)備打算部署在公網(wǎng)出口,代理內(nèi)網(wǎng)用戶上網(wǎng),公網(wǎng)線路是光纖接入固定分配IP的,具體網(wǎng)絡(luò)拓?fù)淙鐖D所示54/24/24/24/24/29/29下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟1配置接口地址,并定義接口對(duì)應(yīng)的區(qū)域:在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中,分別選擇兩個(gè)接口作為內(nèi)外網(wǎng)口,并配置接口類型、所屬區(qū)域、基本屬性、IP地址。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟2配置路由:在【網(wǎng)絡(luò)】-【路由】中,新增靜態(tài)路由,配置默認(rèn)路由和回程路由。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟3配置代理上網(wǎng):在【策略】-【地址轉(zhuǎn)換】中,新增NAT,配置源地址轉(zhuǎn)換。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟4配置應(yīng)用控制策略,放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限:在【策略】-【訪問控制】-【應(yīng)用控制策略】中,新增應(yīng)用控制策略,放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)注意事項(xiàng)在路由模式部署時(shí),防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進(jìn)行路由尋址,相當(dāng)于路由器。其與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口均工作在三層,需要分別配置不同網(wǎng)段的IP地址路由模式部署支持更多的安全特性,如NAT、策略路由選擇,動(dòng)態(tài)路由協(xié)議(OSPF、BGP、RIP等)等需要修改原網(wǎng)絡(luò)拓?fù)?,?duì)現(xiàn)有環(huán)境改動(dòng)較大一般部署在需要進(jìn)行路由轉(zhuǎn)發(fā)的位置,如出口路由器或替換已有路由器、老防火墻等場(chǎng)景下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求背景客戶需求:現(xiàn)有的拓?fù)淙缦聢D,需要增加一臺(tái)AF設(shè)備做安全防護(hù),但不能改動(dòng)現(xiàn)有網(wǎng)絡(luò)環(huán)境內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求分析:部署前我們需要做哪些準(zhǔn)備工作??jī)?nèi)外網(wǎng)接口定義管理地址配置,是否需要帶外管理,還是通過VLANIP管理配置路由,一般缺省路由用作防火墻上網(wǎng),回程路由用作防火墻管理內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護(hù)策略滿足客戶需求下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置思路配置接口類型,并定義接口對(duì)應(yīng)的區(qū)域:在【網(wǎng)絡(luò)】-【接口】-【物理接口】中,選擇接口,并配置接口類型、所屬區(qū)域、基本屬性如所屬access或者trunk配置管理接口:在【網(wǎng)絡(luò)】-【接口】中,新增管理接口,或者配置vlan接口的邏輯接口做為管理接口,并分配管理地址配置路由:在【網(wǎng)絡(luò)】-【路由】中,新增缺省路由和回程路由配置應(yīng)用控制策略,對(duì)不同區(qū)域間的訪問權(quán)限進(jìn)行控制:在【策略】-【訪問控制】-【應(yīng)用控制策略】中,新增應(yīng)用控制策略,進(jìn)行訪問權(quán)限控制配置安全防護(hù)策略:如:業(yè)務(wù)防護(hù)策略、用戶防護(hù)策略等下一代防火墻組網(wǎng)方案透明模式組網(wǎng)虛擬網(wǎng)線部署:虛擬網(wǎng)線部署是透明部署中另外一種特殊情況,和正常透明部署有如下區(qū)別和透明部署一樣,接口也是二層接口,但是被定義成虛擬網(wǎng)線接口虛擬網(wǎng)絡(luò)接口必須成對(duì)存在,轉(zhuǎn)發(fā)數(shù)據(jù)時(shí),無需檢查MAC表,直接從虛擬網(wǎng)線配對(duì)的接口轉(zhuǎn)發(fā)虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口,一般的網(wǎng)橋環(huán)境下,推薦使用虛擬網(wǎng)線接口部署虛擬網(wǎng)線部署需要通過其他路由口進(jìn)行管理下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境,有路由器部署在公網(wǎng)出口,現(xiàn)購買AF設(shè)備,不能改動(dòng)原有環(huán)境,需做透明部署進(jìn)去,具體網(wǎng)絡(luò)拓?fù)淙缦聢D所示/24/24/24/2454/24下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟1配置接口類型,并定義接口對(duì)應(yīng)的區(qū)域:在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中,分別選擇兩個(gè)接口做上下聯(lián)接口,并配置接口類型、所屬區(qū)域、基本屬性access(如在trunk環(huán)境需選擇trunk口)。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟2配置管理接口:在【網(wǎng)絡(luò)】-【接口】-【VLAN接口】中,配置vlan接口的邏輯接口做為管理接口,并分配管理地址。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟3配置路由:在【網(wǎng)絡(luò)】-【路由】中,新增靜態(tài)路由,配置默認(rèn)路由和回程路由。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟4配置應(yīng)用控制策略,放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限:在【策略】-【訪問控制】-【應(yīng)用控制策略】中,新增應(yīng)用控制策略,放通內(nèi)到外的數(shù)據(jù)訪問權(quán)限。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)注意事項(xiàng)透明模式部署不支持NAT、策略路由選擇、動(dòng)態(tài)路由協(xié)議(OSPF、BGP、RIP等)等需要了解上聯(lián)和下聯(lián)的方向,以免策略方向出錯(cuò)一般部署在出口路由設(shè)備下聯(lián)方向,不會(huì)改動(dòng)原有網(wǎng)絡(luò)環(huán)境終端安全風(fēng)險(xiǎn)&終端上網(wǎng)安全應(yīng)用控制技術(shù)

了解終端安全風(fēng)險(xiǎn)了解終端上網(wǎng)安全應(yīng)用控制技術(shù)教學(xué)目標(biāo)終端安全風(fēng)險(xiǎn)目錄終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)對(duì)于一個(gè)企業(yè)來說,90%以上的員工需要每天使用PC終端辦公,而終端是和互聯(lián)網(wǎng)“數(shù)據(jù)交換”的重要節(jié)點(diǎn),且員工的水平參差不齊,因此企業(yè)網(wǎng)絡(luò)中80%的安全事件來自于終端。終端已經(jīng)成為黑客的戰(zhàn)略攻擊點(diǎn)。黑客攻擊的目的是獲取有價(jià)值的“數(shù)據(jù)”。他們控制終端以后,可以直接種植勒索病毒勒索客戶,更嚴(yán)重的是,黑客的目標(biāo)往往是那些存儲(chǔ)著重要“數(shù)據(jù)”的服務(wù)器。受控的終端將成為黑客的跳板,黑客將通過失陷主機(jī)橫向掃描內(nèi)部網(wǎng)絡(luò),發(fā)現(xiàn)組織網(wǎng)絡(luò)內(nèi)部重要的服務(wù)器,然后對(duì)這些重要服務(wù)器發(fā)起內(nèi)部攻擊?;ヂ?lián)網(wǎng)出口實(shí)現(xiàn)了組織內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邏輯隔離。對(duì)于內(nèi)部網(wǎng)絡(luò)接入用戶來說,僵尸網(wǎng)絡(luò)是最為嚴(yán)重的安全問題,黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端,形成僵尸網(wǎng)絡(luò),進(jìn)一步實(shí)現(xiàn)終端存儲(chǔ)的信息被竊取、終端被引導(dǎo)訪問釣魚網(wǎng)站、終端被利用作為攻擊跳板危害其他的各類資源等問題。終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)終端安全風(fēng)險(xiǎn)黑客可以利用僵尸網(wǎng)絡(luò)展開更多的危害行為,如APT攻擊最常采用的跳板就是僵尸網(wǎng)絡(luò)。黑客利用僵尸網(wǎng)絡(luò)來實(shí)現(xiàn)滲透、監(jiān)視、竊取敏感數(shù)據(jù)等目的,危害非常大。僵尸網(wǎng)絡(luò)的主要危害有:看不見的風(fēng)險(xiǎn)高級(jí)持續(xù)威脅本地滲透擴(kuò)散敏感信息竊取脆弱信息收集終端安全風(fēng)險(xiǎn)總結(jié)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)目錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略功能概述在客戶網(wǎng)絡(luò)環(huán)境中,如果沒有對(duì)網(wǎng)絡(luò)流量進(jìn)行訪問控制,容易造成非相關(guān)人員訪問敏感數(shù)據(jù)或者登陸不相關(guān)的設(shè)備等。因此,需要防火墻來做邏輯上的隔離,允許其通過或丟棄數(shù)據(jù)包,過濾條件有源區(qū)域、目的區(qū)域、源地址、目的地址、目的服務(wù)和應(yīng)用。從而減少內(nèi)網(wǎng)外網(wǎng)環(huán)境帶來的威脅,更高效的管控網(wǎng)絡(luò)中的流量走向。財(cái)務(wù)服務(wù)器PCtrustDMZuntrustPC拒絕訪問財(cái)務(wù)服務(wù)器和P2P應(yīng)用終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略工作過程根據(jù)自定義的應(yīng)用控制策略,當(dāng)數(shù)據(jù)包到達(dá)AF轉(zhuǎn)發(fā)時(shí),從上往下依次匹配自定義的應(yīng)用控制策略,直到匹配上應(yīng)用控制策略為止,并根據(jù)應(yīng)用控制策略的動(dòng)作對(duì)數(shù)據(jù)包進(jìn)行允許或拒絕,同時(shí)創(chuàng)建一條會(huì)話。Web站點(diǎn)(:80)源地址目的地址目的端口80源區(qū)域untrust目的區(qū)域DMZ源地址目的地址服務(wù)80應(yīng)用any動(dòng)作允許源地址目的地址目的端口80PC()DMZuntrust策略:終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類基于服務(wù)的控制策略通過匹配數(shù)據(jù)包的五元組(源地址、目的地址、協(xié)議號(hào)、源端口、目的端口)來進(jìn)行過濾動(dòng)作,對(duì)任何數(shù)據(jù)包都可以立即進(jìn)行攔截動(dòng)作判斷?;趹?yīng)用的控制策略通過匹配數(shù)據(jù)包特征來進(jìn)行過濾動(dòng)作,需要一定數(shù)量的包通行后才能判斷應(yīng)用類型,然后進(jìn)行攔截動(dòng)作的判斷。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略分類配置應(yīng)用控制策略的時(shí)候,需要同時(shí)選擇服務(wù)和應(yīng)用兩種類型,兩種類型之間為“與”關(guān)系,必須要兩者的條件都匹配,策略才會(huì)生效。例如:客戶需要拒絕部分用戶打開網(wǎng)頁,如果應(yīng)用控制配置的服務(wù)選擇TCP、應(yīng)用選擇DNS,就會(huì)導(dǎo)致策略不生效,原因是平常解析域名的DNS協(xié)議是基于UDP協(xié)議,應(yīng)用控制識(shí)別流量發(fā)現(xiàn)是UDP而非TCP,與策略的匹配條件不一致,策略就不會(huì)去攔截對(duì)應(yīng)的流量。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景客戶一臺(tái)內(nèi)網(wǎng)PC機(jī)(0)允許訪問公司財(cái)務(wù)服務(wù)器(0),該站點(diǎn)開放了80端口訪問界面。同時(shí),該P(yáng)C允許訪問互聯(lián)網(wǎng),但是禁止訪問P2P相關(guān)應(yīng)用,且只能8點(diǎn)至17點(diǎn)之間訪問互聯(lián)網(wǎng)。財(cái)務(wù)服務(wù)器PC終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟創(chuàng)建應(yīng)用控制策略,允許PC訪問公司財(cái)務(wù)服務(wù)器創(chuàng)建應(yīng)用控制策略,禁止PC訪問P2P應(yīng)用創(chuàng)建應(yīng)用策略,允許PC在特定時(shí)間內(nèi)訪問互聯(lián)網(wǎng)終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1允許PC訪問公司財(cái)務(wù)服務(wù)器,在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】,點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2禁止PC訪問P2P應(yīng)用,在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】,點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3允許PC訪問公司財(cái)務(wù)服務(wù)器,在【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】,點(diǎn)擊新增終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略--長(zhǎng)連接在一些特殊的環(huán)境下,實(shí)現(xiàn)服務(wù)器在一段時(shí)間中沒有收到客戶端的數(shù)據(jù)(應(yīng)用層數(shù)據(jù)),也不會(huì)斷開連接,這就需要AF配置長(zhǎng)連接,防止會(huì)話超時(shí)刪除。DMZuntrustSIPPCDIPserverSPORT23333DPORT80服務(wù)any應(yīng)用any長(zhǎng)連接3day策略:會(huì)話超時(shí)時(shí)間13day終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景某銀行數(shù)據(jù)庫服務(wù)器,提供下屬各個(gè)分支機(jī)構(gòu)的服務(wù)器對(duì)接,由于該數(shù)據(jù)庫服務(wù)器沒有重連機(jī)制,需要重啟等方式才能重新建立新連接。因此,為防止通信過程中AF會(huì)話超時(shí),導(dǎo)致服務(wù)器重新連接造成會(huì)話異常,造成業(yè)務(wù)中斷,則需要保持連接。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)長(zhǎng)連接配置操作界面為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略配置】,點(diǎn)擊進(jìn)入對(duì)應(yīng)策略,選擇高級(jí)選項(xiàng)設(shè)置。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用控制策略輔助功能應(yīng)用控制策略輔助功能主要用來協(xié)助我們分析、記錄和管理現(xiàn)有的策略。常用的輔助功能主要有以下幾個(gè):標(biāo)簽管理:對(duì)同一類策略打上相同標(biāo)簽,可對(duì)標(biāo)簽進(jìn)行新增、編輯、刪除等操作策略變更原因記錄:在新增或修改策略時(shí)顯示變更原因輸入框,方便記錄變更原因模擬策略匹配:輸入五元組等信息,模擬策略匹配方式,給出最可能的匹配結(jié)果。可用于排查故障,或環(huán)境部署前的調(diào)試失效策略檢查:檢測(cè)因沖突、生效時(shí)間已過期、已超過一段時(shí)間未有匹配的等情況失效的策略實(shí)時(shí)沖突策略檢測(cè):在新增、修改和移動(dòng)策略時(shí),實(shí)時(shí)對(duì)策略的沖突進(jìn)行檢測(cè)并提醒。該功能啟用后,可能在策略數(shù)量過多時(shí)造成頁面加載延遲策略優(yōu)化:根據(jù)設(shè)置分析策略的等級(jí),對(duì)所有的應(yīng)用控制策略進(jìn)行分析,給出目前策略配置不合理的相關(guān)提示,方便進(jìn)行快速優(yōu)化策略終端上網(wǎng)的安全-應(yīng)用控制技術(shù)應(yīng)用場(chǎng)景某客戶網(wǎng)絡(luò)中,互聯(lián)網(wǎng)區(qū)域AF應(yīng)用控制策略經(jīng)過長(zhǎng)年的累積,策略數(shù)量較多,造成運(yùn)維難度加大,且主要存在以下問題:存在較多失效策略同一類型策略存在多個(gè),未對(duì)其進(jìn)行打標(biāo)簽標(biāo)識(shí)無法判斷流量匹配那條應(yīng)用控制策略策略修改無記錄存在較多沖突策略,無法進(jìn)行排查終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置案例某客戶核心網(wǎng)絡(luò)AF,存在過多的重復(fù)策略,且開放的端口較大,沒有進(jìn)行策略最小化原則配置,同時(shí)存在同一類型的訪問策略未進(jìn)行分類,難以辨別。策略增刪改沒有記錄,無法追溯到最具人員。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置思路配置步驟:?jiǎn)⒂檬Р呗詸z查;對(duì)同一類型的策略可以進(jìn)行打標(biāo)簽處理;進(jìn)行策略優(yōu)化,查找不合規(guī)則策略;策略的操作進(jìn)行記錄終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情1啟用失效策略檢查,當(dāng)檢測(cè)到失效時(shí)狀態(tài)變?yōu)榧t色感嘆號(hào)。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】,點(diǎn)擊更多操作,選擇輔助工具,啟用失效策略檢查。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情2對(duì)同一類型策略進(jìn)行管理。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】,點(diǎn)擊更多操作,選擇輔助工具,選擇進(jìn)行標(biāo)簽管理。終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情3策略優(yōu)化,尋找設(shè)置不合理的策略。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略優(yōu)化】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)配置詳情4應(yīng)用控制策略在指定查詢范圍內(nèi)的操作,進(jìn)行變更的記錄和展示,方便對(duì)日常的維護(hù)工作有相應(yīng)的記錄和溯源。操作步驟為【策略】→【訪問控制】→【應(yīng)用控制策略】→【策略生命周期管理】終端上網(wǎng)的安全-應(yīng)用控制技術(shù)注意事項(xiàng)開啟應(yīng)用控制策略的日志記錄功能,需要先在日志設(shè)置開啟應(yīng)用控制日志功能。默認(rèn)禁止策略無法刪除普通策略無法移到默認(rèn)策略之后終端上網(wǎng)安全應(yīng)用控制技術(shù)總結(jié)服務(wù)器安全風(fēng)險(xiǎn)

與DOS攻擊檢測(cè)和防御技術(shù)了解服務(wù)器安全風(fēng)險(xiǎn)了解DOS攻擊檢測(cè)和防御技術(shù)教學(xué)目標(biāo)服務(wù)器安全風(fēng)險(xiǎn)DOS攻擊檢測(cè)和防御技術(shù)目錄服務(wù)器安全風(fēng)險(xiǎn)服務(wù)器安全風(fēng)險(xiǎn)不必要的訪問(如只提供HTTP服務(wù))外網(wǎng)發(fā)起IP或端口掃描、DDOS攻擊等漏洞攻擊(針對(duì)服務(wù)器操作系統(tǒng)等)根據(jù)軟件版本的已知漏洞進(jìn)行攻擊,口令暴力破解,獲取用戶權(quán)限;SQL注入、XSS跨站腳本攻擊、跨站請(qǐng)求偽造等等掃描網(wǎng)站開放的端口以及弱密碼網(wǎng)站被攻擊者篡改應(yīng)用識(shí)別、控制防火墻漏洞攻擊防護(hù)服務(wù)器保護(hù)風(fēng)險(xiǎn)分析網(wǎng)站篡改防護(hù)服務(wù)器安全風(fēng)險(xiǎn)DOS攻擊檢測(cè)和防御技術(shù)目錄DOS攻擊檢測(cè)和防御技術(shù)DoS攻擊背景2016年10月21日,美國提供動(dòng)態(tài)DNS服務(wù)的DynDNS報(bào)告遭到DDoS攻擊,攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題,其中包括BBC、華爾街日?qǐng)?bào)、CNN、紐約時(shí)報(bào)等一大批新聞網(wǎng)站集體宕機(jī),Twitter甚至出現(xiàn)了近24小時(shí)0訪問的局面!此次事件中,黑客就是運(yùn)用了DNS洪水攻擊手段。DOS攻擊檢測(cè)和防御技術(shù)DoS/DDoS攻擊介紹DoS攻擊——Denial

of

Service,

是一種拒絕服務(wù)攻擊,常用來使服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論