AC---上网行为管理

一、上网行为安全概述

1、AC即上网行为管理,可以实现对内网用户行为的精细化管控

2、上网行为管理的三要素:用户、流量、行为

3、AC的功能

①用户认证

②应用控制

③网页过滤

④行为审计

⑤流量管理

⑥应用选路

4、上网行为安全的应用场景

①互联网上网行为管控

②一体化网关

③办公室出口

④无线网络管控

⑤数据价值分析

二、上网行为管理基本操作

1、如何登录设备-----首次拿到设备

①使用一根交叉线连接设备和电脑

连接设备的eth0,需先配置一个10.251.251.0/24网段的地址,随后登录https://10.251.251.251登录控制台

连接设备的eth1,需先配置一个10.252.252.0/24网段的地址,随后登录https://10.252.252.252登录控制台

②输入控制台admin账号登录设备

2、如何登录设备-----不知道更改后的接口地址的情况下

①方法一

配置电脑ip为128.127.125.253/29,用交叉线连接电脑和设备eth0口,通过https://128.128.125.252登录设备控制台

②方法二

通过sangfor升级系统工具查找设备地址后,通过查找得到的地址进设备控制台

3、如何恢复出厂设置

①通过控制台界面恢复出厂设置

②通过sangfor升级系统工具恢复出厂设置

③交叉线短接两个电口恢复

先将设备关机,准备一根交叉线,使用交叉线连接设备面板上任意两个非一组bypass电口(12.0.12之前,必须接非BY口,12.0.12后,必须接0和2口),然后将设备开机,直到设备重启后,拔掉交叉线,等设备运行起来,即可登录设备

④u盘恢复出厂设置

新建一个txt文档,将其重命名为reset-cfg.txt,将txt文档拷贝到u盘根目录,u盘格式为FAT32。AC插上u盘,重启设备,当设备的LED红灯熄灭后,alarm灯闪烁,拔出u盘

三、上网行为管理部署模式

1、AC设备支持路由、网桥、旁路部署模式

2、路由模式

①路由模式支持AC的所有功能

②路由模式的配置

⑴网口配置:配置各网口的地址

⑵确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备

⑶用户是否需要通过AC设备上网,如果是的话。需要设置NAT规则

⑷检查并放通防火墙规则

3、网桥模式

①设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是一个透明设备

②网桥模式部署不支持AC的NAT、VPN、DHCP等功能

③网桥模式的部署

⑴配置设备网桥地址,网关地址,DNS地址

⑵确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备

⑶检查并放通防火墙规则

4、旁路模式

①旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控

②旁路模式部署主要用作上网行为的审计,且只能对TCP应用做控制,对基于UDP的应用无法控制。不支持 NAT、VPN、DHCP等功能

③旁路模式的配置思路

⑴交换机设置镜像口,并接到AC监听口

⑵配置需要审计的内网网段和服务器网段

⑶配置管理口地址,用于管理AC设备

四、用户认证技术

1、临时用户、Dkey用户、不需要认证的用户无法被强制注销

2、不需要认证技术

一般适用于对认证要求不严格的场景

3、IP/Mac绑定认证技术

①SNMP是基于TCP/IP协议族的网络管理协议,是一种在IP网络中管理网络节点的标准协议

②trap操作:代理进程主动发出的报文,通知管理进程有某些事情发送

4、密码认证技术

一般适用于对认证严格要求,希望上网日志记录具体的账号,或希望和客户现有的第三方服务器结合认证的场景

5、外部认证技术

①AC/SG支持的第三方认证服务器:LDAP认证、RADIUS认证、POP3认证

②外部认证过程

⑴ PC向AC/SG提交用户名密码信息

⑵AC/SG判断为外部认证,并把用户名密码信息发给外部认证服务器校验

⑶外部认证服务器校验后,向AC/SG发送失败或成功的消息

⑷AC/SG根据外部认证服务器返回的消息,确定是否让该pc通过认证

⑸pc通过认证后,就可以直接访问公网了

五、应用控制技术

1、应用特征识别技术

①传统行为检测原理:数据包的五元组

深度包检测技术(DPI),可以对应用层进行分析

⑴基于“特征字”的检测技术(DPI)

不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的特征

⑵基于应用层网关的检测技术(ALG)

某些应用(FTP)的控制流和数据流是分离的,数据流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,根据对应的协议,对控制流进行解析,从协议内容中识别出相应的业务流

⑶基于行为模式的检测技术

基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作

③深度流检测技术(DFI)

基于流的行为特征,通过与已建立的应用数据流的数据模型对比,判断流的应用类型或业务

2、HTTP识别控制技术

如果我们对该URL做封堵,终端设备在发出get请求后,设备会伪装成网站服务器向终端设备发一个状态码302的数据包(重定向),数据包的内容是告知终端设备访问网站服务器的拒绝界面

3、HTTPS识别控制技术

对HTTPS网站封堵,终端设备在发送Client hello报文后,在此报文的server_name字段包含所访问的域名。我们识别到该网站,伪装网站服务器给终端设备发送RST包,断开终端设备与网站服务器之间的连接,从而控制HTTPS网站的访问

#HTTP和HTTPS网站封堵的不同点

针对HTTP是先发送重定向包,再发送RST;针对HTTPS是直接发送RST结束TCP连接,不发送重定向包

4、自定义应用识别技术

六、终端识别和管理技术

1、防共享识别和控制技术

①传统防共享技术-----ID轨迹检测

②传统防共享技术-----时钟偏移检测

③不支持识别以下三种场景

⑴手机插电脑上充电

⑵PC里装了虚拟机

⑶电脑上安装移动终端模拟器

④测试方法推荐

在两个pc上分别登录不同的QQ账号

2、移动终端识别和控制技术

①排除信任ip和用户

②管理非法接入的移动终端

七、流量管理技术

1、主流的流量管控技术

①流量检测方法

⑴主动测试方法

使用网络爬虫,像普通网络节点一样,主动加入网络,尽可能多的获取相关的网络特征,搜集ip地址集、端口号及所有元数据信息

⑵被动测试方法

通常是在网络的不同位置部署一定数量的测量点,使用特定的软、硬件设备被动监测相关p2p流量信息

②应用检测技术

⑴常用端口检测

⑵深度流检测(DFI)

⑶深度包检测(DPI)

③应用控制技术

⑴流量整形技术

⑵连接干扰(TCP)/信令干扰(UDP)

④识别控制组网模式

⑴直路串联流控模式

⑵旁路干扰流控模式

2、SANGFOR流控解决方案

①p2p智能流控技术

②动态流控技术

③流控黑名单

八、内容审计技术

1、上网行为审计技术

数据--->基础识别--->用户认证--->应用/URL识别--->行为识别--->防火墙--->流量控制--->应用审计--->流量审计

2、外发邮件审计技术

3、SSL内容解密技术

①中间人解密

AC中间人代理,可以通过抓包查看TTL值来确认

②准入插件解密

⑴主机安装AC准入插件(可同时做终端安全检查)

⑵准入插件通过解析浏览器内核函数,提取HTTPS会话主密钥

⑶会话主密钥通过前向加密技术传输到AC,实现https内容识别

③两种方式的对比

AC---上网行为管理_第1张图片

4、WEB关键字过滤技术

5、IM聊天内容审计技术

SANGFOR通过插件方式,在客户端电脑自动找到QQ聊天内容缓存到本地的数据库中,然后AC每隔10s在客户端的数据库读取聊天内容,写入到AC的日志中心

九、数据价值解决方案

行为感知组件介绍

①数据采集部分

深信服AC、AF等日志

②数据分析部分

数据汇总、建模、展示

十、全网行为管理

1、全网行为管理AC=上网行为管理原有功能+认证中心功能+新功能(入网认证+终端检查+终端控制+识别审计等功能)

2、认证功能

①802.1x认证

⑴802.1x认证中用到了radius协议认证方式,典型的C/S结构

⑵认证方式EAP终结、EAP透传(中继),AC使用EAP透传

⑶802.1x认证与portal(密码)认证对比

AC---上网行为管理_第2张图片

②旁路重定向认证

AC旁挂在核心交换机上,对未认证通过的请求发reset包的方式拒绝请求;对需要认证的发302重定向,进行重定向认证

3、终端检查功能

①杀软检查和登录域检查

插件实现方式和流量实现方式

②非法外联检查

4、终端管控功能

①外设管控

支持存储设备、网络设备、蓝牙设备、摄像头和打印机的管控

②外联控制

5、识别审计功能

①终端识别

自动识别接入的终端资产设备类型、系统和相关信息,并自动分类统计

②业务、u盘和IM审计

你可能感兴趣的:(网络)