第三章-上网活动安全

3.1 上网活动安全概述

1. 上网活动安全背景

1）宽带滥用
2）上网难羁系
3）信息泄露
4）网络违法
5）安全威胁
2. 上网活动安全需求 – 重点

1）上网活动三要素：用户、流量、活动
2）功能需求 （AC的功能）-- 重点

• 用户认证
  
• 应用控制
  
• 网页过滤
  
• 活动审计
  
• 流量管理
  
• 应用选路
  

3. 上网活动安全的应用场景

互联网上网活动管控
一体化网关
无线Wi-Fi管控营销
无线防共享上网
全网上网态势分析
数据代价分析
3.2 上网活动组网方案

1. 上网活动管理根本利用 – 把握（常识）

1）初识设备

1U = 4.45cm
盒式设备：高度 = 1U
框式设备：高度 ≥ 2U
外貌：
1U 高度

2U 高度

2）怎样设备登录

① 首次拿到设备（全新设备），使用一根交叉线毗连设备和电脑，在欣赏器中输入https://10.251.251.251 或 https://10.252.252.252 到登录界面（电脑的有线中需要添加同网段的ip，起首保证可以大概ping同AC）。sangfor默认的登录名和密码均为 admin（新设备时可用使用该方法，一般不常用）
② 如果接口地址被修改，在不知道更改后地址的情况下：使用AC的两个保存地址：https://128.127.125.252 或 https://128.128.125.252 登录控制台。需要注意AC口和两个地址不肯定是哪个，需要使用ping的方式来验证。（常用）
​ 也可以使用sangfor升级工具查找设备地址。（不常用）
3）恢复出厂设置

① 通过AC控制台恢复出厂设置。系统管理 -> 系统设置 -> 设置备份与恢复
② 通过sangfor升级系统工具恢复出厂设置
③ 交叉线短接设备两个电口恢复（12.0.12之前，必须是非bypass口；12.0.12之后必须是bypass口）设备关机 -> 短接bypass口 -> 设备开机 -> 等设备运行起来（5-10min）
④ U盘恢复出厂设置。新建txt文档定名为reset-cfg.txt（U盘格式FAT32） -> AC插上U盘重启设备 -> 等alram灯闪烁，拔出U盘
4）恢复控制台密码

① 交叉线恢复控制台密码。确保电脑和设备能通信，访问https://acip/php/rp.php，提示“创建文件成功，请毗连交叉线并重启设备” -> 短接bypass口 -> 手动重启设备 -> 电口闪烁10次或等候5-10min
② U盘恢复密码。新建txt文档定名为reset-cfg.txt（U盘格式FAT32）-> 访问https://ACIP/php/rp.php -> 插上U盘重启设备，alram闪烁，拔出U盘
2. 上网活动管理部署模式 – 重点

1）路由模式

设备以路由模式部署时，AC的工作方式与路由器相当，具备根本的路由转发及NAT功能。
路由模式下支持AC所有的功能
如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。

2）网桥模式

设备以网桥模式部署时对客户原有的网络根本没有改动。
网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

3）旁挂模式

旁路模式主要用于实现审计功能，完全不需要改变用户的网络情况，通过把设备的监听口接在互换机的镜像口，实现对上网数据的监控。
旁路模式部署主要用于做上网活动的审计，且只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。

TCP RST的作用：标示复位、用来异常的关闭毗连。
4）三种模式对比

路由网桥旁路DHCPYNNNATYNNVPNYNN非TCP控制YYN过滤规则YYN静态路由YYY共享接入管理YYN移动终端管理YYN代理工具管理YYN防dosYYN流量管理YYNSSL内容辨认YYY日志中心YYY 5）单臂模式（Trunk模式）

3. 防火墙技术及其应用

1）防火墙过滤规则

2）防火墙端口映射及其应用

端口映射即DNAT，用来设置对数据包目的IP地址举行转换的规则。
常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求。
只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器”。 若不勾选，仅答应公网用户通过公网地址访问到内网服务器。
3.3 用户认证技术

1. 用户和用户组管理

增编削查用户 / 组

2. 不需要认证（免认证）

3. 当地密码认证

4. IP / MAC 绑定

5. 外部认证 - AD域认证

6. AC 获取PC真实MAC原理 — 重点

• 用户上网的数据经过三层互换机会在互换机上形成ARP表
  
• 上网的数据经过AC时，AC看到数据包的源MAC地址都是三层互换机的MAC，于是AC会主动通过SNMP协议去读取三层互换机的ARP表（要在三层互换机上先设置答应AC访问其SNMP服务）
  
• AC会将读取到的ARP条目和AC设备内里绑定的IP/MAC条目举行对比
  
• 如果比对结果一致，则答应上网，否则抛弃数据包禁止上网
  

注意：三层互换与AC直连时，不需要做任何利用即可实现该功能；如果AC与互换机跨三层，则在AC高级认证下开启跨三层取MAC，且在互换机上开启SNMP服务
7. HTTP协议简介

• 超文本：包含有超链接(Link)和各种多媒体元素标志(Markup)的文本。
  
• URL：URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。
  
  
  
  
• HTTP：超文本传输协议，是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台主机(欣赏器)的应用层协议，以实现超链接的功能。
  

8. HTTP工作原理 – 重点

在用户点击URL为http://www.qq.com/index.html的链接后，欣赏器和Web服务器执行以下动作：

• 欣赏器分析超链接中的URL
  
• 欣赏器向DNS请求解析www.qq.com的IP地址 DNS将解析出的IP地址222.246.129.80返回欣赏器
  
• 欣赏器与服务器建立TCP毗连（80端口）欣赏器请求文档：GET／index.html 服务器给出相应，将文档 index.html发送给欣赏器
  
• 欣赏器显示index.html中的内容
  
• 数据发送完后开释TCP毗连
  

9. HTTP 请求和相应

1）HTTP请求方法

2）HTTP相应状态码

3）HTTP头部字段

10. AC重定向步调

第一步：PC先举行DNS解析域名过程
第二步：PC向解析出的服务器地址发起TCP三次握手
第三步：PC向服务器发出GET请求，请求主页
第四步：AC拦截PC的GET请求，并把AC自己伪装成服务器，给PC复兴HTTP 302 Moved Temporarily（RST） ，要求PC重定向AC认证的URL
第五步：PC主动重定向访问AC的认证界面，输入精确的账号密码，登录成功
3.4 应用控制技术

[课件地址](…/SCSA_PPT/03-第三章 上网活动安全/3.4应用控制技术.pptx)
1. 应用特征辨认功能

1）传统活动检测原理

传统的网络设备根据根据数据包的五元组（源IP，目的IP，源端口，目的端口，协议）这些特征等来辨认应用并举行抛弃、转发、吸收、处理等活动。

2）深度活动检测技术

**产生背景：**传统技术无法辨认风雅的数据包应用和活动，无法辨认经过伪装的数据包，无法满意现在的安全需求和可视需求

• 深度包检测技术（DPI）
  深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，别的辨认各种应用及其内容
  ① 基于特征字的检测技术（DPI）
  基于“特征字”的辨认技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。
  ② 基于应用层网关的检测技术（ALG）
  某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关辨认技术。应用层网关需要先辨认出控制流，根据对应的协议，对控制流举行解析，从协议内容中辨认出相应的业务流。
  ③ 基于活动模式的检测技术
  基于对终端已经实施的活动的分析，判断出用户正在举行的动作或者即将实施的动作。
  活动模式辨认技术通常用于无法根据协议判断的业务的识 别。
  
• 深度流检测技术（DFI）
  DFI采用的是一种基于流量活动的应用辨认技术，即不同的应用类型体现在会话毗连或数据流上的状态等各有不同。基于流的活动特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。
  一般包括流量巨细、速率、包的巨细、发送速率间隔、上传下载速率
  
  
  
  
• DPI和DFI区别
  DFI仅对流量活动分析，因此只能对应用类型举行笼统分类但是无法对流量举行精准分析。
  如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能辨认其详细应用，而DFI方式的流控技术则不受影响，因为应用流的状态活动特征不会因加密而根本改变。
  

2. HTTP辨认控制技术

1）HTTP辨认工作原理

HTTP网站辨认，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，发给get请求，在get请求数据包中的host字段，就是我们访问网站的详细URL，我们通过抓取这个字段来辨认终端用户是访问的哪个网站。
2）HTTP控制工作原理

如果我们对该URL做封堵，终端设备在发出get请求后（即完成HTTP辨认）， 设备会伪装成网站服务器向终端设备发一个状态码302的数据包，源ip是网站 服务器的ip地址，数据包中的内容是告知终端设备访问网站服务器的拒绝界面。
注意：数据包单向经过AC，AC不能举行封堵。因为AC获取不到服务器的返回包，不能伪装服务器向终端发送中断毗连的报文
3. HTTPS辨认控制技术

1）HTTPS简介

全称Hypertext Transfer Protocol over Secure Socket Layer，是HTTP的安全版，HTTPS默认使用TCP端口443，也可以指定其他的TCP端口。HTTPS中S,实际上是SSL(Secure Sockets Layer)协议。
​ SSL是Netscape公司发明的一种用于WEB的安全传输协议。 随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程使命组（IETF）。第一个后Netscape版本被重新定名为安全传输层协议（TLS）， TLS (Transport Layer Security:RFC 2246)是基于SSL上研发的，但是与SSLv3.0有渺小的差异。因此，SSL协议偶然也称为TLS协议。目前常用的是TLSv1.0的协议。
2）HTTPS工作原理（HTTPS四次握手）-- 重点

第一次握手：
客户端向服务器发送Client Hello消息，消息以明文的形式传输，内里包括客户端支持的协议版本、加密套件、压缩算法、客户端生成的一个随机数R1（Session ID）、扩展字段等。此中加密套件是四个功能的组合，即：认证算法（Au）、密钥互换算法（KeyExchange）、对称加密算法（Enc）和信息择要算法。
第二次握手：
① 应对客户端发来的Client Hello，服务器将发送Server Hello消息举行相应，该消息以明文的形式传输，相应消息包括确认使用的协议版本、由服务器生成的随机数R2（Session ID），确认使用的加密套件、确认使用的压缩方法。
② 在发完Server Hello消息后，服务器会马上将自己的Certificate（公钥证书）发送给客户端。
③ Client Certificate Request非必须选项，在对于安全性要求较高的场景中，服务器可要对客户端的身份举行认证，因此发起了对客户端公钥证书的请求，一般情况下欣赏器都会内置一对独一无二的公私钥。
④ 由于第二次握手中包含一些可选选项，因此需要服务器发送一个Server Hello Done的消息，用来关照客户端Server Hello过程结束。
第三次握手：
① Client Certificate是在第二次握手的第三步有举行的情况下，即服务器有向客户端请求证书的情况才会有的，这一步是客户端向服务器发送客户端的证书，而服务器收到证书后也会对证书举行相同的验证。
② Client Key Exchange 客户端密钥互换（产生预主密钥（preMasterKey））
③ Certificate verify 客户端证书验证，让服务器验证发消息的客户端和客户端证书的真实所有者
④ Change Cipher Spec是客户端向服务器关照，后面发送的消息都会使用协商出来的密钥举行加密。
⑤ Encrypted Finished Message客户端的 SSL 协商成功结束，发送握手验证报文确保消息的完备性
第四次握手：
① Change Cipher Spec是服务器向客户端关照，后面发送的消息都会使用协商出来的密钥举行加密。
② Encrypted Finished Message与第三次握手雷同，是服务器发给客户端的用来确定协商的密钥是一致的，也是一条Server Finish消息。
TLS四次握手也就完成了，双方已经协商好使用的加密套件和对称密钥，接下来的交互数据都将经过加密后再使用TCP举行传输。
3）HTTPS辨认工作原理

HTTPS网站辨认，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，终端开始发Client hello报文(SSL握手的第一阶段)，在此报文中的server_name 字段包含所访问的域名，上网活动管理提取Server_Name字段来辨认https的网站。
4）HTTPS控制工作原理

对HTTPS网站封堵，终端设备在发送Client hello报文后，我们辨认到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包（ip.id也是0x5826），断开终端设备与网站服务器之间的毗连，从而控制HTTPS网站的访问。
5）HTTP与HTTPS封堵数据的区别 – 重点

HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造详细数据包的，从而无法实现重定向到拒绝界面。
4. 自定义应用辨认技术

1）自定义应用

【对象定义】->【自定义应用】

2）自定义URL

【对象定义】-【URL分类库】

5. 上网权限策略排查思绪 – 知道了解

• 查抄设备部署,如是旁路模式部署,设备本身只能对一些TCP的应用做控制
  
• 【实时状态】-【在线用户列表】查看策略对应的用户是否在线
  
• 查抄规则库“应用辨认”“URL库”“审计规则库”是否为最新
  
• 查抄上网权限策略是否与用户关联,查抄用户是否关联了多条上网权限策略,注意策略的叠加次序（自上而下优先级递减）
  
• 查抄【系统诊断】-【上网故障清除】是否开启直通；【系统设置】-【全局清除地址】是否有清除内网PC的ip、目的域名、目的IP等
  
• 查抄是否有自定义应用,禁用或删除自定义的应用看策略是否正常
  
• 给用户关联一条【上网审计策略】,开启所有应用的审计,进入【内置数据中心】,查抄数据中心辨认到的应用和实际使用的应用是否对应。如不对应那回滚下应用辨认规则库再重新更新规则库
  
• 如数据中心没有辨认内网PC任何的应用,此时注意查抄客户是否有其它的上网线路,抓包分析用户流量是否经过AC
  

3.5 终端辨认和管理技术

1. 防共享需求背景

• 在企业中，不少用户共享自己访问互联网的权限给其他用户，绕开了企业对用户设定的上网权限控制，使得原本没有上网权限的用户可以上网了，或者使得原本上网权限较低的用户拥有了较高的权限，给网络管理带来了诸多麻烦。
  
• 在运营商承建和运维的高校网络中，遇到很多门生使用路由器或者其他软件方式，共享互联网的访问给其他同砚或朋侪，直接造成运营商的收益收到影响。
  

2. 防共享辨认和控制技术

1）传统防共享技术

① ID轨迹检测
Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加
Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距
② 时钟偏移检测

• 不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系
  
• 不同主机发送报文频率与时钟存在统计对应关系
  
• 通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机
  

③ 其他防共享技术
原理优点缺陷流量/毗连数统计统计某个IP打开的端口数或流量，高出肯定阈值则认为是共享上网用户具有肯定的参考意义对BT、网络病毒会误报，对少量共享主机的情况会漏报MAC地址检测在接入层互换机下检测MAC地址，同一个账号有多个MAC地址，则认为共享上网用户可以大概实时判断出是否为共享上网用户
完全被动监听，不发送探测信息
对分时上网的共享用户同样有效需要大规模部署在接入层
对NAT/Proxy用户无效
对一台主机多个网卡的情况会产生误报SNMP扫描检测根本已被淘汰扫描主机或ADSL Modem的SNMP信息，提取主机数在特定情况下检测比较准确，如用户侧启用SNMP服务极易通过修改Modem设置来躲避
需要扫描用户主机，招致用户察觉和不满TTL检测经过一个NAT设备后，TTL会减一，如果某个用户TTL与正常的不一致，则认为是共享上网用户具有肯定的参考意义需要大规模部署在接入层
由于利用系统处理不同，即使TTL不一致，也未必是共享上网用户
对Proxy无效 2）笃信服DPI检测技术

​ 通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的TCP数据包中带有PC的IP信息，AC设备通过分析这些数据包可以提取出PC端的IP，根据不同的IP数量得出共享的PC数量,好比QQ登录时候的数据包中会携带电脑网卡的IP地址，实用于windows的电脑。
① QQ检测防共享过程
AC拆包查看应用层数据，发现同一个源IP下，QQ数据中携带了两个不同的客户端源IP，判断存在共享。
② 笃信服字体检测技术
通过插件的上报字体判断，相同则不存在共享，不同则判断存在共享
③ URL检测
通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和终端强关联的，即同一终端发送的特征串信息是相同的，不同终端间发送的是不同的， AC设备根据提取到的不同的特征串数量得出共享的终端数量。
④ 微信特征ID检测
通过分析微信客户端在发送消息时，在数据包固定的偏移位置，存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数，统计提取数量的个数得出共享移动终端数量。
3）移动终端共享辨认工作原理

​ 设备内置规则库，可以从这些应用中分析出不同的终端类型，此中包括IM交际、在线视频、生存、新闻资讯、地铁、下载客户端、移动欣赏器、PC端手机助手等类型的应用，比方微信、移动QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。
​ PC端的应用有如下，比方QQ音乐、百度网盘、爱奇艺软件、安全卫士、腾讯视频、有道、优酷、windowsupdate、rar解压软件、PowerPoint、Word、flash、google、QQ宠物、QQ拼音、迅雷下载、微软、福昕pdf、Media-Player、向日葵远程、金山毒霸、赛门铁克、戴尔技术支持中心、PC版本的网易邮箱、PC版本的QQ游戏等等。
4）不支持辨认以下三种场景

• 手机插电脑上充电
  
• PC里装了假造机
  
• 电脑上安装移动终端模拟器
  

5）测试方法

3. 移动终端管理需求背景

• 私接Wi-Fi给内网带来巨大隐患
  
• 新兴廉价Wi-Fi工具低落私接Wi-Fi难度和本钱
  
• 蹭网卡的流行使违规违纪活动难以发现和追溯
  

4. 移动终端辨认和控制技术

1）移动终端管理办理方案

2）清除信任IP和用户

3）移动终端辨认原理

① URL检测
​ 通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和移动端关联的强关联的，此方法能辨认到不同型号移动终端共享活动。
② 应用规则检测
​ 设备内置规则库，可以从这些应用中分析出移动终端，此中包括IM交际、在线视频、生存、新闻资讯、地铁、下载客户端、移动欣赏器、PC端手机助手等类型的应用，比方微信、移动QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。
③ UA检测
​ User-Agent含欣赏器标识 (利用系统标识; 加密等级标识; 欣赏器语言) 渲染引擎标识 版本信息，我们可以从中取这些信息来辨认不同的终端类型。
4）管理非法接入的移动终端

3.6 流量管理技术

[课件地址](…/SCSA_PPT/03-第三章 上网活动安全/3.6流量管理技术.pptx)
1. 流量管理需求背景

1）带宽资源被非关键应用大量占用
2）传统的缓存丢包式的流控无法控制P2P下行流量
3）空闲时带宽使用率低
4）一刀切的流量控制本领，影响员工使用体验
2. 流量管理技术

传统流量管理技术缺陷：传统的流控方式是基于网络协议的L4层及一下的内容（非有效负载内容）举行分析，通常可以基于固定的数据封装格式提取数据特征。传统的IP数据包流量辨认和QoS技术，仅根据数据包头中的“五元组”信息举行分析，却无法辨认出流量中所涉及的应用，因此，无法对应用举行风雅的流控。
3. 主流的流量管控技术

1）流量检测方法

主动检测方法被动检测方法检测过程使用网络爬虫（Crawler），像普通网络节点一样，主动参加网络，尽可能多的获取相干的网络特性，搜集IP地址集、端口号及所有元数据信息。通常是在网络的不同位置部署肯定数量的测量点，使用特定的软、硬件设备被动监测相干P2P流量信息。为了保证测量数据的代表性，测量点通常位于骨干网络的焦点路由器或某个ISP网络的边沿出口。作用主要用于测量网络拓扑、延迟、内容可用性、上传/下载等微观活动特性。主要用于测量P2P网络的流量巨细、毗连数量、毗连持续时间等宏观流量特性。优点直接获取网络的特征信息，具有可行度高，准确性好的特点。①被动测量方法信息既不会增加网络负载，也不会对PEER本身造成影响。
②可以用于测量多种P2P应用，通用性较好。
③通过控制测量点的位置，还可以给出P2P流量对特定网络区域的影响。缺点①需要相当的先验知识。
②仅针对特定应用测量，通用性较差。
③基于Crawler的主动测量引入了额外的探测流量，增加了网络负担。①无法深入了解P2P网络活动。
②对测量设备的软、硬件要求较高。 2）应用检测技术

① 常用端口检测
端口检测法是依赖于端口来辨认流量，在应用较少的互联网初期作用效果较好。
随着互联网发展的多样化，应用的常用端口越来越不显着，因此，该方法辨认本领非常有限。
② 深度流检测（DFI）
深度流检测方法主要采用基于流量活动的应用辨认技术，即不同的应用类型体现在会话毗连或数据流上的状态不同。
主要辨认指标包括：数据包的巨细、速率、延时、持续时间、发送频率、上下行流量的比例关系以及IP地址的毗连方式等。
③ 深度包检测（DPI）
深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，别的辨认各种应用及其内容，包括关键字检测、应用网关检测、活动模式检测等。
3）应用控制技术

① 流量整形技术
根据数据流辨认的结果，对数据流量采用壅闭、随机丢包、或者提供QoS保证等方式，对符合策略控制条件的数据流举行流量管理和资源调理，达到流量控制的目的。
举例：TCP整形技术—滑动窗口答应根据自己的接受速率动态调整窗口巨细来调整发送方的数据传输速率
TCP整形技术特点：-- 了解即可
（1）可以对网络中举行 TCP 对话的每个信息源举行流量监听、跟踪和干扰，对信息源发送到网络的流量的巨细、发送频率和发送时间举行控制，较为彻底的办理网络拥塞的问题。
（2）经过 TCP 整形技术处理过的流量变得比较平稳，不会出现流量严重突变的情况以至于影响到其它流量,传输效率有很大的提拔，充分使用了网络资源。
（3）TCP 整形技术没有采用队列技术，报文重传率和信息包的丢失率大大的低落。
（4）不支持 UDP 流量
（5）窗口巨细的设置十分关键，过大导致拥塞，过小导致带宽使用不充分。
（6）短毗连性能差，当使用短毗连（一次会话期间只传输少量数据包的毗连）时，TCP 速度的控制性能比较差。当前的网络中，大部分的传输信息由短 HTTP(web)毗连构成。这些毗连在完成传输数据之前不可能扩大或减小它们的窗口巨细。对于这些毗连,更改窗口巨细与之无关，必须运用直接的方法来管理这些毗连。
（7）对硬件性能要求较高。TCP 窗口技术需要大量的堆栈来对每一个 TCP 窗口一一对应的来做处理，并且每一个堆栈都需要斲丧硬件的处理性能，尤其是 TCP 的请求和毗连数量相对较多的时候，对硬件的性能要求会相当苛刻。设备的稳固性直接影响着堆栈的稳固性，同时也关乎着网络的稳固性和可靠性。
② 毗连干扰（TCP）/信令干扰（UDP）
a）毗连干扰—根据数据流辨认的结果，针对TCP流量，复制数据流的IP五元组信息，并互换源/目的IP、端口，伪造成为数据流毗连的对端，发送尺度的TCP Reset/FIN数据包，中断该数据流毗连，或者引发TCP重传，达到流量控制的目的。
b）信令干扰—针对UDP流量，由于UDP为无状态协议，因此无法从4层对数据流举行干扰，只能通过7层的协议信令举行干扰，达到流量控制的目的。
③ 应用控制技术对比
流量整形毗连干扰/信令干扰技术成熟程度成熟成熟流控准确度较为准确存在波动对UDP流的控制能本领有限是否主动注入流量否是是否提供QOS保证能不能控制效率好较好 4）流量控制组网模式

① 直路串联流控模式
a）串联在网络中，控制方式比较直接，可以灵活的对不同流量使用不同策略。
b）串联使得控制设备成为被控网络的一部分，控制设备可能会影响整个被控链路。
② 旁路干扰流控模式
a）TCP截断，通过伪造并发送TCP RST报文来截断TCP毗连。
b）TCP降速，通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值。
c）UDP截断，通过伪造并发送P2P应用层特殊控制下令方式来截断UDP毗连。
d）UDP降速，通过伪造并发送P2P应用层特殊控制下令方式来低落UDP毗连的传送速率。
**上风：**对链路影响较小，可扩展性（扩展其他功能）较强
**劣势：**目前只能对应地使用毗连干扰、信令干扰技术举行数据流控制，控制本领受到较大影响
③ 网络流量控制系统
当前广泛部署的网络流量控制系统主要由四个部分：流量分类，队列管理，分组调理，流量整形。
a）**流量分类：**按照不同的优先级或控制策略，将数据包注入到不同队列。当前的流量分类技术主要分为基于端口、会话、内容的辨认方式。
b）**队列管理：**指对网络传输节点中队列缓冲资源的管理和分配，即缓冲管理。通过控制队列的平均深度来避免拥塞发生。
c）**分组调理：**分类器根据分组的上下文和粒度确认它所在的队列，分组进入相应队列排队等候，直至调理器将其选择发送。可以控制不同类型的分组对链路带宽的使用，使不同的数据流得到不同等级的服务。
d）**流量整形：**使经过网络瓶颈的数据包平缓的注入主干网，减少数据包在边沿网关排队等候的时间，从而减少边沿网关缓存的巨细和数据包丢失率。流量整形主要采用两种根本方法：漏桶算法和令牌桶算法。
4. SANGFOR流控办理方案

1）SANGFOR流控方式

① 缓存流控
以前的流控的效果是通过直接丢包来实现的，导致了丢包率比较高，SANGFOR使用缓存的方式，将流量暂时存入缓存，可以有效的办理丢包的问题。
② 队列调理（HTB分层令牌桶）
设置不同队列及队列调理方法，可以有效防止焦点业务丢包
③ 单用户流量的公平调理（UCFQ ：User & Conn Fair Qdisc）
对当前有流量的用户举行公平调理，而不是根据在线用户举行带宽分配，因为在线的用户不肯定有流量。对用户的流量举行公平调理，避免某个用户的流量很大，导致其他用户只能使用很少的带宽。保证同一通道的用户流量可以平均分配（对当前有流量的用户举行公平调理：分配带宽）
④ P2P智能流控技术
P2P流量上传速度和下载速度具有正相干性，通过克制上行流量来达到控制下载速度的效果
⑤ 动态流控技术
设定阈值(%)来区分空闲和繁忙状态，当团体带宽使用率低于阈值时，通道的最大带宽
限定将上浮，直到团体使用率高出了阈值，才采取上浮的部分，实现带宽使用率最大化
阈值：
保障带宽：无论忙闲，最低保障
最大带宽：网络空闲，可达到最大带宽
限定带宽：网络空闲，可达到最大带宽
⑥ 流控黑名单：惩罚通道、某用户高出肯定流量巨细、时长时，可以放入惩罚通道
2）流控通道匹配过程

① 同级通道从上往下匹配
② 匹配到父通道后如果有下级子通道，则继续往下级匹配，直到匹配到最后一级
③ 如果无法匹配到任何自定义的通道，则匹配到所在级别的默认通道
3）流控通道优先级

① 保证通道和限定通道都可以设置优先级
② 优先级别相同时，如果都需要借用带宽，则按照保证带宽的比例借用
③ 优先级别不同，都需要借用带宽时，带宽优先给优先级高的通道使用，剩下的带宽才给低级别的通道借用。
4）惩罚通道

用户应用时间、流量、速率等超出限定，就会进入惩罚通道
5）AC的DNS代理作用

① 抛弃用户访问某些恶意网站的DNS报文
② 内网web服务器未注册域名，AC充当DNS服务器，负责解析内网的域名——IP地址
6）链路负载

① 默认负载策略

• 禁用默认负载策略
  
• 优先使用优先级最高的线路：优先走优先级高，优先级高故障，再走优先级低，雷同备份
  
• 按运营商负载：按照目的地址所属运营商分配
  
• 剩余带宽：按照剩余带宽比例，优先选择剩余带宽比例高的
  
• 带宽比例：一条链路800M，一条链路500，按照8：5分
  
• 平均分配：1：1
  

② 优先负载策略

• 指定线路，可以按优先级（标签）、用户和应用来指定
  
• 多线路负载
  
  
  
  • 剩余宽带
    
  • 优先使用前面线路
    
  • 带宽比例
    
  • 平均分配
    
  
  
• VPN做专线备份
  

3.7 内容审计技术

1. 内容审计需求背景

1）网络安全法要求

监测、记录并保存日志 – 重要
明白责任人
采取防范保护措施
数据分类、备份和加密
2）上网活动审计架构

2. 上网活动审计技术

1）上网审计技术

① AC数据处理过程

② AC审计功能的实现过程

2）日志记录方式

① AC审计日志数据存储过程

② 日志中心分类：

• 内置日志中心（存于AC当地）
  
• 外置日志中心（存于AC服务器）
  

3. 外发邮件审计技术

1）需要背景

2）外发邮件审计原理

4. SSL内容解密技术

笃信服提供两种SSL解密技术用于对https活动举行解密：中间人解密和准入插件解密

1）技术预备

HTTPS加密传输过程（原理）
（1）客户端向服务器发起 HTTPS 请求
（2）服务器返回 SSL 证书信息和服务端随机数
（3）客户端向证书中心验证证书的合法性，如不合法则告警
（4）如证书合法，则从欣赏器中取出对应的服务器公钥
（5）客户端生成客户端随机数，结合服务端随机数生成会话主密钥，用服务器公钥加密后传输给服务器。
（6）服务器用服务器私钥解密出会话主密钥，停止此步调前都是非对称加密传输。
（7）客户端与服务器以主密钥做对称加密通信
2）中间人解密原理

① PC向服务器发起请求
② AC假冒客户端向服务器发送请求
③ 服务器将服务器证书发送给AC，AC存储服务器证书
④ AC将自己的证书发送给PC，PC存储AC证书
⑤ PC使用AC的公钥加密对称密钥
⑥ AC使用自己的私钥解密对称密钥，使用对称密钥解密客户端和服务器发送信息
3）准入插件解密原理

① PC机安装准入插件
② 准入插件向欣赏器注入马甲，解析欣赏器焦点函数
③ 准入插件和AC建立传输通道
④ PC和服务器通信，欣赏器将信息发送给准入插件
⑤ 准入插件通过传输通道将密钥发送给AC
⑥ AC用该密钥解密SSL毗连的数据包，实现审计

3.8 数据代价办理方案

1. 数据代价的需求背景

上网活动日志包含的信息量巨大：用户身份、手机号、微信ID等各种假造账号，同时还包括用户访问的网站、搜索的关键字、发送的邮件、访问的论坛、发布的微博等所有上网活动产生的日志
2. 活动感知组件先容

活动感知系统的定义

• 汇总海量上网原始数据，深度建模分析，感知用户活动
  
• 以应用市肆为载体，提供多种活动感知应用
  
• 每个活动感知应用资助客户办理一个场景下的业务问题
  

活动感知系统的组成

• 数据分析部分：数据汇总、建模、展示
  
• 数据采集部分：笃信服AC、AF等日志
  

活动感知系统的架构

1）通用行业

① 日志中心 – 日志查询-统计分析-搜索中心-报表订阅
② 带宽分析
③ 全网上网态势分析
④ 办公网上网态势分析
⑤ 分支网络监测预警
⑥ 事件感知
2）教育行业

① 事件感知
② 着迷网络组件
③ 校园网贷
④ 聪明资助分析
⑤ 图书馆资源优化
3）企业行业

① 未关机检测分析
② 离职倾向分析
③ 专线质量分析
④ 泄密追溯分析
⑤ 工作效率
⑥ 时间感知
3. 活动感知系统部署

数据分析部分（软件）

• 数据汇总、建模、展示
  
• 基于原外置数据中心平台
  

数据采集部分（硬件）

• AC/SG
  
• AF（定制版本、仅全网/办公网态势感知应用）
  

授权方法

3.9 全网活动管理

1. 全网活动管理先容 – 上网与全网不同的功能

全网活动管理AC = 上网活动管理AC + 认证中心功能 + 新功能（入网认证 + 终端查抄 + 终端管控 + 辨认审计等)
2. 802.1X认证和portal认证区别

3. 802.1X认证

1）802.1X认证概念

• 802.1X作用：办理局域网用户接入网络的认证问题
  
• 认证模式：
  
  
  
  • 基于端口认证 – 只要该端口下的一个设备认证成功，放行该端口下所有设备
    
  • 基于MAC认证 – 每个设备均需要认证
    
  
  
• 认证方式：
  
  
  
  • EAP闭幕 – 互换机将EAP报文解析出用户名密码封装在radius报文中
    
  • EAP透传（中继） – 互换机直接将EAP报文封装在radius报文中，发送给radius服务器
    
  AC默认使用EAP中继（透传）模式
  
  
• 端口控制方式：
  
  
  
  • 主动辨认（通过认证，答应接入网络，未通过认证不答应接入网络访问资源）
    
  • 欺压授权：无需认证即可接入网络，访问网络资源
    
  • 欺压非授权： 不答应认证
    
  
  

2）802.1X认证流程

• 客户端发送认证请求给互换机
  
• 互换机收到认证请求后，要求客户端提交用户信息
  
• 客户端将用户信息发送给互换机，如果为哑终端无法发送终端MAC地址，需要互换机开启MAB属性
  
• 互换机将客户端发送的用户信息封装在RADIUS报文中发送给AC
  
• AC对用户信息举行验证，将验证结果发送给互换机，验证成功互换机答应客户端接人网络，验证失败不答应
  

3）802.1X的上线流程

• 当用户认证通过后，互换机将放通端口，缓存终端的MAC地址5min（MAC地址表老化时间300S）
  
• 需要获取终端IP／MAC绑定关系完成上线：ip／MAC获取方式（计费报文中携带ip地址、通过捕获DHCP／ARP报文、跨三层取MAC）
  

4. 旁路重定向认证

① 终端访问业务或上网数据经过互换机，互换机镜像数据包到AC上，AC查抄终端是否已经认证过了，如果没有认证，则发302重定向包；
② 终端接到302重定向包，到AC设备上举行认证；
③ 认证通过后不再发重定向包，举行放行；认证不通过的，发reset阻断用户对业务的访问；
④ 如果客户除了认证，还需要查抄终端合规以后才气正常接入网络，则需要添加终端查抄策略，在用户认证完成同时查抄终端合规以后才气访问内网资源。
5. 终端查抄

查抄方法 – 准入插件、流量活动检测
准入插件 – 杀毒软件检测（禁止上网、提示、违规修复、用户限定、记录）、登录域检测（禁止上网、提示、用户限定、记录）
流量检测 – 杀毒软件检测：个人版（流量活动特征）、企业版（检测终端和中心服务器之间是否有流量），最多10W在线用户用户检测（重定向网址、记录）
外联检测：拨号上网、毗连外网、网卡检测、非法wifi、毗连非法网关、自定义外联
​ 违规处置：断网、发送告警———电脑安装准入插件、检测API接口。。。
外设管控：存储设备（U盘、手机、平板等）、网络设备（无线网卡、4g卡、随身wifi等）、蓝牙设备、摄像头、打印机 – 电脑安装准入插件、克制电脑安装驱动 – U盘和便携式可风雅化管控
外设管控和风雅化管控只能选一（存储设备）白名单1024条、组策略 – 不支持windows家庭版和XP系列
外联管控 – Wirhdlows可以，XP不行，终端可以设置可以访问的地址或不可以访问地址
组合规则中不支持外联管控和外设管控，终端先通过认证，再举行外联管控和外设管控策略端到全网活动管理设备之间不能有NAT

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。