一、上網行為安全概述

1、AC即上網行為管理，可以實現對內網用戶行為的精細化管控

2、上網行為管理的三要素：用戶、流量、行為

3、AC的功能

①用戶認證

②應用控制

③網頁過濾

④行為審計

⑤流量管理

⑥應用選路

4、上網行為安全的應用場景

①互聯網上網行為管控

②一體化網關

③辦公室出口

④無線網絡管控

⑤數據價值分析

二、上網行為管理基本操作

1、如何登錄設備-----首次拿到設備

①使用一根交叉線連接設備和電腦

連接設備的eth0，需先配置一個10.251.251.0/24網段的地址，隨后登錄https://10.251.251.251登錄控制臺

連接設備的eth1，需先配置一個10.252.252.0/24網段的地址，隨后登錄https://10.252.252.252登錄控制臺

②輸入控制臺admin賬號登錄設備

2、如何登錄設備-----不知道更改后的接口地址的情況下

①方法一

配置電腦ip為128.127.125.253/29，用交叉線連接電腦和設備eth0口，通過https://128.128.125.252登錄設備控制臺

②方法二

通過sangfor升級系統工具查找設備地址后，通過查找得到的地址進設備控制臺

3、如何恢復出廠設置

①通過控制臺界面恢復出廠設置

②通過sangfor升級系統工具恢復出廠設置

③交叉線短接兩個電口恢復

先將設備關機，準備一根交叉線，使用交叉線連接設備面板上任意兩個非一組bypass電口（12.0.12之前，必須接非BY口，12.0.12后，必須接0和2口），然后將設備開機，直到設備重啟后，拔掉交叉線，等設備運行起來，即可登錄設備

④u盤恢復出廠設置

新建一個txt文檔，將其重命名為reset-cfg.txt，將txt文檔拷貝到u盤根目錄，u盤格式為FAT32。AC插上u盤，重啟設備，當設備的LED紅燈熄滅后，alarm燈閃爍，拔出u盤

三、上網行為管理部署模式

1、AC設備支持路由、網橋、旁路部署模式

2、路由模式

①路由模式支持AC的所有功能

②路由模式的配置

⑴網口配置：配置各網口的地址

⑵確定內網是否為多網段網絡環境，如果是的話需要添加相應的回包路由，將到內網各網段的數據回指給設備下接的三層設備

⑶用戶是否需要通過AC設備上網，如果是的話。需要設置NAT規則

⑷檢查并放通防火墻規則

3、網橋模式

①設備以網橋模式部署時對客戶原有的網絡基本沒有改動。網橋模式部署AC時，對客戶來說AC就是一個透明設備

②網橋模式部署不支持AC的NAT、VPN、DHCP等功能

③網橋模式的部署

⑴配置設備網橋地址，網關地址，DNS地址

⑵確定內網是否為多網段網絡環境，如果是的話需要添加相應的回包路由，將到內網各網段的數據回指給設備下接的三層設備

⑶檢查并放通防火墻規則

4、旁路模式

①旁路模式主要用于實現審計功能，完全不需要改變用戶的網絡環境，通過把設備的監聽口接在交換機的鏡像口，實現對上網數據的監控

②旁路模式部署主要用作上網行為的審計，且只能對TCP應用做控制，對基于UDP的應用無法控制。不支持 NAT、VPN、DHCP等功能

③旁路模式的配置思路

⑴交換機設置鏡像口，并接到AC監聽口

⑵配置需要審計的內網網段和服務器網段

⑶配置管理口地址，用于管理AC設備

四、用戶認證技術

1、臨時用戶、Dkey用戶、不需要認證的用戶無法被強制注銷

2、不需要認證技術

一般適用于對認證要求不嚴格的場景

3、IP/Mac綁定認證技術

①SNMP是基于TCP/IP協議族的網絡管理協議，是一種在IP網絡中管理網絡節點的標準協議

②trap操作：代理進程主動發出的報文，通知管理進程有某些事情發送

4、密碼認證技術

一般適用于對認證嚴格要求，希望上網日志記錄具體的賬號，或希望和客戶現有的第三方服務器結合認證的場景

5、外部認證技術

①AC/SG支持的第三方認證服務器：LDAP認證、RADIUS認證、POP3認證

②外部認證過程

⑴ PC向AC/SG提交用戶名密碼信息

⑵AC/SG判斷為外部認證，并把用戶名密碼信息發給外部認證服務器校驗

⑶外部認證服務器校驗后，向AC/SG發送失敗或成功的消息

⑷AC/SG根據外部認證服務器返回的消息，確定是否讓該pc通過認證

⑸pc通過認證后，就可以直接訪問公網了

五、應用控制技術

1、應用特征識別技術

①傳統行為檢測原理：數據包的五元組

②深度包檢測技術（DPI），可以對應用層進行分析

⑴基于“特征字”的檢測技術（DPI）

不同的應用通常依賴于不同的協議，而不同的協議都有其特殊的特征

⑵基于應用層網關的檢測技術（ALG）

某些應用（FTP）的控制流和數據流是分離的，數據流沒有任何特征。這種情況下，我們就需要采用應用層網關識別技術。應用層網關需要先識別出控制流，根據對應的協議，對控制流進行解析，從協議內容中識別出相應的業務流

⑶基于行為模式的檢測技術

基于對終端已經實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作

③深度流檢測技術（DFI)

基于流的行為特征，通過與已建立的應用數據流的數據模型對比，判斷流的應用類型或業務

2、HTTP識別控制技術

如果我們對該URL做封堵，終端設備在發出get請求后，設備會偽裝成網站服務器向終端設備發一個狀態碼302的數據包（重定向），數據包的內容是告知終端設備訪問網站服務器的拒絕界面

3、HTTPS識別控制技術

對HTTPS網站封堵，終端設備在發送Client hello報文后，在此報文的server_name字段包含所訪問的域名。我們識別到該網站，偽裝網站服務器給終端設備發送RST包，斷開終端設備與網站服務器之間的連接，從而控制HTTPS網站的訪問

#HTTP和HTTPS網站封堵的不同點

針對HTTP是先發送重定向包，再發送RST;針對HTTPS是直接發送RST結束TCP連接，不發送重定向包

4、自定義應用識別技術

六、終端識別和管理技術

1、防共享識別和控制技術

①傳統防共享技術-----ID軌跡檢測

②傳統防共享技術-----時鐘偏移檢測

③不支持識別以下三種場景

⑴手機插電腦上充電

⑵PC里裝了虛擬機

⑶電腦上安裝移動終端模擬器

④測試方法推薦

在兩個pc上分別登錄不同的QQ賬號

2、移動終端識別和控制技術

①排除信任ip和用戶

②管理非法接入的移動終端

七、流量管理技術

1、主流的流量管控技術

①流量檢測方法

⑴主動測試方法

使用網絡爬蟲，像普通網絡節點一樣，主動加入網絡，盡可能多的獲取相關的網絡特征，搜集ip地址集、端口號及所有元數據信息

⑵被動測試方法

通常是在網絡的不同位置部署一定數量的測量點，使用特定的軟、硬件設備被動監測相關p2p流量信息

②應用檢測技術

⑴常用端口檢測

⑵深度流檢測（DFI)

⑶深度包檢測（DPI）

③應用控制技術

⑴流量整形技術

⑵連接干擾（TCP）/信令干擾（UDP）

④識別控制組網模式

⑴直路串聯流控模式

⑵旁路干擾流控模式

2、SANGFOR流控解決方案

①p2p智能流控技術

②動態流控技術

③流控黑名單

八、內容審計技術

1、上網行為審計技術

數據--->基礎識別--->用戶認證--->應用/URL識別--->行為識別--->防火墻--->流量控制--->應用審計--->流量審計

2、外發郵件審計技術

3、SSL內容解密技術

①中間人解密

AC中間人代理，可以通過抓包查看TTL值來確認

②準入插件解密

⑴主機安裝AC準入插件（可同時做終端安全檢查）

⑵準入插件通過解析瀏覽器內核函數，提取HTTPS會話主密鑰

⑶會話主密鑰通過前向加密技術傳輸到AC，實現https內容識別

③兩種方式的對比

4、WEB關鍵字過濾技術

5、IM聊天內容審計技術

SANGFOR通過插件方式，在客戶端電腦自動找到QQ聊天內容緩存到本地的數據庫中，然后AC每隔10s在客戶端的數據庫讀取聊天內容，寫入到AC的日志中心

九、數據價值解決方案

行為感知組件介紹

①數據采集部分

深信服AC、AF等日志

②數據分析部分

數據匯總、建模、展示

十、全網行為管理

1、全網行為管理AC=上網行為管理原有功能+認證中心功能+新功能（入網認證+終端檢查+終端控制+識別審計等功能）

2、認證功能

①802.1x認證

⑴802.1x認證中用到了radius協議認證方式，典型的C/S結構

⑵認證方式EAP終結、EAP透傳（中繼），AC使用EAP透傳

⑶802.1x認證與portal（密碼）認證對比

②旁路重定向認證

AC旁掛在核心交換機上，對未認證通過的請求發reset包的方式拒絕請求；對需要認證的發302重定向，進行重定向認證

3、終端檢查功能

①殺軟檢查和登錄域檢查

插件實現方式和流量實現方式

②非法外聯檢查

4、終端管控功能

①外設管控

支持存儲設備、網絡設備、藍牙設備、攝像頭和打印機的管控

②外聯控制

5、識別審計功能

①終端識別

自動識別接入的終端資產設備類型、系統和相關信息，并自動分類統計

②業務、u盤和IM審計

總結

以上是生活随笔為你收集整理的AC---上网行为管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。