深信服智安全 SCSA---3
MTU:最大传输单元=1500
TTL:生存时间,最大值255
windows:128
Linux:64
数据帧格式:type:
0X0800 IP
0X0806 ARP
MAC地址表的保留时间:5分钟(五分钟没有被用到,就会自动删除)
ARP:
ARP请求
ARP代理
免费ARP
MAC地址表的保留时间五分钟
Unix中ARP缓存表老化时间:20分钟
Windows中ARP缓存表老化时间:2分钟为20分钟
路由器中ARP缓存表老化时间:1--1440分钟 缺省
广播包无法通过路由器
VLAN标记:
通过802.1Q协议做VLAN标记
STP生成树解决交换机环路问题
IKE的A阶段用UDP做封装,并且原目端口基本500
TCP网关状态好
UDP网络状态差
信息安全五要素:
保密性
完整性
可用性
可控性
不可否认性
常见的对称加密算法:
RC
AES
DES/3DES
IDEA
VPN:
按业务类型分类:
Client-LAN VPN 适合初查在外的员工与公司的通信
LAN-LAN VPN 适合企业、分支企业间的通信
按网络层次分类:
SSL VPN 应用层
Sangfor VPN 传输层
IP Sec、 GRE 网络层
L2F/L2TP、pptp 网络接口处
VPN常用技术:
隧道技术
加解密技术
身份验证技术
数据认证技术
密钥管理技术
PKI:是一种遵循标准的利用非对称加密技术的一套安全基础平台的技术和规范
采用证书管理公钥,通过CA认证中心,在互联网上验证用户身份
CA证书的作用:
签发证书
规定证书的有效期
发布证书废除列表(LRC)
对证书和密钥进行管理
数字证书包含:
用户身份信息
用户公钥信息
身份验证机构数字签名的数据
IPSec VPN:
是一组基于网络层的,应用密码学的安全通信协议簇
即提供隧道也提供加密的技术
隧道模式:既可以提供隧道,也可以提供加密
传输模式:仅提供加密技术
机密性:所采用的加密算法,比如对称加密算法和非对称加密算法
完整性:完整性校验算法,比如哈希算法
数据源鉴别:认证方式,比如预共享和证书认证
重传保护:通过随机数(序号)实现
不可否认性:采用非对称加密算法实现:私钥加密公钥解密
IPSec协议框架:
两种工作模式:
传输模式:没有隧道,只提供安全
隧道模式:即有隧道,又提供安全
两种通信协议:
ESP:提供加密和鉴别算法----跨越公网环境
AH:提供仅鉴别算法----内网传输
密钥交换管理协议(IKE):
阶段一:主模式(6个包)
野蛮模式(3个包)
阶段二:
快速模式
两个数据库:
安全关联数据库(IKE SA)---第一阶段形成
(IPSec SA)----第二阶段
安全策略数据库
传输模式:
主要应用场景:主机到主机、端到端的通信
封装方式:在原始IP和数据之间插入IPSec包头,保护数据部分
隧道模式:
主要应用场景:用于私网与私网之间站到站的通信
封装方式:在原始数据和IP包之前加上隧道头,保护原始数据和IP头
AH在传输模式下的封装:
在原始IP和数据之间插入AH包头,对原始数据和包头做认证
AH在隧道模式下的封装:
在原始IP和数据之前插入AH包头,对所有头做认证
ESP:只认证ESP头包裹的部分
SA安全联盟
IKE的作用:
为IPSec通信双方协商,建立安全联盟
生成密钥
安全联盟SA:
通过三元组标识:安全参数索引、目的IP地址、安全协议号
安全参数:
加密算法
认证方式
哈希算法
DH强度值
密钥交换时间
IKE协商阶段1
五个安全参数:
加密方式
认证算法
哈希算法
DH强度值
密钥交换时间
主模式:6个数据包
野蛮模式:3个数据包
IKE协商阶段会出现3种:2个单项SA,一个双向SA
IKE做协商时时基于UDP协议,源目端口号:500
IKE协商时,IPSec VPN和SngForVPN默认开启野蛮模式,不可修改,但是其他厂家可能支持手动更改模式
SANGFOR 相比IPSec VPN的优势:
支持两端都为非固定公网环境---通过webbagent实现
更细的权限颗粒度
线路宽带叠加技术
SANGFOR 相比IPSec VPN的特殊场景:
更细的权限颗粒度
隧道间路由技术--实现分支通过总部上网
隧道间NAT技术,解决多个分支网段IP冲突的问题
SANGFOR 设备之间要能正常互联VPN,至少保证一端为直连
sangforVPN的建立条件:
总部需要有足够的权限,当与第三方对接时,需要做授权
至少一端在公网课访问,即“可寻址”或固定公网IP
建立VPN两端两端的内网地址不能冲突
建立VPN两端版本要匹配。 V4既能和V4匹配也能和V5匹配,V2只能和V2匹配
sangforVPN建立过程:
寻址
认证
策略
Sangfor VPN的优势(与IPSec VPN相比):
支持两端都为非固定IP的公网环境--通过webbagent实现
更细致的权限颗粒度
线路带宽叠加技术
webagent工作原理:
分支和移动用户寻找总部IP的手段,寻址过程中,所有信息使用DES加密
VPNTun接口:VPN数据的虚拟路由口,用来引导数据发往VPN隧道,从而封装报文
sangforVPN 应用场景:
1.总部只允许分支网络的PC访问总部WEB服务器的80端口
VPN内网权限设置----两端都会收到限制
防火墙过滤规则----更细化的控制
2.实现分支间的互相访问
在分支网络设备中配置隧道见路由
3.总部要求分支通过总部上网,实现对分支上网行为的审计
在分支网络设备中配置隧道见路由
4.分支地址冲突
配置隧道内NAT实现
Sangfor PALAN:
PALAN接入,总部必须配置虚拟IP地址池
总部新建账号时,类型必须设置为移动
Sangfor PALAN 是windows客户端软件
Sangfor SSL VPN 中的TCP资源支持BS、CS架构的32为基于tcp协议的应用
Sangfor SSL VPN 配置网关模式,配置代理上网SNAT
上网行为管理:
上网行为管理:用户和终端、应用和人内容、流量
上网行为的审计:
记录内网用户上网的行为,一旦发生网络违法违规事件可作为追查证据
统计用户上网时间、应用流量、应用分布等,为企业决策提供依据
记录内网安全时间,帮助管理员发现安全威胁
设备的登录:
eth0(LAN):10.251.251.251/24
eth1(DMZ):10.252.252.252/24
保留地址:
通过升级工具获取设备IP,登录设备
eth0(LAN):128.127.125.252/29 电脑端:128.127.125.153/29
eth1(DMZ):128.128.125.252/29 电脑端:128.128.125.253/29
设备的部署模式:
AC设备:路由、网桥、旁路部署模式
SG设备:路由、网桥、旁路、单臂部署模式
路由模式部署时有lan和dmz保留地址,网桥模式为br0和dmz保留地址,旁路模式为管理口保留地址
路由模式:
路由模式下支持AC所有的功能
需要使用NAT、VPN 、DHCP功能时,AC必须配置路由模式
问题:内网用户需要上网时,需要配置什么
NAT、内网、外网地址和路由
网桥模式:对网络没有基本的改动,AC相当于透明模式
网不支持NAT(代理上网和端口映射)、VPN、DHCP功能
旁路模式:
相当于一台主机,完全不会改变用户的网络环境
主要用于上网行为的模式审计
只能对TCP应用做监控,实现较弱的控制,UDP不支持
不支持流量管理、NAT、VPN、DHCP功能
应用控制技术:
1.应用特征识别:
传统行为检测原理: 五元组:源目端口、源目IP、协议
深度行为检测:依据数据包五元组、数据内容(应用层)做识别
分类:深度包检测技术、深度流检测技术
深度包检测技术:基于“特征字”的检测技术:
基于应用网关的检测技术
基于行为模式的检测技术
2.应用控制技术:
流量整形技术
连接干扰(TCP)信令干扰(UDP)
3.流量组网模式:
直连串联流控模式
旁路干扰流控技术:
TCP截断
TCP降速
UDP截断
UDP降速
防共享技术:
1.ID轨迹检测技术
特点:
1.较准确地判断出是否共享上网
2.较准确地判断出在线共享上网主机数
3.完全被动监听,不发送检测消息
2.时钟偏移检测技术:
特点:
1.非常准确的判断出是否为共享上网用户
2.较准确的判断出共享上网的主机数
1.深信服DPI检测技术
通过抓包分析数据包携带电脑网卡的IP地址来判断是否存在共享行为
2.深信服字体检测技术
通过识别PC的flash插件的字体信息判断是存在共享上网行为
3.深信服辅助检测技术
URL检测技术:通过URL特征字符串判断
微信特征ID检测:通过数据包固定便宜位置存在的二进制数判断
SOCKS代理原理:
sock5协议没有规定加密,明文传输。可以搭配SSL加密
上网行为管理的三要素:
用户和终端
应用和内容
流量
用户认证的目的:
确立上网用户身份
提该信息作为用户标识,随用户上网进行控股及审计
获取用户上网信息,为企业营销提供高质量营销对象
防火墙的种类:
包过滤
应用代理
状态检测
MTU
下一代防火墙
防火墙的性能指标:
吞吐量
时延
丢包率
背靠背
并发连接数
并发连接数
下一代防火墙防火墙部署模式:
路由模式
透明模式
虚拟网线模式
混合模式
旁路模式
路由优先级:
VPN路由>静态路由>策略路由>默认路由
终端安全检测技术和防御技术
基于7层应用的深度数据包检测可实现终端安全可控
非法应用-----禁止
可疑应用-----允许访问,但需要进行IPS扫描
合法应用-----允许访问,需要保证和限制带宽
基于应用的控制策略----数据包特征过滤
基于服务的控制策略----数据包五元组
常见的dos攻击手段:
syn flood
icmp flood
dns flood
udp flood
畸形数据包攻击
CC攻击
慢速攻击
防御dos攻击
syn代理
SSL VPN:
SSL VPN一般采用插件系统支持各种TCP和UDP的非WEB应用,使得SS VPN真正称得上是一种VPN
SSL协议主要通过三个协议实现:
SSL握手协议
SSL修改密文协议
SSL报警协议
SSL握手协议采用非对称加密算法(公钥加密算法)协商出会话密钥,后续使用此会话密钥进行加解密(堆成加密算法)速度和效率大大提示
使用CA认证完成密钥传输
组网模式:
网关模式:用户需要将SSL VPN作为网络出口设备,满足内网用户上网,同时,实现外网用户通过SSL VPN访问内网资源
单臂模式:不会改动原有网络的拓扑
配置:配置LAN口IP地址、DNS
前置网关做TCP 443和80端口映射
用户认证技术:
用户名、密码
硬件特征码
短信认证
口袋认证
口袋助理
UKey认证
动态令牌认证
CA认证
LDAP
RADIUS
移动接入身份认证技术:
本地账户认证技术
数字证书认证技术
LDAP认证技术
硬件特征码认证技术
SSL VPN远程接入的服务类型:
WEB
TCP(需要安装Proxy控件)
L3VPN(需要安装虚拟网卡,即客户端)支持TCP、UDP、ICMP协议
远程应用(需要安装客户端)
移动接入:
主流远程接入方式:
基于互联网接入
基于专线接入
基于VPN接入
实时漏洞分析功能不支持集中管理
实时漏洞分析功能仅支持TCP协议,不支持·udp、dns
实时漏洞分析功能对ftp与http支持任意端口识别,其他服务仅支持标准协议 mysql、ssh
实时漏洞分析需要通过多功能序列号开启
实时漏洞分析不干预数据转发流程,不发reset包
实时漏洞分析识别库下的规则无拒绝动作
问选路,不支持htt
多线路选路功能需要通过http访ps触发自动选路
关于用户注销:
DKEY用户无法手动强制注销
可以通过无流量自动注销所有用户
密码认证的用户可以被手动强制注销
移动端识别检验机制:
URL识别
应用规则识别
UA识别
CIA三原则:
可用性
完整性
机密性
NGAF所实现的功能:
防止WEB服务器遭遇XSS攻击
防止WEB服务器遭口令暴力破解
隐藏FTP服务器的版本信息
针对FTP服务器不支持出错页面
普通的防火墙一般具有DOS攻击防护能力
AC服务与端口的对应关系:
Sangfor Firmware Update连接设备51111端口
设备http密码认证服务端口80
设备同步日志到外部数据中心端口810(tcp810同步数据、udp810同步命令)
关于硬件特征码的描述:
多个用户可以对应一个硬件特征码
一个用户可以对应多个硬件特征码
一个终端设备只有一个硬件特征码
AC审计QQ传文件:
AC可以审计QQ发送文件、文件夹,但是不支持接受
审计QQ发送文件内容,需要通过准入策略来实现
WebAgent用于非固定公网IP环境,常见拨号上网获取公网IP的场景,用于动态寻址
WebAgent寻址过程中会加密,使用DES加密算法
IDS部署在网络中是并联部署,IPS为串联、并联部署
公共IP地址利用率从低到高:
静态NAT、动态NAT、NAPT
通过角色管理把用户和资源管理起来
关于NGAF网关杀毒:
双向流量检测
文件识别技术
加密协议解密杀毒
SSL/TLS协议通道描述:
可靠性
完整性
机密性
虚拟IP重定向只在网桥模式下存在
一般在无可用网桥IP时选择DMZ口重定向
sangforVPN PDLAN、SSL VPN用户数可以调整,保持授权总数不变
SANGFOR SSL VPN:
WEB
支持固定IP
支持DHCP
支持ADSL拨号
支持客户端免控件
支持所有类型浏览器
支持资源页面访问
L3VPN
依赖客户端虚拟网卡
支持TCP、UDP、ICMP协议
支持新开浏览器输入地址访问
TCP
TCP登录时需要安装控件
私有用户和公有用户都能使用硬件特征码认证
所有数字认证的用户都是私有用户
中间人攻击原因:缺少身份认证
关于审计:
可以审计客户端QQ
使用SSL识别可以审计微信网页版
不能审计手机QQ聊天内容
数据包经过三层交换机转发后源和目MAC地址都会变化
混杂模式:接受所有经过本机网卡的数据包,包括目的MAC不是本机网卡的
Sangfor Firmware Update:
给设备升级
将设备的光口和电口进行逻辑网口交换
测试设备网络联通性
未对输入做过滤所造成的漏洞:
SQL注入
XSS攻击
CSRF攻击
计算机病毒特征:
隐藏性
破坏性
繁殖性
潜伏性
不可预见性
传染性
计算机病毒工作过程:
潜伏
传染
触发
发作
三层网络环境下:开启跨三层取MAC
软件检测不支持webQQ ,只支持客户端
移动终端识别和控制技术:
URL检测
应用规则检测
UA检测
主流检测管控技术:
流量检测方法
应用检测技术
应用控制技术
识别控制组网模式
流量检测方法:
主动检测方法
被动检测方法
应用检测技术:
常见端口检测
深度流检测(DFI)
深度包检测(DPI)
应用控制技术:
流量整形技术
干扰连接(TCP)/信令干扰(UDP)
惩罚通道:
惩罚通道只能是限制通道,且此通道不可再建子通道
惩罚通道要按应用来匹配,即一个用户流量可以跑多个惩罚通道(最多20),没有匹配上惩罚通道的流量走原有的通道匹配流程
惩罚通道的生效时目的IP组、线路号也要有效
web 关键字过滤只针对网页版邮箱过滤
如果网站是https的,需要开启内容识别,并且添加对应的URL
邮箱过滤 只针对客户端方式生效,对于web mail不生效
AC支持http显示代理、socks4代理、socks5代理、PAC脚本
ICAP:应用层协议,常用于金融客户做校验
路由接口默认存在管理口,eth0:10.251.251.251/24 且无法删除
远程桌面端口号:3389
通过SYn代理防御SYn洪水攻击
IPS配置:
保护客户端:选择内网客户端所在的区域,源IP选择需要防护的客户端IP组
保护服务器:选择外网区域,源IP选择全部