第三章-上网行为安全

3.1 上网行为安全概述

1. 上网行为安全背景

1）宽带滥用

2）上网难监管

3）信息泄露

4）网络违法

5）安全威胁

2. 上网行为安全需求 – 重点

1）上网行为三要素：用户、流量、行为

2）功能需求 （AC的功能）-- 重点

• 用户认证
• 应用控制
• 网页过滤
• 行为审计
• 流量管理
• 应用选路

3. 上网行为安全的应用场景

互联网上网行为管控

一体化网关

无线Wi-Fi管控营销

无线防共享上网

全网上网态势分析

数据价值分析

3.2 上网行为组网方案

1. 上网行为管理基本操作 – 掌握（常识）

1）初识设备

1U = 4.45cm

盒式设备：高度 = 1U

框式设备：高度 ≥ 2U

外观：

1U 高度

2U 高度

2）如何设备登录

① 首次拿到设备（全新设备），使用一根交叉线连接设备和电脑，在浏览器中输入https://10.251.251.251 或 https://10.252.252.252 到登录界面（电脑的有线中需要添加同网段的ip，首先保证能够ping同AC）。sangfor默认的登录名和密码均为 admin（新设备时可用使用该方法，一般不常用）

② 如果接口地址被修改，在不知道更改后地址的情况下：使用AC的两个保留地址：https://128.127.125.252 或 https://128.128.125.252 登录控制台。需要注意AC口和两个地址不一定是哪个，需要使用ping的方式来验证。（常用）

? 也可以使用sangfor升级工具查找设备地址。（不常用）

3）恢复出厂设置

① 通过AC控制台恢复出厂设置。系统管理 -> 系统配置 -> 配置备份与恢复

② 通过sangfor升级系统工具恢复出厂设置

③ 交叉线短接设备两个电口恢复（12.0.12之前，必须是非bypass口；12.0.12之后必须是bypass口）设备关机 -> 短接bypass口 -> 设备开机 -> 等设备运行起来（5-10min）

④ U盘恢复出厂设置。新建txt文档命名为reset-cfg.txt（U盘格式FAT32） -> AC插上U盘重启设备 -> 等alram灯闪烁，拔出U盘

4）恢复控制台密码

① 交叉线恢复控制台密码。确保电脑和设备能通信，访问https://acip/php/rp.php，提示“创建文件成功，请连接交叉线并重启设备” -> 短接bypass口 -> 手动重启设备 -> 电口闪烁10次或等待5-10min

② U盘恢复密码。新建txt文档命名为reset-cfg.txt（U盘格式FAT32）-> 访问https://ACIP/php/rp.php -> 插上U盘重启设备，alram闪烁，拔出U盘

2. 上网行为管理部署模式 – 重点

1）路由模式

设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。

路由模式下支持AC所有的功能

如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。

2）网桥模式

设备以网桥模式部署时对客户原有的网络基本没有改动。

网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

3）旁挂模式

旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控。

旁路模式部署主要用于做上网行为的审计，且只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。

TCP RST的作用：标示复位、用来异常的关闭连接。

4）三种模式对比

	路由	网桥	旁路
DHCP	Y	N	N
NAT	Y	N	N
VPN	Y	N	N
非TCP控制	Y	Y	N
过滤规则	Y	Y	N
静态路由	Y	Y	Y
共享接入管理	Y	Y	N
移动终端管理	Y	Y	N
代理工具管理	Y	Y	N
防dos	Y	Y	N
流量管理	Y	Y	N
SSL内容识别	Y	Y	Y
日志中心	Y	Y	Y

5）单臂模式（Trunk模式）

3. 防火墙技术及其应用

1）防火墙过滤规则

2）防火墙端口映射及其应用

端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。

常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求。

只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器”。 若不勾选，仅允许公网用户通过公网地址访问到内网服务器。

3.3 用户认证技术

1. 用户和用户组管理

增删改查用户 / 组

2. 不需要认证（免认证）

3. 本地密码认证

4. IP / MAC 绑定

5. 外部认证 - AD域认证

6. AC 获取PC真实MAC原理 — 重点

1. 用户上网的数据经过三层交换机会在交换机上形成ARP表

2. 上网的数据经过AC时，AC看到数据包的源MAC地址都是三层交换机的MAC，于是AC会主动通过SNMP协议去读取三层交换机的ARP表（要在三层交换机上先设置允许AC访问其SNMP服务）

3. AC会将读取到的ARP条目和AC设备里面绑定的IP/MAC条目进行对比

4. 如果比对结果一致，则允许上网，否则丢弃数据包禁止上网

注意：三层交换与AC直连时，不需要做任何操作即可实现该功能；如果AC与交换机跨三层，则在AC高级认证下开启跨三层取MAC，且在交换机上开启SNMP服务

7. HTTP协议简介

• 超文本：包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。

• URL：URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。

  

• HTTP：超文本传输协议，是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台主机(浏览器)的应用层协议，以实现超链接的功能。

8. HTTP工作原理 – 重点

在用户点击URL为http://www.qq.com/index.html的链接后，浏览器和Web服务器执行以下动作：

1. 浏览器分析超链接中的URL
2. 浏览器向DNS请求解析www.qq.com的IP地址 DNS将解析出的IP地址222.246.129.80返回浏览器
3. 浏览器与服务器建立TCP连接（80端口）浏览器请求文档：GET／index.html 服务器给出响应，将文档 index.html发送给浏览器
4. 浏览器显示index.html中的内容
5. 数据发送完后释放TCP连接

9. HTTP 请求和响应

1）HTTP请求方法

2）HTTP响应状态码

3）HTTP头部字段

10. AC重定向步骤

第一步：PC先进行DNS解析域名过程

第二步：PC向解析出的服务器地址发起TCP三次握手

第三步：PC向服务器发出GET请求，请求主页

第四步：AC拦截PC的GET请求，并把AC自己伪装成服务器，给PC回复HTTP 302 Moved Temporarily（RST） ，要求PC重定向AC认证的URL

第五步：PC自动重定向访问AC的认证界面，输入正确的账号密码，登录成功

3.4 应用控制技术

[课件地址](…/SCSA_PPT/03-第三章 上网行为安全/3.4应用控制技术.pptx)

1. 应用特征识别功能

1）传统行为检测原理

传统的网络设备根据根据数据包的五元组（源IP，目的IP，源端口，目的端口，协议）这些特征等来识别应用并进行丢弃、转发、接收、处理等行为。

2）深度行为检测技术

**产生背景：**传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的数据包，无法满足现在的安全需求和可视需求

• 深度包检测技术（DPI）

  深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容

  ① 基于特征字的检测技术（DPI）

  基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。

  ② 基于应用层网关的检测技术（ALG）

  某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流，根据对应的协议，对控制流进行解析，从协议内容中识别出相应的业务流。

  ③ 基于行为模式的检测技术

  基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作。

  行为模式识别技术通常用于无法根据协议判断的业务的识 别。

• 深度流检测技术（DFI）

  DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。

  一般包括流量大小、速率、包的大小、发送速率间隔、上传下载速率

  

• DPI和DFI区别

  DFI仅对流量行为分析，因此只能对应用类型进行笼统分类但是无法对流量进行精准分析。

  如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。

2. HTTP识别控制技术

1）HTTP识别工作原理

HTTP网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，发给get请求，在get请求数据包中的host字段，就是我们访问网站的具体URL，我们通过抓取这个字段来识别终端用户是访问的哪个网站。

2）HTTP控制工作原理

如果我们对该URL做封堵，终端设备在发出get请求后（即完成HTTP识别）， 设备会伪装成网站服务器向终端设备发一个状态码302的数据包，源ip是网站 服务器的ip地址，数据包中的内容是告知终端设备访问网站服务器的拒绝界面。

注意：数据包单向经过AC，AC不能进行封堵。因为AC获取不到服务器的返回包，不能伪装服务器向终端发送中断连接的报文

3. HTTPS识别控制技术

1）HTTPS简介

全称Hypertext Transfer Protocol over Secure Socket Layer，是HTTP的安全版，HTTPS默认使用TCP端口443，也可以指定其他的TCP端口。HTTPS中S,实际上是SSL(Secure Sockets Layer)协议。

? SSL是Netscape公司发明的一种用于WEB的安全传输协议。 随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组（IETF）。第一个后Netscape版本被重新命名为安全传输层协议（TLS）， TLS (Transport Layer Security:RFC 2246)是基于SSL上研发的，但是与SSLv3.0有细微的差别。因此，SSL协议有时也称为TLS协议。目前常用的是TLSv1.0的协议。

2）HTTPS工作原理（HTTPS四次握手）-- 重点

第一次握手：

客户端向服务器发送Client Hello消息，消息以明文的形式传输，里面包括客户端支持的协议版本、加密套件、压缩算法、客户端生成的一个随机数R1（Session ID）、扩展字段等。其中加密套件是四个功能的组合，即：认证算法（Au）、密钥交换算法（KeyExchange）、对称加密算法（Enc）和信息摘要算法。

第二次握手：

① 应对客户端发来的Client Hello，服务器将发送Server Hello消息进行响应，该消息以明文的形式传输，相应消息包括确认使用的协议版本、由服务器生成的随机数R2（Session ID），确认使用的加密套件、确认使用的压缩方法。

② 在发完Server Hello消息后，服务器会马上将自己的Certificate（公钥证书）发送给客户端。

③ Client Certificate Request非必须选项，在对于安全性要求较高的场景中，服务器可要对客户端的身份进行认证，因此发起了对客户端公钥证书的请求，一般情况下浏览器都会内置一对独一无二的公私钥。

④ 由于第二次握手中包含一些可选选项，因此需要服务器发送一个Server Hello Done的消息，用来通知客户端Server Hello过程结束。

第三次握手：

① Client Certificate是在第二次握手的第三步有进行的情况下，即服务器有向客户端请求证书的情况才会有的，这一步是客户端向服务器发送客户端的证书，而服务器收到证书后也会对证书进行相同的验证。

② Client Key Exchange 客户端密钥交换（产生预主密钥（preMasterKey））

③ Certificate verify 客户端证书验证，让服务器验证发消息的客户端和客户端证书的真实所有者

④ Change Cipher Spec是客户端向服务器通知，后面发送的消息都会使用协商出来的密钥进行加密。

⑤ Encrypted Finished Message客户端的 SSL 协商成功结束，发送握手验证报文确保消息的完整性

第四次握手：

① Change Cipher Spec是服务器向客户端通知，后面发送的消息都会使用协商出来的密钥进行加密。

② Encrypted Finished Message与第三次握手类似，是服务器发给客户端的用来确定协商的密钥是一致的，也是一条Server Finish消息。

TLS四次握手也就完成了，双方已经协商好使用的加密套件和对称密钥，接下来的交互数据都将经过加密后再使用TCP进行传输。

3）HTTPS识别工作原理

HTTPS网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，终端开始发Client hello报文(SSL握手的第一阶段)，在此报文中的server_name 字段包含所访问的域名，上网行为管理提取Server_Name字段来识别https的网站。

4）HTTPS控制工作原理

对HTTPS网站封堵，终端设备在发送Client hello报文后，我们识别到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包（ip.id也是0x5826），断开终端设备与网站服务器之间的连接，从而控制HTTPS网站的访问。

5）HTTP与HTTPS封堵数据的区别 – 重点

HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面。

4. 自定义应用识别技术

1）自定义应用

【对象定义】->【自定义应用】

2）自定义URL

【对象定义】-【URL分类库】

5. 上网权限策略排查思路 – 知道了解

1. 检查设备部署,如是旁路模式部署,设备本身只能对一些TCP的应用做控制

2. 【实时状态】-【在线用户列表】查看策略对应的用户是否在线

3. 检查规则库“应用识别”“URL库”“审计规则库”是否为最新

4. 检查上网权限策略是否与用户关联,检查用户是否关联了多条上网权限策略,注意策略的叠加顺序（自上而下优先级递减）

5. 检查【系统诊断】-【上网故障排除】是否开启直通；【系统配置】-【全局排除地址】是否有排除内网PC的ip、目标域名、目标IP等

6. 检查是否有自定义应用,禁用或删除自定义的应用看策略是否正常

7. 给用户关联一条【上网审计策略】,开启所有应用的审计,进入【内置数据中心】,检查数据中心识别到的应用和实际使用的应用是否对应。如不对应那回滚下应用识别规则库再重新更新规则库

8. 如数据中心没有识别内网PC任何的应用,此时注意检查客户是否有其它的上网线路,抓包分析用户流量是否经过AC

3.5 终端识别和管理技术

1. 防共享需求背景

1. 在企业中，不少用户共享自己访问互联网的权限给其他用户，绕开了企业对用户设定的上网权限控制，使得原本没有上网权限的用户可以上网了，或者使得原本上网权限较低的用户拥有了较高的权限，给网络管理带来了诸多麻烦。

2. 在运营商承建和运维的高校网络中，遇到很多学生使用路由器或者其他软件方式，共享互联网的访问给其他同学或朋友，直接造成运营商的收益收到影响。

2. 防共享识别和控制技术

1）传统防共享技术

① ID轨迹检测

Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加

Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距

② 时钟偏移检测

• 不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系
• 不同主机发送报文频率与时钟存在统计对应关系
• 通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机

③ 其他防共享技术

	原理	优点	缺陷
流量/连接数统计	统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户	具有一定的参考意义	对BT、网络病毒会误报，对少量共享主机的情况会漏报
MAC地址检测	在接入层交换机下检测MAC地址，同一个账号有多个MAC地址，则认为共享上网用户	能够实时判断出是否为共享上网用户 完全被动监听，不发送探测信息 对分时上网的共享用户同样有效	需要大规模部署在接入层 对NAT/Proxy用户无效 对一台主机多个网卡的情况会产生误报
SNMP扫描检测基本已被淘汰	扫描主机或ADSL Modem的SNMP信息，提取主机数	在特定情况下检测比较准确，如用户侧启用SNMP服务	极易通过修改Modem配置来躲避 需要扫描用户主机，招致用户察觉和不满
TTL检测	经过一个NAT设备后，TTL会减一，如果某个用户TTL与正常的不一致，则认为是共享上网用户	具有一定的参考意义	需要大规模部署在接入层 由于操作系统处理不同，即使TTL不一致，也未必是共享上网用户 对Proxy无效

2）深信服DPI检测技术

? 通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的TCP数据包中带有PC的IP信息，AC设备通过分析这些数据包可以提取出PC端的IP，根据不同的IP数量得出共享的PC数量,比如QQ登录时候的数据包中会携带电脑网卡的IP地址，适用于windows的电脑。

① QQ检测防共享过程

AC拆包查看应用层数据，发现同一个源IP下，QQ数据中携带了两个不同的客户端源IP，判定存在共享。

② 深信服字体检测技术

通过插件的上报字体判断，相同则不存在共享，不同则判定存在共享

③ URL检测

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和终端强关联的，即同一终端发送的特征串信息是相同的，不同终端间发送的是不同的， AC设备根据提取到的不同的特征串数量得出共享的终端数量。

④ 微信特征ID检测

通过分析微信客户端在发送消息时，在数据包固定的偏移位置，存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数，统计提取数量的个数得出共享移动终端数量。

3）移动终端共享识别工作原理

? 设备内置规则库，可以从这些应用中分析出不同的终端类型，其中包括IM社交、在线视频、生活、新闻资讯、地铁、下载客户端、移动浏览器、PC端手机助手等类型的应用，例如微信、移动QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。

? PC端的应用有如下，例如QQ音乐、百度网盘、爱奇艺软件、安全卫士、腾讯视频、有道、优酷、windowsupdate、rar解压软件、PowerPoint、Word、flash、google、QQ宠物、QQ拼音、迅雷下载、微软、福昕pdf、Media-Player、向日葵远程、金山毒霸、赛门铁克、戴尔技术支持中心、PC版本的网易邮箱、PC版本的QQ游戏等等。

4）不支持识别以下三种场景

1. 手机插电脑上充电

2. PC里装了虚拟机

3. 电脑上安装移动终端模拟器

5）测试方法

3. 移动终端管理需求背景

1. 私接Wi-Fi给内网带来巨大隐患

2. 新兴廉价Wi-Fi工具降低私接Wi-Fi难度和成本

3. 蹭网卡的流行使违规违纪行为难以发现和追溯

4. 移动终端识别和控制技术

1）移动终端管理解决方案

2）排除信任IP和用户

3）移动终端识别原理

① URL检测

? 通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和移动端关联的强关联的，此方法能识别到不同型号移动终端共享行为。

② 应用规则检测

? 设备内置规则库，可以从这些应用中分析出移动终端，其中包括IM社交、在线视频、生活、新闻资讯、地铁、下载客户端、移动浏览器、PC端手机助手等类型的应用，例如微信、移动QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。

③ UA检测

? User-Agent含浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息，我们可以从中取这些信息来识别不同的终端类型。

4）管理非法接入的移动终端

3.6 流量管理技术

[课件地址](…/SCSA_PPT/03-第三章 上网行为安全/3.6流量管理技术.pptx)

1. 流量管理需求背景

1）带宽资源被非关键应用大量占用

2）传统的缓存丢包式的流控无法控制P2P下行流量

3）空闲时带宽利用率低

4）一刀切的流量控制手段，影响员工使用体验

2. 流量管理技术

传统流量管理技术缺陷：传统的流控方式是基于网络协议的L4层及一下的内容（非有效负载内容）进行分析，通常可以基于固定的数据封装格式提取数据特征。传统的IP数据包流量识别和QoS技术，仅根据数据包头中的“五元组”信息进行分析，却无法识别出流量中所涉及的应用，因此，无法对应用进行精细的流控。

3. 主流的流量管控技术

1）流量检测方法

	主动检测方法	被动检测方法
检测过程	使用网络爬虫（Crawler），像普通网络节点一样，主动加入网络，尽可能多的获取相关的网络特性，搜集IP地址集、端口号及所有元数据信息。	通常是在网络的不同位置部署一定数量的测量点，使用特定的软、硬件设备被动监测相关P2P流量信息。为了保证测量数据的代表性，测量点通常位于骨干网络的核心路由器或某个ISP网络的边缘出口。
作用	主要用于测量网络拓扑、延迟、内容可用性、上传/下载等微观行为特性。	主要用于测量P2P网络的流量大小、连接数量、连接持续时间等宏观流量特性。
优点	直接获取网络的特征信息，具有可行度高，准确性好的特点。	①被动测量方法信息既不会增加网络负载，也不会对PEER本身造成影响。 ②可以用于测量多种P2P应用，通用性较好。 ③通过控制测量点的位置，还可以给出P2P流量对特定网络区域的影响。
缺点	①需要相当的先验知识。 ②仅针对特定应用测量，通用性较差。 ③基于Crawler的主动测量引入了额外的探测流量，增加了网络负担。	①无法深入了解P2P网络行为。 ②对测量设备的软、硬件要求较高。

2）应用检测技术

① 常用端口检测

端口检测法是依赖于端口来识别流量，在应用较少的互联网初期作用效果较好。

随着互联网发展的多样化，应用的常用端口越来越不明显，因此，该方法识别能力非常有限。

② 深度流检测（DFI）

深度流检测方法主要采用基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态不同。

主要识别指标包括：数据包的大小、速率、延时、持续时间、发送频率、上下行流量的比例关系以及IP地址的连接方式等。

③ 深度包检测（DPI）

深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容，包括关键字检测、应用网关检测、行为模式检测等。

3）应用控制技术

① 流量整形技术

根据数据流识别的结果，对数据流量采用阻塞、随机丢包、或者提供QoS保证等方式，对符合策略控制条件的数据流进行流量管理和资源调度，达到流量控制的目的。

举例：TCP整形技术—滑动窗口允许根据自己的接受速率动态调整窗口大小来调整发送方的数据传输速率

TCP整形技术特点：-- 了解即可

（1）可以对网络中进行 TCP 对话的每个信息源进行流量监听、跟踪和干扰，对信息源发送到网络的流量的大小、发送频率和发送时间进行控制，较为彻底的解决网络拥塞的问题。

（2）经过 TCP 整形技术处理过的流量变得比较平稳，不会出现流量严重突变的情况以至于影响到其它流量,传输效率有很大的提升，充分利用了网络资源。

（3）TCP 整形技术没有采用队列技术，报文重传率和信息包的丢失率大大的降低。

（4）不支持 UDP 流量

（5）窗口大小的设置十分关键，过大导致拥塞，过小导致带宽利用不充分。

（6）短连接性能差，当使用短连接（一次会话期间只传输少量数据包的连接）时，TCP 速度的控制性能比较差。当前的网络中，大部分的传输信息由短 HTTP(web)连接构成。这些连接在完成传输数据之前不可能扩大或减小它们的窗口大小。对于这些连接,更改窗口大小与之无关，必须运用直接的方法来管理这些连接。

（7）对硬件性能要求较高。TCP 窗口技术需要大量的堆栈来对每一个 TCP 窗口一一对应的来做处理，并且每一个堆栈都需要消耗硬件的处理性能，尤其是 TCP 的请求和连接数量相对较多的时候，对硬件的性能要求会相当苛刻。设备的稳定性直接影响着堆栈的稳定性，同时也关乎着网络的稳定性和可靠性。

② 连接干扰（TCP）/信令干扰（UDP）

a）连接干扰—根据数据流识别的结果，针对TCP流量，复制数据流的IP五元组信息，并交换源/目的IP、端口，伪造成为数据流连接的对端，发送标准的TCP Reset/FIN数据包，中断该数据流连接，或者引发TCP重传，达到流量控制的目的。

b）信令干扰—针对UDP流量，由于UDP为无状态协议，因此无法从4层对数据流进行干扰，只能通过7层的协议信令进行干扰，达到流量控制的目的。

③ 应用控制技术对比

	流量整形	连接干扰/信令干扰
技术成熟程度	成熟	成熟
流控准确度	较为准确	存在波动
对UDP流的控制	能	能力有限
是否主动注入流量	否	是
是否提供QOS保证	能	不能
控制效率	好	较好

4）流量控制组网模式

① 直路串联流控模式

a）串联在网络中，控制方式比较直接，可以灵活的对不同流量使用不同策略。

b）串联使得控制设备成为被控网络的一部分，控制设备可能会影响整个被控链路。

② 旁路干扰流控模式

a）TCP截断，通过伪造并发送TCP RST报文来截断TCP连接。

b）TCP降速，通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值。

c）UDP截断，通过伪造并发送P2P应用层特殊控制命令方式来截断UDP连接。

d）UDP降速，通过伪造并发送P2P应用层特殊控制命令方式来降低UDP连接的传送速率。

**优势：**对链路影响较小，可扩展性（扩展其他功能）较强

**劣势：**目前只能对应地使用连接干扰、信令干扰技术进行数据流控制，控制能力受到较大影响

③ 网络流量控制系统

当前广泛部署的网络流量控制系统主要由四个部分：流量分类，队列管理，分组调度，流量整形。

a）**流量分类：**按照不同的优先级或控制策略，将数据包注入到不同队列。当前的流量分类技术主要分为基于端口、会话、内容的识别方式。

b）**队列管理：**指对网络传输节点中队列缓冲资源的管理和分配，即缓冲管理。通过控制队列的平均深度来避免拥塞发生。

c）**分组调度：**分类器根据分组的上下文和粒度确认它所在的队列，分组进入相应队列排队等候，直至调度器将其选择发送。可以控制不同类型的分组对链路带宽的利用，使不同的数据流得到不同等级的服务。

d）**流量整形：**使经过网络瓶颈的数据包平缓的注入主干网，减少数据包在边缘网关排队等待的时间，从而减少边缘网关缓存的大小和数据包丢失率。流量整形主要采用两种基本方法：漏桶算法和令牌桶算法。

4. SANGFOR流控解决方案

1）SANGFOR流控方式

① 缓存流控

以前的流控的效果是通过直接丢包来实现的，导致了丢包率比较高，SANGFOR使用缓存的方式，将流量暂时存入缓存，可以有效的解决丢包的问题。

② 队列调度（HTB分层令牌桶）

设置不同队列及队列调度方法，可以有效防止核心业务丢包

③ 单用户流量的公平调度（UCFQ ：User & Conn Fair Qdisc）

对当前有流量的用户进行公平调度，而不是根据在线用户进行带宽分配，因为在线的用户不一定有流量。对用户的流量进行公平调度，避免某个用户的流量很大，导致其他用户只能使用很少的带宽。保证同一通道的用户流量可以平均分配（对当前有流量的用户进行公平调度：分配带宽）

④ P2P智能流控技术

P2P流量上传速度和下载速度具有正相关性，通过抑制上行流量来达到控制下载速度的效果

⑤ 动态流控技术

设定阈值(%)来区分空闲和繁忙状态，当整体带宽利用率低于阈值时，通道的最大带宽

限制将上浮，直到整体利用率超过了阈值，才回收上浮的部分，实现带宽利用率最大化

阈值：

保障带宽：无论忙闲，最低保障

最大带宽：网络空闲，可达到最大带宽

限制带宽：网络空闲，可达到最大带宽

⑥ 流控黑名单：惩罚通道、某用户超过一定流量大小、时长时，可以放入惩罚通道

2）流控通道匹配过程

① 同级通道从上往下匹配

② 匹配到父通道后如果有下级子通道，则继续往下级匹配，直到匹配到最后一级

③ 如果无法匹配到任何自定义的通道，则匹配到所在级别的默认通道

3）流控通道优先级

① 保证通道和限制通道都可以设置优先级

② 优先级别相同时，如果都需要借用带宽，则按照保证带宽的比例借用

③ 优先级别不同，都需要借用带宽时，带宽优先给优先级高的通道使用，剩下的带宽才给低级别的通道借用。

4）惩罚通道

用户应用时间、流量、速率等超出限制，就会进入惩罚通道

5）AC的DNS代理作用

① 丢弃用户访问某些恶意网站的DNS报文

② 内网web服务器未注册域名，AC充当DNS服务器，负责解析内网的域名——IP地址

6）链路负载

① 默认负载策略

• 禁用默认负载策略

• 优先使用优先级最高的线路：优先走优先级高，优先级高故障，再走优先级低，类似备份

• 按运营商负载：按照目的地址所属运营商分配

• 剩余带宽：按照剩余带宽比例，优先选择剩余带宽比例高的

• 带宽比例：一条链路800M，一条链路500，按照8：5分

• 平均分配：1：1

② 优先负载策略

• 指定线路，可以按优先级（标签）、用户和应用来指定
• 多线路负载
  • 剩余宽带
  • 优先使用前面线路
  • 带宽比例
  • 平均分配
• VPN做专线备份

3.7 内容审计技术

1. 内容审计需求背景

1）网络安全法要求

监测、记录并保留日志 – 重要

明确责任人

采取防范保护措施

数据分类、备份和加密

2）上网行为审计架构

2. 上网行为审计技术

1）上网审计技术

① AC数据处理过程

② AC审计功能的实现过程

2）日志记录方式

① AC审计日志数据存储过程

② 日志中心分类：

• 内置日志中心（存于AC本地）
• 外置日志中心（存于AC服务器）

3. 外发邮件审计技术

1）需要背景

2）外发邮件审计原理

4. SSL内容解密技术

深信服提供两种SSL解密技术用于对https行为进行解密：中间人解密和准入插件解密

1）技术准备

HTTPS加密传输过程（原理）

（1）客户端向服务器发起 HTTPS 请求

（2）服务器返回 SSL 证书信息和服务端随机数

（3）客户端向证书中心验证证书的合法性，如不合法则告警

（4）如证书合法，则从浏览器中取出对应的服务器公钥

（5）客户端生成客户端随机数，结合服务端随机数生成会话主密钥，用服务器公钥加密后传输给服务器。

（6）服务器用服务器私钥解密出会话主密钥，截止此步骤前都是非对称加密传输。

（7）客户端与服务器以主密钥做对称加密通信

2）中间人解密原理

① PC向服务器发起请求

② AC假冒客户端向服务器发送请求

③ 服务器将服务器证书发送给AC，AC存储服务器证书

④ AC将自己的证书发送给PC，PC存储AC证书

⑤ PC使用AC的公钥加密对称密钥

⑥ AC使用自己的私钥解密对称密钥，使用对称密钥解密客户端和服务器发送信息

3）准入插件解密原理

① PC机安装准入插件

② 准入插件向浏览器注入马甲，解析浏览器核心函数

③ 准入插件和AC建立传输通道

④ PC和服务器通信，浏览器将信息发送给准入插件

⑤ 准入插件通过传输通道将密钥发送给AC

⑥ AC用该密钥解密SSL连接的数据包，实现审计

3.8 数据价值解决方案

1. 数据价值的需求背景

上网行为日志包含的信息量巨大：用户身份、手机号、微信ID等各种虚拟账号，同时还包括用户访问的网站、搜索的关键字、发送的邮件、访问的论坛、发布的微博等所有上网行为产生的日志

2. 行为感知组件介绍

行为感知系统的定义

• 汇总海量上网原始数据，深度建模分析，感知用户行为

• 以应用商店为载体，提供多种行为感知应用

• 每个行为感知应用帮助客户解决一个场景下的业务问题

行为感知系统的组成

• 数据分析部分：数据汇总、建模、展示

• 数据采集部分：深信服AC、AF等日志

行为感知系统的架构

1）通用行业

① 日志中心 – 日志查询-统计分析-搜索中心-报表订阅

② 带宽分析

③ 全网上网态势分析

④ 办公网上网态势分析

⑤ 分支网络监测预警

⑥ 事件感知

2）教育行业

① 事件感知

② 沉迷网络组件

③ 校园网贷

④ 智慧资助分析

⑤ 图书馆资源优化

3）企业行业

① 未关机检测分析

② 离职倾向分析

③ 专线质量分析

④ 泄密追溯分析

⑤ 工作效率

⑥ 时间感知

3. 行为感知系统部署

数据分析部分（软件）

• 数据汇总、建模、展示

• 基于原外置数据中心平台

数据采集部分（硬件）

• AC/SG

• AF（定制版本、仅全网/办公网态势感知应用）

授权方法

3.9 全网行为管理

1. 全网行为管理介绍 – 上网与全网不同的功能

全网行为管理AC = 上网行为管理AC + 认证中心功能 + 新功能（入网认证 + 终端检查 + 终端管控 + 识别审计等)

2. 802.1X认证和portal认证区别

3. 802.1X认证

1）802.1X认证概念

• 802.1X作用：解决局域网用户接入网络的认证问题

• 认证模式：

  • 基于端口认证 – 只要该端口下的一个设备认证成功，放行该端口下所有设备
  • 基于MAC认证 – 每个设备均需要认证

• 认证方式：

  • EAP终结 – 交换机将EAP报文解析出用户名密码封装在radius报文中
  • EAP透传（中继） – 交换机直接将EAP报文封装在radius报文中，发送给radius服务器

  AC默认使用EAP中继（透传）模式

• 端口控制方式：

  • 自动识别（通过认证，允许接入网络，未通过认证不允许接入网络访问资源）

  • 强制授权：无需认证即可接入网络，访问网络资源

  • 强制非授权： 不允许认证

2）802.1X认证流程

• 客户端发送认证请求给交换机
• 交换机收到认证请求后，要求客户端提交用户信息
• 客户端将用户信息发送给交换机，如果为哑终端无法发送终端MAC地址，需要交换机开启MAB属性
• 交换机将客户端发送的用户信息封装在RADIUS报文中发送给AC
• AC对用户信息进行验证，将验证结果发送给交换机，验证成功交换机允许客户端接人网络，验证失败不允许

3）802.1X的上线流程

• 当用户认证通过后，交换机将放通端口，缓存终端的MAC地址5min（MAC地址表老化时间300S）
• 需要获取终端IP／MAC绑定关系完成上线：ip／MAC获取方式（计费报文中携带ip地址、通过捕获DHCP／ARP报文、跨三层取MAC）

4. 旁路重定向认证

① 终端访问业务或上网数据经过交换机，交换机镜像数据包到AC上，AC检查终端是否已经认证过了，如果没有认证，则发302重定向包；

② 终端接到302重定向包，到AC设备上进行认证；

③ 认证通过后不再发重定向包，进行放行；认证不通过的，发reset阻断用户对业务的访问；

④ 如果客户除了认证，还需要检查终端合规以后才能正常接入网络，则需要添加终端检查策略，在用户认证完成同时检查终端合规以后才能访问内网资源。

5. 终端检查

检查方法 – 准入插件、流量行为检测

准入插件 – 杀毒软件检测（禁止上网、提示、违规修复、用户限制、记录）、登录域检测（禁止上网、提示、用户限制、记录）

流量检测 – 杀毒软件检测：个人版（流量行为特征）、企业版（检测终端和中心服务器之间是否有流量），最多10W在线用户用户检测（重定向网址、记录）

外联检测：拨号上网、连接外网、网卡检测、非法wifi、连接非法网关、自定义外联

? 违规处置：断网、发送告警———电脑安装准入插件、检测API接口。。。

外设管控：存储设备（U盘、手机、平板等）、网络设备（无线网卡、4g卡、随身wifi等）、蓝牙设备、摄像头、打印机 – 电脑安装准入插件、阻止电脑安装驱动 – U盘和便携式可精细化管控

外设管控和精细化管控只能选一（存储设备）白名单1024条、组策略 – 不支持windows家庭版和XP系列

外联管控 – Wirhdlows可以，XP不行，终端可以设置可以访问的地址或不可以访问地址

组合规则中不支持外联管控和外设管控，终端先通过认证，再进行外联管控和外设管控策略端到全网行为管理设备之间不能有NAT