《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》課件 3.2 IPSec VPN技術(shù)-5.7 安全感知分析功能

IPSECVPN解決方案（二）IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應(yīng)用場景目錄IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應(yīng)用場景目錄IPSEC建立階段安全聯(lián)盟SA定義：SA（SecurityAssociation）是通信對(duì)等體間對(duì)某些要素的約定,通信的雙方符合SA約定的內(nèi)容,就可以建立SA。SA由三元組來唯一標(biāo)識(shí)，包括：目的IP地址安全參數(shù)索引安全協(xié)議號(hào)IPSEC建立階段IKE的產(chǎn)生背景用IPSec保護(hù)一個(gè)IP包之前，必須先建立安全聯(lián)盟（SA）IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)較多時(shí)，手工配置將非常困難，而且難以保證安全性。這時(shí)就可以使用IKE（InternetKeyExchange）自動(dòng)進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換（IKE）就用于動(dòng)態(tài)建立SA，代表IPSec對(duì)SA進(jìn)行協(xié)商。IPSEC建立階段IKE的用途IKE為IPSec協(xié)商生成密鑰，供AH/ESP加解密和驗(yàn)證使用。在IPSec通信雙方之間，動(dòng)態(tài)地建立安全關(guān)聯(lián)（SA：SecurityAssociation），對(duì)SA進(jìn)行管理和維護(hù)。IPSec處理（IP層）IPSec處理（IP層）IKE協(xié)商IKE協(xié)商協(xié)商IPSec通信IPSEC建立階段IKE與AH/ESP之間關(guān)系IKETCPUDPAH/ESPIKETCPUDPAH/ESP加密的IP報(bào)文IPIKE的密鑰協(xié)商KEYKEYIPSEC建立階段IKE工作過程IKE經(jīng)過兩個(gè)階段為IPSec進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟：第一階段交換：通信各方彼此間建立了一個(gè)已通過身份驗(yàn)證和安全保護(hù)的通道，此階段的交換建立了一個(gè)ISAKMP安全聯(lián)盟，即ISAKMPSA（也可稱為IKESA）。第一階段交換有兩種協(xié)商模式：主模式協(xié)商野蠻模式協(xié)商第二階段交換：用已經(jīng)建立的安全聯(lián)盟（IKESA）為IPSec協(xié)商安全服務(wù)，即為IPSec協(xié)商具體的安全聯(lián)盟，建立IPSecSA，產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰，IPSecSA用于最終的IP數(shù)據(jù)安全傳送。IPSEC建立階段IKE階段1主模式IKE階段1野蠻模式IKESA默認(rèn)使用IP地址作為身份標(biāo)識(shí)，默認(rèn)是傳遞自己的出口地址做身份標(biāo)識(shí)，校驗(yàn)對(duì)端的公網(wǎng)IP做對(duì)端身份標(biāo)識(shí)。（自動(dòng)生成雙方身份ID）可以使用用戶名或IP等作為雙方身份標(biāo)識(shí)，即可以手動(dòng)配置身份IDIPSEC建立階段IKE階段1協(xié)商過程協(xié)商建立IKE安全通道所使用的參數(shù)交換DH密鑰數(shù)據(jù)雙方身份認(rèn)證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換DH密鑰數(shù)據(jù)雙方身份認(rèn)證建立IKE安全通道HostAHostBRouterARouterBIKE階段一IPSEC建立階段IKE階段1--主模式協(xié)商IPSEC建立階段IKE階段1--主模式交互過程主模式下IKEv1采用3個(gè)步驟6條ISAKMP消息建立IKESA。下面是以23主動(dòng)發(fā)起IKE協(xié)商為例的整個(gè)數(shù)據(jù)構(gòu)成：IPSEC建立階段主模式交互-消息1第一個(gè)消息由隧道的發(fā)起者發(fā)起,攜帶了如這樣一些參數(shù),如加密機(jī)制-DES,散列機(jī)制-MD5-HMAC,Diffie-Hellman組-2,認(rèn)證機(jī)制-預(yù)共享DLAN6.25開始支持IKEv2IPSEC建立階段主模式IKE交互-消息2消息2是應(yīng)答方對(duì)發(fā)送方信息的應(yīng)答，當(dāng)應(yīng)答方查找SPD查找到發(fā)送方相關(guān)的策略后，將自己的信息同樣發(fā)送給對(duì)端，當(dāng)然，應(yīng)答方在發(fā)送傳輸集時(shí)將會(huì)生成自己Cookie并添加到數(shù)據(jù)包中，數(shù)據(jù)包信息如下：可以看到，雙方交流的都是自己含有的配置信息，如果雙方信息一致，則開始進(jìn)行下一步傳輸。IPSEC建立階段主模式IKE交互-消息3當(dāng)完成了第一步驟雙方的策略協(xié)商后，則開始進(jìn)行第二步驟DH公共值交換，隨數(shù)據(jù)發(fā)送的還包含輔助隨機(jī)數(shù)，用戶生成雙方的加密密鑰。消息3的數(shù)據(jù)包信息如下：可以看到在數(shù)據(jù)包中，當(dāng)前載荷類型屬于密鑰交換，載荷為DH公共值和Nonce隨機(jī)數(shù)。都屬于明文，未加密IPSEC建立階段主模式IKE交互-消息4應(yīng)答方同樣將本端的DH公共值和Nonce隨機(jī)數(shù)發(fā)送給對(duì)端，通過消息4傳輸：IPSEC建立階段主模式IKE交互-消息5第五條消息由發(fā)起者向響應(yīng)者發(fā)送,主要是為了驗(yàn)證對(duì)端就是自己想要與之通信的對(duì)端。這可以通過預(yù)共享、數(shù)字簽名、加密臨時(shí)值來實(shí)現(xiàn)雙方交換DH公共值后，結(jié)合隨機(jī)數(shù)生成一系列的加密密鑰，用于雙方加密、校驗(yàn)，同時(shí)生成密鑰后，將公共密鑰和本端身份信息等進(jìn)行hash，hash值傳輸給對(duì)端進(jìn)行驗(yàn)證設(shè)備身份。發(fā)送方通過消息5發(fā)送給接收方，可以看到載荷類型為身份驗(yàn)證載荷，所攜帶的信息經(jīng)過加密，無法查看相關(guān)信息IPSEC建立階段主模式IKE交互-消息6第六條消息由響應(yīng)者向發(fā)起者發(fā)送，主要目的和第五條一樣。在這六條消息過后，也就是驗(yàn)證一旦通過，就進(jìn)入了IKE第二階段：快速模式IPSEC建立階段野蠻模式IKE交互過程野蠻模式同樣包含三個(gè)步驟，但僅通過三個(gè)包進(jìn)行傳輸，其數(shù)據(jù)傳輸如下，從抓包中可以看到野蠻模式標(biāo)識(shí)為Aggressive。野蠻模式下有三個(gè)交互包：1、第一個(gè)交互包發(fā)起方建議SA，發(fā)起DH交換2、第二個(gè)交互包接收方接受SA 3、第三個(gè)交互包發(fā)起方認(rèn)證接受方 野蠻模式交互過程少，所以在傳輸過程中，其傳輸?shù)臄?shù)據(jù)比較多，并且前兩個(gè)數(shù)據(jù)為明文傳輸，僅消息3為加密傳輸。IPSEC建立階段野蠻模式IKE交互過程IPSEC建立階段野蠻模式IKE交互-消息1在消息1中，我們可以明確看到，數(shù)據(jù)包中包含了SA載荷，即策略協(xié)商信息；密鑰交換載荷和隨機(jī)數(shù)載荷；身份驗(yàn)證載荷。野蠻模式將主模式中需要進(jìn)行交換的數(shù)據(jù)全部進(jìn)行了發(fā)送。IPSEC建立階段野蠻模式IKE交互-消息2當(dāng)應(yīng)答方接收到發(fā)起方發(fā)送來的消息1后，通過自身查看SPD是否存在與發(fā)起方身份匹配的相關(guān)策略，若存在，則利用消息1中信息與自身配置進(jìn)行計(jì)算，生成身份驗(yàn)證hash值后，將自身配置策略信息和hash值傳送給發(fā)起方。對(duì)比消息1和消息2，可以看到消息2中增加了hash載荷。IPSEC建立階段野蠻模式IKE交互-消息3發(fā)起方接收到應(yīng)答方的策略信息和hash值后，同樣進(jìn)行驗(yàn)證，若匹配，則將自身的hash值用計(jì)算出的密鑰加密后，傳輸給應(yīng)答方。從flag中可以看出此時(shí)數(shù)據(jù)經(jīng)過了加密。IPSEC建立階段IKE階段1兩種模式對(duì)比主模式野蠻模式消息交互交互6個(gè)消息交互3個(gè)消息身份ID以IP地址作為身份ID，自動(dòng)生成本端身份ID和對(duì)端身份ID可以以多種形式（IP，字符串等）手動(dòng)或自動(dòng)的生成本端和對(duì)端的身份ID域共享密鑰只能基于IP地址來確定預(yù)共享密鑰。基于ID信息（主機(jī)名和IP地址）來確定預(yù)共享密鑰。安全性較高前4個(gè)消息以明文傳輸，最后兩個(gè)消息加密，對(duì)對(duì)端身份進(jìn)行了保護(hù)較低前兩個(gè)消息以明文傳輸，最后一個(gè)消息進(jìn)行加密，不保護(hù)對(duì)端身份速度較慢較快IPSEC建立階段IKE階段2協(xié)商過程協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)建立IPSecSA建立IPSecSAHostAHostBRouterARouterBIKE階段二IPSEC建立階段標(biāo)準(zhǔn)IPSECVPN建立過程IKE階段2雙方協(xié)商IPSec安全參數(shù)，稱為變換集transformset，包括：加密算法Hash算法安全協(xié)議封裝模式存活時(shí)間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIPSEC建立階段標(biāo)準(zhǔn)IPSec第二階段ISAKMP/IKE階段2只有一種信息交換模式——快速模式，它定義了受保護(hù)數(shù)據(jù)連接是如何在兩個(gè)IPSEC對(duì)等體之間構(gòu)成的。深信服的標(biāo)準(zhǔn)IPSEC有幾對(duì)的出站入站，在DLAN運(yùn)行狀態(tài)里面就會(huì)顯示幾條連接，每一對(duì)快速模式交互的包都是三個(gè)，第一個(gè)包由主連接發(fā)起方發(fā)起響應(yīng)快速模式有兩個(gè)主要的功能：1.協(xié)商安全參數(shù)來保護(hù)數(shù)據(jù)連接。2.周期性的對(duì)數(shù)據(jù)連接更新密鑰信息。第二階段的效果為協(xié)商出IPSec單向SA，為保護(hù)IPsec數(shù)據(jù)流而創(chuàng)建。第二階段整個(gè)協(xié)商過程受第一階段ISAKMP/IKESA保護(hù)。第二階段所有數(shù)據(jù)都經(jīng)過了加密，在公網(wǎng)抓取的數(shù)據(jù)如下：IPSEC建立階段數(shù)據(jù)傳輸階段數(shù)據(jù)傳輸階段是通過AH或者ESP通信協(xié)議進(jìn)行數(shù)據(jù)的傳輸。數(shù)據(jù)傳輸建立在網(wǎng)絡(luò)層。IPSEC建立階段數(shù)據(jù)傳輸階段建立隧道后，如果其中一端的設(shè)備異常重啟，導(dǎo)致SA不一致，會(huì)出現(xiàn)什么問題？IPSEC建立階段VPN隧道黑洞可能情況：對(duì)端的VPN連接已經(jīng)斷開而我方還處在SA的有效生存期時(shí)間內(nèi)，從而形成了VPN隧道的黑洞。我方不停的發(fā)送加密后的VPN數(shù)據(jù)過去，但對(duì)方拒絕接受。IPSEC建立階段DPD解決VPN隧道黑洞DPD:死亡對(duì)等體檢測（DeadPeerDetection），檢查對(duì)端的ISAKMPSA是否存在。當(dāng)VPN隧道異常的時(shí)候，能檢測到并重新發(fā)起協(xié)商，來維持VPN隧道。DPD主要是為了防止標(biāo)準(zhǔn)IPSEC出現(xiàn)“隧道黑洞”。DPD只對(duì)第一階段生效，如果第一階段本身已經(jīng)超時(shí)斷開，則不會(huì)再發(fā)DPD包。IKE

IIKE

IIIPSEC建立階段DPD概述DPD包并不是連續(xù)發(fā)送，而是采用空閑計(jì)時(shí)器機(jī)制。每接收到一個(gè)IPSec加密的包后就重置這個(gè)包對(duì)應(yīng)IKESA的空閑定時(shí)器；如果空閑定時(shí)器計(jì)時(shí)開始到計(jì)時(shí)結(jié)束過程都沒有接收到該SA對(duì)應(yīng)的加密包，那么下一次有IP包要被這個(gè)SA加密發(fā)送或接收到加密包之前就需要使用DPD來檢測對(duì)方是否存活。DPD檢測主要靠超時(shí)計(jì)時(shí)器，超時(shí)計(jì)時(shí)器用于判斷是否再次發(fā)起請求，默認(rèn)是發(fā)出5次請求（請求->超時(shí)->請求->超時(shí)->請求->超時(shí)）都沒有收到任何DPD應(yīng)答就會(huì)刪除SA。IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應(yīng)用場景總結(jié)SANGFORVPN解決方案（一）SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN功能優(yōu)勢SANGFORVPN功能優(yōu)勢深信服設(shè)備自身能互聯(lián)兩種VPN類型，一是標(biāo)準(zhǔn)IPSecVPN，另一個(gè)就是自主開發(fā)的SANGFORVPN。與標(biāo)準(zhǔn)IPSecVPN相比，SANGFORVPN的專利技術(shù)的優(yōu)勢：1、支持兩端都為非固定IP的公網(wǎng)環(huán)境---通過webagent實(shí)現(xiàn)2、更細(xì)致的權(quán)限粒度與標(biāo)準(zhǔn)IPSecVPN相比，SANGFORVPN的特殊場景：1、更細(xì)致的權(quán)限粒度2、隧道間路由技術(shù)，分支用戶通過總部上網(wǎng)，實(shí)現(xiàn)總部的統(tǒng)一管控3、隧道內(nèi)NAT技術(shù)，解決多個(gè)分支網(wǎng)段IP沖突的問題SANGFORVPN功能優(yōu)勢WebAgent工作原理WebAgent尋址過程：用于SANGFORVPN互聯(lián)時(shí)，分支與移動(dòng)用戶尋找總部的地址，從而建立VPN連接。（尋址過程中，所有信息均使用DES加密。）SANGFORVPN功能優(yōu)勢更細(xì)致的權(quán)限粒度高級(jí)權(quán)限普通權(quán)限病毒財(cái)務(wù)服務(wù)器OA服務(wù)器SANGFORVPN功能優(yōu)勢線路探測技術(shù)移動(dòng)用戶移動(dòng)用戶CableModemADSL寬帶獨(dú)有的“線路探測”技術(shù)總部DLANSANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN術(shù)語解釋術(shù)語解釋總部提供VPN接入服務(wù)，為其他VPN用戶提供接入賬戶校驗(yàn)的設(shè)備。SANGFORVPN總部設(shè)備需要配置WEBAGENT、VPN接入賬號(hào)等。一般將服務(wù)器端所在的網(wǎng)絡(luò)做為總部。分支即接入總部端的設(shè)備。一般將客戶端所在的網(wǎng)絡(luò)做為分支。移動(dòng)即SANGFORVPN的軟件客戶端，又稱為PDLAN。一般將通過軟件接入總部的單個(gè)客戶端稱為移動(dòng)用戶。一個(gè)VPN設(shè)備既可以當(dāng)總部，也可以當(dāng)分支，也可以同時(shí)充當(dāng)總部和分支的角色。SANGFORVPN術(shù)語解釋術(shù)語解釋SANGFORVPN術(shù)語解釋W(xué)ebAgent格式WebAgent:用于SANGFORDLAN互聯(lián)時(shí)，分支與移動(dòng)用戶尋找總部的地址，從而建立VPN連接。WEBAGENT有如下幾種的填寫方式：1.IP:端口，如23:4009適用于總部VPN設(shè)備有固定公網(wǎng)IP地址的環(huán)境2.IP1#IP2:端口，如23#21:4009適用于總部VPN設(shè)備有多條固定IP的線路，且需要做VPN的線路備份的環(huán)境3.網(wǎng)址的形式，如/webagent/123.php適用于總部VPN設(shè)備沒有固定公網(wǎng)IP的環(huán)境，如ADSL線路4.域名：端口形式，如:4009適用于總部已存在動(dòng)態(tài)域名指向他們出口的公網(wǎng)IP的環(huán)境SANGFORVPN術(shù)語解釋本地子網(wǎng)IPSecVPN一般通過ACL抓取感興趣流，而SANGFORVPN是通過本地子網(wǎng)宣告自身內(nèi)網(wǎng)網(wǎng)段給對(duì)端的形式，來讓對(duì)端具備訪問本端網(wǎng)段的路由，從而實(shí)現(xiàn)數(shù)據(jù)的互訪。（設(shè)備默認(rèn)只宣告設(shè)備直連網(wǎng)段）SANGFORVPN術(shù)語解釋VPNTUN接口Vpntun接口：VPN數(shù)據(jù)的虛擬路由口，用來引導(dǎo)數(shù)據(jù)發(fā)往VPN隧道，從而封裝報(bào)文。SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN建立過程建立條件1、至少有一端是總部，且有足夠的授權(quán)。SANGFOR硬件與SANGFOR硬件之間互連不需要授權(quán)，與第三方對(duì)接需要分支授權(quán)，移動(dòng)客戶端需要移動(dòng)用戶授權(quán)。2、至少有一端在公網(wǎng)上可訪問，即“可尋址”或固定公網(wǎng)IP。3、建立VPN兩端的內(nèi)網(wǎng)地址不能沖突。4、建立VPN兩端的軟件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互聯(lián)也能跟VPN5.x版本互聯(lián)，但VPN2.x版本只能跟VPN2.x版本互聯(lián)）SANGFORVPN建立過程建立過程最基本的三步曲1、尋址：與誰建立連接(找到目標(biāo))——尋址（WebAgent原理、WebAgent設(shè)置）2、認(rèn)證：身份驗(yàn)證（提交正確、充分的信息）—賬號(hào)密碼、Dkey、硬件鑒權(quán)、第三方認(rèn)證。3、策略：（下發(fā)）選路策略、權(quán)限策略、VPN路由策略、安全策略（移動(dòng)用戶）、VPN專線（移動(dòng)用戶）、分配虛擬IP尋址認(rèn)證策略SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景總結(jié)SANGFORVPN解決方案（二）SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN建立隧道SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題1SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題1AC沒有去往網(wǎng)段的路由！SANGFORVPN數(shù)據(jù)傳輸過程分析問題1解決方法在長沙AC上配置靜態(tài)路由！SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題2SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①②③SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題2因?yàn)閃OC沒有去往網(wǎng)段的路由！SANGFORVPN數(shù)據(jù)傳輸過程分析問題2解決方法在總部的SSL設(shè)備上配置本地子網(wǎng)，將總部的資源網(wǎng)段宣告給長沙WOC設(shè)備SANGFORVPN數(shù)據(jù)傳輸過程分析問題2解決方法在分支WOC設(shè)備上可以查看到去往總部本地子網(wǎng)的路由條目SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功①②③④⑤⑥⑦⑧⑨SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功1SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①②SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功2③SIPDIPSportDportProtocolDATA8400004009TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功3④SIPDIPSportDportProtocolDATA98400004009TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功4⑤⑥SIPDIPSportDportProtocolDATA900400004009TCP加密的原始數(shù)據(jù)包⑦SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功5⑧⑨SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包問題①SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)②SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包問題正常情況下AF不會(huì)把回包發(fā)送給SSL！SANGFORVPN數(shù)據(jù)傳輸過程分析解決方法SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功⑤④⑥③⑦②①⑧SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功1②①SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功2⑤④③SIPDIPSportDportProtocolDATA009400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功3⑥SIPDIPSportDportProtocolDATA89400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功4⑦SIPDIPSportDportProtocolDATA8400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功5SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)⑧SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN特殊場景權(quán)限控制場景需求：總部和分支部署了兩臺(tái)VPN設(shè)備，現(xiàn)總部的VPN設(shè)備做為VPN總部與分支建立了VPN連接，用戶要求對(duì)分支訪問總部的服務(wù)器進(jìn)行權(quán)限控制，只允許分支網(wǎng)絡(luò)的PC訪問總部的WEB服務(wù)器（80端口），禁止訪問其他的任何服務(wù)器（包括PC客戶端）。如下圖：基本思路：該客戶需求一共有兩種方法可以實(shí)現(xiàn)，通過VPN內(nèi)網(wǎng)權(quán)限（兩端都會(huì)受到限制）或者通過防火墻過濾規(guī)則（更細(xì)化的控制）。SANGFORVPN特殊場景分支通過總部互聯(lián)場景需求：總部分別與兩個(gè)分支建立VPN連接，分支1與分支2均能訪問總部內(nèi)網(wǎng)，現(xiàn)用戶要求分支1與分支2之間能相互訪問。問題分析：兩個(gè)分支分別與總部建立VPN隧道，但分支1與分支2之間并沒有任何線路相連，也沒有VPN隧道。解決辦法：通過分別在分支1和分支2的設(shè)備中配置隧道間路由實(shí)現(xiàn)。SANGFORVPN特殊場景分支通過總部上網(wǎng)場景需求：總部與分支建立VPN連接，總部希望審計(jì)分支的上網(wǎng)行為，因此總部要求分支通過總部實(shí)現(xiàn)上網(wǎng)。解決辦法：通過在分支1中配置隧道間路由實(shí)現(xiàn)通過總部上網(wǎng)。SANGFORVPN特殊場景分支地址沖突場景需求：總部分別與兩個(gè)分支建立VPN連接，分支1與分支2內(nèi)網(wǎng)均為/24網(wǎng)段，用戶要求不能改變?nèi)魏我欢说腎P地址，實(shí)現(xiàn)分支與總部互訪。問題分析：兩個(gè)分支內(nèi)網(wǎng)網(wǎng)段相同，當(dāng)總部收到來自/24網(wǎng)段的數(shù)據(jù)時(shí)，不知道該回給哪個(gè)分支。解決辦法：通過配置隧道內(nèi)NAT實(shí)現(xiàn)SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景總結(jié)EDR安裝部署了解EDR產(chǎn)品的架構(gòu)熟悉EDR管理平臺(tái)的部署方法熟悉EDR客戶端的安裝與卸載方法教學(xué)目標(biāo)產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄總體架構(gòu)EDR從系統(tǒng)架構(gòu)上分為三層，基礎(chǔ)平臺(tái)層、核心引擎層以及功能展現(xiàn)層。基礎(chǔ)平臺(tái)層：負(fù)責(zé)提供集中管控，云查以及主機(jī)代理功能的基礎(chǔ)能力。核心引擎層：負(fù)責(zé)提供病毒檢測，威脅分析以及行為檢測等能力。功能展現(xiàn)層：從預(yù)防、防御、檢測、響應(yīng)等四個(gè)方面，提供全面的安全防護(hù)體系。EDR從部署結(jié)構(gòu)上分為云端、管理端（MGR）和客戶端（Agent）三部分。云端：包括病毒庫升級(jí)、云端查殺服務(wù)中心、安全情報(bào)中心。管理端：負(fù)責(zé)維護(hù)管理所有的Agent客戶端?？蛻舳耍喊惭b在終端的軟件，對(duì)終端進(jìn)行安全防護(hù)。部署結(jié)構(gòu)云查服務(wù)中心病毒庫升級(jí)中心安全情報(bào)中心EDR管理平臺(tái)WindowsLinux云端管理端客戶端產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄場景：公司領(lǐng)導(dǎo)給了你一個(gè)軟件，告訴你這個(gè)軟件可以實(shí)現(xiàn)某些功能，需要你盡快安裝上，投入使用思考：想要安裝，你都需要了解什么？思考在安裝部署EDR之前，需要進(jìn)行系統(tǒng)兼容性確認(rèn)硬件資源環(huán)境確認(rèn)網(wǎng)絡(luò)連通性確認(rèn)部署準(zhǔn)備EDR管理平臺(tái)Agent客戶端系統(tǒng)兼容性確認(rèn)瀏覽器Mgr控制臺(tái)IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系統(tǒng)（64位）Mgr控制臺(tái)Centos7+YUbntul16+Y操作系統(tǒng)類型操作系統(tǒng)用戶PC終端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服務(wù)器終端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系統(tǒng)類型操作系統(tǒng)國產(chǎn)Neokylin5.0x86（客戶端版）Neokylin6.0x86（客戶端版）Neokylin7.0x86（客戶端版）銀河麒麟4.0x64（客戶端版）優(yōu)麒麟18.0Agent客戶端操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系統(tǒng)兼容性確認(rèn)物理環(huán)境和虛擬化環(huán)境都需要符合以下硬件資源要求硬件資源環(huán)境確認(rèn)終端數(shù)CPU（奔騰雙核）內(nèi)存磁盤1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服務(wù)器作為漏洞補(bǔ)丁服務(wù)器，磁盤大小推薦配置為1T客戶端（Agent）與管理平臺(tái)（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。確保端口連通性。4430端口：Agent組件更新和病毒庫更新。8083端口：Agent和管理端業(yè)務(wù)通信端口。54120端口：逃生端口，應(yīng)急情況與Agent通信端口。完成Agent重啟、卸載和腳本執(zhí)行命令下發(fā)。ICMP：連通性探測客戶端與管理平臺(tái)網(wǎng)絡(luò)連通性網(wǎng)絡(luò)連通性確認(rèn)管理平臺(tái)與云端網(wǎng)絡(luò)連通性（云腦）漏洞補(bǔ)丁相關(guān)：https://（云腦）接入云腦授權(quán)：https://（云腦）云查服務(wù)器：（云腦）云安全計(jì)劃：（CDN）漏洞補(bǔ)丁、規(guī)則、病毒庫地址：http://網(wǎng)絡(luò)連通性確認(rèn)MGR管理平臺(tái)部署軟件部署ISO鏡像部署OVA模板部署硬件一體機(jī)部署管理平臺(tái)部署ISO鏡像部署基于CentOS系統(tǒng)鏡像，其內(nèi)嵌MGR安裝包，即安裝該ISO后，便自動(dòng)部署MGR。優(yōu)勢：安裝步驟簡化。該ISO基于CentOS最新包定制，內(nèi)嵌mgr安裝包，只需一次安裝即可，不再需要原有的mgr單獨(dú)部署流程。安全性更高。該ISO在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。物理環(huán)境和虛擬化環(huán)境都支持安裝。ISO鏡像部署OVA模板部署是基于CentOS安裝鏡像，其內(nèi)嵌MGR安裝包，在虛擬化環(huán)境中，導(dǎo)入OVA模板，便自動(dòng)部署MGR。優(yōu)勢：安裝步驟簡化。該OVA模板基于CentOS最新包定制，內(nèi)嵌MGR安裝包，只需一次安裝即可，不再需要原有的MGR單獨(dú)部署流程。安全性更高。該模板中的系統(tǒng)在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。OVA模板部署目前硬件EDR有兩個(gè)型號(hào)EDR-1000-B600（最大支持管控1000點(diǎn)EDR客戶端）和EDR-1000-C600（最大支持管控2500點(diǎn)EDR客戶端）硬件一體機(jī)部署硬件一體機(jī)部署如圖，EDR硬件設(shè)備eth0口旁路接到客戶網(wǎng)絡(luò)，確保EDR設(shè)備可以和內(nèi)網(wǎng)終端連通即可。EDR硬件設(shè)備eth0口默認(rèn)地址為51，默認(rèn)登錄控制臺(tái)方式為51admin/admin產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄部署方式（5種）：安裝包部署、網(wǎng)頁推廣部署、AC聯(lián)動(dòng)部署、虛擬機(jī)模板部署、域控場景部署客戶端Agent部署特別注意：EDR客戶端與以下安全軟件完全兼容使用。安裝有非以下安全軟件的電腦同時(shí)安裝EDR客戶端，支持在兼容模式下安裝，但文件實(shí)時(shí)監(jiān)控功能無法正常使用。EDR客戶端Agent支持與金山毒霸、火絨（個(gè)人版）、QQ管家、瑞星個(gè)人版、奇安信天擎、360殺毒、360安全衛(wèi)士、趨勢深度安全、趨勢officescan、賽門鐵克等數(shù)10款安全軟件兼容安裝和使用適用場景管理員下載agent安裝包，通過U盤等移動(dòng)介質(zhì)將其導(dǎo)入終端進(jìn)行安裝部署，最直接的部署方法安裝包部署適用場景管理員發(fā)布部署通知的web頁面，將發(fā)布頁鏈接通過郵件、OA等方式發(fā)送至終端，終端用戶自行下載agent安裝包進(jìn)行安裝部署網(wǎng)頁推廣部署適用場景適用于同時(shí)購買了AC的客戶，EDR和AC聯(lián)動(dòng)，當(dāng)用戶打開網(wǎng)頁時(shí)，被AC重定向至下圖安裝Agent頁面，直至終端成功安裝AgentAC聯(lián)動(dòng)部署虛擬機(jī)模板部署適用場景適用于桌面辦公環(huán)境或虛擬化環(huán)境，管理員在虛擬化平臺(tái)提前做好含EDR客戶端的虛擬機(jī)模板，根據(jù)需要進(jìn)行派生成其它虛擬機(jī)域控部署適用場景終端受WindowsAD域控統(tǒng)一管理，可以通過域控組策略批量部署軟件安裝包進(jìn)行靜默安裝。虛擬機(jī)模板部署與域控場景部署產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄Agent卸載包括Windows客戶端卸載和Linux客戶端卸載客戶端Agent卸載Windows客戶端卸載有兩種方式：終端卸載、MGR管理平臺(tái)卸載Windows客戶端卸載為了防止客戶端被惡意卸載導(dǎo)致終端得不到安全防護(hù)，所以從終端卸載Agent時(shí)，需要先獲取防卸載密碼（防卸載密碼由管理員在管理平臺(tái)設(shè)置）。Windows客戶端卸載Linux客戶端卸載有兩種方式：終端卸載、MGR管理平臺(tái)卸載Linux終端是無圖形化界面的，所以從Linux終端卸載或從MGR管理平臺(tái)卸載均無需卸載密碼。Linux客戶端卸載產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載總結(jié)EDR終端管理（一）掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實(shí)際場景中能夠指導(dǎo)客戶如何使用教學(xué)目標(biāo)終端分組管理終端清點(diǎn)目錄內(nèi)網(wǎng)電腦數(shù)量多，不同部門電腦系統(tǒng)版本不一樣、不同終端類型需要配置的安全策略也不一樣，管理員缺少一種對(duì)全網(wǎng)電腦進(jìn)行管理的方式、給運(yùn)維帶來不便。EDR終端分組是樹形組織結(jié)構(gòu)，能根據(jù)客戶不同需求對(duì)終端進(jìn)行靈活分組，如按業(yè)務(wù)部門、按終端類型（客戶端和服務(wù)器）等進(jìn)行分組，并且可以對(duì)各個(gè)分組配置個(gè)性化的安全策略，從而做到內(nèi)網(wǎng)眾多電腦進(jìn)行分類管理、方便運(yùn)維。需求背景需求背景分組不多的情況可以使用新增分組，如下圖：新增分組分組數(shù)量多的情況，可以使用excel表格先制作好分組，再導(dǎo)入EDR，如下圖：導(dǎo)入分組當(dāng)需要根據(jù)IP地址自動(dòng)上線到匹配的組，可以使用自動(dòng)分組管理，如下圖：自動(dòng)分組導(dǎo)出分組/終端，對(duì)分組/終端進(jìn)行備份或批量編輯，如下圖：導(dǎo)出分組或終端終端分組管理終端清點(diǎn)目錄對(duì)資產(chǎn)“看得清、理得清”已成為IT日常安全建設(shè)的重要內(nèi)容，客戶無需額外采購其他資產(chǎn)管理的軟件，即可實(shí)現(xiàn)看清、理清終端信息。終端清點(diǎn)功能能夠幫助管理員看清全網(wǎng)主機(jī)資產(chǎn)全貌，理清全網(wǎng)主機(jī)風(fēng)險(xiǎn)暴露面，從而削減全網(wǎng)主機(jī)攻擊面。需求背景終端清點(diǎn)是由EDR客戶端讀取終端操作系統(tǒng)信息、已安裝的應(yīng)用軟件信息、開放的監(jiān)聽端口信息、終端的系統(tǒng)賬戶信息和終端硬件信息，上報(bào)給EDR管理平臺(tái)進(jìn)行集中展示和分析。原理介紹操作系統(tǒng)信息安裝軟件信息開放端口信息系統(tǒng)賬戶信息終端硬件信息EDR客戶端EDR管理平臺(tái)采集上報(bào)集中分析展示功能介紹：清點(diǎn)終端操作系統(tǒng)功能介紹：清點(diǎn)終端應(yīng)用軟件功能介紹：清點(diǎn)終端監(jiān)聽端口功能介紹：清點(diǎn)終端帳戶功能介紹：清點(diǎn)終端基本信息終端詳情可以展示終端操作系統(tǒng)、CPU、內(nèi)存占用情況，終端基本信息、運(yùn)行信息、應(yīng)用軟件和監(jiān)聽端口信息等，如下圖:應(yīng)用場景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)IT管理員可以通過應(yīng)用軟件清點(diǎn)了解全網(wǎng)主機(jī)所安裝軟件是否都符合單位授權(quán)要求。如下圖所示，通過“終端清點(diǎn)”->“應(yīng)用軟件”頁面，管理員可以根據(jù)軟件類型、軟件廠商搜索單位全網(wǎng)哪些主機(jī)安裝了單位禁止使用的軟件，如某個(gè)廠商（如中天xxxx公司）的某款非正版軟件（如software3）。應(yīng)用場景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)點(diǎn)擊上圖“終端數(shù)量”列的數(shù)字，管理員可以查看所有安裝了這款軟件的主機(jī)詳情，可以通知主機(jī)進(jìn)行整改，如下圖所示。應(yīng)用場景2：全網(wǎng)主機(jī)風(fēng)險(xiǎn)賬戶梳理IT管理員可以通過“終端清點(diǎn)”->“終端賬戶”頁面，全局了解企業(yè)內(nèi)網(wǎng)主機(jī)的賬號(hào)風(fēng)險(xiǎn)情況（如是否存在隱藏賬號(hào)、弱密碼賬號(hào)、可疑root權(quán)限賬號(hào)、長期未使用賬號(hào)等），如下圖所示：應(yīng)用場景2：全網(wǎng)主機(jī)風(fēng)險(xiǎn)賬戶梳理可以將存在風(fēng)險(xiǎn)賬號(hào)的主機(jī)導(dǎo)出excel表格，并通過郵件或其他方式通知相關(guān)責(zé)任人進(jìn)行自查和整改（或配合EDR的主機(jī)隔離功能，對(duì)未能在規(guī)定時(shí)間內(nèi)整改完成的主機(jī)進(jìn)行斷網(wǎng)隔離）。應(yīng)用場景3：統(tǒng)一封堵風(fēng)險(xiǎn)端口通過監(jiān)聽端口功能，可以將管理終端所監(jiān)聽的端口進(jìn)行統(tǒng)計(jì)并展示，同時(shí)針對(duì)風(fēng)險(xiǎn)端口有特殊的展示效果應(yīng)用場景3：統(tǒng)一封堵風(fēng)險(xiǎn)端口針對(duì)風(fēng)險(xiǎn)端口，可對(duì)其進(jìn)行統(tǒng)一封堵或接觸封堵終端分組管理終端清點(diǎn)總結(jié)EDR終端管理（二）掌握EDR終端發(fā)現(xiàn)功能使用掌握EDR基線檢查功能使用掌握EDR遠(yuǎn)程協(xié)助功能使用教學(xué)目標(biāo)終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄終端電腦數(shù)量很多的情況下，管理員很難知道哪些終端未安裝EDR客戶端進(jìn)行防護(hù)，從而帶來潛在的安全風(fēng)險(xiǎn)。終端發(fā)現(xiàn)功能可以幫助管理員發(fā)現(xiàn)內(nèi)網(wǎng)沒有安裝EDR客戶端的電腦，及時(shí)做好安全防護(hù)，降低風(fēng)險(xiǎn)暴露面。需求背景EDR集成了Nmap掃描工具實(shí)現(xiàn)終端發(fā)現(xiàn)功能。管理員觸發(fā)內(nèi)網(wǎng)掃描（Nmap掃描）對(duì)內(nèi)網(wǎng)終端進(jìn)行活躍探測，掃描返回結(jié)果中的IP說明主機(jī)是活躍的，EDR將活躍的主機(jī)IP和EDR管理平臺(tái)中在線的終端IP比較，得出EDR管理平臺(tái)中不存在的活躍主機(jī)即為未安裝EDR客戶端的終端。原理介紹EDR管理平臺(tái)安裝EDR客戶端的Linux服務(wù)器發(fā)起Nmap全網(wǎng)掃描活躍主機(jī)PC1PC2PC3PC4........................PCn活躍主機(jī)與EDR管理平臺(tái)中的終端比較EDR管理平臺(tái)存在以下終端PC1PC2EDR管理平臺(tái)不存在以下終端PC3PC4已安裝EDR客戶端PC1PC2未安裝EDR客戶端PC3PC4已安裝EDR客戶端未安裝EDR客戶端注：內(nèi)網(wǎng)使用終端發(fā)現(xiàn)功能可能會(huì)導(dǎo)致內(nèi)網(wǎng)安全設(shè)備識(shí)別為異常掃描行為，需要提前和客戶溝通功能介紹發(fā)起掃描設(shè)備”可以設(shè)置由EDR管理平臺(tái)發(fā)起掃描，或由已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描（不能是windows客戶端）。如果掃描范圍大，為了增加掃描速度，建議設(shè)置由多個(gè)已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描。功能介紹終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄需求背景信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)已經(jīng)成為國內(nèi)企業(yè)信息安全建設(shè)的標(biāo)準(zhǔn)。國家規(guī)定，有些行業(yè)（如金融、教育、能源、電商等）是有要求自己的信息安全建設(shè)過等保測評(píng)的。等保從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等方面對(duì)信息安全建設(shè)都做了相應(yīng)的規(guī)范要求。如果客戶業(yè)務(wù)系統(tǒng)需要準(zhǔn)備等保測評(píng)，那么業(yè)務(wù)系統(tǒng)當(dāng)前安全狀態(tài)與等保安全要求之間的差距在哪里，需要幫助客戶梳理出來，進(jìn)行整改。EDR的基線檢查功能是根據(jù)三級(jí)等保合規(guī)性要求對(duì)windows和linux系統(tǒng)進(jìn)行合規(guī)性檢查，幫助客戶發(fā)現(xiàn)內(nèi)網(wǎng)不合規(guī)終端及不合規(guī)項(xiàng)，并提供加固整改建議。功能介紹基線檢查能夠?qū)indows和Linux系統(tǒng)的以下5項(xiàng)安全策略進(jìn)行合規(guī)性檢查：功能介紹每項(xiàng)安全策略檢查的具體內(nèi)容如下，檢查到具體內(nèi)容不符合安全性要求時(shí)，則以紅色顯示，始下圖，紅色顯示內(nèi)容為不合規(guī)項(xiàng)。功能介紹基線檢查設(shè)置如下，可以對(duì)指定的終端（windows或linux）進(jìn)行檢查。功能介紹基線檢查的效果如下，列出具體不合規(guī)項(xiàng)，并提供加固文檔。終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄需求背景

當(dāng)被管控的終端出現(xiàn)故障時(shí)，管理員需要遠(yuǎn)程協(xié)助功能對(duì)終端進(jìn)行遠(yuǎn)程控制，快速、安全的響應(yīng)解決終端問題。原理介紹基于遠(yuǎn)程控制開源軟件UltraVNC（分為客戶端和服務(wù)端），EDR客戶端默認(rèn)附帶UltraVNC服務(wù)端程序。通過在EDR管理平臺(tái)發(fā)起遠(yuǎn)程，下載運(yùn)行UltraVNC客戶端程序，輸入被遠(yuǎn)程端的IP、端口以及授權(quán)碼即可實(shí)現(xiàn)遠(yuǎn)程控制。功能介紹遠(yuǎn)程協(xié)助功能當(dāng)前支持WinXPsp3，Win7和Win10系統(tǒng)，下面介紹使用方法策略中心-桌面管控，支持是否需要終端用戶同意功能介紹遠(yuǎn)程協(xié)助功能當(dāng)前支持WinXPsp3，Win7和Win10系統(tǒng)，下面介紹使用方法選中被控制電腦，發(fā)起遠(yuǎn)程協(xié)助功能介紹發(fā)起控制電腦上下載vnc-viewer，如果已下載，跳過此步。被控制電腦接受管理員控制請求，允許控制功能介紹功能介紹生成授權(quán)碼和隨機(jī)端口功能介紹發(fā)起遠(yuǎn)程的電腦通過vnc-viewer輸入被控制電腦IP、端口、授權(quán)碼進(jìn)行遠(yuǎn)程協(xié)助注意事項(xiàng)1、遠(yuǎn)程協(xié)助只支持遠(yuǎn)程端和被遠(yuǎn)程終端網(wǎng)絡(luò)互通的情況下使用，NAT這種場景不支持；2、當(dāng)前只支持WinXPsp3，Win7和Win10系統(tǒng)；3、每次發(fā)起遠(yuǎn)程請求后超過10min沒有遠(yuǎn)程連接，需要重新申請遠(yuǎn)程；4、遠(yuǎn)程連接成功后，持續(xù)斷開超過30s，需要重新申請遠(yuǎn)程才能遠(yuǎn)程成功；5、每次發(fā)起連接的端口和授權(quán)碼是隨機(jī)的，防火墻需放行遠(yuǎn)程協(xié)助接入。終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助總結(jié)EDR策略中心（一）整體了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同終端有哪些安全策略掌握病毒查殺、文件實(shí)時(shí)監(jiān)控策略的配置和使用教學(xué)目標(biāo)客戶選擇EDR是為了給終端提供一套完整的安全解決方案，保護(hù)內(nèi)網(wǎng)服務(wù)器和PC的安全。EDR提供基本策略、病毒查殺、實(shí)時(shí)防護(hù)、安全加固、信任名單和漏洞修復(fù)等安全策略幫助用戶保護(hù)內(nèi)網(wǎng)主機(jī)安全。打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。需求背景病毒查殺文件實(shí)時(shí)監(jiān)控目錄需求背景以勒索軟件為首的惡意軟件讓政企用戶深受其害2019年“網(wǎng)絡(luò)攻擊千千萬勒索病毒占一半”

GandCrab勒索病毒攻擊我國政企內(nèi)網(wǎng)2019-03易到用車核心服務(wù)器被勒索病毒攻擊2019-05著名飛機(jī)零件供應(yīng)商ASCO遭遇勒索病毒攻擊2019-062019-09國內(nèi)某大型建筑設(shè)計(jì)有限公司遭到勒索病毒攻擊分布式團(tuán)隊(duì)作戰(zhàn)按勞分配多勞多得高度專業(yè)化2020年勒索病毒攻擊預(yù)測

企業(yè)

政府單位

醫(yī)療行業(yè)

公共機(jī)構(gòu)目標(biāo)集中化數(shù)據(jù)加密與數(shù)據(jù)竊取雙重攻擊不止于加密對(duì)整個(gè)文件進(jìn)行哈希，基于MD5、SHA1進(jìn)行檢測階段一：哈希運(yùn)算提取病毒特征碼，基于特征庫進(jìn)行檢測階段二：病毒特征碼分析師對(duì)病毒的排查經(jīng)驗(yàn)總結(jié)為自動(dòng)化的檢測程序階段三：啟發(fā)式檢測基于哈希運(yùn)算和病毒特征碼的特點(diǎn)，靜態(tài)特征與病毒需一一對(duì)應(yīng)網(wǎng)絡(luò)空間安全已成國家安全戰(zhàn)略高地人才缺口巨大需要大量專業(yè)安全人才持續(xù)整理從2007年病毒數(shù)量開始爆發(fā)式增長新病毒變種持續(xù)增多，變種成本持續(xù)減小基于病毒特征庫方式進(jìn)行殺毒高級(jí)威脅持續(xù)產(chǎn)生，呈被動(dòng)，后知后覺特點(diǎn)后知后覺本地病毒特征庫有限特征庫數(shù)量與已知病毒樣本不匹配天生受限特征數(shù)量不斷增多加重終端資源以及運(yùn)算成本資源加重依賴云端查殺反饋結(jié)果殺軟依賴云查殺，隔離網(wǎng)環(huán)境檢測能力驟降依賴性大基于AI的檢測技術(shù)可以解決以上問題檢測技術(shù)進(jìn)入第四階段未知威脅層出不窮，傳統(tǒng)特征殺毒趨近失效需求背景功能介紹文件信譽(yù)檢測引擎基因特征檢測引擎行為分析檢測引擎人工智能檢測引擎安全云腦檢測引擎文件信譽(yù)檢測引擎基于本地、全網(wǎng)、安全云腦構(gòu)建文件信譽(yù)庫基因特征檢測引擎基于”小紅傘“引擎構(gòu)建基因特征識(shí)別庫速度快，準(zhǔn)確率高，誤殺操作少行為分析檢測引擎虛擬沙盒、引擎和操作系統(tǒng)環(huán)境仿真解析惡意代碼本質(zhì)人工智能檢測引擎利用深度學(xué)習(xí)訓(xùn)練數(shù)千維度的算法模型持續(xù)學(xué)習(xí)，自我成長無特征檢測技術(shù)安全云腦檢測引擎使用大數(shù)據(jù)分析平臺(tái)，基于多維威脅情報(bào)秒級(jí)響應(yīng)檢測結(jié)果基于AI多維度智能檢測引擎功能介紹文件信譽(yù)檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級(jí)信譽(yù)檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機(jī)制：本地緩存信譽(yù)檢測：對(duì)終端主機(jī)本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測未知文件。全網(wǎng)信譽(yù)檢測：在管理平臺(tái)上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫，對(duì)單臺(tái)終端上的文件檢測結(jié)果匯總到平臺(tái)，做到一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測重點(diǎn)落到對(duì)未知文件的分析上，減少對(duì)已知文件重復(fù)檢測的資源開消。功能介紹基因特征檢測引擎

深信服EDR的安全運(yùn)營團(tuán)隊(duì)，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運(yùn)營，對(duì)熱點(diǎn)事件的病毒家族進(jìn)行基因特征的提取，洞見威脅本質(zhì)，使之能應(yīng)對(duì)檢測出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識(shí)別更精準(zhǔn)。功能介紹人工智能檢測引擎SAVE勒索病毒PE文件結(jié)構(gòu)原始特征(字節(jié)級(jí)特征)IP、端口、注冊表鍵值、匯編指令等基于語義的特征構(gòu)建高層次特征（提取本質(zhì)行為）網(wǎng)絡(luò)連接測試、文件加密、寫入注冊表、自啟動(dòng)特征篩選（降維）高質(zhì)量特征（提取對(duì)判斷是否是病毒最有效的特征）分類模型（訓(xùn)練/預(yù)測）黑/白………文件加密、自啟動(dòng)SAVE引擎能夠分析高層次特征的影響，從而調(diào)整和優(yōu)化分類模型泛化檢測能力通過對(duì)某一類病毒高維特征提取泛化檢測具有相同高維特征的數(shù)百類病毒功能介紹人工智能檢測引擎SAVE相比基于病毒特征庫的傳統(tǒng)檢測引擎，SAVE的主要優(yōu)勢有：強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識(shí)別新出現(xiàn)的未知病毒；對(duì)勒索病毒檢測達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動(dòng)，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測能力，從而形成本地傳統(tǒng)引擎、人工智能檢測引擎和云端查殺引擎的完美結(jié)合。功能介紹行為分析檢測引擎

傳統(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測方式，對(duì)于加密和混淆等代碼級(jí)惡意對(duì)抗，輕易就被繞過。而基于行為的檢測技術(shù)，實(shí)際上是讓可執(zhí)行程序運(yùn)行起來，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過對(duì)行為鏈的分析而檢測出威脅。因此，不管使用哪種加密或混淆方法，都無法繞過檢測。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測完畢即被無痕清除，不會(huì)真正影響到系統(tǒng)環(huán)境。功能介紹安全云腦檢測引擎

針對(duì)最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進(jìn)行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺(tái)，基于多維威脅情報(bào)、云端沙箱技術(shù)、多引擎擴(kuò)展的檢測技術(shù)等，秒級(jí)響應(yīng)未知文件的檢測結(jié)果。配置步驟配置病毒查殺策略下發(fā)病毒查殺掃描對(duì)病毒查殺結(jié)果進(jìn)行處置配置思路病毒查殺策略打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。配置介紹配置介紹病毒查殺策略配置介紹病毒查殺策略病毒查殺發(fā)現(xiàn)威脅文件后的三種處理動(dòng)作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對(duì)威脅文件進(jìn)行處置（確認(rèn)是病毒的自動(dòng)隔離，可疑病毒的僅上報(bào)不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場景，可能會(huì)存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報(bào)不處置：適用于有人值守且用戶了解如何處置病毒的場景，需要人工分析上報(bào)的威脅日志進(jìn)行處理。EDR檢測的所有威脅文件僅上報(bào)安全日志，不隔離。掃描引擎默認(rèn)沒有啟用行為引擎，如果電腦配置在CPU4核、內(nèi)存4G以上可以啟用所有引擎，低于此配置，建議保留默認(rèn)配置?！伴_啟高啟發(fā)式掃描”后會(huì)提高病毒檢出率，但也會(huì)增加誤判，此配置項(xiàng)在多家廠商PK測試病毒檢測率時(shí)使用，非此場景慎用。配置介紹病毒檢測通過管理端下發(fā)查殺任務(wù)，選中需要查殺的終端，可以下發(fā)快速查殺或全盤查殺，如下圖。配置介紹病毒檢測通過EDR客戶端也可以對(duì)這臺(tái)終端進(jìn)行查殺毒掃描，如下圖。配置介紹病毒處置如果病毒查殺策略設(shè)置發(fā)現(xiàn)惡意文件的處置動(dòng)作為“標(biāo)準(zhǔn)處置”或“僅上報(bào)，不處置”，則病毒查殺發(fā)現(xiàn)的威脅文件（未自動(dòng)隔離的）可以由人工進(jìn)行“處置”、“信任”和“忽略”處理，如下圖。處置：對(duì)感染性病毒、宏病毒文件先進(jìn)行修復(fù)，無法修復(fù)再進(jìn)行隔離處理；其它類型病毒直接隔離。信任：如果檢測出的威脅為正常文件，則可以添加為可信任。忽略：如果威脅在終端已自行處理，管理端不需要顯示威脅日志，則可以設(shè)置為忽略。威脅分析：接入深信服安全中心，對(duì)威脅事件詳細(xì)分析，進(jìn)一步判斷威脅文件影響。案例背景某項(xiàng)目同時(shí)有安全廠商A、安全廠商B、深信服EDR三家廠商參與，客戶關(guān)注安全軟件對(duì)病毒的檢出能力，這種場景下，我們?nèi)绾螠y試才能體現(xiàn)我們產(chǎn)品的檢測能力。使用案例準(zhǔn)備工作版本確認(rèn)確認(rèn)當(dāng)前EDR的版本為3.2.16及以后版本樣本提供

測試前需要確認(rèn)測試樣本如何提供，需提前準(zhǔn)備好測試樣本，一般有以下幾種方式：我司提供樣本友商提供樣本客戶提供樣本我司、友商、客戶各提供1/3樣本使用案例測試方法1、設(shè)置病毒查殺策略打開EDR【終端管理】->【策略管理】，按如下圖設(shè)置病毒查殺策略使用案例測試方法2、確認(rèn)配置生效完成上述配置后，右鍵點(diǎn)擊終端Agent托盤圖標(biāo)，如下圖，說明當(dāng)前查殺處于高啟發(fā)式掃描”模式。3、對(duì)比查殺使用EDR客戶端自定義查殺對(duì)病毒樣本查行掃描查殺，對(duì)比不同廠商的檢出率。使用案例注意事項(xiàng)通過管理端下發(fā)快速查殺任務(wù)，只對(duì)以下目錄生效，所以在測試快速查殺時(shí)，樣本需要放在以下目錄：Linux快速查殺目錄：Linux快掃目錄/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查殺目錄：/windows和/windows/system32本級(jí)目錄，/windows/system32/drivers目錄和其子目錄殺毒掃描模式有“極速”、“均衡”和“低耗”三種模式，區(qū)別如下，建議使用“均衡”模式，不會(huì)因?yàn)橘Y源占用影響客戶業(yè)務(wù)。極速：全速掃描、不限制掃描軟件自身的CPU占用率；均衡：掃描速度和CPU占用率達(dá)到一定平衡，限制CPU占用率不超過30%；低耗：掃描時(shí)盡量少占用CPU資源，限制CPU占用率不超過10%。病毒查殺文件實(shí)時(shí)監(jiān)控目錄需求背景為了保護(hù)業(yè)務(wù)安全，不僅要做到威脅發(fā)生后對(duì)威脅事件的及時(shí)檢測與響應(yīng)，更需要在威脅發(fā)生前進(jìn)行相應(yīng)預(yù)防和威脅發(fā)生的過程中做好相應(yīng)的防護(hù)策略。這樣才能在保護(hù)業(yè)務(wù)安全方面提供事前預(yù)防、事中防護(hù)、事后檢測和響應(yīng)的閉環(huán)解決方案。此次培訓(xùn)主要介紹在事中防護(hù)階段文件實(shí)時(shí)監(jiān)控如何保護(hù)業(yè)務(wù)安全。功能介紹文件實(shí)時(shí)監(jiān)控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實(shí)時(shí)監(jiān)控電腦上文件寫入、讀取和執(zhí)行操作，當(dāng)檢測到威脅文件寫入、讀取、執(zhí)行時(shí)，立即阻斷相關(guān)操作，并進(jìn)行告警。防止威脅文件落地、并進(jìn)一步執(zhí)行，從而保護(hù)業(yè)務(wù)安全。原理介紹文件實(shí)時(shí)監(jiān)控通過SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實(shí)時(shí)檢測文件并判定為黑白，流程圖如右圖。對(duì)WindowsServer和WindowsPC所在組啟用文件實(shí)時(shí)監(jiān)控策略。配置介紹配置介紹打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組實(shí)時(shí)防護(hù)設(shè)置。配置介紹防護(hù)級(jí)別高：監(jiān)控文件打開、執(zhí)行、落地動(dòng)作中：監(jiān)控文件執(zhí)行、落地動(dòng)作低：監(jiān)控文件執(zhí)行動(dòng)作掃描引擎電腦性能足夠，掃描引擎可以全開；性能不足，建議關(guān)閉基因特征引擎配置介紹發(fā)現(xiàn)惡意文件后的處置動(dòng)作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對(duì)威脅文件進(jìn)行處置（確認(rèn)是病毒的自動(dòng)隔離，可疑病毒的僅上報(bào)不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場景，可能會(huì)存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報(bào)不處置：適用于有人值守且用戶了解如何處置病毒的場景，需要人工分析上報(bào)的威脅日志進(jìn)行處理。EDR檢測的所有威脅文件僅上報(bào)安全日志，不隔離。配置介紹啟用文件實(shí)時(shí)監(jiān)控后，當(dāng)檢測到存在威脅文件時(shí)，會(huì)彈框告警發(fā)現(xiàn)惡意文件的告警。注意事項(xiàng)1、啟用文件實(shí)時(shí)監(jiān)控策略時(shí)，注意，右側(cè)鎖圖標(biāo)需要點(diǎn)亮，管理端的策略才能夠下發(fā)到終端，如下圖：2、文件實(shí)時(shí)監(jiān)控策略只對(duì)Windows終端生效，對(duì)其它終端不生效。病毒查殺文件實(shí)時(shí)監(jiān)控總結(jié)EDR微隔離掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實(shí)際場景中能夠指導(dǎo)客戶如何使用掌握EDR基線檢查功能使用教學(xué)目標(biāo)需求背景原理簡介微隔離使用目錄需求背景客戶端與業(yè)務(wù)服務(wù)器、服務(wù)器與服務(wù)器之間訪問關(guān)系復(fù)雜，無法看清之間的訪問關(guān)系、無法基于訪問關(guān)系配置訪問控制策略，從而給服務(wù)器安全帶來隱患，加大安全管理難度。微隔離是一種集中化的流量識(shí)別和管理技術(shù)。

在東西向訪問關(guān)系控制上，能夠基于訪問關(guān)系進(jìn)行訪問控制策略配置，集中統(tǒng)一管理服務(wù)器的訪問控制策略，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)。

在訪問關(guān)系可視化中，采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問關(guān)系展示以及訪問記錄。訪問關(guān)系控制

在東西向訪問關(guān)系控制上，優(yōu)先對(duì)所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對(duì)業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對(duì)不同應(yīng)用角色之間服務(wù)訪問進(jìn)行訪問控制配置，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級(jí)主機(jī)Agent軟件的訪問控制，不受虛擬化平臺(tái)的影響，不受物理機(jī)器和虛擬機(jī)器的影響。

在訪問關(guān)系可視化中，采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問關(guān)系展示以及訪問記錄。訪問關(guān)系可視化需求背景原理簡介微隔離使用目錄原理簡介微隔離使用Windows防火墻WFP和Linux防火墻iptables進(jìn)行訪問流量控制和上報(bào)的。

如下圖為微隔離整體流程圖，先在MGR下發(fā)微隔離策略，此時(shí)終端會(huì)根據(jù)配置的微隔離策略設(shè)置終端電腦防火墻規(guī)則。當(dāng)終端發(fā)送請求時(shí)，系統(tǒng)會(huì)根據(jù)要訪問的IP地址、端口、協(xié)議等來解析請求，然后與防火墻規(guī)則進(jìn)行匹配，允許則放通，不允許則直接丟棄。設(shè)置微隔離策略下發(fā)微隔離策略消除原有規(guī)則消除原有規(guī)則根據(jù)微隔離策略設(shè)置防火墻根據(jù)微隔離策略設(shè)置防火墻MGR數(shù)據(jù)庫agent1agentNagent1的防火墻agent1的防火墻agent1agent1的防火墻分析此次請求要請求的地址、端口、協(xié)議防火墻規(guī)則是否符合防火墻規(guī)則否是agent2agent2的防火墻原理簡介需求背景原理簡介微隔離使用目錄微隔離使用此章節(jié)我們先介紹微隔離整體配置思路，再以“防止感染病毒蔓延場景”舉例說明微隔離如何使用及使用效果。配置思路完成微隔離的配置需要以下四個(gè)步驟：1.業(yè)務(wù)系統(tǒng)梳理根據(jù)客戶需求梳理客戶業(yè)務(wù)系統(tǒng)/IP/角色/服務(wù)及各對(duì)象之間的訪問關(guān)系，為后面的微隔策略做準(zhǔn)備。2.定義對(duì)象根據(jù)第1步梳理的內(nèi)容，定義業(yè)務(wù)系統(tǒng)/IP組/服務(wù)等對(duì)象，為微隔離策略調(diào)用。3.配置微隔離策略根據(jù)第1步梳理的訪問關(guān)系和第3步定義的業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，配置微隔離策略。4.效果驗(yàn)證微隔離使用案例——防止感染病毒蔓延場景場景說明需求描述：在用戶區(qū)出現(xiàn)了勒索病毒時(shí)，勒索病毒將會(huì)作用135、136、137、139、445以及3389進(jìn)行傳播，在不能即時(shí)查殺時(shí)，可使用微隔離，對(duì)所有的終端（PC，服務(wù)器）進(jìn)行端口封堵。預(yù)期效果：所有的終端之間不能相互訪問共享服務(wù)端口以及遠(yuǎn)程桌面端口。配置步驟1.業(yè)務(wù)系統(tǒng)梳理根據(jù)場景說明梳理業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，及訪問關(guān)系，如下表：對(duì)象業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)名稱終端組包括的終端所有終端-ALL用戶區(qū)1、用戶區(qū)2、用戶區(qū)3、服務(wù)區(qū)1、服務(wù)區(qū)2pc1、pc2...server1、server2...IP組IP組名稱IP地址范圍IP組類型辦公終端172.16.200-54內(nèi)網(wǎng)服務(wù)（只需要梳理自定義策略）服務(wù)名稱協(xié)議類型端口流量類型smbTCP135、136、137、139、445業(yè)務(wù)流量rtptcp3389運(yùn)維流量對(duì)象間訪問關(guān)系訪問關(guān)系源目標(biāo)服務(wù)動(dòng)作IP組：默認(rèn)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)：所有終端-ALLsmb、rtp拒絕案例——防止感染病毒蔓延場景配置步驟2.定義對(duì)象（1）配置業(yè)務(wù)系統(tǒng)，所有終端匹配到業(yè)務(wù)系統(tǒng)中，如下圖：案例——防止感染病毒蔓延場景配置步驟2.定義對(duì)象（2）配置服務(wù)，包括需要禁止訪問的共享端口（135、136、137、139、445）端口。遠(yuǎn)程桌面端口平臺(tái)內(nèi)置調(diào)用即可，如下圖：案例——防止感染病毒蔓延場景配置步驟3.配置微隔離策略拒絕內(nèi)網(wǎng)終端之間所有共享端口訪問，如下圖：案例——防止感染病毒蔓延場景配置步驟3.配置微隔離策略打開微隔離策略開關(guān)，下發(fā)策略配置，如下圖：配置完成后，策略如下，從上到下匹配。案例——防止感染病毒蔓延場景配置步驟4.效果驗(yàn)證微隔離策略生效后，內(nèi)網(wǎng)終端之間相互telnet共享端口及3389端口，均無法連通。如果特殊電腦需要進(jìn)行遠(yuǎn)程桌面維護(hù)，需要對(duì)這臺(tái)電腦單獨(dú)配置放行3389的微隔離策略。案例——防止感染病毒蔓延場景微隔離使用——流量可視開啟“流量上報(bào)”，可以查看業(yè)務(wù)系統(tǒng)流量訪問情況，包括已放通流量和未放通流量。幫助用戶梳理業(yè)務(wù)系統(tǒng)訪問關(guān)系及業(yè)務(wù)系統(tǒng)狀態(tài)，如下圖：微隔離使用——流量可視微隔離使用——日志查詢流量圖中單擊具體服務(wù)器，可以查看服務(wù)器流量狀態(tài)及訪問記錄，如下圖：需求背景原理簡介微隔離使用總結(jié)安全感知功能說明-資產(chǎn)和報(bào)告中心了解資產(chǎn)中心的資產(chǎn)感知和脆弱性感知了解報(bào)告中心的安全風(fēng)險(xiǎn)報(bào)告和安全告警熟悉聯(lián)動(dòng)響應(yīng)的方式教學(xué)目標(biāo)資產(chǎn)中心報(bào)告中心聯(lián)動(dòng)響應(yīng)目錄資產(chǎn)中心資產(chǎn)感知資產(chǎn)識(shí)別目是STA探針產(chǎn)品的一個(gè)重要功能，目的旨在幫助用戶梳理資產(chǎn)，識(shí)別風(fēng)險(xiǎn)資產(chǎn)（如影子資產(chǎn)），為攻擊檢測提供輔助等。目前探針主要使用被動(dòng)識(shí)別以及主動(dòng)識(shí)別進(jìn)行資產(chǎn)識(shí)別，被動(dòng)識(shí)別主要根據(jù)網(wǎng)絡(luò)流量鏡像到探針，探針根據(jù)鏡像流量進(jìn)行內(nèi)網(wǎng)識(shí)別，內(nèi)網(wǎng)資產(chǎn)梳理；主動(dòng)識(shí)別是探針進(jìn)行發(fā)包主動(dòng)探測內(nèi)網(wǎng)資產(chǎn)，再進(jìn)行數(shù)據(jù)匯總與分析。平臺(tái)識(shí)別到的資產(chǎn)將定義為內(nèi)網(wǎng)資產(chǎn)，在為后續(xù)識(shí)別橫向、外連、外部威脅或訪問關(guān)系定義方向，需要事先定義好內(nèi)部IP組或者分支IP范圍。資產(chǎn)中心資產(chǎn)感知界面資產(chǎn)中心資產(chǎn)感知----受監(jiān)控內(nèi)部IP組定義內(nèi)網(wǎng)的受監(jiān)控IP范圍，用于平臺(tái)更精準(zhǔn)的識(shí)別出內(nèi)網(wǎng)資產(chǎn)，當(dāng)出現(xiàn)需要修改IP歸屬地時(shí)，也可以使用互聯(lián)單位IP功能進(jìn)行配置。資產(chǎn)中心資產(chǎn)感知----業(yè)務(wù)/服務(wù)器業(yè)務(wù)/服務(wù)器與終端，是在配置完成受監(jiān)控內(nèi)部IP組后，對(duì)應(yīng)IP范圍的IP按照IP屬性會(huì)自動(dòng)匹配到業(yè)務(wù)或者終端中。資產(chǎn)中心資產(chǎn)感知----分支當(dāng)用戶有分支單位時(shí)，可以通過IP范圍以及設(shè)備模式配置分支信息。資產(chǎn)中心資產(chǎn)感知----安全域安全域是將內(nèi)網(wǎng)劃分為多個(gè)區(qū)域，檢測每個(gè)區(qū)域的安全情況，用于分析區(qū)域的安全狀況，加強(qiáng)薄弱區(qū)域的安全建設(shè)。資產(chǎn)中心脆弱性感知脆弱性總覽：平臺(tái)可以通過STA/AF/云眼/云鏡以及第三方設(shè)備識(shí)別出來的漏洞，收集上來進(jìn)行匯總展示。資產(chǎn)中心脆弱性感知----弱密碼弱密碼/web明文傳輸，可以檢測出當(dāng)前網(wǎng)絡(luò)中使用的弱密碼，以及web業(yè)務(wù)使用http協(xié)議將用戶名/密碼通過明文進(jìn)行傳輸。資產(chǎn)中心脆弱性感知----配置風(fēng)險(xiǎn)SIP可通過流量檢測到當(dāng)前業(yè)務(wù)系統(tǒng)開放的風(fēng)險(xiǎn)端口以及授權(quán)配置不當(dāng)?shù)那闆r。資產(chǎn)中心報(bào)告中心聯(lián)動(dòng)響應(yīng)目錄報(bào)告中心報(bào)告中心包括兩部分：安全風(fēng)險(xiǎn)報(bào)告：包括自動(dòng)生成的預(yù)設(shè)報(bào)告以及手動(dòng)導(dǎo)出的報(bào)告，也可以訂閱報(bào)告，用于匯報(bào)，安全運(yùn)維等方面。安全告警：當(dāng)檢測到安全事件時(shí)，會(huì)通過郵件或者短信的方式發(fā)送告警信息給管理員。報(bào)告中心安全告警配置策略后，當(dāng)平臺(tái)檢測到對(duì)應(yīng)的安全事件，可向管理員發(fā)送告警郵箱或短信。資產(chǎn)中心報(bào)告中心聯(lián)動(dòng)響應(yīng)目錄聯(lián)動(dòng)響應(yīng)聯(lián)動(dòng)響應(yīng)功能的引入：

大家都知道SIP只做為安全事件的檢測，無法對(duì)檢測到的安全問題進(jìn)行閉環(huán)。當(dāng)前的兩類安全問題閉環(huán)方式。1、MDR服務(wù)，通過購買安全服務(wù)，由安服人員對(duì)安全問題進(jìn)行處置閉環(huán)（培訓(xùn)中不進(jìn)行說明）。2、通過與深信服其它產(chǎn)品進(jìn)行聯(lián)動(dòng)，如AF/EDR等，在SIP上下發(fā)策略對(duì)問題進(jìn)行處置閉環(huán)。聯(lián)動(dòng)響應(yīng)分為三部分1、紅線：服務(wù)器發(fā)起威脅訪問，被AF或者STA審計(jì)到。2、綠線：AF或者STA將審計(jì)到的威脅訪問日志上傳到SIP，SIP上進(jìn)行安全事件分析，識(shí)別到服務(wù)器存在風(fēng)險(xiǎn)。3、黃線：SIP上下發(fā)聯(lián)動(dòng)策略到AF，通過AF的聯(lián)動(dòng)封鎖對(duì)存在威脅的服務(wù)器進(jìn)行攔截，減少威脅。EDR與AF數(shù)據(jù)流程類似。聯(lián)動(dòng)響應(yīng)聯(lián)動(dòng)端口使用說明AC版本SIP版本功能實(shí)現(xiàn)方式端口AC11_XSIP2.5.8及以上版本同步用戶信息端口固定為1775、協(xié)議為UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本聯(lián)動(dòng)：彈窗提醒、凍結(jié)賬號(hào)https協(xié)議7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本聯(lián)動(dòng)：彈窗提醒優(yōu)化（新增批量上網(wǎng)提醒、新增可配自動(dòng)上網(wǎng)提醒）https協(xié)議7433AC12.0.7以及以上SIP3.0.30及以上版本聯(lián)動(dòng)：上網(wǎng)提醒、凍結(jié)賬號(hào)https協(xié)議9998AC12.04以及以上SIP3.0.39及以上版本聯(lián)動(dòng)：AC對(duì)接SIP心跳https協(xié)議SIP:7443AF版本SIP版本功能實(shí)現(xiàn)方式端口AF7.3.0SIP2.3及以上版本同步日志：同步安全日志https協(xié)議4430AF7.5.0SIP2.5.3及以上版本同步日志：同步安全日志https協(xié)議4430SIP2.5.8及以上版本聯(lián)動(dòng)：封鎖聯(lián)動(dòng)https協(xié)議7743AF8.0.2SIP3.0.2及以上版本同步日志：同步流量審計(jì)日志、同步cpu，內(nèi)存，磁盤網(wǎng)口流量，日志上報(bào)認(rèn)證https協(xié)議4430AF8.0.2、AF8.0.5、AF8.0.6打上對(duì)應(yīng)的定制包SIP3.0.2及以上版本聯(lián)動(dòng)：聯(lián)動(dòng)應(yīng)用控制策略https協(xié)議7743AF8.0.8正式版本SIP3.0.2及以上版本聯(lián)動(dòng)：聯(lián)動(dòng)應(yīng)用控制策略https協(xié)議7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志：同步blob類型日志https協(xié)議4430聯(lián)動(dòng)響應(yīng)聯(lián)動(dòng)端口使用說明EDR支持版本SIP支持版本功能實(shí)現(xiàn)方式端口EDR2.0SIP2.5.8以及以上同步日志包括：wellshell日志爆破日志僵尸網(wǎng)絡(luò)日志微隔離日志HTTPS請求7443EDR3.0.2SIP3.0.2以及以上同步日志包括：殺毒日志HTTPS請求7443SIP3.0.2以及以上聯(lián)動(dòng)：主機(jī)隔離禁止出站禁止入站HTTPS請求443EDR3.2.9SIP3.0.18以及以上聯(lián)動(dòng)：同步主機(jī)信息