网络安全资料

AnYuXiHuan_

于 2025-03-19 15:32:36 发布

阅读量1k

点赞数 17

分类专栏：网络安全文章标签：网络安全

本文链接：https://blog.csdn.net/AnYuXiHuan_/article/details/146372260

版权

网络安全专栏收录该内容

1 篇文章

订阅专栏

网络安全法的生效时间：2017.06.01

信息安全概述

信息安全：

防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：

计算机网络下的信息安全

常见的网络安全术语

术语	描述
漏洞	可能被一个或多个威胁利用的资产或控制的弱点
攻击	企图破坏、泄露、篡改、损伤、窃取未授权访问或未授权使用资产的行为
入侵	对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞	通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门	绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL	以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门
社会工程学	以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门
exploit	简称exp，漏洞利用
APT攻击	高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

常见的安全风险

TCP/IP层级存在风险
应用层漏洞、缓冲区溢出攻击、web应用攻击、病毒及木马……
传输层 TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描……
网络层 IP欺骗、Smurf攻击、ICMP攻击、地址扫描……
数据链路层 Mac欺骗、Mac泛洪、ARP欺骗……
物理层设备破坏、线路侦听……

TCP/IP层级	存在风险
应用层	漏洞、缓冲区溢出攻击、web应用攻击、病毒及木马……
传输层	TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描……
网络层	IP欺骗、Smurf攻击、ICMP攻击、地址扫描……
数据链路层	Mac欺骗、Mac泛洪、ARP欺骗……
物理层	设备破坏、线路侦听……

网络的基本攻击模式

截获（嗅探、监听）
篡改（数据包篡改）
中断（拒绝服务）
伪造（欺骗）

各层主要的攻击方式

物理层

物理攻击

物理设备破坏

指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听、红外监听

自然灾害

常见场景：高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。

常见处理办法：建设异地灾备数据中心。

链路状态层

Mac泛洪攻击

交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制；
泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

ARP欺骗

当A与B需要通讯时：

A发送ARP Request询问B的MAC地址
Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的）
之后A发送给B的正常数据包都会发给Hacker

网络层

ICMP攻击

ICMP重定向攻击

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由，路由器也会把初始数据报向它的目的地转发。

ICMP协议通过ICMP重定向数据包（类型5、代码0：网络重定向）达到这个目的。

ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包，使受害人主机数据包发送到不正确的网关，达到攻击的目的。ICMP重定向攻击既可以从局域网内发起，也可以从广域网上发起。

针对ICMP重定向报文攻击，简单的办法就是通过修改注册表关闭主机的ICMP重定向报文处理功能。

ICMP不可达报文攻击

不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。

针对ICMP不可达攻击，简单的办法就是通过修改注册表关闭主机的ICMP不可达报文处理功能。

传输层

TCP SYN Flood 攻击

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

分布式拒绝服务攻击（DDoS）

DDoS攻击的基本原理是通过控制大量的互联网设备（如计算机、路由器、物联网设备等），将这些设备作为“僵尸网络”，然后向目标服务器发送大量请求，使其资源耗尽，无法响应合法用户的请求，最终导致服务不可用。

应用层

DNS欺骗攻击

攻击者篡改DNS服务器的A记录，将域名对应成钓鱼网站，用户访问DNS时，会被解析成钓鱼网站IP，从而受到攻击。

操作系统漏洞

缓冲区溢出攻击

缓冲区溢出攻击原理

缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致被溢出的数据错误执行，进而受到攻击。

终端常见攻击

勒索病毒

通过漏洞或者暴力破解等方式入侵用户系统投放勒索病毒，并加密用户数据。

挖矿病毒

定义: 一种恶意程序，可自动传播，在未授权的情况下占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。 特点: 占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描SSH文件感染其他机器。 危害: 占用系统资源、影响系统正常使用。

特洛伊木马

定义: 完整的木马程序一般由两个部份组成：服务器程序与控制器程序。 特点: 注入正常程序中，当用户执行正常程序时，启动自身自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。 危害: 个人隐私数据泄露，占用系统资源

木马病毒: 木马一般都采用C/S架构，服务器程序被植入到受害者的电脑中，控制器程序攻击者端运行，攻击者利用控制器程序主动或被动的连接服务器，对目标主机的控制。木马运行后，会打开目标主机的一个或多个端口。连接成功后，攻击者进入目标主机电脑内部，通过控制器可以对目标主机进行控制操作。

蠕虫病毒

定义: 蠕虫是一种可以自我复制的代码，并且通过网络传播通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。 特点: 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。 危害: 拒绝服务、隐私信息丢失

宏病毒

定义: 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。 特点: 传播速度极快、病毒制作周期短、多平台感染文档、交叉感染 危害:

感染了宏病毒的文档不能正常打印。

封闭或改变文件存储路径，将文件改名。

非法复制文件，封闭有关菜单，文件无法正常编辑。

调用系统命令，造成系统破坏。

流氓软件 / 间谍软件

定义: 流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。 特点: 强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等 危害: 窃取隐私，影响用户使用体验

僵尸网络

定义: 采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 僵尸程序: 指实现恶意控制功能的程序代码;控制服务器:指控制和通信(C&C)的中心服务器 特点:

可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络它具

有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来，可以一对多地执行相同的恶意行为。 危害: 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿

终端安全防范措施

不要点击来源不明的邮件附件，不从不明网站下载软件
及时给主机打补丁，修复相应的高危漏洞
对重要的数据文件定期进行非本地备份
尽量关闭不必要的文件共享权限以及关闭不必要的端口
RDP远程服务器等连接尽量使用强密码，不要使用弱密码
安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

其他常见攻击

拖库、洗库、撞库

原理: 拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。洗库：在取得大量的用户数据之后，系列的，黑客会通过这通常技术手段和黑色产业链将有价值的用户数据变现也被称作洗库。 防御手段: 重要网站 / APP的密码一定要独立、电脑勤打补丁，安装一款杀毒软件、尽量不使用I浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式(如WPA2)，密码复杂些，电脑习惯锁屏等

跳板攻击

原理： 攻击者通常并不直接从自己的系统向目标发动攻击而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。 防御手段: 安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制

钓鱼式攻击/鱼叉式钓鱼攻击

原理: 通过伪装成钓鱼式攻击是一种企图从电子通讯中信誉卓著的法人媒体以获得如用户名、鸾码和信用卡明细等个人敏感信息的犯罪诈骗过程。鱼又式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。 防御手段: 保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

水坑攻击

原理： 攻击者首先通过猜测确定特定目标经常访问(或观察)形的网站，并入侵其中一个或多个网站，植入恶意软件，最后，达到感染目标的目的。安 防御手段:

在浏览器或其他软件上，通常会通过零日漏洞感染网站

针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

信息安全五要素

保密性—-confidentiality

确保信息不暴露给未授权的实体或进程。

完整性—-integrity

只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据。防篡改

可用性—-availability

得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作。防中断

可控性–-controllability

可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。

不可否认性—Non-repudiation

对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

上网行为安全概述

上网行为管理

上网行为管理三要素

用户-流量-行为

上网行为功能

上网认证功能
应用控制功能
网页过滤功能
行为审计功能
流量管理功能
应用选路功能

等等功能……………….

上网行为组网方案

设备外观介绍

1 U设备

console口：可进行系统配置，不能配置上网功能
ETH口：连接网线，通过网络进行上网功能配置
- 双灯都为绿色：千兆口速率
- 一绿一黄：百兆口速率
bypass硬件直通，设备发生故障后可以紧急直通。数据依然可以从配对的bypass接口转发。

单进单出场景一般使用
HA：双机灯，一般谁亮谁主
POWER：故障灯，开机成功后熄灭；闪烁（说明有告警日志）
ALARM：表示设备正在运行
AC-1000-D600型号
- A - J———从小-大:系列
- 600该系列具体的型号

如何登录设备

AC默认地址（出厂自带IP地址，可修改）

eth0:10.251.251.251/24
eth1:10.252.252.252/24

AC保留地址(不可修改)

(默认eth1定义为dmz)—–DMZ口（隔离区，一般代指管理区或服务器区）

128.128.125.252/29
(默认eth0定义为lan)——LAN口（内网口）

128.127.125.252/29

恢复出厂设置的方式

通过控制台界面恢复出厂设置
通过SANGFOR 升级系统工具，加载相同版本升级包恢复出厂配置
交叉线短接设备两个电口恢复（12.0.12之前，必须接非BY口，12.0.12之后，必须接0和2口）

(1)先将设备关机。

(2)准备一根交叉线。

(3)使用交叉线连接设备面板上任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短接这两个口恢复密码）

(4)将设备加电开机。一直等待，直到设备重启（说明设备恢复出厂配置成功），此时务必拨掉短接电口的交叉线。

(5)等设备运行起来后，即可通过出厂地址，默认控制台帐号和密码登录设备
U盘恢复出厂设置

(1)新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的

(2)AC上插入U盘，重启设备

(3)当设备的LED红灯熄灭之后，alram灯闪烁，拔出U盘

注意事项：U盘恢复出厂配置，需要重启设备

恢复密码的方式

交叉线短接恢复

（1）https://网址/php/rp.php————这一步必须做

（2）其他配置同上
U盘恢复密码

（1）https://网址/php/rp.php————这一步必须做

（2）其他配置同上

上网行为管理部署模式

路由模式

工作原理： 设备以路由模式部署时，AC的工作方式与路由器相当，转发数据时工作在3、4层，具备基本的路由转发及NAT功能 使用场景： 一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。路由模式下支持AC所有的功能。

路由模式排错思路：

（1）检查PC本身的网口IP，子网掩码

（2）检查PC本身的默认网关，首选的DNS服务器

（3）检查AC上给PC做的SNAT

（4）检查AC上给PC做的回包路由

（5）被PC访问的设备本身能否上网 PING /TELNET /WGET

（6）网口兼容性换网线换网口中间加交换机

（7）arp防护和免费arp可能存在冲突

（8）通过ifconfig检查网口错误包或者丢包，ethtool -S 查看丢包类型

根据客户需求及环境不同：

AC设备支持路由、网桥、旁路部署模式,

SG设备支持路由、网桥、旁路、单臂部署模式

12.0版本之后支持认证部署模式，13.0版本之后认证模式功能融入到普通模式中

网桥模式

工作原理: ac网桥模式工作在数据链路层，不依靠mac地址转发数据，依靠配置的网桥接口转发数据，对客户来说ac设备是个透明的设备。网桥模式无法做路由转发，没有NAT，VPN，DHCP，只有ac本身的上网管控功能。 使用场景: 当用户应有出口网关以后，可以使用网桥模式，串联在出口设备与核心交换机之间，实现上网管控等功能。网桥模式对用户网络影响较小，无需更改用户原有设备配置。注意: 网桥模式依靠接口转发数据，可以透传vlan、聚合等协议。

网桥模式设备无法上网原因

1、AC网线是否反接（在线用户列表出现大量公网IP）如网线接反不影响用户正常上网

2、网桥地址是否可用，是否和内网冲突

3、网关是否指向靠近出口方向的设备

4、设备上的DNS是否填写正确

5、确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址转换代理上网

旁路模式

工作原理：

AC设备旁挂在核心交换机，通过把AC设备的监听口接在交换机的镜像口，实现对上网数据的监控。通过发送RST报文来断开tcp连接的方式，从而控制tcp应用。

AC旁路模式只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。

使用场景：

旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境。这种模式对用户的网络环境完全没有影响，即使宕机也不会对用户的网络造成中断。

RST作用：标示复位、用来异常的关闭连接。

发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。
而接收端收到RST包后，也不必发送ACK包来确认。

配置端口镜像

先配置观察端口(出流量接口 —> AC的镜像口)

[Quidway] observe-port 1 interface GigabitEthernet 0/0/24

然后再进入需要镜像的端口(进出流量接口-接pc、接防火墙的接口)

[Quidway] interface GigabitEthernet 0/0/23

再配置镜像端口模式

[Quidway-GigabitEthernet0/0/23] port-mirroring to observe-port 1 both

#both，全部流量; inbound，入方向流量; outbound，出方向流量
配置完成之后用display current 查看下配置剩下的就是你把AC接入到24端口来观察23端口的数据了

注意事项

1、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。

2、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。

3、设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。

Trunk 部署模式

背景

	方案一	方案二
实现方式	在交换机间为每一个vlan建立一条专有传输链路	在交换机间建立一条专有链路承载多个vlan的流量
优点	不需要其他协议的支持	不需要占用过多的端口
缺点	占用了过多的端口	需要专有协议支持

AC设备如何实现

如何配置

配置子接口只需在前面加上所属vlan用 “ / ” 隔开

防火墙端口映射

目的地址转换(dnat)

使用场景：内网有业务服务器需要对外提供服务，可以将内网服务器IP映射到公网，让公网用户访问。
端口映射即目的地址转换原理：对公网用户的目标IP做转换，转换成内网的服务器地址

双向地址转换(lan - lan端口映射)

使用场景：内网pc使用公网IP访问内网服务器时需使用双向地址转换。
双向地址转换原理：内网用户的源IP转换为出口设备的内网口IP，目标IP从公网IP转换为服务器IP，这样服务器数据回包时可以保证来回路径一致。

注意：内网用户使用公网IP访问服务器时，只配置dnat会导致服务器直接回包给内网pc，数据转发来回路径不一致，数据会被丢弃，需在配置dnat的基础上添加一个snat，将内网pc地址转换为出口设备内网口IP，确保服务器回包数据到AC，保障来回路径一致。

端口映射排查思路

检查内网PC到WEB务器的访问是否正常（判断服务器本身是否OK）
检查AC到WEB服务器的访问是否正常
检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比如说80）
检查AC设备的端口映射配置
检查AC设备的防火墙配置
检查AC-WEB服务器中间设备的ACL策略
检查WEB服务器本身的防火墙策略（是否禁止公网IP访问）

用户认证技术

认证框架

认证方式

不需要认证技术

数据包特征信息

设备根据数据包的源IP地址、计算机名、源MAC地址来标识用户。
优点：终端用户上网认证的过程是透明的，不会感知设备的存在。
一般适用于对认证要求不严格的场景

不需要认证配置思路

首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：IT部
新增【认证策略】，选择认证方式为不需要认证，不绑定任何地址
【认证后处理】-【非本地/域用户使用该组上线】：IT部

IP/MAC绑定认证技术（跨三层取Mac）

SNMP

管理程序端口：UDP 162

代理程序端口：UDP 161

注意:在跨三层取mac场景下，只使用udp161，不使用udp162

概念：SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。

SNMP的工作方式：管理员需要向设备获取数据，所以SNMP提供了“读”操作；管理员需要向设备执行设置操作，所以SNMP提供了“写”操作；设备需要在重要状况改变的时候，向管理员通报事件的发生，所以SNMP提供了“Trap”操作。

协议数据单元PDU（SNMP报文）用来管理进程和代理之间的交换

get-request操作：从代理进程处提取一个或多个参数值。

get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。

set-request操作：设置代理进程的一个或多个参数值。

get-response操作：返回的一个或多个参数值。

trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。

IP / Mac 绑定原理

工作原理

1、用户上网的数据经过三层交换机会在交换机上形成ARP表

2、上网的数据经过AC时，AC看到数据包的源MAC地址都是三层交换机的MAC，于是AC会主动通过SNMP协议去读取三层交换机的ARP表（要在三层交换机上先设置允许AC访问其SNMP服务）

3、AC会将第一次读取到的ARP条目录入到自己本地并绑定，当用户再次上网时将和AC设备里面绑定的IP/MAC条目进行对比

4、如果比对结果一致，则允许上网，否则丢弃数据包禁止上网

AC网桥模式部署在30位掩码环境中，AC如何上网，如何被管理，如何做跨三层取Mac等功能？

30位掩码下的整个网络环境，只有2个可用IP，AC是网桥模式部署，所以AC上下设备都得分配IP，此时AC分配不到IP，处于无IP网络模式，因此要用管理口来另接交换机，使用管理口与交换机通信，发送SNMP请求获取Mac地址，或者使用管理口来使AC上网或者被管理。

IP / Mac 绑定失败检查方法

是否排除三层交换机Mac
查看AC设备绑定列表中，PC的IP是否已经绑错其他Mac，或者PC的Mac是否绑错其他IP

密码认证技术

HTTP协议

超文本传输协议，端口tcp80，是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台主机(浏览器)的应用层协议，以实现超链接的功能。

URL:统一资源定位符，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成 http://www.baidu.com/?su=index.php 协议主机地址/端口目录/文件名称

HTTP工作原理

浏览器分析超链接中的URL
浏览器向DNS请求解析域名对应的IP地址
DNS将解析出的IP地址返回浏览器
浏览器与服务器建立TCP连接
浏览器对服务器发起GET请求
服务器给出响应，将网页内容发送给浏览器
释放TCP连接
浏览器显示网页文档中的内容

HTTP请求方法

方法	含义	方法	含义
GET	请求读取一个Web页面	HEAD	请求读取一个Web页面的首部
POST	附加一个命名资源(如Web页面)	PUT	请求存储一个Web页面
DELETE	删除Web页面	TRACE	用于测试，要求服务器送回收到的请求
CONNECT	用于代理服务器	OPTION	查询特定选项

GET请求请求读取某个页面信息，get请求的内容会在url中显示。

Post请求请求附加一个资源提交给服务器，附加的资源不会在url显示，而是会隐藏在data部分

响应报文中的状态码

状态码(Status-Code)是响应报文状态行中包含的一个3位数字，指明特定的请求是否被满足，如果没有满足，原因是什么。状态码分为以下五类：

状态码	含义	例子
1xx	通知信息	100=服务器正在处理客户请求
2xx	成功	200=请求成功(OK)
3xx	重定向	301=页0面改变了位置
4xx	客户端错误	403=禁止的页面；404=页面未找到
5xx	服务器错误	500=服务器内部错误；503=以后再试

HTTP头部

首部字段或消息头

头(header)	类型	说明
User- Agent	请求	浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识版本信息
Accept	请求	客户能处理的页面的类型，如text/html
Accept-Charset	请求	客户可以接受的字符集，如Unicode-1-1
Accept-Encoding	请求	客户能处理的页面编码方法，如gzIP
Accept-Language	请求	客户能处理的自然语言，如en(英语)，zh-cn(简体中文）
Host	请求	服务器的DNS名称。从URL中提取出来，必需。
Referer	请求	用户从该URL代表的页面出发访问当前请求的页面
Cookie	请求	将以前设置的Cookie送回服务器，可用来作为会话信息
Date	双向	消息被发送时的日期和时间
Server	响应	响应头包含处理请求的原始服务器的软件信息，如Microsoft-IIS/6.0
Content-Encoding	响应	内容是如何被编码的（如gzIP)
Content-Language	响应	页面所使用的自然语言
Content-Length	响应	以字节计算的页面长度
Content-Type	响应	页面的MIME类型
Last-Modified	响应	页面最后被修改的时间和日期，在页面缓存机制中意义重大
Location	响应	指示客户将请求发送给别处，即重定向到另一个URL
Set-Cookie	响应	服务器希望客户保存一个Cookie

密码认证原理

PC对目标域名发起DNS解析。
PC向解析出的web服务器地址发起tcp三次握手，建立tcp连接。
PC向web服务器发出GET请求，请求主页。
AC拦截PC的GET请求，并把AC自己伪装成目标服务器(用目标服务器的IP给PC发包)，给PC回复HTTP 302重定向报文，要求PC重定向请求AC的认证界面。
PC自动重定向访问AC的认证界面，输入正确的账号密码，登录成功。

密码认证失败排错思路

先确认网络环境,手动打开是否可以打开

网桥部署虚拟地址是否跟内网冲突，PC浏览器是否做了上网代理
AC下接的设备是否有做限制
需要启用未通过认证的用户允许访问dns服务
访问的如果是https的网站需要启用HTTPS请求未通过认证时,重定向到认证页面（代理时除外）
根据关联的上网策略不能拒绝http应用和dns应用
防火墙规则不能拒绝80和53端口【系统管理】-【防火墙】-【LAN-WAN】

如果以设备网桥模式部署在30位掩码的环境中是否还能弹出重定向页面? 1、通过管理口发送重定向报文 2、通过记录用户数据的源接口与源IP，使用虚拟IP从对应的进接口发出重定向报文(源进源出)。

外部认证技术

外部认证，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。

目前主要使用的是AC结合ladp服务器做第三方认证。

注意：pop3服务器不支持第三方服务器认证，只支持单点登录。

应用控制技术

应用识别检测技术

传统行为检测技术

依靠数据包五元组(源IP，目的IP，源端口，目的端口，协议)识别应用。

深度行为检测技术

不仅包含传统行为检测范围，而且对应用层数据内容也可以做检测。

分类

1、深度包检测技术DPI

对应用层数据进行拆包发现其特征信息，通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。对于加密应用无法识别其具体的特征信息

2、深度流检测技术DFl

通过对应用流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流量的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。根据流量行为分析只能进行笼统的分类，不能识别出具体应用类型，但是对于加密的数据流量不影响其分析。

对比

DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但是无法判断该流量是否采用H.323或其他协议。
如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。

HTTP识别控制技术

HTTP网站识别工作原理

HTTP网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，发给get请求，在get请求数据包中的host字段，就是我们访问网站的具体URL，我们通过抓取这个字段来识别终端用户是访问的哪个网站。

HTTP网站控制原理

HTTP网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，发get请求，AC通过抓取get请求数据包中的host字段，来发现用户访问网站的具体URL，如果要对该网站进行封禁，此时AC设备会伪装成网站服务器向终端设备发一个状态码302的重定向报文，要求用户重定向到拒绝页面，同时还会伪装成服务器给pc发送一个RST报文。

HTTPS识别控制技术

SSL→TLS发展

对称加密和非对称加密

对称加密是一把密钥，这把密钥可以加密明文，也可以解密加密后的密文，常见的对称加密算法有AES、DES、RC4，目前最常用的是AES。

缺点:当一方有对称密钥另外一方没有的情况下，秘钥无法安全传递，秘钥传递不安全。

优点:加解密速度快。

非对称加密是两把密钥，分别是公钥和私钥，公钥加密的密文只有相对应的私钥才能解密，私钥加密的内容也只有相对应的公钥才能解密，其中公钥是公开的，私钥是自己保存，不能公开，常见的非对称加密算法有RSA和ECC（椭圆曲线算法）。

公钥加密，私钥解密；公钥验证，私钥签名

缺点:加密操作复杂，加解密速度慢相对安全。

优点:相对于对称加密，没有秘钥传递隐患,更安全

对称加密和非对称加密

对比项	对称加密	非对称加密
安全性	较低	较高
速度	较快	较慢
密钥数量（N人通信）	N取2的组合	N

数字签名

数字签名是基于公钥密码体制的一种技术，用于验证数据的完整性和身份的真实性。

它通过以下三个基本特征来实现：

报文鉴别：接收者能够核实发送者对报文的签名；

报文的完整性：接收者不能伪造对报文的签名或更改报文内容；

不可否认性：发送者事后不能抵赖对报文的签名。

数字签名通常包括以下几个步骤：

计算摘要：发送方用哈希算法生成报文的摘要；

摘要加密：发送方用自己的私钥对摘要进行加密，形成数字签名；

摘要验证：接收方用发送方的公钥对签名进行解密，得到摘要，并用同样的哈希算法重新生成摘要进行比对，以验证报文的完整性和真实性。

数字签名

数字证书

数字证书是由可信的证书颁发机构（CA，Certificate Authority）签发的，用于验证服务器身份的电子文件。

数字证书包含的主要信息：

服务器的公钥：用于加密数据和验证服务器的身份。

服务器信息：包括服务器的域名和公司名称等信息。

证书颁发机构信息：包括CA的名称和数字签名。

有效期：证书的生效日期和过期日期。

数字证书的工作原理：

证书持有者向CA申请证书，提供个人信息和公钥；

CA验证申请者的身份和公钥，然后生成数字证书，并在证书上签名；

证书持有者将数字证书用于身份验证和加密通信。

数字证书的作用:

验证用户身份，保证公钥真实性。

签名证书:主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。

加密证书:主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性

PKI体系

公开密钥体系是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范

PKI 技术采用证书管理公钥，通过第三方的可信任机构--CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户的身份。

CA中心的作用:

签发证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书，以及对证书和密钥进行管理。

CA中心的数字签名(私钥加密证书)使得攻击者不能伪造和篡改证书。

证书链

CA分为根CA，二级CA，三级CA，三级CA证书。由二级CA的私钥签名，二级CA证书由根CA的私钥签名，根CA是自签名的，不会给用户证书签名，我们平时用的证书都是由二级CA或者三级CA签名的，这样就形成了一个证书链，浏览器在验签的时侯一层层往上验证，直到用内置的根CA证书的公钥来验签成功就可以表示用户证书是合法的证书。

根证书已经内置在浏览器或者操作系统里了，在SSL握手时就不需要发根CA证书了，只需要提供中间二级三级CA证书和用户证书就可以。

证书分类

DV证书

只校验域名的所有权，所以我们在申请DV证书的时候CA会提供几种验证域名所有权的方法：比如文件校验、DNS校验、邮件校验，DV证书支持单域名、多域名和泛域名，但不支持多个泛域名，只支持一个泛域名，一般价格比较便宜，具体价格跟域名的数量有关，域名越多价格越高。

OV证书

要验证组织机构，在申请证书时CA会打电话确认这个域名是否真的属于相应的公司或者机构，OV证书是单域名、多域名、泛域名和多个泛域名都支持，价格一般比DV证书要贵。

EV证书

校验就更细了，比如组织机构的地址之类的，EV证书会在地址栏上显示组织机构的名称，EV证书只支持单域名或者多个域名，不支持泛域名，而且更贵，所以普通用户一般不会用EV证书。

证书吊销

证书是有生命周期的，如果证书的私钥泄漏了那这个证书就得吊销，一般有两种吊销方式：CRL和OCSP。

CRL是CA机构维护的一个已经被吊销的证书序列号列表，浏览器需要定时更新这个列表，浏览器在验证证书合法性的时候也会在证书吊销列表中查询是否已经被吊销，如果被吊销了那这个证书也是不可信的。可以看出，这个列表随着被吊销证书的增加而增加，列表会越来越大，浏览器还需要定时更新，实时性也比较差。

OCSP 在线证书状态协议，这个协议就是解决了 CRL 列表越来越大和实时性差的问题而生的。有了这个协议，浏览器就可以不用定期更新CRL了，在验证证书的时候直接去CA服务器实时校验一下证书有没有被吊销就可以，是解决了CRL的问题，但是每次都要去CA服务器上校验也会很慢，在网络环境较差的时候或者跨国访问的时候，体验就非常差了，OCSP虽然解决了CRL的问题但是性能却很差.

OCSP stapling主要解决浏览器OCSP查询性能差的问题，本来由浏览器去CA的OCSP服务器查询证书状态的，现在改由域名的服务器去查询，将OCSP的结果告诉浏览器即可，一般服务器的网络性能要好于用户电脑的网络，所以OCSP stapling的性能是最好的。但是并不是所有的服务器都支持OCSP stapling，所以目前浏览器还是比较依赖CRL，证书吊销的实时性要求也不是特别高，所以定期更新问题也不大。

HTTPS加密传输过程

客户端向服务器发起 HTTPS 请求
服务器返回 SSL证书信息和服务端随机数
客户端向证书中心验证证书的合法性，如不合法则告警
如证书合法，则从浏览器中取出对应的服务器公钥
客户端生成客户端随机数，结合服务端随机数生成会话主密钥，用服务器公钥加密后传输给服务器
服务器用服务器私钥解密出会话主密钥。
客户端与服务器以主密钥做对称加密通信

总结：https加密过程就是，使用非对称加密方式加密协商对称密钥，最终使用对称加密方式通信。

HTTPS识别工作原理

HTTPS网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，终端开始发Client hello报文(SSL握手的第一阶段)，在此报文中的server_name 字段包含所访问的域名，上网行为管理提取Server_Name字段来识别https的网站。

HTTPS控制工作原理

对HTTPS网站封堵，终端设备在发送Client hello报文后，我们识别到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包（IP.id也是0x5826），断开终端设备与网站服务器之间的连接，从而控制HTTPS网站的访问。

注意：HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面。

HTTPS与HTTP封堵的区别：

相同点：

都是通过获取服务器的标识进行封堵HTTP和HTTPS网站
都是发送RST包来断开PC和服务器的TCP连接

不同点：

封堵对象的获取
- HTTP是获取三次握手后的GET请求包中的HOST字段来识别服务器; HTTPS是在四次握手的第一阶段，获取客户机发送Client hello包中的Server_name字段来识别服务器
封堵行为
- HTTP是先发送重定向包，再发送RST; HTTPS是直接发送RST结束FP连接不发重定向包

HTTPS网站不能正常封堵，应该如何排查？

URL库是否更新到最新版本
该https网站是否在应用识别库或URL规则库中
策略是否配置正确
策略的适用用户是否在线
该用户是否在全局排除地址中
是否开启了直通
抓包分析Server_Name是否正确，是否对应该HTTPS网站
分析用户上网流量是否经过AC

终端识别和管理技术

防共享识别和控制技术

传统防共享技术（了解）

ID轨迹检测

Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加
Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距

时钟偏移检测

不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系
不同主机发送报文频率与时钟存在统计对应关系
通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机

其他传统防共享技术

深信服DPI检测技术

技术原理：

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的TCP数据包中带有PC的IP信息，AC设备通过分析这些数据包可以提取出PC端的IP，根据不同的IP数量得出共享的PC数量,比如QQ登录时候的数据包中会携带电脑网卡的IP地址，适用于windows的电脑。

深信服字体检测技术

技术原理:

在共享的PC相继访问http网站，播放在线视频（浏览器需要安装flash）， AC篡改PC请求，令PC上报系统字体信息到AC，假设pc1 上报的字体为font1， PC2上报的为font2，那么要检测到PC1和PC2共享需要类似于这样的上报序列 font1，font2，font1交错上报，就可以识别出共享行为。

检测前提：

相同flash插件制造商获取的系统字体列表相同

不同PC间，相同flash插件制造商获取的系统字体列表不同

这些特性与flash插件版本无关

此方法只适用于windows的电脑

深信服辅助检测技术

URL检测

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和终端强关联的，即同一终端发送的特征串信息是相同的，不同终端间发送的是不同的， AC设备根据提取到的不同的特征串数量得出共享的终端数量。

微信特征ID检测

通过分析微信客户端在发送消息时，在数据包固定的偏移位置，存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数，统计提取数量的个数得出共享移动终端数量。

移动终端检测技术

URL检测

通过分析常用应用软件的数据包，发现一些软件刚启用不久发送的HTTP请求中， URL会有一些特征串，在这些特征串中会有一段信息是和移动端关联的强关联的，此方法能识别到不同型号移动终端共享行为。
应用规则检测

设备内置规则库，可以从这些应用中分析出移动终端，其中包括IM社交、在线视频、生活、新闻资讯、地铁、下载客户端、移动浏览器、PC端手机助手等类型的应用，例如微信、移动QQ、新浪微博、优酷、91助手等常见于手持终端的app应用。
UA检测

User-Agent含浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识版本信息，我们可以从中取这些信息来识别不同的终端类型。

流量管理技术

AC流量管理功能

使用场景

当用户内网带宽不够用，与工作无关流量占用大量带宽的情况下，可以使用AC的流控策略，保障业务流量，限制与工作无关流量使用，优化用户带宽使用情况。

AC流控通道分为

限制通道与保障通道

通道匹配过程

同级通道从上往下匹配
匹配到父通道后如果有下级子通道，则继续往下级匹配，直到匹配到最后一级
如果无法匹配到任何自定义的通道，则匹配到所在级别的默认通道

通道优先级

保证通道和限制通道都可以设置优先级
优先级别相同时，如果都需要借用带宽，则按照保证带宽的比例借用
优先级别不同，都需要借用带宽时，带宽优先给优先级高的通道使用，剩下的带宽才给低级别的通道借用

AC DNS代理功能

解析为IP

AC劫持用户的DNS请求，直接将用户所访问的域名解析为IP

DNS丢弃

AC设备会将用户发往公网的DNS解析请求拦截，避免用户向公网发起恶意的DNS请求

DNS重定向

当客户内网有DNS服务器，且需要使用未在公网注册域名访问内网web服务器时，pc如果不方便更改内网pc的DNS，可以由AC设备把用户发往公网的DNS请求重定向到内网DNS，为避免出现来回路径不一致问题，需要AC做lan-lan源地址转换。

重定向到指定链路

AC劫持用户的DNS请求，从指定的公网链路发出去。有多外网段时可以使用。

AC链路负载功能

当用户有多条外网线需要同时使用的情况下，可以开启AC的链路负载功能，使两条外网线负载分担，保漳用户网络稳定性。

AC路由和网桥模式下支持链路负载。

链路负载分类

默认负载策略

默认负载策略：只能根据选路策略选路，默认情况下指定所有用户，无法指定目标接口选路，无法使用五元组选路。

禁用默认负载策略（按照默认路由选路）
优先使用优先级最高的线路（优先保障的用户和应用，优先分配到优先级高的线路）
按运营商负载（根据目的地址所在运营商将流量负载到对应运营商线路，请配置好线路DNS）
剩余带宽（优先走带宽剩余百分比高的线路）
带宽比例（按照线路带宽比例分配流量到所有线路）
平均分配（平均分配流量到所有线路）

优先负载策略

优先负载策略：可以根据五元组以及应用选择目标线路或者定目标用户通过负载策略选路

指定线路
多线路负载
- 剩余带宽
- 优先使用前面线路
- 带宽比例
- 平均分配
VPN做专线备份

网桥模式链路负载

和主流厂家的路由器 / 防火墙结合。通过AC对不同流量打标签这种机制引流，满足用户不同链路接入的场景。目前支持dscp与tos标签。

内容审计技术

邮件审计技术

常见的邮件协议

POP3：

全名为“Post Office Protocol - Version 3”，即邮局协议版本3。是TCP/IP协议族中的一员。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL 加密的POP3协议被称为POP3S。POP3协议支持“离线”邮件处理。

具体过程：邮件发送到服务器上，电子邮件客户端调用邮件客户机程序以连接服务器，并下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务，将邮件从邮件客户端端送到个人终端机器上，一般是PC机或 MAC。一旦邮件发送到 PC 机或MAC上，邮件服务器上的邮件将会被删除。但POP3邮件服务器大都可以“只下载邮件，服务器端并不删除”，也就是改进的POP3协议。
IMAP4：

全名为“Internet Message Access Protocol",即交互式数据消息访问协议版本4。是TCP/IP协议族中的一员。IMAP4协议与POP3协议一样也是规定个人计算机如何访问互联网上的邮件服务器进行收发邮件的协议，但是IMAP4协议同POP3协议相比更高级。 IMAP4协议支持客户机在线或者离线访问并阅读服务器上的邮件，还能交互式的操作服务器上的邮件。IMAP4协议更人性化的地方是不需要像POP3协议那样把邮件下载到本地，用户可以通过客户端直接对服务器上的邮件进行操作（这里的操作是指：在线阅读邮件在线查看邮件主题大小发件地址等信息)。用户还可以在服务器上维护自己邮件目录（维护是指移动新建删除重命名共享抓取文本等操作)。
SMTP：

全名为“Simple Mail Transfer Protocol”，即简单邮件传输协议。它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了，整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转发出的电子邮件。SMTP是一种TCP协议支持的提供可靠且有效电子邮件传输的应用层协议。增加SMTP认证的目的是为了避免用户受到垃圾邮件的侵扰。

邮件协议端口号

SMTP： TCP 25
IMAP： TCP 143
POP3： TCP 110
SMTPS： TCP 465
IMAPS： TCP 993
POP3S： TCP 995

电子邮件的发送和接收过程

①、用户A的电子邮箱为：xx@qq.com，通过邮件客户端软件写好一封邮件，交到QQ的邮件服务器，这一步使用的协议是SMTP,对应图示的①；

　　②、QQ邮箱会根据用户A发送的邮件进行解析，也就是根据收件地址判断是否是自己管辖的账户，如果收件地址也是QQ邮箱，那么会直接存放到自己的存储空间。这里我们假设收件地址不是QQ邮箱，而是163邮箱，那么QQ邮箱就会将邮件转发到163邮箱服务器，转发使用的协议也是SMTP，对应图示的②；

　　③、163邮箱服务器接收到QQ邮箱转发过来的邮件，也会判断收件地址是否是自己，发现是自己的账户，那么就会将QQ邮箱转发过来的邮件存放到自己的内部存储空间，对应图示的③；

　　④、用户A将邮件发送了之后，就会通知用户B去指定的邮箱收取邮件。用户B会通过邮件客户端软件先向163邮箱服务器请求，要求收取自己的邮件，对应图示的④；

　　⑤、163邮箱服务器收到用户B的请求后，会从自己的存储空间中取出B未收取的邮件，对应图示⑤；

　　⑥、163邮箱服务器取出用户B未收取的邮件后，将邮件发给用户B，对应图示的⑥；最后三步用户B收取邮件的过程，使用的协议是POP3;

SSL内容解密技术

中间人解密

为了获得S5L加密通信的内容，中间人需要获得加密所使用的会话密钥。中间人采用的方法是，装成目标网站向客户端出示一个伪造的同名服务器数字证书。为了这个伪造的证书通过客户端的检验，中间人必须让签发这个伪证书的CA的根证书进入客户端的受信任列表。然后，客户端就会使用中间人的伪证书公钥加密自己产生的会话密钥，经过中间人向服务器发送加密的会话密钥。中间人收到使用自己的公钥加密的会话密钥后，使用自己的私钥即可解密恢复出明文会话密钥，中间人在伪装成服务器与客户端建立SSL连接的同时，会与真实的服务器建立-个正常的SSL连接。以后，客户端发出的每个加密的应用级请求，如HTTP请求等，中间人都会先5SL解密成明文然后再SSL加密发给服务器。服务器返回给客户端的数据，中间人也是照此处理。

准入插件解密

主机安装 AC 准入插件(可同时做终端安全检查)
准入插件通过解析浏览器内核函数，提取 HTTPS 会话主密钥。
会话主密钥通过前向加密技术传输到 AC，实现 HTTPS 内容识别。

准入插件解密注意事项：

只支持Windows系统的PC
终端需要安装准入插件
不支持过滤，只支持审计

Web关键字过滤

Web关键字过滤是一种用于识别和拦截包含特定关键词的网页内容的技术，以防止不适当或非法信息的传播。这种技术在网络安全、内容管理以及企业内部网络监控中具有重要作用。

关键字过滤的基本原理

搜索引擎关键字过滤： 通过百度、Google等搜索引擎搜索某些关键字，并对搜索结果进行过滤拒绝或告警。

HTTP上传过滤： 通过HTTP协议上传关键字，例如论坛、QQ空间等发贴内容的关键字进行过滤或告警。

URL过滤： 建立黑名单和白名单，限制特定网站的访问。

内容分析过滤： 利用人工智能技术对网页内容进行分析，识别并拦截含有不良内容的网页。

数据价值解决方案

行为感知系统的架构

行为感知系统BA

AC的外置数据中心的升级版，有对用户上网数据做二次分析能力，把分析结果通过不同的模块，以可视化界面呈现给用户。

行为感知的部署条件

软件要求

目前支持 Windows Server 2008 及之后的服务器操作系统，并且系统要求是 64 位操作系统。

行为感知中文安装包支持在简体中文和繁体中文操作系统上运行。

硬件条件

安装盘需要至少8GB的硬盘剩余空间。

安装行为感知的服务器建议使用双核的CPU，内存2G以上

安装盘文件系统必须是NTFS。

AC与外置日志中心通讯端口：TCP 810，TCP 801

全网行为管理

全网行为管理与上网行为管理区别

在上网行为原有功能基础之上增加了新的认证功能(802.1x认证、旁路重定向认证)新的终端检查、终端管控与业务审计等功能，可以说全网行为管理是上网行为管理的升级版。

认证功能

802.1x场景

上网行为管理AC一般放在出口位置，只能对访问外网的用户做认证和管控，内网这些终端设备无法管控，802.1X认证可以通过802.1x协议结合接入层交换机，做到终端进入接入层就需要认证，实现入网认证功能，保证内网安全。一般适用于内网管控严格的单位。

802.1X认证中用到了RADIUS协议认证方式，典型的C/S结构，认证端口TCP1812、计费端口TCP1813.

802.1x协议介绍

802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题
802.1X认证中用到了RADIUS协议认证方式，典型的C/S结构
认证模式：基于接口、基于MAC
认证方式：EAP终结、EAP透传（中继）注意：AC是用EAP透传的方式端口
控制方式：自动识别、强制授权、强制非授权

802.1x认证与portal（密码）认证对比

	客户端	便捷性	安全性	认证过程	使用场景
portal认证	不需要	高	中	用户优先获取IP地址，访问某url被重定向到portal认证页面，输入用户名密码进行认证，完成认证即可访问相应资源	公共场所的接入认证一般使用portal认证，不需要安装客户端。使用Web页面认证，使用方便，减少客户端的维护工作量，便于运营。可以在Portal页面上开展业务拓展，如广告展示、责任公告、企业宣传等。
802.1X认证	需要	中	高	用户接入二层网络就需要进行认证，要使用客户端认证，认证通过之后才能获取到IP地址访问内网资源	对于严格管控内网接入的场景，使用802.1x认证，在没有认证之前不能访问内网（包括二层网络也不能接入），即不能经过二层交换机。

旁路重定向认证

AC旁挂在核心交换机上，对需要认证的用户发302重定向，进行重定向认证，如果认证失败则发送RST报文，阻止用户上网。只能对用户的tcp业务生效，udp不生效。

在没有认证之前不能访问内网业务，即不能经过核心交换机。可以在一定程度上实现内网管控，管控力度弱于802.1x。

AC旁路模式密码认证流程

终端访问业务或上网数据经过交换机，交换机镜像数据包到AC上，AC检查终端是否已经认证过了，如果没有认证，则发302重定向包;
终端接到302重定向包，到AC设备上进行认证;
认证通过后不再发重定向包，进行放行;认证不通过的，发reset阻断用户对业务的访问。

旁路模式密码认证与802.1x认证对比

	客户端	便捷性	安全性	镜像	认证过程	使用场景
旁路模式密码认证	不需要	高	中	需要	用户优先获取IP地址，访问某url被重定向到portal认证页面，输入用户名密码进行认证，完成认证即可访问相应资源	三层管控的场景，针对交换机不支持802.1x功能或者不想对接交换机的场景，一般内网是三层环境，访问数据都会过核心交换机。
802.1X认证	需要	中	高	不需要	用户接入二层网络就需要进行认证，要使用客户端认证，认证通过之后才能获取到IP地址访问内网资源	对于严格管控内网接入的场景，使用802.1x认证，在没有认证之前不能访问内网（包括二层网络也不能接入），即不能经过二层交换机。

终端检查功能

终端流量检测规则

通过用户上网经过ac的流量检查终端是否合规(流量行为检查只支持杀软检查，其余暂不支持)

终端插件检测规则

通过在pc内运行的准入插件检查终端是否合规(登录域检查，进程检查、杀软检查、非法外联等)

杀软检查

检测方法：流量检测、准入插件检测

支持禁止上网，提示用户，只记录结果，违规修复和限制用户权限五种违规处理方式

登陆域检查

通过用户上网经过AC的流量检查终端是否合规(流量行为检查只支持杀软检查，其余暂不支持)

检测方法：准入插件

支持禁止上网，提示用户，只记录结果和违规修复四种违规处理方式

准入客户端下载地址 http://ACIP:817/singress.exe ⚠️：ACIP是AC的内网口IP

非法外联检测

检测原理

拨号行为：通过检查系统API接口或者函数判断拨号行为
网卡相关：通过检测相关API接口或函数和注册表相关信息来检测有无线网卡，有4G网卡和双网卡行为
连接外网：检测以下几个网站是否能ping通，如果可以则认为是可以连接外网www.taobao.com、www.jd.com、www.baidu.com、www.sangfor.com、www.ifeng.com
连接非法WIFI：通过检查系统的API接口或函数获取SSID信息，然后和白名单中设置的SSID作对比
连接非法网关：通过检查系统的API接口或函数获取所有
物理网卡的网关，然后和白名单中设置的地址作比对
自定义外联：可设置IP/域名和端口，准入客户端去检测是否可以访问

终端管控功能

外设管控

支持设备

实现方式

通过系统组策略来管控外设启用和禁用功能。(家庭版系统与加入到域的系统无法使用组策略、XP系统也不生效)
精细化管控实现方式：通过系统的设备管理器中的设备启用和禁用方式来实现{只能对存储设备生效、不支持windows7(不含)以下系统}

当组策略禁用外设与精细化管控同时使用时，以组策略禁用方式为主

识别审计功能

支持的审计的业务类型

1、支持web业务审计，http(s) 包括终端登录业务系统使用的账号、用户名、所属组、请求类型(post/get.)、请求的ur1、请求内容、业务系统的回复内容、下载/上传的附件、网页的标题等等

2、SMB协议的业务服务器 包括终端登录业务系统使用的账号、用户名、所属组、关键动作(用户登录/注销，删除目录，重命名目录，上传文件，下载文件，重命名文件，删除文件)等等。

3、FTP协议的业务服务器 终端登录业务系统使用的账号、用户名、所属组、关键动作(用户登录/注销，创建目录，删除目录，重命名目录，上传文件，下载文件，重命名文件，删除文件)

4、流量审计 流量审计支持统计业务系统对应的流量识别出每个业务系统被访问的总流量，同时也支持统计服务器外联的流量信息。

5、服务器外联审计 为防止服务器向外网发送数据无法监控的情况，业务审计支持服务器外联(与外网交互)数据的审计具体审计内容与原日志中心对终端联网的审计内容的记录相同，支持流量审计和行为审计。

全网行为管理高可用

AC高可用部署模式

主备模式

主备模式是指路由模式部署的两台设备通过心跳检测，实现热备份(保持心跳和配置同步)。正常情况下，只有主设备工作如果主设备故障，则自动切换到备设备备设备接替主设备工作。从而保证客户的业务不受影响，网络不中断。
只有实IP没有虚IP(与 AF主备镜像模式相当，主机备机配置一样)
主备模式只有一台主设备处于正常工作状态，另一台备设备处于监听状态。

适用场景:AC路由模式部署在网络出口且稳定性要求较高的客户环境。

注意：网桥模式不支持配置主备模式

主主模式

主主模式部署由多台AC设备通过通信网口同步配置。主主模式部署的设备同时工作，主控设备将配置同步到所有节点主控与各节点之间相互同步会话信息。当主控故障，将无法更改设备配置。

适用环境:客户原有网络中有多台交换机，交换机为堆叠部署/链路聚合、防火墙/路由器主主或主备部署时，AC以网桥串接在中间，建议使用主主模式部署。

双机条件

主备模式双机条件

主备设备软件版本必须一致，包括R版本、KB 和定制等信息也需要一致。

硬件型号尽量选择相近型号，避免负载差别太大切换出现断网。

设备本身的硬件网口数晶(需要区分千兆还有万兆，电口还有光口)两台设备必须路由模式部署，LAN/WAN/DMZ 口与 ethx的对应关系要一致。

设备授权信息需一致

主主模式双机条件

主备设备软件版本必须一致，包括R版本、KB和定制等信息也需要一致。

AC设备型号不要求完全一样，但是硬件网口数量必须一致。

设备授权信息必须一致

双机/主备部署的两台设备，除了以下几项配置不同步，其它配置均同步

不同步的配置有：序列号、网关杀毒授权、应用识别/URL库升级序列号、多功能授权、数据中心日志、日志查看、页面定制、HA口地址、虚拟IP地址、补丁包信息.

注意：AC/SG12.0.7开始管理口DMZ口地址不会同步

下一代防火墙

防火墙概述

防火墙安全策略

定义

安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。

规则的本质是包过滤。

主要应用

对跨防火墙的网络互访进行控制

对设备本身的访问进行控制

防火墙安全策略作用

根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。

防火墙区域的作用：用来归类和定义接口。

防火墙发展史

包过滤防火墙

判断信息：根据数据包的五元组做过滤。

工作范围：3-4层

应用代理防火墙

判断信息：所有应用层的信息包，应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务

工作范围：7层

状态检测防火墙

判断信息：IP地址、端口号、TCP标记，状态检测防火墙是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行，提高工作效率。

工作范围：2-4层

入侵检测系统(IDS)

部署方式：旁路模式

工作范围：2 - 7

工作特点：通过部署位置对监控到的流量进行攻击事件监控，属于一个事后呈现的系统，不能拦截安全事件。

可以帮助管理员清晰的了解到网络环境中发生了什么事情（只能检测，不能拦截）

入侵防御系统(IPS)

部署方式：串联模式

工作范围：2-7

工作特点：根据已知的安全威胁生成相对应的规则库，对经过设备的流量进行识别并过滤。

IPS与IDS不同的是，IPS可以拦截相应的安全事件。

防病毒网关（AV）

部署模式: 串联模式

工作范围：2-7

工作特点：防止病毒文件从公网进入内网，防止病毒文件传输。

防病毒网关防火墙
专注病毒过滤专注访问控制
阳断病毒传输控制非法授权访问
工作协议层：ISO 2-7层工作协议层：ISO 2-4层
识别数据包IP并还远传输文件识别数据包IP
运用病毒分析技术处理病毒体对比规则控制访问方向
具有防火墙访问控制功能模块不具有病毒过滤功能

防病毒网关	防火墙
专注病毒过滤	专注访问控制
阳断病毒传输	控制非法授权访问
工作协议层：ISO 2-7层	工作协议层：ISO 2-4层
识别数据包IP并还远传输文件	识别数据包IP
运用病毒分析技术处理病毒体	对比规则控制访问方向
具有防火墙访问控制功能模块	不具有病毒过滤功能

web应用防火墙（WAF）

部署模式:串联模式、旁路模式

工作范围：7

工作特点：防止基于应用层的攻击影响Web应用系统

统一威胁管理（UTM）

包含功能：FW、IDS、IPS、AV

工作范围：2-7层（但是不具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

下一代防火墙（NGFW）

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2-7层

和UTM的区别：与UTM相比增加的web应用防护功能； UTM是串行处理机制，NGFW是并行处理机制； NGFW的性能更强，管理更高效。

传统防火墙与下一代防火墙区别？

工作层面不同，传统防火墙工作在3-4层，下一代防火墙工作在2-7层。可以抵御应用层攻击。
功能不同，传统防火墙基于五元组做包过滤，而下一代防火墙包含FW、IDS、IPS、AV、WAF等功能，可以从多个方面抵御威胁。

防火墙的性能指标

吞吐量

定义：防火墙能同时处理的最大数据量

有效吞吐量：除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率

衡量标准：吞吐量越大，性能越高

时延

定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发的性能。

衡量标准：延时越小，性能越高

丢包率

定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。

衡量标准：丢包率越小，防火墙的性能越高

背靠背

定义：指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量（例如:NFS，备份，路由更新等)，而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

背靠背越大性能越高

背靠背缓冲测试，主要测试被测设备缓冲处理突发数据的能力。

并发连接数

定义：指防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP / UDP的访问。

衡量指标：并发连接数指标越大，抗攻击能力也越强。

防火墙部署模式

AF接口类型

AF的部署模式是由各个接口的属性决定的。

根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口。

其中物理口可选择为：路由口、透明口、虚拟网线口、旁路镜像口。

根据接口不同工作层面，可以划分为：二层区域、三层区域、虚拟网线区域。

聚合接口作用：

负载分担链路冗余，提高可靠性，扩展带宽

防火墙支持的聚合接口类型：

负载均衡：hash:按数据包源目的IP/MAC的hash值均分
负载均衡：RR:直接按数据包轮转均分到每个接口
主备模式：取eth最大号为主接口收发包，其余为备接口
LACP：标准LACP协议对接，选择LACP选项后，可以支持基于:IP+MAC、IP+端口、MAC三种哈希策略，同时支持主动和被动两种模式。

路由模式

防火墙以路由模式部署时，与路由器相当，放置在网络出口，做路由转发与NAT等工作，可以通过防火墙策略抵御外网攻击行为。路由模式下拥有防火墙的全部功能。

透明模式

属于串联部署，串联在交换机与出口路由器之间。透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。透明模式下可以把防火墙看成一个普通的交换机。

虚拟网线模式

属于串联部署，串联在交换机与出口路由器之间。虚拟网线接口也是普通的交换接口，不能配置IP地址，不支持路由转发，转发数据时，也无需检查MAC表，直接从虚拟网线配对的接口转发。适用于单进单出，双进双出的成对转发数据场景。

透明模式与虚拟网线模式

相同点：都是工作在二层，不支持路由转发，不能配置IP。使用场景都是串联使用。
不同点：透明模式靠mac地址转发数据，相当于二层交换机。虚拟网线模式以配置的接口转发数据，转发性能高于透明模式，适用于单进单出，多进多出的网桥环境下使用。

旁路模式

设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。

防火墙旁路模式，通过伪造数据包发送RST报文的方式阻断威胁。

旁路模式可以实现的功能:

APT(僵尸网络)
PVS(实时漏洞分析)
WAE(web应用防护)
入侵防护系统
DLP(数据泄密防护)

策略路由

策略路由是路由中的一种，策略路由可以弥补静态路由的不足，更灵活多样的匹配条件，根据相应策略来进行匹配，包括：匹配源、目的、协议、应用等。出口在外网多条线路情况下，建议配置策略路由。

策略路由分类

源地址策略路由--可指定内网哪些IP走指定线路出公网
多线路负载路由--可指定多条线路通过负载策略进行负载选路

终端安全检测和防护

网关杀毒技术

计算机病毒:

计算机病毒，是编制或者在计算机程序中能插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒工作步骤：

目前设备厂商（包括UTM、AVG）的AV扫描方式

代理扫描方式

基于代理的反病毒网关可以进行更多如解压，脱壳等高级操作，检测率高，但是，由于进行了文件全缓存，其性能、系统开销将会比较大。

流扫描方式

基于流扫描的反病毒网关性能高，开销小，但该方式检测率有限，无法应对加壳、压缩等方式处理过的文件。

深信服实现方式

防火墙对病毒文件进行捕获，发送给本地的病毒检测进程开始检测，经过save人工智能引擎、文件md5云查、文件云查等模块对文件进行检测，正常文件放行、病毒文件拦截，并将检测结果记录在日志中心。

网关杀毒功能

支持各类主流协议文件传播杀毒，包括SMB、FTP、HTTP等协议，通过采用SAVE智能文件检测引擎(杀毒)
支持对邮件正文中的恶意域名、URL进行检测，以及附件做查杀
支持文档类、脚本类的非PE文件检查、OFFICE宏病毒的杀毒功能
支持对挖矿、钓鱼等恶意网站做过滤。

勒索病毒专项防护

勒索病毒运行过程

主机感染勒索病毒文件之后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取，然后生成勒索通知，要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据，否则会被销毁数据。

产生的现象

服务器文件被加密，被加密的文件有其他的后缀名称，在桌面提示需要支付比特币赎金到某个账户，如果不支付将导致文件永远不可用；
内网主机成片出现蓝屏现象，蓝屏的代码提示srv.sys驱动出现问题（永恒之蓝）。

勒索病毒传播端口

TCP：135、139、445、3389 UDP：137、138

端口作用

勒索病毒常用端口说明windows下主要基于SMB协议（TCP-NETBIOS）

135端口 135端口就是RPC通信中的桥梁，该端口被攻击者采用了一种DCOM技术，可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时，会自动调用目标主机中的RPC服务，而RPC服务将自动询问目标主机中的135端口，并且获取当前有哪些端口可以被用来通信。

137端口 137端口属于UDP端口，主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。要是非法入侵者知道目标主机的IP地址，并向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。

138端口 138端口都属于UDP端口，主要作用就是提供NetBIOS环境下的计算机名浏览功能。非法入侵者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称，其对应的IP地址也就能轻松获得。如此一来，就为黑客进一步攻击系统带来了便利。

139端口 139端口是一种TCP端口，主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。黑客要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作，倘若攻击者还知道目标主机的IP地址和登录账号的话，还能轻而易举地查看到目标主机中的隐藏共享信息。

445端口 是一种TCP端口，功能与139端口几乎一致，也是提供局域网中文件或打印机共享服务。区别就是该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务，所以要关闭文件共享，那么需要同时关闭139和445端口。

3389端口 一种TCP端口，主要用于windows远程访问。

服务器安全检测和防御技术

DOS攻击

类型

DOS——Denial of Service，拒绝服务攻击

是一种拒绝服务攻击，常用来使服务器或网络瘫痪的网络攻击手段，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS——Distributed Denial of Service, 分布式拒绝服务攻击

一般攻击发起方式为利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标设备发动密集式的“拒绝服务”要求，用以把目标设备的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。

DDoS目的:

消耗带宽–带宽攻击，指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。 消耗服务器性能一连通性攻击，指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽最终计算机无法再处理合法用户的请求。 服务器宕机一攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如Ping of Death、 TearDrop

DOS类型

DOS类型	攻击特征及影响
ICMP洪水攻击	攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务
UDP洪水攻击
DNS洪水攻击
SYN洪水攻击	攻击者利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。
畸形数据包攻击	攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如Ping of Death、TearDrop
CC攻击	攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的。
慢速攻击	慢速攻击是CC攻击的一个变种，对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。

漏洞攻击防护入侵检测和防御技术

漏洞攻击常见的入侵手段

worm蠕虫
网络设备、服务器漏洞
后门、木马、间谍软件等

漏洞攻击防护手段

口令暴力破解（字典法、规则破解）

暴力破解常见防范方法：

双因素：动态令牌、指纹；（弊端：需要增加成本）
随机验证码：1+1 =？（弊端：需要重新开发，验证码易破解，协议有限）

漏洞攻击防护原理

漏洞攻击防护通过对数据包应用层里的数据内容进行威胁特征检查，并与漏洞攻击防护规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层漏洞攻击防护的防护。
对数据包完全解析进行每一字节的检査达到应用层防御效果，通过对各种攻击行为的分析(即特征)定义检测规则(即规则库)，以正则表达式的方式进行流量匹配(即正则引擎或防御引擎)。注:程序类/代码类均可通过特征匹配发现。

WEB攻击检测和防御技术

WAF——Web Application Firewall，即Web应用防护，工作在应用层，主要用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。

常见的web攻击手段

SQL注入攻击

是由于web应用程序开发中，没有对用户输入数据的合法性进行判断，攻击者可以通过互联网的输入区域（如URL、表单等），利用某些特殊结构的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据。

跨站脚本攻击（XSS)

由于web开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制，攻击者通过web页面向数据库或HTML页面提交恶意的html代码，当用户打开有恶意代码的连接或页面时，恶意代码会自动执行，从而到达攻击的目的。

网页木马

实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个木马。

网站扫描

是对web站点扫描，对web站点的结构、漏洞进行扫描。

Webshell

是web入侵的一种脚本工具，通常情况下，是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器web目录中，与正常网页混在一起。通过webshell，长期操纵和控制受害者网站。

跨站请求伪造（CSRF）

通过伪装来自受信任用户的请求来利用受信任的网站。

系统命令注入

操纵系统命令攻击是攻击者提交特殊字符或者操作系统命令，web程序程序没有检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行。

文件包含漏洞攻击

是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严，没有判断参数是本地的还是远程主机上的时，我们就可以指定远程主机上的文件作为参数来提交给变量执行，而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话，文件中心的代码或PHP木马就会以web权限被成功执行。

目录遍历漏洞

就是通过浏览器向web服务器任意目录附加“../”,或者是在有特殊意义的目录附件“../”，或者是附加“../”的一些变形，编码，访问web服务器根目录之外的目录。

信息泄漏漏洞

是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄漏web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。

联动封锁

高危行为联动封锁

仅封锁具有高危行为特征的IP，优先保证用户流畅上网、业务稳定的提供服务;

任意攻击行为联动封锁

对任意具有攻击特征的IP，且防火墙动作为阻断则执行访问封锁，最大化业务和用户的安全防御能力

注意：目前IPS、WAF、DDOS、僵尸网络模块可以触发联动封锁。(内容安全模块无法触发)

安全评估与动态检测技术

实时漏洞分析技术

解决方案

实时漏洞分析系统实时检测经过设备的应用流量(镜像也可以实现此功能)，对流量进行对应的应用解析并匹配实时漏洞分析识别库，从而来发现服务器可能存在风险和漏洞。

优点

实时发现客户网络环境的安全缺陷，且不会给网络及服务器产生额外的流量及性能负担。
自动生成报表，报表中包含安全缺陷并给出相应的整改方案，为用户展现安全防护能力。

高可用性

双机的作用

高可用性是为了避免单点故障的隐患，采用双机模式保证业务连续性，是在对网络可靠性较高，业务连续性强的场景中使用。

双机模式

主备模式、主备镜像模式

主备模式工作原理

主备模式下，只有主机承担业务流量，备机不承担。主机会下发承担业务流量的虚IP，备机不下发。当主机发生故障时，触发主备切换，新主机会下发虚IP，新备机取消下发虚IP，实现双机切换无感知。

在主备模式中，主机作为配置同步角色的主控，在主机中的配置会同步到备机。在备机中无法编辑配置

主备镜像模式工作原理

在主备模式中，只有配置了虚 IP 的接口会同步到备机，未配置虚 IP 的接口不会有 IP、MAC 等的同步。

在主备镜像模式中，AF 使用实 IP 替代虚IP。除带外管理口、控制链路、数据链路外，所有的接口都会同步到备机两台设备像镜像一样，甚至 MAC 地址都是一致的。

双主透明模式（主主模式）

双主透明模式是两台设备做透明部署或虚拟网线二层部署模式下，同时处于工作状态

双机聚合

基本原理

双机聚合功能开启后，每台AF都会在后台程序自动生成一个是0或者是1的编号，这个编号界面上看不到，所有经过AF的流量都会是经过算法(即根据源/目的IP地址)计算，看计结果的值是0还是1，从而将对应数据包转发到对应编号的AF上进行转发(比如根据算法算出来的值是0，则从编号为0的AF转发数据)

聚合条件

主备部署条件

主备设备软件版本必须一致，包括R版本，KB和定制等信息也需要一致
硬件型号尽量选择相近的型号，避免负载差别太大切换出现断网。
设备本身的硬件网口数量需要一致
两台设备必须路由模式部署，LAN、WAN、DMZ口与ethX的对应关系要一致，如主设备lan口是ETH1，备设备也要是lan口eth1
设备授权信息需要一致

主主部署条件

主备设备软件版本必须一致，包括R版本，KB和定制等信息也需要一致
AC设备型号不要求完全一样，但是硬件网口数量必须一致
设备授权信息需一致

双机聚合作用

AF透明模式主主部署模式下，AF上下联的设备做了链路聚合并且都为路由口，数据包存在来回路径不致的场景。如发送的数据经过A防火墙，回来的数据经过 B防火墙，导致来回数据包在 AF 上的连接跟踪不一致而被 AF 丢包，而双机聚合功能则可以使来回路径不一致数据包经过 AF 时能够正常转发。

HA Traffic 作用

AF 做路由双主或者透明双主情况下存在来回流量不一致的场景，且没有做链路聚合需要开启，开启该功能后 AF 将业务口收到的所有数据包以 hash 分配方式决定是否通过同步口发送到对端设备进行数据包处理,保证同一条流的所有数据包都能在同一台设备进行安全检测，解决数据非对称转发中出现的网络不通和安全检测失效问题。对端设备安全检测完成后，再将数据包通过同步口发回来，由本端再做数据转发，避免了下游设备路由口因数据包目的 MAC 地址非本机而丢包

主控备控

主控设备负责下发配置同步到备控设备

主备模式下：主机默认为主控，备机默认为备控
主主模式下：主控备控需手动指定。

VPN

定义：

Vitual Private Network，虚拟私有网是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。

核心技术：隧道技术

VPN特点：虚拟、专用、加密

VPN分类：

client-lan vpn

出差在外的员工、有远程办公需要的分支机构，都可以利用这种类型的 VPN ，实现对企业内部网络资源进行安全地远程访问。(只需要总部有一台物理设备)

lan-lan vpn

为了在不同局域网络之间建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，则可以采用 LAN－LAN 类型的 VPN （两端都需要物理设备）

根据工作层面划分

工作层面	VPN类型	使用场景
应用层	SSL VPN，atrust	client-lan
网络层	IPsec VPN、GREVPN	lan-lan client-lan
传输层	sangfor VPN	lan-lan
网络接口层	L2F/L2TP/PPTP等	lan-lan client-lan

VPN常用技术

隧道技术

在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道，使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。

加解密技术

对称加密

加密缺陷：密钥传输风险，密钥多难管理

常见的对称加密算法：IDEA、DES/3DES算法、RC系列算法、AES算法

工作方式：同一个密钥加密，同一个密钥解密

非对称加密

加密缺陷：相对于对称加密，加解密速度慢

常见的非对称加密算法：ECC、RSA、Rabin、Elgamal

身份认证技术

通过标识和鉴别用户的身份，防止攻击者假冒合法用户来获取访问权限。

数字签名、数字证书

数据认证技术

秘钥管理技术

多种隧道技术比较

隧道协议	保护范围	使用场景	用户身份认证	加密和验证
GRE	IP层及以上数据	Intranet VPN	不支持	支持简单的关键字验证、校验
L2TP	IP层及以上数据	Access VPN Extranet VPN	支持基于PPP的CHAP、PAP、EAP认证	不支持
IPSec	IP层及以上数据	Intranet VPN Access VPN Extranet VPN	支持预共享密钥或证书认证、支持IKEv2的EAP认证	支持
Sangfor-VPN	IP层及以上数据	Intranet VPN Extranet VPN	支持多种身份认证	支持
SSL-VPN	应用层特定数据	Access VPN	支持多种身份认证	支持

IPSEC VPN

IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

IPSec协议族（组成部分）

IPSec协议族

IPSec 工作模式

传输模式(Transport mode)

应用场景：经常用于主机和主机之间端到端通信的数据保护。

封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据。

在传输模式下，IPSec协议处理模块会在IP报头和高层协议报头之间插入一个IPSec报头。在这种模式下，IP报头与原始IP分组中的IP报头是一致的，只是IP报文中的协议字段会被改成IPSec协议的协议号（50或者51) ，并重新计算IP报头校验和。传输模式保护数据包的有效载荷、高层协议，IPSec源端点不会修改IP报头中目的IP地址，原来的IP地址也会保持明文。传输模式只为高层协议提供安全服务。

隧道模式(Tunnel mode)

应用场景：经常用于私网与私网之间通过公网进行通信，建立安全VPN通道。

封装方式：增加新的IP（外网IP）头，其后是IPsec包头，之后再将原来的整个数据包封装。

在隧道模式下，原始IP分组被封装成一个新的IP报文，在内部报头以及外部报头之间插入一个IPSec报头，原IP地址被当作有效载荷的一部分收到IPSec的保护。另外，通过对数据加密，还可以隐藏原数据包中的IP地址，这样更有利于保护端到端通信中数据的安全性。

IPSEC通信协议

特性	AH 协议	ESP 协议
协议号	51	50
基本功能	📌 数据源认证 📌数据完整性校验 📌报文防重放功能	🔶 数据加密 📌数据源认证 📌完整性校验 📌 报文防重放功能
NAT-T（NAT穿越）	不支持	支持
适用场景	能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据	能保护通信免受篡改，也能防止窃听，适合用于传输机密数据
加密算法	无	DES、 3DES、 AES、 SM1、 SM4
认证算法	MD5、 SHA-1、 SM3	MD5、 SHA-1、 SM3
注意点	❗️AH不提供任何保密性服务 ❗️不论是传输模式还是隧道模式下，AH提供对数据包的保护时，它保护的是整个IP数据包(认证所有内容)	❗️ESP协议可以提供保密服务 ❗️ESP不管在传输模式还是在隧道模式下:都只加密被封装部分，只校验原始IP包头和IP数据部分，在隧道模式下不校验新IP包头

加密算法

名称	说明
DES	使用 56bit 的密钥对一个 64bit 的明文块进行加密
3DES	使用三个 56bit 的 DES 密钥（共 168bit 密钥）对明文进行加密
AES	使用 128bit、 192bit 或 256bit 密钥长度的 AES 算法对明文进行加密
SM1/SM4	国密算法，使用 128bit 秘钥长度的算法对明文进行加密

认证算法

名称	说明
MD5	通过输入任意长度的消息，产生 128bit 的消息摘要
SHA-1	通过输入长度小于 2 的 64 次方 bit 的消息，产生 160bit 的消息摘要
SM3	国密算法，通过输入长度小于 2 的 64 次方 bit 的消息，产生 256bit 的消息摘要

哪种工作模式，哪个安全协议可以经过NAT，原因? 只有ESP协议在隧道模式下可以经过NAT

原因:

ESP在隧道模式不验证外部IP头，因此ESP在隧道模式下可以在NAT环境中运行。
ESP在传输模式下会验证外部IP头部，将导致校验失败。
而AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。

安全联盟SA

定义

SA（Security Association）是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。

SA建立方式

手工方式配置比较复杂，创建安全联盟所需的全部信息都必须手工配置，而且IPSec的一些高级特性（例如定时更新密钥）不能被支持，但优点是可以不依赖IKE而单独实现IPSec功能。该方式适用于当与之进行通信的对等体设备数量较少的情况，或是IP地址相对固定的环境中。
IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护安全联盟。该方式适用于中、大型的动态网络环境中。该方式建立SA的过程分两个阶段。第一阶段，协商创建一个通信信道（ISAKMP SA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的ISAKMP SA建立IPsec SA。分两个阶段来完成这些服务有助于提高密钥交换的速度。

IKE

端口号：UDP500

IKE协议作用

自动进行安全联盟建立与密钥交换，用于动态建立SA，代表IPSec对SA进行协商(自动协议建立SA，无需手动建立)

IKE协商

阶段一

作用

1、校验双方的身份信息 2、使用IKE自动协商建立一个临时SA，即IKE SA，用来保护阶段二IPsec SA的建立

协商模式

主模式默认使用IP地址作为身份标识，默认是传递自己的接口地址做身份标识，校验对端的公网IP做对端身份标识。(自动生成双方身份ID) 主模式以IP地址作为身份标识，经过NAT以后会发生变化，不能在NAT场景中使用，适用于VPN做出口设备使用。

野蛮模式可以使用用户名或IP等作为双方身份标识，即可以手动配置身份ID 因为蛮难模式可以自由配置用户名作为身份id，所以可以经过NAT，适用于VPN在内网单臂部署

野蛮模式交互过程: 1、第一个交互包发起方建议SA，发起DH交换、发送本端身份信息. 2、第二个交互包接收方接受SA并向对方发送本端IKE策略信息、秘钥材料、本端身份信息,同时生成对称密钥。 3、第三个交互包发起方认证接受方(此报文是在加密的情况下发送)

主模式 野蛮模式
消息交互交互6个消息交互3个消息
身份ID 以IP地址作为身份ID，自动生成本端身份ID和对端身份ID 可以以多种形式（IP，字符串等）手动或自动的生成本端和对端的身份ID
域共享密钥只能基于IP地址来确定预共享密钥。基于ID信息（主机名和IP地址）来确定预共享密钥。
安全性较高前4个消息以明文传输，最后两个消息加密，对对端身份进行了保护较低前两个消息以明文传输，最后一个消息进行加密，不保护对端身份
速度较慢较快

	主模式	野蛮模式
消息交互	交互6个消息	交互3个消息
身份ID	以IP地址作为身份ID，自动生成本端身份ID和对端身份ID	可以以多种形式（IP，字符串等）手动或自动的生成本端和对端的身份ID
域共享密钥	只能基于IP地址来确定预共享密钥。	基于ID信息（主机名和IP地址）来确定预共享密钥。
安全性	较高前4个消息以明文传输，最后两个消息加密，对对端身份进行了保护	较低前两个消息以明文传输，最后一个消息进行加密，不保护对端身份
速度	较慢	较快

注意：如果VPN处于NAT环境中，则应使用野蛮模式esp协议隧道模式方可建立成功。

阶段二

作用

在阶段一IKE SA的保护下，为IPSec协商具体的安全联盟，建立IPSec SA，产生真正可以用来加密数据流的密钥，IPSec SA用于最终的IP数据安全传送。

协商过程

阶段2 使用“快速模式”交换。快速模式交换通过三条消息建立IPsec SA。

这3个包主要用来协商用于加密用户数据的安全策略（只有认证和加密方法和对应算法）：

前两条消息协商IPsec SA的各项参数值，并生成IPsec使用的密钥；

第二条消息还为响应方提供在场的证据；

第三条消息为发起方提供在场的证据。当第二阶段协商完毕之后，第一阶段的策略将暂时不会被使用，直到有新的VPN连接建立时或IPSEC SA加密密钥超时时，才会用第一阶段的策略重新生成并传递新的加密数据和认证的密钥。

“密钥完美向前保密”

在IPsec协商的第一阶段，通过DH算法进行了密钥的交互，并生成了加密密钥。如果不使用PFS，则第二阶段的加密密钥会根据第一阶段的密钥自动生成。使用了PFS，则第二阶段要重新通过DH算法协商一个新的加密密钥，从而提高了数据的安全性。

出现的一些问题及解决办法

什么叫隧道黑洞?

对端的VPN连接已经断开而我方还处在SA的有效生存期时间内，从而形成了VPN隧道的黑洞，我方不停的发送加密后的VPN数据过去，但对方拒绝接受。

如何解决隧道黑洞?

需要启动DPD死亡对等体检测机制检查对端的ISAKMP SA(阶段一 IKESA)是否存在。当VPN隧道异常的时候，能检测到并重新发起协商，来维持VPN隧道

多VPN协商问题

协商问题 IKE协商规定源和目的端口都必须为UDP 500，在多VPN场景下源端口可能会在防火墙设备NAT后发生变化，从而导致IKE协商失败。
传输问题数据传输过程中，由于ESP在工作在网络层，没有传输层头部，从而无法进行NAPT端口复用，导致数据传输失败

解决办法: 启动NAT-T功能

NAT-T协议运用在IPSec VPN中，在IKE协商和VPN连接时，允许源端口为非UDP 500端口，使用目的端口是UDP4500端口。
NAT-T协议为ESP增加了UDP头部，从而解决了数据传输过程经过防火墙后无法进行端口复用的问题

SANGFOR VPN

业务端口：TCP4009，UDP4009

使用场景及功能优势

支持总部在拨号环境下使用Sangfor-VPN（通过Webagent)

分支通过总部上网或者互联（隧道间路由）

分支地址间冲突（隧道间NAT）

更精细的权限管理技术

Sangfor-VPN与Ipsec-VPN使用场景区别

Ipsec-VPN相对于Sangfor-VPN适用场景更广泛，一般用于深信服设备与第三方VPN设备对接使用。

Sangfor-VPN相对于Ipsec-VPN功能有一定的优化，但由于是深信服自研产品，一般是用于深信服设备之间互联。

Webagent（总部的地址）

用于Sangfor-VPN互联时，分支寻找总部的地址，从而建立VPN的连接

WEBAGENT有如下几种的填写方式：

IP:端口，如123.123.123.123:4009

适用于总部VPN设备有固定公网IP地址的环境

IP1#IP2:端口，如123.123.123.123#221.221.221.221:4009

适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境

网址的形式，如webagent.sangfor.com.cn/webagent/123.php

适用于总部VPN设备没有固定公网IP的环境，如ADSL线路

域名：端口形式，如www.sangfor.com:4009

适用于总部已存在动态域名指向他们出口的公网IP的环境

术语解释

Sangfor-VPN建立的角色

总部：提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。Sangfor-VPN总部设备需要配置Webagent、VPN接入账号等。一般将服务器端所在的网络做为总部。
分支：即接入总部端的设备。一般将客户端所在的网络做为分支。
移动：即Sangfor-VPN的软件客户端，又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。(移动端功能已经移除)

注意：在Sangfor-VPN，一个VPN设备既可以当总部也可以当分支，也可以同时充当总部和分支的角色

本地子网

VPN设备需要通过本地子网宣告内网网段给对方VPN设备，从而让对方具备访问本端的路由。本地子网只需要宣告自己内部网段。在Sangfor-VPN中，本地子网默认宣告直连网段。

Vpntun接口

VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。

Sangfor-VPN建立条件

至少有一端是总部，且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权。
至少有一端在公网上可访问，即“可寻址”或固定公网IP。
建立VPN两端的内网地址不能冲突。
建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版+本互联，但VPN2.x版本只能跟VPN2.x版本互联） 4.0版本以上就可互联

VPN单臂模式，配置Sangfor-VPN注意事项

总部出口路由器需将VPN的TCP、UDP4009端口映射出来，分支无需映射。
如果分支总部内网PC互访需宣告本地子网，与VPN直连网段无需宣告。
本端数据访问对端时，需要在核心交换机将路由指向VPN，让数据进入VPN隧道。

特殊场景解决办法

隧道间路由

分支之间可以通过总部互通，总部不做，配置在两个分支VPN上

隧道间NAT

分支之间地址冲突可以解决，在总部配置NAT策略

SSL-VPN

SSL-VPN是基于SSL协议，构建在应用层的一款VPN。常用于移动办公场景。端到站组网方式

SSL协议介绍

SSL握手协议：SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。
SSL修改密文协议：保障SSL传输过程的安全性，客户端和服务器双方应该每隔一段时间改变加密规范。
SSL报警协议：SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。

SSL结构协议可分为两层：

SSL记录协议（SSL Record Protocol）：建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议（SSL Handshake Protocol）：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。

SSL-VPN与Ipsec-VPN区别:

Ipsec-VPN用于站到站的组网(lan-Ian)，而SSL-VPN适用于端到站的组网(cilent-lan)
Ipsec-VPN组网方式较为固定，适用于分支单位与总部互联，需要两端都有VPN设备。而SSL-VPN组网方式较为灵活只需要总部部署一台SSL-VPN设备即可，适用移动办公或者远程办公场景。
Ipsec-VPN组网成功后用户之间透明访问无需认证，SSL-VPN提供给移动办公用户访问时，需要认证访问者身份

SSL-VPN认证方式

6种固定的认证方式（主认证）

本地用户名／密码（微信扫码登录）
LDAP服务器
Radius服务器
CA认证
AD域单点登录
HTTP(S)第三方接口对接

多种动态的认证方式（辅认证）

硬件特征码
动态令牌（飞天诚信、Google软令牌、HTTP(S)第三方接口对接）
短信认证（云短信平台，短信网关、HTTP(S)第三方接口对接）

组合方式：主认证至少需要1种，辅认证不能单独使用；主认证可以单独使用

SSL-VPN资源

TCP资源 TCP应用的实现是通过在Client安装Proxy控件，由控件抓取访问服务器的TCP连接并对数据进行封装，将普通的TCP连接转换成SSL协议数据实现的。只支持所有的TCP资源传输。

L3-VPN资源 L3-VPN应用的实现是通过在Client安装虚拟网卡，虚拟网卡在客户端生成路由表指向虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。支持所有的TCP、UDP、ICMP资源传输。

零信任

介绍

零信任aTrust设备更加强调的是以身份为概念，去除传统设备对IP的依赖，设备相关的认证策略、用户策略、安全策略和授权等，都是基于身份的概念进行，对于权限的精细化有了更高的能力。 零信任使用场景 与SSL-VPN类似，远程接入办公、移动办公、client-lan场景使用或者是端到站使用场景

零信任的升级方式

web界面升级(推荐)
后台升级

零信任设备架构

分离式零信任

组成部分

控制中心

代理网关

控制中心（SDPC）：控制中心负责用户认证，资源鉴权和策略下发等功能代理网关（PROXY）：代理网关主要负责负责隧道建立、数据转发、策略执行使用场景：分离式零信任由两台设备配合数据处理，性能高于综合网关，适用于用户数量较多，高并发量的场景使用。

综合网关

综合网关设备是将控制中心和代理网关功能进行了合成，一台设备就可实现用户认证、隧道建立、数据转发、策略管理。使用场景：配置维护方便，性能略低于分离式零信任，适用于中小型企业网络，用户并发数量小的情况下使用。

零信任配置

MANAGE口地址：10.254.254.254/24
在浏览器输入https://10.254.254.254:4433打开控制台界面
默认账号密码：admin/SangforSDP@1220

零信任部署方式

零信任只有一种部署模式：单臂模式

业务端口

分离式atrust

控制中心的TCP 443端口(用户接入认证)

代理网关的TCP 441(接入隧道资源)和TCP 443(接入web资源)端口映射到公网

综合网关atrust

TCP 443端口（用户认证、接入web资源）和TCP 441（接入隧道资源）端口映射到公网，保证用户能正常通信

注意：需要启用SPA业务隐身功能(UDP+TCP模式)，还需要将控制中心的UDP 443端口、代理网关的 UDP 441端口映射至公网。(若是综合网关设备，将综合网关设备的UDP 443、441映射至公网即可);441端口不能修改，但是可以做不对称映射，即公网端口的442转换为内网的441。

全部端口

分离式

控制中心TCP443，UDP443

代理网关TCP441，UDP441

综合网关

TCP、UDP443/441

如果发布的web前端地址是HTTP协议，需要把零信任的80端口映射出去。

零信任实施方式

硬件设备实施：购买深信服硬件设备
软件实施：虚拟化环境部署，支持放在vmware、深信服超融合平台以及常见的公有云平台，比如阿里云，腾讯云，华为云等。

自适应认证功能

使用场景

平衡用户安全与体验，在安全的环境下降低认证强度，提升用户体验;在风险的环境下增强认证强度，消除风险。即根据用户登录的环境及账号的安全性，自动调节认证强度，实现安全与体验的平衡。

零信任支持的资源类型

web资源(无需安装插件，走通过atrust代理访问内网资源)

⭕️web资源访问流程

场景一：前端访问地址为域名，后端访问地址是IP端口

用户访问：公网PC浏览器输入 https://oa.company.com:4430 地址，回车访问。

客户端DNS解析：浏览器调用客户端操作系统的HOSTS文件或DNS服务器进行解析，将 oa.company.com 解析到代理网关的公网IP。

跳转到SDPC认证：代理网关发现首次访问，会302跳转到配置好的SDPC地址（https://sdpc.company.com:4331）进行认证。如果用户未登录，则会弹出认证页面；如果已经登录，则直接302回代理网关，用户无感知。

服务端鉴权：认证通过后，服务端根据前端访问地址 oa.company.com:4430 鉴权确认用户是否具备权限，并在资源列表中找到该应用的后端访问地址 10.10.10.1:443。

代理访问后端业务：代理网关发现后端访问地址是IP端口，无需解析，直接代理访问。

请求资源：代理网关向web服务器请求真实的资源web界面，再将请求结果返回给用户。

用户访问成功。
用户未登录

用户已登录

用户访问

客户端DNS解析:解析到代理网关公网IP

跳转到SDPC认证

弹出认证界面

302回代理网关,用户无感知

用户登录成功,认证通过

服务器鉴权,根据前端地址鉴权

找到后端访问地址:10.10.10.1:443

代理访问后端业务:直接代理访问,无需DNS解析

请求资源:向web服务器请求真实资源

返回请求结果给用户

用户访问成功

场景二：前端访问地址为域名，后端访问地址是域名

用户访问：公网PC浏览器输入 https://oa.company.com:4430 地址，回车访问。

客户端DNS解析：浏览器调用客户端操作系统的HOSTS文件或DNS服务器进行解析，将 oa.company.com 解析到代理网关的公网IP。

跳转到SDPC认证：代理网关发现首次访问，会跳转到配置好的SDPC地址（https://sdpc.company.com:4331）进行认证。如果用户未登录，则会弹出认证页面；如果已经登录，则直接302回代理网关，用户无感知。

服务端资源鉴权：代理网关根据前端访问地址 oa.company.com:4430 鉴权确认用户是否具备权限，并在资源列表中找到该应用的后端访问地址（oa.company.com:443）。

服务端DNS解析：代理网关先从SDPC上配置的HOSTS找到 oa.company.com 的IP地址；或者从代理网关上配置的DNS服务器，解析出 oa.company.com 的内网IP。

代理访问后端业务：根据上一步解析的结果，进行代理访问。

请求资源：代理网关向web服务器请求真实的资源web界面，再将请求结果返回给用户。

用户访问成功。

⭕️注意事项

web资源注意事项

web应用只可以发布web网站、http、https

必须使用域名访问，客户需购买公网域名，或者使用atrust私有DNS解析，实现访问

用户访问web资源，无需安装任何插件客户端

用户通过域名访问零信任web资源，有何注意之处

确保域名正确解析到零信任代理网关的公网IP地址。域名解析错误会导致用户无法正常访问web资源。

确保域名对应的SSL证书已经正确配置在零信任代理网关上。未配置或配置错误的SSL证书会导致用户在访问时出现安全警告或无法访问的情况。

确保零信任代理网关的TCP 443端口已经正确映射到公网，并且可以通过域名进行访问

隧道资源(类似于L3vpn资源)通过虚拟网卡在pc写入路由引流到隧道

⭕️隧道资源访问流程

后端为Ip

用户登录：用户通过aTrust客户端登录。

路由表下发：aTrust控制中心会给客户端下发对应IP资源的路由表。

流量引流：aTrust客户端将此路由写入到虚拟网卡中进行引流。

数据传输：流量到达客户端后，客户端判断目标地址所配置的安全代理网关区域，与对应的安全代理网关建立短连接隧道，通过隧道将数据加密后传输到安全代理网关。

解密与代理：安全代理网关解密后再代理到目标访问地址

后端为域名：

用户登录：用户通过aTrust客户端登录。

域名解析：aTrust客户端会先将对应的域名解析到一个fake IP上。

流量引流：此fake IP会写入本地虚拟网卡中进行引流。

数据传输：流量到达客户端后，客户端判断目标应用所在的安全代理网关区域，与对应的安全代理网关建立隧道，通过隧道将数据加密后传输到安全代理网关。

DNS解析与代理：安全代理网关查询本地fake IP对应的域名，在网关处进行DNS解析（Host或外部DNS服务器），将流量解密后代理到解析后的目标地址

⭕️隧道资源访问原理

隧道IP资源：通过本地路由表将应用访问流量导流至虚拟网卡，aTrust借助轻量级IP协议栈模块从虚拟网卡获取到TCP数据包后，封装至SSL加密隧道中，以短连接的方式发送至aTrust网关。

隧道域名资源：通过在本地DNS服务器中插入fakedns(198.18.0.1)，将终端所有域名解析引流至fakedns，如果判断为服务器发布的隧道域名资源，则返回解析为fakeIP(198.18.0.0/16)，从而实现将流量引流到虚拟网卡;否则丢弃DNS请求，递归至本地DNS服务器进行查询，不影响本地正常访问请求解析

web资源与隧道资源区别

技术原理方面

隧道资源通过本地路由表将应用访问流量导流至虚拟网卡，aTrust借助轻量级IP协议栈模块从虚拟网卡获取到TCP数据包后，封装至SSL加密隧道中，以短连接的方式发送至aTrust网关。

Web资源用户访问前段地址解析会解析到代理网关，如果是初次访问会302到控制中心认证鉴权后，再由代理网关代理访问，代理网关向web服务器请求真实的资源web界面，再将请求结果返回给用户。

使用场景方面

隧道资源必须安装客户端，不需要合法公网域名，隧道端口用户无感知，所以无需备案,可以任意发布TCP、UDP、ICMP等资源。

Web资源支持免客户端访问的场景，但需要注册、购买合法公网域名，并且域名和IP都需要备案。需使用443、80的知名端口，且需要受信的SSL证书。需要变更域名DNS解析。由于Web应用是应用层代理，存在兼容性问题较多，非必要场景不建议使用web应用。在大批量资源发布的情况下，不建议使用WEB资源，优先选择隧道资源。

零信任集群

集群工作方式

多台零信任虚拟成一台虚拟设备，同时通过虚拟ip对外提供服务(最多支持4台设备组件集群)

作用

设备余负载分担，提高设备性能，提高可靠性，提供设备灾备扩容能力，出现单点故障问题集群可以灾备处理，保证业务不中断。

集群角色

节点：负责承担虚拟ip，调配流量由哪个设备转发
从节点：主节点备份，主节点出现故障后，接替主节点工作
工作节点：只具备工作负载作用。

本地集群

集群主从模式：1主1从2工作、1主2从1工作
集群主备模式：2台设备组件集群，一台监听，一台工作，无特殊情况建议使用主从。

分布式集群

注意:分布式集群只支持控制中心组件，不支持综合网关
应用场景:分布式集群主要用于多地数据中心的场景，适用于atrust用户需要从不同的区域（如全国各地）分别接入的情况。可以解决网络延迟差异大，导致用户接入体验差的问题。主要应用于实现异地数据中心多点接入的网络架构，异地容灾备份集群
通讯端口：端口为443，用于节点之间通信，判断节点之间的状态数据
同步端口：端口为442，用于节点之间的数据同步。

组件主从集群条件

设备硬件形态一致，比如虚拟机不可以同物理机组件集群、国产化不可以和非国产化组件集群。
设备硬件配置一致，比如cpu、内存、网卡、磁盘类型等
设备之间的软件版本、授权类型、算法一致
本地集群要求设备在同一网段内，控制中心之间可以互访。

atrust资源授权方式

基于用户授权
基于组织架构授权
基于角色标签授权
基于群组的授权

安全基线

安全基线，是基于威胁脆弱点而制定的一系列安全防护策略，用于执行企业的安全基线,通过对访问过程全生命周期进行实时检测，当触发策略条件时，执行对应的防护动作，即动态ACL。

动态ACL的需求范围包括

安装终端环境检查：操作系统、补丁、安装软件列表、是否安装指定软件、是否安装防病毒软件、防病毒软件病毒库是否最新、是否运行指定软件。
域控检查：如财务人员访问的业务系统时强制要求域控环境(财务部门访问的常用系统，如财务系统)
内外网检查

Trust的UEM工作空间是aTrust产品中的一个增值模块，为Windows、Mac、UOS、银河麒麟、iOS、android系统平台提供安全沙箱能力，可实现文件隔离，防截屏、水印等安全功能。

UEM全称深信服统一端点管理授权软件，俗称沙箱，又称安全工作空间，分为PC沙箱和移动沙箱，移动沙箱原来也叫EMM。

UEM

aTrust的UEM插件可以在终端上创建一个与个人桌面完全逻辑隔离的安全工作空间，在工作空间中运行的软件（应用）具备网络链路加密、落地文件加密、文件隔离、网络隔离、剪切板隔离、进程保护、外设管控、屏幕水印、防截屏/录屏等数据保护功能，能够有效的保障企业数据安全，提高员工办公效率。

兼容Windows、Mac、UOS、麒麟、Android、iOS、鸿蒙等终端设备接入并创建安全工作空间。

沙箱原理

与虚拟机技术不同，沙箱是一种数据重定向技术，通过Hook和内核驱动将指定程序的创建和修改的文件重定向至隔离的文件目录中。沙箱不需要额外安装操作系统镜像，沙箱内运行的软件本质上仍会调用系统文件比如windows目录的依赖库，要做到完全文件隔离的效果则需要对软件单独做适配，针对性处理。
沙箱内的程序写入的所有文件都会加密并隔离保存在沙箱文件目录，所以不会导致沙箱泄密。

EDR（企业级杀软）

别名：EDS、AES，终端安全检测与防御，统一安全终端管理

组成部分

管理平台MGR 管理端一般是部署在linux服务器，用来管控agent，管理端具有统一终端资产管理、终端病毒查杀、终端合规检查、微隔离访问控制策略统一管理等功能。可对安全事件一键隔离处置以及热点事件I0C全网威胁定位
终端agent

agent是安装在pc或者业务服务器里面作为安全防护客户端使用，同时受平台端管理，agent安装包需要在平台下载。Agent具有防病毒、入侵防御、防火墙隔离、数据信息采集上报、一键处置等功能，对终端文件安全进行有效的保护。

EDR资源环境资源

终端数	CPU（奔腾双核）	内存	磁盘
1到50	2核	2G	100G
50到500	4核	4G	250G
500到2000	4核	8G	500G
注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T

Agent

Agent要求

操作系统(可以防护哪些操作系统) 主流的windows用户版版操作系统、服务器版系统、主流的linux操作系统，以及国产操作系统(XDR专门用于防护国产操作系统)。

MGR与Agent通信端口各端口/协议的具体功能作用如下:

TCP 443：EDR中心端web界面登录端口(EDR3.2.8到3.5.2之前版本也用于安装/更新软件及规则库)

TCP 4430：Agent安装、组件更新和病毒库更新(EDR3.5.2及以后版本)

TCP 8083：Agent 和管理端业务通信端口，用于策略下发等内容，也可以用于卸载Agent

TCP 54120：紧急通信端口，用于管理端控制 Agent 禁用/ 启用，类似于逃生通道，当安装agent或者是策略配置不当影响业务时，可以通过54120端口实现业务逃生。

ICMP：连通性探测

Agent部署方式

安装包部署
网页推广部署
AC联动部署
虚拟机模板部署
域控联动部署
桌管软件部署
离线全量安装

MGR平台部署

ISO镜像部署：ISO镜像部署基于Centos系统镜像，其内嵌MGR安装包，即安装该ISO后，便自动部署MGR. 需要安装系统。优势：可以在任何环境安装，物理设备与虚拟化环境都支持。
OVA模板部署：OVA模板部署是基于Centos安装镜像，其内嵌MGR安装包，在虚拟化环境中，导入OVA模板便自动部署MGR，无需安装操作系统，不适用于物理环境。优势：在虚拟化环境中可以直接导入，无需安装操作系统，修改ip地址后就可以使用。
硬件设备部署设备以硬件形式存在，单臂部署在可以内网，管理Agent

EDR策略组管理

病毒查杀功能

EDR使用SAVE引擎、行为分析引擎、云查引擎、基因引擎对用户的业务系统做全盘，或者快速扫描，发现安全问题，并及时处置

SAVE引擎：基于人工智能技术.拥有强大的泛化力。能够识别未知或者已知病毒的新变种
行为分析引擎：通过对热点事件的病毒家族进行基因特征的深度提取，使之能有更精准的检测效果。开启该引擎后预估占用200M内存
云查引擎：通过虚拟执行的方式发现病毒，擅长识别未知新变种病毒
基因引擎：针对最新未知的文件，使用IOC特征（文件HASH、DNS、URL、IP等）的技术，进行云端查询

病毒查杀相关要点：

EDR病毒扫描查杀任务类型：平台定时扫描查杀、平台手动扫描查杀、终端手动扫描查杀
病毒扫描类型：全盘扫描、快速扫描、自定义扫描，其中又分为极速、均衡、低耗三个扫描模式
支持查杀文件类型：文档文件、脚本文件、压缩文档、低风险文件（多媒体文件等）
发现威胁处置类型：自动处置-业务优先、自动处置-安全优先、仅上报不处置
调用查杀引擎类型：SAVE人工智能引擎、基因特征引擎、行为分析引擎、云查引擎

实时防护功能

EDR实时防护策略，包括文件实时防护、webshell检测，暴力破解检测和无文件攻击

文件实时监控能够实时监控电脑上文件写入、读取和执行操作，防止恶意文件落地、运行，保护内网安全

勒索诱饵功能

EDR在勒索病毒经常加密的目录按照投放规则投放诱饵文件(文本文件、pdf、图片等)，并实时监控诱饵文件是否被修改。如果电脑感染勒索病毒，勒索病毒会遍历目录下的所有文件并对文件进行加密(勒索防护功能够按一定算法确保诱饵文件先被勒索病毒读取)，当EDR检测到诱饵文件被修改时，EDR客户端及时进行报警拦截，从而更早更及时地发现和清除未知勒索病毒，避免终端系统文件或业务文件被加密。

EDR支持防暴力破解的协议类型

RDP协议(3389)
SMB协议(445)
MSSQL协议(1433)
SSH协议(22)

漏洞防护功能

通过EDR对终端或者业务服务器操作系统做漏洞扫描，并对扫描出的漏洞进行修复

轻补丁免疫

“轻补丁漏洞免疫”，是通过在内存中对有漏洞的代码进行修复，避免遭受漏洞攻击。具备对业务系统运行无干扰，可在业务或终端正常运行的情况下进行免疫，如实体补丁一样，防御流行的高危和0dav漏洞利用攻击，无需重启或中断业务，不存在兼容性问题，具备修复速度快、防御效果好等特性。

资产管理

资产清点功能

操作系统、应用软件、端口和帐号的全网清点和风险梳理。
主机软硬件、运行进程、运行服务、网络连接、开放共享和计划任务等信息的采集和监控

合规基线

等级保护背景

信息安全等级保护标准已经成为国内企业信息安全建设的标准。国家规定，有些行业(如金融、教育、能源、电商等)是有要求自己的信息安全建设过等保测评的。等保从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等方面对信息安全建设都做了相应的规范要求。

EDR基线检查作用

EDR的基线检查功能是根据三级等保合规性要求对windows和linux系统进行合规性检查，帮助客户发现内网不合规终端及不合规项，并提供加固整改建议。

微隔离(业务之间的访问控制策略)

需求背景

客户端与业务服务器、服务器与服务器之间访问关系复杂，无法看清之间的访问关系、无法基于访问关系配置访问控制策略，从而给服务器安全带来隐患，加大安全管理难度。

解决方案

在东西向访问关系控制上，能够基于访问关系进行访问控制策略配置，出现安全问题时可以避免业务之间横向感染，减少了对物理、虚拟的服务器被攻击的机会。

原理

微隔离使用Windows防火墙WFP和Linux防火墙iptables进行访问流量控制和上报。

安全态势感知平台

组成及作用

深信服安全感知平台(SIP)和潜伏威胁探针(STA)可以组合成安全感知系统。

SIP作用

SIP定位为客户的安全大脑，是一个检测、预警、响应处置的大数据安全分析平台。通过其内置的分析模块可以对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。可以在威胁发生过程中联动其他安全设备进行抵御，避免用户业务受到损失。

STA作用

用于旁路部署在网络中，收集镜像的流量数据，并将流量数据进行分析生成安全日志后，上传到 SIP。

STA

STA放置位置

单台探针：放在核心层，确定源端口需要镜像的最小数量，确定好流量方向，避免流量重复。
多台探针：放在核心层或者汇聚层，确定源端口需要镜像的最小数量，确定好流量方向，单台STA之间范围明确，避免探针之间流量交叉。
NAT场景：源NAT需要镜像NAT之前的流量，获取用户真实IP。目的NAT要镜像NAT之后的流量，获取真实目标IP,

双向NAT：实际情况具体分析，可以部署在双向NAT之后，可以明确真实目标IP，源IP可以通过X-forworded-for字段获取。也可以两段流量都镜像，根据攻击时间获取两端真实IP。

STA端口

更新STA软件版本：443
STA上传日志到SIP：4430
更新STA规则库：4488

SIP

SIP放置位置

位置无太多要求 SIP一般单臂部署，配置一个管理IP即可，要求管理IP可以与STA通信获取镜像流量即可.

SIP上架过程

配置管理IP
梳理客户资产信息，确定内网IP范围、分支网段范围
新增资产组，对资产组进行分类定义。
优化配置(日志存储配置、邮件告警配置、短信告警配置、大屏优化)

SIP功能介绍

监控中心

监控中心通过综合概览、大屏可视、数据中心可视可以提供安全事件概览、联动主机状态、安全事件可视化等功能
处置中心

用于查看当前网络中存在的风险主机(服务器、PC终端)以及网络中存在的安全事件。安全感知平台无处置功能，只能分析出当前的网络中存在的问题，需要人工、使用杀软等工具或者联动AF/EDR对该模块中的待处置主机进行处置操作，完成安全问题闭环。
分析中心

分析中心结合了安全感知平台的可视化威胁追捕、溯源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些可疑的安全事件，或结合业务现状可分析发现存在异常的数据，提供给运维人员进行分析，从正常现象中挖掘异常。通过查看主机存在的外部、横向、外连，三个方向的威胁以及访问情况进行分析。对恶意文件以及邮件威胁可以直接查看到。

日志检索：安全态势感知平台所有的访问日志、系统日志、操作日志等都可以在在日志检索找到，根据日志检索提供的日志可以帮助运维人员快速分析安全问题，保障业务安全。

什么是残余攻击？

残余指的是绕过出口安全设备的攻击行为，需要重点关注，一般危害性比较大。
资产识别

目的旨在帮助用户梳理资产，识别风险资产(如影子资产)，为攻击检测提供辅助等。目前探针主要使用被动识别以及主动识别进行资产识别，被动识别主要根据网络流量镜像到探针，探针根据镜像流量进行内网识别，内网资产梳理;主动识别是探针进行发包主动探测内网资产，再进行数据汇总与分析。平台识别到的资产将定义为内网资产，在为后续识别横向、外连、外部威胁或访问关系定义方向，需要事先定义好内部IP组或者分支IP范围。

如果资产没有定义好，那么SIP分析中心数据将不再准确。
报告中心

根据SIP设备内的资产情况，安全情况等生成的预设报告、帮助管理员清楚的了解到当前SIP内的安全状态

报告中心的类型：常规的日报周报月报等、还有遇到预设导出的综合安全风险报告、摘要报告、主机安全风险报告、脆弱性报告等。