AC---上网行为管理
一、上網行為安全概述
1、AC即上網行為管理,可以實現對內網用戶行為的精細化管控
2、上網行為管理的三要素:用戶、流量、行為
3、AC的功能
①用戶認證
②應用控制
③網頁過濾
④行為審計
⑤流量管理
⑥應用選路
4、上網行為安全的應用場景
①互聯網上網行為管控
②一體化網關
③辦公室出口
④無線網絡管控
⑤數據價值分析
二、上網行為管理基本操作
1、如何登錄設備-----首次拿到設備
①使用一根交叉線連接設備和電腦
連接設備的eth0,需先配置一個10.251.251.0/24網段的地址,隨后登錄https://10.251.251.251登錄控制臺
連接設備的eth1,需先配置一個10.252.252.0/24網段的地址,隨后登錄https://10.252.252.252登錄控制臺
②輸入控制臺admin賬號登錄設備
2、如何登錄設備-----不知道更改后的接口地址的情況下
①方法一
配置電腦ip為128.127.125.253/29,用交叉線連接電腦和設備eth0口,通過https://128.128.125.252登錄設備控制臺
②方法二
通過sangfor升級系統工具查找設備地址后,通過查找得到的地址進設備控制臺
3、如何恢復出廠設置
①通過控制臺界面恢復出廠設置
②通過sangfor升級系統工具恢復出廠設置
③交叉線短接兩個電口恢復
先將設備關機,準備一根交叉線,使用交叉線連接設備面板上任意兩個非一組bypass電口(12.0.12之前,必須接非BY口,12.0.12后,必須接0和2口),然后將設備開機,直到設備重啟后,拔掉交叉線,等設備運行起來,即可登錄設備
④u盤恢復出廠設置
新建一個txt文檔,將其重命名為reset-cfg.txt,將txt文檔拷貝到u盤根目錄,u盤格式為FAT32。AC插上u盤,重啟設備,當設備的LED紅燈熄滅后,alarm燈閃爍,拔出u盤
三、上網行為管理部署模式
1、AC設備支持路由、網橋、旁路部署模式
2、路由模式
①路由模式支持AC的所有功能
②路由模式的配置
⑴網口配置:配置各網口的地址
⑵確定內網是否為多網段網絡環境,如果是的話需要添加相應的回包路由,將到內網各網段的數據回指給設備下接的三層設備
⑶用戶是否需要通過AC設備上網,如果是的話。需要設置NAT規則
⑷檢查并放通防火墻規則
3、網橋模式
①設備以網橋模式部署時對客戶原有的網絡基本沒有改動。網橋模式部署AC時,對客戶來說AC就是一個透明設備
②網橋模式部署不支持AC的NAT、VPN、DHCP等功能
③網橋模式的部署
⑴配置設備網橋地址,網關地址,DNS地址
⑵確定內網是否為多網段網絡環境,如果是的話需要添加相應的回包路由,將到內網各網段的數據回指給設備下接的三層設備
⑶檢查并放通防火墻規則
4、旁路模式
①旁路模式主要用于實現審計功能,完全不需要改變用戶的網絡環境,通過把設備的監聽口接在交換機的鏡像口,實現對上網數據的監控
②旁路模式部署主要用作上網行為的審計,且只能對TCP應用做控制,對基于UDP的應用無法控制。不支持 NAT、VPN、DHCP等功能
③旁路模式的配置思路
⑴交換機設置鏡像口,并接到AC監聽口
⑵配置需要審計的內網網段和服務器網段
⑶配置管理口地址,用于管理AC設備
四、用戶認證技術
1、臨時用戶、Dkey用戶、不需要認證的用戶無法被強制注銷
2、不需要認證技術
一般適用于對認證要求不嚴格的場景
3、IP/Mac綁定認證技術
①SNMP是基于TCP/IP協議族的網絡管理協議,是一種在IP網絡中管理網絡節點的標準協議
②trap操作:代理進程主動發出的報文,通知管理進程有某些事情發送
4、密碼認證技術
一般適用于對認證嚴格要求,希望上網日志記錄具體的賬號,或希望和客戶現有的第三方服務器結合認證的場景
5、外部認證技術
①AC/SG支持的第三方認證服務器:LDAP認證、RADIUS認證、POP3認證
②外部認證過程
⑴ PC向AC/SG提交用戶名密碼信息
⑵AC/SG判斷為外部認證,并把用戶名密碼信息發給外部認證服務器校驗
⑶外部認證服務器校驗后,向AC/SG發送失敗或成功的消息
⑷AC/SG根據外部認證服務器返回的消息,確定是否讓該pc通過認證
⑸pc通過認證后,就可以直接訪問公網了
五、應用控制技術
1、應用特征識別技術
①傳統行為檢測原理:數據包的五元組
②深度包檢測技術(DPI),可以對應用層進行分析
⑴基于“特征字”的檢測技術(DPI)
不同的應用通常依賴于不同的協議,而不同的協議都有其特殊的特征
⑵基于應用層網關的檢測技術(ALG)
某些應用(FTP)的控制流和數據流是分離的,數據流沒有任何特征。這種情況下,我們就需要采用應用層網關識別技術。應用層網關需要先識別出控制流,根據對應的協議,對控制流進行解析,從協議內容中識別出相應的業務流
⑶基于行為模式的檢測技術
基于對終端已經實施的行為的分析,判斷出用戶正在進行的動作或者即將實施的動作
③深度流檢測技術(DFI)
基于流的行為特征,通過與已建立的應用數據流的數據模型對比,判斷流的應用類型或業務
2、HTTP識別控制技術
如果我們對該URL做封堵,終端設備在發出get請求后,設備會偽裝成網站服務器向終端設備發一個狀態碼302的數據包(重定向),數據包的內容是告知終端設備訪問網站服務器的拒絕界面
3、HTTPS識別控制技術
對HTTPS網站封堵,終端設備在發送Client hello報文后,在此報文的server_name字段包含所訪問的域名。我們識別到該網站,偽裝網站服務器給終端設備發送RST包,斷開終端設備與網站服務器之間的連接,從而控制HTTPS網站的訪問
#HTTP和HTTPS網站封堵的不同點
針對HTTP是先發送重定向包,再發送RST;針對HTTPS是直接發送RST結束TCP連接,不發送重定向包
4、自定義應用識別技術
六、終端識別和管理技術
1、防共享識別和控制技術
①傳統防共享技術-----ID軌跡檢測
②傳統防共享技術-----時鐘偏移檢測
③不支持識別以下三種場景
⑴手機插電腦上充電
⑵PC里裝了虛擬機
⑶電腦上安裝移動終端模擬器
④測試方法推薦
在兩個pc上分別登錄不同的QQ賬號
2、移動終端識別和控制技術
①排除信任ip和用戶
②管理非法接入的移動終端
七、流量管理技術
1、主流的流量管控技術
①流量檢測方法
⑴主動測試方法
使用網絡爬蟲,像普通網絡節點一樣,主動加入網絡,盡可能多的獲取相關的網絡特征,搜集ip地址集、端口號及所有元數據信息
⑵被動測試方法
通常是在網絡的不同位置部署一定數量的測量點,使用特定的軟、硬件設備被動監測相關p2p流量信息
②應用檢測技術
⑴常用端口檢測
⑵深度流檢測(DFI)
⑶深度包檢測(DPI)
③應用控制技術
⑴流量整形技術
⑵連接干擾(TCP)/信令干擾(UDP)
④識別控制組網模式
⑴直路串聯流控模式
⑵旁路干擾流控模式
2、SANGFOR流控解決方案
①p2p智能流控技術
②動態流控技術
③流控黑名單
八、內容審計技術
1、上網行為審計技術
數據--->基礎識別--->用戶認證--->應用/URL識別--->行為識別--->防火墻--->流量控制--->應用審計--->流量審計
2、外發郵件審計技術
3、SSL內容解密技術
①中間人解密
AC中間人代理,可以通過抓包查看TTL值來確認
②準入插件解密
⑴主機安裝AC準入插件(可同時做終端安全檢查)
⑵準入插件通過解析瀏覽器內核函數,提取HTTPS會話主密鑰
⑶會話主密鑰通過前向加密技術傳輸到AC,實現https內容識別
③兩種方式的對比
4、WEB關鍵字過濾技術
5、IM聊天內容審計技術
SANGFOR通過插件方式,在客戶端電腦自動找到QQ聊天內容緩存到本地的數據庫中,然后AC每隔10s在客戶端的數據庫讀取聊天內容,寫入到AC的日志中心
九、數據價值解決方案
行為感知組件介紹
①數據采集部分
深信服AC、AF等日志
②數據分析部分
數據匯總、建模、展示
十、全網行為管理
1、全網行為管理AC=上網行為管理原有功能+認證中心功能+新功能(入網認證+終端檢查+終端控制+識別審計等功能)
2、認證功能
①802.1x認證
⑴802.1x認證中用到了radius協議認證方式,典型的C/S結構
⑵認證方式EAP終結、EAP透傳(中繼),AC使用EAP透傳
⑶802.1x認證與portal(密碼)認證對比
②旁路重定向認證
AC旁掛在核心交換機上,對未認證通過的請求發reset包的方式拒絕請求;對需要認證的發302重定向,進行重定向認證
3、終端檢查功能
①殺軟檢查和登錄域檢查
插件實現方式和流量實現方式
②非法外聯檢查
4、終端管控功能
①外設管控
支持存儲設備、網絡設備、藍牙設備、攝像頭和打印機的管控
②外聯控制
5、識別審計功能
①終端識別
自動識別接入的終端資產設備類型、系統和相關信息,并自動分類統計
②業務、u盤和IM審計
總結
以上是生活随笔為你收集整理的AC---上网行为管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python lambda 判断_Pyt
- 下一篇: 临界区、互斥量、事件、信号量四种方式