第六次作业

1，根据网段划分配置IP地址和安全区域

2，配置双机热备场景

抢占延时仅对主设备生效。

hello报文周期时间--- 默认为1S，可以修改，但是，主备设备需要同时修改为相同值。

防火墙的带宽管理

带宽管理的主要思路---限制，保证

带宽管理的核心点

1，带宽限制---针对非关键业务流量进行限制他们占用带宽的比例

2，带宽保证---保证关键业务流量。

3，连接数限制---这是一种手段，限制一些业务的连接数，有利于减少该业务占用的带宽， 也可以节省会话资源。

三种手段

1，接口带宽---接口上可以直接定义入方向和出方向流量使用的实际带宽，这是一种针对物 理带宽的调控手段。其意义在于，如果我们接口带宽过大，而连接运营商接口处理能力有限， 将导致大量的流量滞留在链路中，造成拥挤。

2，带宽策略---策略的一种，可以匹配流量，针对匹配上的流量执行限流或者不限流的动 作。如果是不限流，则直接转发即可；如果限流，则将流量引入带宽通道中。

3，带宽通带---我们可以将带宽通道理解为是带宽策略中限流的具体实施。也可以理解为将 真实的物理带宽逻辑上虚拟出一条通道，以达到将引入的流量进行限制或者保证的手段。

接口带宽进行限制之后，如果接口出现拥挤的情况，则将启用队列调度（排队---根据流量的 优先级来进行排队）制度。

传统的流控是以丢包作为限制的核心手段。深信服中采用缓存不丢包制度 在带宽通道中，我们可以完成两个动作，第一个是丢弃超出限值的流量。第二个则是可以给流 量进行优先级的标记。

二、内容安全
攻击可能只是一个点，防御需要全方面进行

一、IAE（Intelligent Awareness Engine）引擎

二、深度检测技术(DFI和DPI）

2.1 DPI – 深度包检测技术

DPI主要针对完整的数据包（数据包分片，分段需要重组），之后对数据包的内容进行识别。（应用层）

2.1.1 基于“特征字”的检测技术

最常用的识别手段，基于一些协议的字段来识别特征。

2.1.2 基于应用网关的检测技术
有些应用控制和数据传输是分离的，比如一些视频流。一开始需要TCP建立连接，协商参数，这一部分我们称为信令部分。之后，正式传输数据后，可能就通过UDP协议来传输，流量缺失可以识别的特征。所以，该技术就是基于前面信令部分的信息进行识别和控制。

2.1.3 基于行为模式的检测技术
比如我们需要拦截一些垃圾邮件，但是，从特征字中很难区分垃圾邮件和正常邮件，所以，我们可以基于行为来进行判断。比如，垃圾邮件可能存在高频，群发等特性，如果出现，我们可以将其认定为垃圾邮件，进行拦截，对IP进行封锁。

2.2 DFI – 深度流检测技术
一种基于流量行为的应用识别技术。这种方法比较适合判断P2P流量。

结论：
1，DFI仅对流量进行分析，所以，只能对应用类型进行笼统的分类，无法识别出具体的应用；DPI进行检测会更加精细和精准；
2，如果数据包进行加密传输，则采用DPI方式将不能识别具体的应用，除非有解密 手段；但是，加密并不会影响数据流本身的特征，所以，DFI的方式不受影响。

三、入侵防御（IPS）
IDS — 侧重于风险管理的设备
IPS — 侧重于风险控制的设备

3.1 IPS的作用
IPS是一种安全机制，通过分析网络流量来检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式（自动丢弃入侵报文或阻断攻击源）来实时地中止入侵行为（既能发现又能阻止入侵行为），从根本上避免攻击行为。

3.2 IPS的优势
1，实时的阻断攻击；
2，深层防护 — 深入到应用层；
3，全方位的防护 — IPS可以针对各种常见威胁做出及时的防御，提供全方位的防护；
4，内外兼防 — 只要是通过设备的流量均可以进行检测，可以防止发自于内部的攻击。
5，不断升级，精准防护

3.3 与传统IDS的区别
1，IDS侧重于风险管理，IPS侧重于风险控制；
2，IDS无法检测应用层内容，误报和漏报率居高不下，而日志和告警又过多，IPS可对报文层层剥离，进行协议识别和报文解析后再进行分类和特征匹配，保证检测的精确性；
3，DS是被动检测攻击，只能通过响应机制报告给FW，再由FW来阻断攻击，IPS是积极主动的入侵防御阻止系统，可以自动将攻击包丢弃或将攻击源阻断，有效地实现了主动防御功能。

3.4 入侵检测
3.4.1 入侵防御实现机制
1，重组应用数据：针对逃避入侵检测的行为，首先进行IP分片及TCP流的重组，确保应用层数据的连续性；
2，协议识别和协议解析：可根据报文内容识别出多种常见应用层协议，再根据具体协议分析方案进行更为精细的分析，并深入提取报文特征；
3，特征匹配：将解析后的报文特征与签名进行匹配，如果命中则进行响应；
4，响应处理：完成检测后根据管理员配置的动作对匹配到签名的报文进行处理。

3.4.2 签名
签名用于描述网络中攻击行为的特征，通过将数据流与入侵防御签名进行比较来检测防范攻击。
1，预定义签名：入侵防御特征库中包含的签名，缺省动作包括放行、告警和阻断；
2，自定义签名：针对新的攻击类型或特殊目的进行配置，系统会自动对自定义规则的合法性和正则表达式进行检查，动作行为包括阻断和告警。

3.4.2 签名过滤器
满足指定过滤条件的集合，用于特征库升级后从大量签名中剔除本网络中没有该特征的签名或针对本网络中常出现的威胁过滤出该特征的签名。
1，例外签名：对签名过滤器批量过滤出的签名设置不同的动作。
2，入侵防御对数据流的处理：命中签名→查找签名对应的配置文件→是否命中例外签名→是否命中签名过滤器→结束入侵防御处理流程。

3.4.3 检测方向
安全策略的方向是会话发起的方向，而不是攻击流量的方向。

3.4.4 异常检测
异常检测基于一个假定，即用户行为是可以预测的，遵循一致性模式的；

3.4.5 误用检测

误用检测其实就是创建了一个异常行为的特征库。我们将一些入侵行为记录下来，总结成为特征，之后，检测流量和特征库进行对比，来发现威胁。

总结：
1，在进行IPS模块检测之前，首先需要重组IP分片报文和TCP数据流； — 增加检测的精准性
2，在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解码，并深入报文提取特征。
3，最后，解析报文特征和签名（特征库里的特征）进行匹配。再根据命中与否做出对应预设的处理方案。

四、防病毒网关（AV）
防病毒（AV） — 传统的AV防病毒的方式是对文件进行查杀。
传统的防病毒的方式是通过将文件缓存之后，再进行特征库的比对，完成检测。但是，因为需要缓存文件，则将占用设备资源并且，造成转发延迟，一些大文件可能无法缓存，所以，直接放过可能造成安全风险。

4.1 作用
（1）病毒：一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，表现为耗尽主机资源、占用网络带宽、控制主机权限、窃取数据或对硬件造成破坏。
（2）反病毒：一种安全机制，通过凭借庞大且不断更新的病毒特征库识别和处理病毒文件来保证网络安全，一般部署在企业网入口

代理扫描 — 文件需要全部缓存 — 可以完成更多的如解压，脱壳之类的高级操作，并且，检测率高，但是，效率较低，占用资源较大。
流扫描 — 基于文件片段进行扫描 — 效率较高，但是这种方法检测率有限。

4.2 病毒的工作原理

4.3 防病毒处理流量

1，进行应用和协议的识别
2，判断这个协议是否支持防病毒的检测，如果不是支持的防病毒协议，则文件将直接通过。

3，之后，需要进行白名单的比对。如果命中白名单，则将不进行防病毒检测，可以同时进行其他模块的检测。
4，如果没有命中白名单，则将进行特征库的比对。如果比对上了，则需要进行后续处理。如果没有比对上，则可以直接放行。
这个病毒库也是可以实时对接安全中心进行升级，但是，需要提前购买License进行激活。
5，如果需要进行后续处理，首先进行“病毒例外“的检测。 — 这个病毒例外，相当于是病毒的一个白名单，如果是添加在病毒例外当中的病毒，比对上之后，将直接放通。 ---- 过渡防护
6，之后，进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整体配置不同的动作。
7，如果没有匹配上前面两种例外，则将执行整体配置的动作。
宣告：仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件，设备允许文件通过，但是，会在邮件正文中添加病毒的提示，并生成日志。
删除附件：仅针对邮件文件生效，仅支持SMTP和POP3协议。对于携带病毒的附件，设备会删除掉邮件的附件，同时会在邮件正文中添加病毒的提示，并生成日志。

五、URL过滤

5.1 作用

URL ---- 资源定位符, 通过允许或禁止用户访问某些网络资源，达到规范上网行为的目的，可以设置生效时间段，也可以设置动作为放行、告警或阻断。

5.2 URL过滤的方法
1，作用：黑名单是不允许用户访问的URL列表，白名单是允许用户访问的URL列表；
2，黑白名单与URL分类：白名单＞黑名单＞自定义URL分类＞预定义URL分类，黑白名单可以看做是特殊的（动作不可更改）自定义URL分类，另外自定义URL分类会被URL过滤配置文件自动引用，而黑白名单不具备共用性；
3，内嵌白名单功能：当大型网页中内嵌了其它网页链接时，如果只将主网页加入白名单，则该主网页下内嵌的其它网页都将无法正常访问，内嵌白名单功能通过用户HTTP请求中的referer字段（标识用户从哪个网页跳转过来）去匹配内嵌白名单从而实现对内嵌网页的访问，其包括以下两种方式；
方式一：使用用户手工配置的referer-host与HTTP请求中的referer字段进行匹配，此时如果未能匹配，则用户还可以选择是否将referer字段继续匹配白名单；
方式二：使用白名单与referer字段进行匹配，该项默认开启。
4，仅支持白名单模式功能：仅匹配白名单，匹配即放行，不匹配则阻断。

5.4 URL匹配方式

精确＞后缀＞前缀＞关键字

5.3 URL的识别方式

六、DNS过滤
6.1 作用
通过允许或禁止用户访问某些网络资源，达到规范上网行为的目的，可以设置生效时间段，也可以设置动作为放行、告警或阻断。

6.2 机制
DNS请求报文中提取域名→白名单→黑名单→自定义DNS分类→本地缓存中的预定义DNS分类→远程服务器是否可用→远程服务器查询是否超时→按返回的预定义分类控制动作处理→是否被阻断→是否配置重定向→重定向到有效地址→结束。

七、内容安全过滤技术

7.1 文件过滤技术
指针对文件的类型进行的过滤，而不是文件的内容。

7.1.1 作用
根据文件类型对特定文件进行过滤，防止公司机密信息和用户个人信息泄露。

7.1.2 机制
当通过FW的文件（流量）匹配了一条安全策略规则（动作为permit）且引用了文件过滤配置文件时将进行文件过滤检测，以对特定类型的文件进行阻断或告警。
（1）文件过滤配置：包括承载文件的应用、文件传输方向、文件类型和文件扩展名。
（2）文件识别异常配置：定义了文件类型识别结果异常时的处理动作。
（3）动作：根据文件识别的结果和文件识别异常的响应动作来决定。

压缩

文件过滤技术的处理流程
 

7.2 内容过滤技术
7.1.1文件内容的过滤
比如我们上传下载的文件中，包含某些关键字（可以进行精准的匹配，也可以通过正则表达式去实现范围的匹配。）

7.1.1应用内容的过滤
比如微博或者抖音提交帖子的时候，包括我们搜索某些内容的时候，其事只都是通过HTTP之类的协议中规定的动作来实现的，包括邮件附件名称，FTP传递的文件名称，这些都属于应用内容的过滤。

注意：对于一些加密的应用，比如我们HTTPS协议，则在进行内容识别的时候，需要配置SSL代理（中间人解密）才可以识别内容。但是，如果对于一些本身就加密了的文件，则无法进行内容识别。

内容识别的动作包括：告警，阻断，按权重操作：我们可以给每一个关键字设计一个权重值，如果检测到多个关键字的权重值超过预设值，则执行告警或者阻断的动作。

7.3 邮件过滤技术
主要是用来过滤垃圾邮件的。—所谓垃圾邮件，就是收件人事先没有提出要求或者同意接受的广告，电子刊物，各种形式的宣传的邮件。包括，一些携带病毒，木马的钓鱼邮件，也属于垃圾邮件。

7.3.1 作用
使用IP地址检查和邮件内容过滤技术防止垃圾邮件泛滥、匿名邮件非法传播和信息泄密。

数据安全
密码学

近现代加密算法

古典加密技术---算法保密原则

近现代加密技术---算法公开，密钥保密

对称加密算法，非对称加密算法

对称加密：

加密和解密的过程中使用的是同一把密钥。 所以，对称加密所使用的算法一定是一种双向函数，是可逆的。 异或运算---相同为0，不同为1

         流加密：

        主要是基于明文流（数据流）进行加密，在流加密中，我们需要使用的密钥是和明 文流相同长度的一串密钥流。

1，密钥共享

        带外传输---不方便 带内传输---不安全

2，密钥管理---N * N

非对称加密算法

非对称加密算法和对称加密算法的主要区别在于，对称加密算法加解密仅使用同一把密钥，而非对称加密算法，加密和解密使用的是不同的密钥。---两把密钥一把叫做公钥，另一把叫做私钥。----这两把钥匙，任意一把钥匙都可以进行加密的操作，然后，需要通过另外一把钥匙来进行解密。

非对称加密算法使用的算法一定是不可逆的，取模运算（求余）

结论--- 我们一般采用的做法是，在数据传输的时候，我们会选择使用对称加密算法进 行加密，为了保证效率。但是，对称加密算法最主要的问题是密钥传递可能存在安全风险，所以，我们在传递密钥的时候，可以通过非对称加密算法进行加密，保证密钥传递 的安全性。实现二者的互补，达到安全传输的目的。