1、AC即上网行为管理,可以实现对内网用户行为的精细化管控
2、上网行为管理的三要素:用户、流量、行为
3、AC的功能
①用户认证
②应用控制
③网页过滤
④行为审计
⑤流量管理
⑥应用选路
4、上网行为安全的应用场景
①互联网上网行为管控
②一体化网关
③办公室出口
④无线网络管控
⑤数据价值分析
1、如何登录设备-----首次拿到设备
①使用一根交叉线连接设备和电脑
连接设备的eth0,需先配置一个10.251.251.0/24网段的地址,随后登录https://10.251.251.251登录控制台
连接设备的eth1,需先配置一个10.252.252.0/24网段的地址,随后登录https://10.252.252.252登录控制台
②输入控制台admin账号登录设备
2、如何登录设备-----不知道更改后的接口地址的情况下
①方法一
配置电脑ip为128.127.125.253/29,用交叉线连接电脑和设备eth0口,通过https://128.128.125.252登录设备控制台
②方法二
通过sangfor升级系统工具查找设备地址后,通过查找得到的地址进设备控制台
3、如何恢复出厂设置
①通过控制台界面恢复出厂设置
②通过sangfor升级系统工具恢复出厂设置
③交叉线短接两个电口恢复
先将设备关机,准备一根交叉线,使用交叉线连接设备面板上任意两个非一组bypass电口(12.0.12之前,必须接非BY口,12.0.12后,必须接0和2口),然后将设备开机,直到设备重启后,拔掉交叉线,等设备运行起来,即可登录设备
④u盘恢复出厂设置
新建一个txt文档,将其重命名为reset-cfg.txt,将txt文档拷贝到u盘根目录,u盘格式为FAT32。AC插上u盘,重启设备,当设备的LED红灯熄灭后,alarm灯闪烁,拔出u盘
1、AC设备支持路由、网桥、旁路部署模式
2、路由模式
①路由模式支持AC的所有功能
②路由模式的配置
⑴网口配置:配置各网口的地址
⑵确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备
⑶用户是否需要通过AC设备上网,如果是的话。需要设置NAT规则
⑷检查并放通防火墙规则
3、网桥模式
①设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是一个透明设备
②网桥模式部署不支持AC的NAT、VPN、DHCP等功能
③网桥模式的部署
⑴配置设备网桥地址,网关地址,DNS地址
⑵确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备
⑶检查并放通防火墙规则
4、旁路模式
①旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控
②旁路模式部署主要用作上网行为的审计,且只能对TCP应用做控制,对基于UDP的应用无法控制。不支持 NAT、VPN、DHCP等功能
③旁路模式的配置思路
⑴交换机设置镜像口,并接到AC监听口
⑵配置需要审计的内网网段和服务器网段
⑶配置管理口地址,用于管理AC设备
1、临时用户、Dkey用户、不需要认证的用户无法被强制注销
2、不需要认证技术
一般适用于对认证要求不严格的场景
3、IP/Mac绑定认证技术
①SNMP是基于TCP/IP协议族的网络管理协议,是一种在IP网络中管理网络节点的标准协议
②trap操作:代理进程主动发出的报文,通知管理进程有某些事情发送
4、密码认证技术
一般适用于对认证严格要求,希望上网日志记录具体的账号,或希望和客户现有的第三方服务器结合认证的场景
5、外部认证技术
①AC/SG支持的第三方认证服务器:LDAP认证、RADIUS认证、POP3认证
②外部认证过程
⑴ PC向AC/SG提交用户名密码信息
⑵AC/SG判断为外部认证,并把用户名密码信息发给外部认证服务器校验
⑶外部认证服务器校验后,向AC/SG发送失败或成功的消息
⑷AC/SG根据外部认证服务器返回的消息,确定是否让该pc通过认证
⑸pc通过认证后,就可以直接访问公网了
1、应用特征识别技术
①传统行为检测原理:数据包的五元组
②深度包检测技术(DPI),可以对应用层进行分析
⑴基于“特征字”的检测技术(DPI)
不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的特征
⑵基于应用层网关的检测技术(ALG)
某些应用(FTP)的控制流和数据流是分离的,数据流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,根据对应的协议,对控制流进行解析,从协议内容中识别出相应的业务流
⑶基于行为模式的检测技术
基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作
③深度流检测技术(DFI)
基于流的行为特征,通过与已建立的应用数据流的数据模型对比,判断流的应用类型或业务
2、HTTP识别控制技术
如果我们对该URL做封堵,终端设备在发出get请求后,设备会伪装成网站服务器向终端设备发一个状态码302的数据包(重定向),数据包的内容是告知终端设备访问网站服务器的拒绝界面
3、HTTPS识别控制技术
对HTTPS网站封堵,终端设备在发送Client hello报文后,在此报文的server_name字段包含所访问的域名。我们识别到该网站,伪装网站服务器给终端设备发送RST包,断开终端设备与网站服务器之间的连接,从而控制HTTPS网站的访问
#HTTP和HTTPS网站封堵的不同点
针对HTTP是先发送重定向包,再发送RST;针对HTTPS是直接发送RST结束TCP连接,不发送重定向包
4、自定义应用识别技术
1、防共享识别和控制技术
①传统防共享技术-----ID轨迹检测
②传统防共享技术-----时钟偏移检测
③不支持识别以下三种场景
⑴手机插电脑上充电
⑵PC里装了虚拟机
⑶电脑上安装移动终端模拟器
④测试方法推荐
在两个pc上分别登录不同的QQ账号
2、移动终端识别和控制技术
①排除信任ip和用户
②管理非法接入的移动终端
1、主流的流量管控技术
①流量检测方法
⑴主动测试方法
使用网络爬虫,像普通网络节点一样,主动加入网络,尽可能多的获取相关的网络特征,搜集ip地址集、端口号及所有元数据信息
⑵被动测试方法
通常是在网络的不同位置部署一定数量的测量点,使用特定的软、硬件设备被动监测相关p2p流量信息
②应用检测技术
⑴常用端口检测
⑵深度流检测(DFI)
⑶深度包检测(DPI)
③应用控制技术
⑴流量整形技术
⑵连接干扰(TCP)/信令干扰(UDP)
④识别控制组网模式
⑴直路串联流控模式
⑵旁路干扰流控模式
2、SANGFOR流控解决方案
①p2p智能流控技术
②动态流控技术
③流控黑名单
1、上网行为审计技术
数据--->基础识别--->用户认证--->应用/URL识别--->行为识别--->防火墙--->流量控制--->应用审计--->流量审计
2、外发邮件审计技术
3、SSL内容解密技术
①中间人解密
AC中间人代理,可以通过抓包查看TTL值来确认
②准入插件解密
⑴主机安装AC准入插件(可同时做终端安全检查)
⑵准入插件通过解析浏览器内核函数,提取HTTPS会话主密钥
⑶会话主密钥通过前向加密技术传输到AC,实现https内容识别
③两种方式的对比
4、WEB关键字过滤技术
5、IM聊天内容审计技术
SANGFOR通过插件方式,在客户端电脑自动找到QQ聊天内容缓存到本地的数据库中,然后AC每隔10s在客户端的数据库读取聊天内容,写入到AC的日志中心
行为感知组件介绍
①数据采集部分
深信服AC、AF等日志
②数据分析部分
数据汇总、建模、展示
1、全网行为管理AC=上网行为管理原有功能+认证中心功能+新功能(入网认证+终端检查+终端控制+识别审计等功能)
2、认证功能
①802.1x认证
⑴802.1x认证中用到了radius协议认证方式,典型的C/S结构
⑵认证方式EAP终结、EAP透传(中继),AC使用EAP透传
⑶802.1x认证与portal(密码)认证对比
②旁路重定向认证
AC旁挂在核心交换机上,对未认证通过的请求发reset包的方式拒绝请求;对需要认证的发302重定向,进行重定向认证
3、终端检查功能
①杀软检查和登录域检查
插件实现方式和流量实现方式
②非法外联检查
4、终端管控功能
①外设管控
支持存储设备、网络设备、蓝牙设备、摄像头和打印机的管控
②外联控制
5、识别审计功能
①终端识别
自动识别接入的终端资产设备类型、系统和相关信息,并自动分类统计
②业务、u盘和IM审计