IPSec VPN
- IPSec VPN通在数据包中插入一个预定义头部的方式 ,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包
IPSec VPN特性:机密性、完整性、重传攻击保护(通过单向递增序列号实现),数据源鉴别 不可否认性(通过数字数字证书实现)、访问控制、有限的流量保密
VPN经常应用与站点-站点(总部-分支 私网-私网)、站点-出差员工
-
传输模式经常用于主机-主机之间,且俩台pc必须配置公网IP地址;封装方式:不改变原来的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据
image.png -
隧道模式:应用于站点-站点,私网-私网之间;封装模式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装
image.png AH提供的服务:无连接数据完整性、数据源验证、抗重放服务;AH不提供任何保密性服务,不加密所保护的数据包
ESP:封装安全有效载荷;提供的服务:无连接数据完整性、数据源认证、抗重放攻击、数据保密、有限的数据流保护
ESP通常使用DES、3DES、AES等对称加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证
-
AH协议号51;ESP协议号50
image.png 主模式默认使用自己的出接口作为自己的身份标识,校验对端的公网IP做对端的身份标识;野蛮模式可以使用用户名或IP等作为双方身份标识,即可以手动配置身份ID(仅对深信服设备)
-
非对称加密算法:RSA、DH、DSA;对称加密算法:DES、3DES、AES
image.png 建立隧道后。如果其中一端的设备异常重启,导致SA不一致,会出现什么问题?会出现VPN黑洞。解决办法:DPD对等体检测
-
IPSec NAT:(1)ipsec和nat在同台设备部署:nat在ipsec前处理数据,干扰ipsec流量,解决办法:私网之间流量不做NAT转换;(2)nat和ipsec不在同一台设备部署,ipsec处理数据在前
nat在后处理会改变数据的源ip,那么俩端身份验证就会失败,解决办法:使用野蛮模式,使用字符串作为身份验证标识
image.png
image.png
SangFor VPN
- IPSec支持固定IP、动态IP、动态域名
- WenAgent寻址过程:用于SangFor VPN互联时,分支与移动用户寻找总部的地址,从而建立VPN连接(寻址过程中,所有信息均使用DES加密)
- 与标准IPSec VPN相比,SANGFOR VPN 的专利技术优势:
1、支持俩端都为非固定IP的公网环境----通过WebAgent实现
2、更细致的权限粒度(权限控制)
3、线路带宽叠加技术 - 与标准IPSec VPN相比,SANGFOR VPN的特殊场景:
1、更细致的权限粒度
2、隧道间路由技术,分支用户通过总部上网,实现总部的统一管控
3、隧道间NAT技术,解决多个分支网段IP冲突问题 -
SANGFOR VPN既可以实现分支和总部的互连,也可以实现出差员工和总部的互连(通过PDLAN)
image.png - IPSec VPN 和 SANGFOR VPN设备之间要能正常连接VPN,则至少要保证一端为直连
-
4009位WebAgent服务端口,有三种形式
image.png - 本地子网作用是为了宣告,为了告诉分支要访问总部哪些网段需要进行VPN数据封装
-
SANGFOR VPN建立条件:
1、至少有一端是总部,且有足够的授权,SANGFOR 硬件与SANGFOR硬件之间直连不需要授权,与第三方对接需要分支授权,移动客户端需要移动用户授权
2、至少有一端在公网上可访问,即“可寻址”或固定公网IP
3、建立VPN俩端的内地地址不能冲突
4、建立VPN俩端的软件版本要匹配
image.png -
SANGFOR VPN特殊应用场景
image.png
image.png
image.png
image.png - IPSec 也可以针对出差员工使用(场景很少),SANGFOR VPN也可以针对出差员工使用
- SANGFOR VPN出差员工访问总部时,得先在客户端电脑安装一个PDLAN,会形成一个虚拟网卡,虚拟网卡得有一个IP地址,地址是总部给发,总部得创建一个IP地址池来给虚拟网卡分发地址
-
移动用户特殊场景
image.png
SSl
- ssl发布资源类型:Web类型、TCP类型、L3VPN类型、远程应用类型
-
sslVPN组网类型:网关部署、单臂模式部署、
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png -
远程应用支持windows系统
image.png
image.png
AC
- 问题:带宽滥用、上网难监管、信息泄漏、网络违法、安全威胁
- 技术解决方案(AC的功能):
-
用户认证技术:
1、IP/MAC绑定
2、本地用户名-密码认证
3、第三方服务器认证
image.png - 应用控制
1、应用特征识别库
2、应用管理标签化
3、精细化管理
4、防代理共享 - 网页过滤
1、千万级URL识别库
2、URL智能识别系统
3、URL云共享
4、自定义URL
5、恶意网址过滤 - 行为审计
1、网页访问审计
2、邮件审计
3、IM聊天应用审计
4、外发文件审计
5、微博、论坛发帖等 - 流量管理
1、基于用户/用户组/应用/网站类型的流控
2、多级父子通道
3、动态流控
4、P2P智能流控
5、流控黑名单 - 网络安全法规定,日志至少保留六个月
-
AC不能用登录console口来登录 控制台和恢复密码;AC/SG不能用U盘恢复密码;防火墙可以用U盘恢复密码
image.png - AC的日志可以存放在本地,也可以存放在数据中心
- bypass分为硬件bypass和软件bypass,作用为当AC串联在网络中忽然断电时,一对bypass口将会自动吸合,相当于一根网线,让网络不中断,原理为继电器原理,bypass口必须为一对;软件bypass,当CPU或内存太高时,开启直通会让AC上一些功能失效,可以用来定位故障,当AC开启直通时,网络变好则为AC问题,网络依然不好则不是我们AC问题
- 在网桥模式中开启直通才有用,路由模式下无用
- 防火墙也可以开启直通
- 防火墙上的直通有俩个,一个实施拦截日志并开启直通,开启后,网络层的功能还可以用,例如dos攻击,应用层不能用,另一个开启直通调试,开启后功能则都不能在用了,数据包将在二层直接被bypass,网络不通可以开启二层直通定位是不是防火墙问题
- AC设备支持路由、网桥、旁路部署模式
- SG设备支持路由、网桥、旁路、单臂部署模式
- AC以路由模式部署的时候,工作方式与路由器相当,具备基本的路由转发及NAT功能,一般在客户还没有相应的网关设备或者用户的网络环境规模较小时,需要将AC做网关使,建议以路由模式部署
- 路由模式下支持AC所有的功能
- 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其他工作模式没有这些功能
- 路由模式排错思路:
1、检查PC本身的网口IP、子网掩码
2、检查PC本身的默认网关,首选的DNS服务器
3、检查AC上给PC做的SNAT
4、检查AC上给PC做的回包路由
5、被PC访问的设备本身能否上网PING/TELNAT/WGET
6、网口兼容性、换网线、换网口、中间加交换机
7、arp防护和免费arp可能存在冲突
8、通过ifconfig检查网口错误包或者丢包,ethtool -s,查看丢包类型 - AC设备网桥模式部署比较多
- AC以网桥模式部署时对客户原有的网络基本没有改动,网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信
- 网桥模式部署时AC不支持NAt(代理上网和端口映射)、VPN、DHCP等功能
- 网桥模式部署可以分为单网桥和多网桥
- 网桥模式设备无法上网排错思路:
1、AC网线是否接反(在线用户列表出现大量公网IP)
2、网桥地址是否可用,是否和内网冲突
3、网关是否指向靠近出口方向的设备
4、设备上的DNS是否填写正确
5、确认前面设备是否有拦截(可能做ACL拦截了AC)或者是否对AC做源地址转换代理上网 - 旁路模式主要应用于实现审计功能,完全不需要改变用户得网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控,这种模式对用户的网络环境完全没有影响,即使闸机也不会对用户的网络造成中断
- 旁路模式部署主要用于做上网行为审计,且只能对TCP应用做控制,对基于UDP的应用无法控制。不支持流量管理、NAT、VPN、DHCP等功能
- qq使用的是UDP,网站一般使用的是TCP、视频直播使用的是UDP
-
旁路模式下最起码得俩口,管理口和监听口
image.png
image.png
image.png
image.png - 跨三层取MAC实现原理为SNMP协议,SNMP协议是基于UDP传输的,SNMP管理程序(AC向SW取MAC)端,基于UDP协议传输,端口为162,SNMP代理程序(SW向AC发送MAC)端,基于UDP协议传输,端口为161
-
当管理程序向代理程序取mac时,会发送request请求,代理程序收到request请求就会回应reponse响应包,当代理程序主动向管理程序发mac时,就会发送一个trap包给管理程序
image.png
image.png
image.png
image.png -
302错误重定向
image.png
image.png
image.png
image.png
image.png -
检测qq号用深度包检测
image.png
- 防共享技术:
传统防共享技术
1、深信服DPI检测技术
(1)QQ检测防共享
2、深信服字体检测技术
3、深信服辅助检测技术
(1)URL检测
(2)微信特征ID检测 - 移动端-移动端共享解决方案
1、URL检测(U-A字段显示系统版本)
2、应用规则检测(设备内置规则库,识别匹配app) - PC-移动端共享解决方案
1、URL检测(U-A字段显示系统版本)
2、应用规则检测(设备内置规则库,从应用中分析出未识别的移动终端) - 移动终端管理解决方案
1、排除信任IP和用户
2、识别移动终端
3、管理非法接入的移动终端
4、移动终端发现趋势 - 技术
1、URL检测
2、应用规则检测
3、U-A字段检测 -
不支持识别以下三种场景
1、手机插电脑上充电
2、PC里装了虚拟机
3、电脑上安装了移动终端模拟器
image.png
image.png -
主流的流量管控技术
1、流量监测方法
(1)主动检测方法:利用爬虫,获取网络的特征信息,可行性高准确性好,但是会引用额外的流量
(2)被动检测方法:在核心网络出口监测,主要用于测量p2p网络流量,不会引用额外的流量,但对设备硬件要求较高
2、应用检测技术
(1)常用端口检测
(2)深度流检测(DFI):检测数据包大小、速率、延时、持续时间、发送平率、上下行流量的比例关系及IP地址的连接方式
(3)深度包检测(DPI):检测五原组、应用层分析、识别各种应用及内容,关键字检测、应用网关检测、行为模式检测
3、应用控制技术
(1)流量整形技术(gts):在软件队列缓存,控制流量
(2)连接干扰(TCP 传输层)/信令干扰(UDP 应用层)
image.png
image.png
4、识别控制组网模式
(1)直路串联流控模式
(2)旁路干扰流控模式
优势:对链路影响较小,可扩展性较强
劣势:目前只能对应的使用连接干扰,信令干扰进行数据流控制,控制能力受到较大影响 -
深信服流控特性:
(1)更全更准
image.png
(1)更人性化
image.png - SANGFOR流控原理
1、缓存流控
2、队列调度
3、单用户流量的公平调度 -
P2P智能流控技术
image.png -
动态流控技术
image.png -
流控黑名单
image.png
image.png
image.png
image.png
image.png - WebMail
PC-HTTP-qq邮箱服务器-SMTP-腾讯邮箱服务器-HTTP-PC
-客户端Mail
PC-SMTP-qq邮箱服务器-SMTP-腾讯邮箱服务器-POP3-PC - SMTP TCP25号端口,用于发送邮件;POP3 110号端口
- SMTP只能发一些普通的文本格式,要发图片视频等非文本格式的邮件得使用MIME转码,转码之后再使用SMTP发送
-
对于SMTP和POP3协议的客户端邮件可以审计发送及接收,对于WenMail只能审计外发的邮件
image.png
image.png
image.png
image.png
image.png
image.png -
IM聊天内容审计:需要在客户端电脑上安装一个插件,这个插件在聊天内容发送之前就读取数据,然后写到AC日志中
image.png
image.png
image.png
image.png
AF
- 防火墙功能:访问控制、地址转换、网络环境支持、带宽管理功能、高可用性、用户认证、入侵检测和攻击防御
-防火墙默认会有安全区域(有的厂商可能没有或不叫这些名字):trust、untrust、dmz、local - 防火墙接口必须加入安全区域才能使用
- 默认情况下各个安全区域禁止互访,要互访得配置安全策略,安全策略可以让不同区域互访,一个安全区域分为条件和动作,条件是为了抓流,匹配哪些流量,动作是让不让流量过;相同条件--或关系,匹配其中一个就可以;不同条件--与关系,必须全都匹配
- 安全策略有一个默认策略--拒绝所有
-
可以配置多条安全策略,后设置的在最上面,流量来之后自上而下匹配,匹配过了就不匹配下一个策略了
image.png - 下一代防火墙系统架构-深信服多核并行操作系统
-
下一代防火墙支持:路由模式、透明模式、虚拟网线模式、混合模式、旁路模式
image.png - 防火墙默认的管理口为eth0,接口类型为路由口,且无法修改,管理地址为10.251.251.251/24
- 防火墙的物理口根据网口数据转发特性不同,可选择路由,透明,虚拟网线和旁路镜像类型,前三种接口又可设置WAN或非WAN属性(部分功能要求接口是WAN属性,比如流控、VPN、策略路由等)
-
防火墙默认接口不让ping,防火墙上的缺省不会自动生成,要手动添加下一跳网关地址,配置缺省路由,用于故障检测
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png -
一个接口只能属于一个区域,一个区域可以有多个接口
image.png
image.png -
af旁路模式管理口启用reset功能
image.png
image.png
image.png - 终端安全检测和防御
(1)基于应用的控制策略
(2)基于服务的控制策略 -
计算机病毒特征
1、隐蔽性
2、破坏性
3、潜伏性
4、不可预见性
5、繁殖性
6、传染性
image.png
image.png
image.png
image.png
image.png - DOS技术
(1)DOS攻击-一种拒绝服务攻击,常用来使服务器或网络瘫痪
(2)DDOS攻击-分布式拒绝服务攻击 -
DOS目的
(1)消耗带宽
(2)消耗服务器性能
(3)引发服务器闸机
image.png
image.png
image.png - IDS入侵检测
-
IPS入侵防御
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png