上网行为安全

最新推荐文章于 2024-08-12 20:28:25 发布

.SYS.

最新推荐文章于 2024-08-12 20:28:25 发布

阅读量1.1k

点赞数 2

分类专栏：数通技术网络安全文章标签：安全 p2p 网络协议

原文链接：https://blog.csdn.net/m0_60941423/article/details/122329736

版权

网络安全同时被 2 个专栏收录

51 篇文章

订阅专栏

数通技术

14 篇文章

订阅专栏

本文探讨了互联网带来的挑战，如宽带滥用、监管难题、信息泄露和网络违法，强调了上网行为安全管理的三要素：用户认证、应用控制和网页过滤。还介绍了SANGFOR AC设备的部署模式（路由、网桥、旁路和Trunk）以及防火墙技术的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

上网行为安全背景

网络的发展与普及正在改变人们的工作和生活方式；
互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网迁移；
互联网是一把”双刃剑”，缺乏管理的互联网络带来了诸多问题。

不断出现新的挑战

互联网新应用层出不穷
移动互联网和无线让环境更加复杂
各类新技术让应用的识别与管控更困难

宽带滥用：上网体验差，分支机构与总部间数据交互慢；
语音、视频会议系统断断续续；
邮件发送、资料下载受严重影响；
员工抱怨网络环境，核心业务无法保障，IT部门屡遭投诉，部门绩效受到影响。

上网难监管：企业办公室沦为免费网吧，办公效率低；
政务人员上班时间网络聊天、炒股、网游，遭暗访曝光，影响单位形象；
学校电子阅览室，学生使用IM聊天、看在线视频、网游，影响学习。

信息泄露：高层领导的邮件信息、公司研发代码等重要信息泄漏；
公司经营决策、内幕消息被竞争对手提前知晓。

网络违法：微博、百度贴吧等已经成为网络造谣、人身攻击的重灾区；
肆意外发反动、赌博、色情信息，遭受法律追究；
流行的自由门、无界浏览器等代理翻墙软件，绕过公司管理。

安全威胁:无杀毒软件、具有安全隐患的终端肆意上网，极易感染威胁；
访问看似正常的网页，却可能因此感染木马、恶意插件；
已感染威胁，用户不知晓；甚至爆发病毒、ARP欺骗等大问题。

上网行为安全需求

上网行为管理的三要素

用户认证：

目的：确立上网用户身份，验证其合法性；以该信息作为用户标识，对用户的上网行为进行控制及审计；
功能：IP/MAC绑定；本地用户名-密码认证；第三方服务器认证；DKEY双因素认证；单点登录；短信认证/二维码认证；终端类型识别。

应用控制：

目的：封堵IM聊天、炒股、游戏、下载、在线视频等应用，规范上网行为，提高员工工作效率；封堵代理、翻墙软件，规避不当上网行为带来的法律风险；封堵邮件，防止敏感信息泄露；
功能：应用特征识别库；应用管理标签化；精细化管控；防共享防翻墙。

网页过滤：

目的：过滤非法、不良网站，避免法律风险；过滤游戏、赌博、购物、在线视频等网站，提高员工工作效率；过滤恶意网页，保障上网安全；
功能：千万级URL识别库；URL智能识别系统；URL云共享；自定义URL；恶意网址过滤

行为审计：

目的：记录内网用户的上网行为，一旦发生网络违法违规事件可作为追查证据；统计用户的上网时间、应用流量、应用分布等，为企业决策提供依据；记录内网安全事件，帮助管理员发现安全威胁。
功能：网页访问审计；邮件审计；IM聊天应用审计；外发文件审计；微博、论坛发帖等

流量管理：

目的：根据业务类型进行带宽限制或保障，保证核心业务畅通运行；灵活分配带宽资源，实现动态调整，提高带宽利用率；
功能：基于用户/用户组/应用/网站类型的流控；多级父子通道；动态流控；P2P智能流控；流控黑名单

应用选路：

目的:对多运营商线路进行有效负载；精准的识别应用，能够进行有效引流；动态智能选路。
功能:应用引流方案；DNS透明代理；应用路由技术；动态引流技术；DSCP/tos标签

上网行为管理基本操作

登录设备

SANGFOR AC/SG设备，各网口默认的出厂IP为：
eth0(LAN)：10.251.251.251/24 , eth1(DMZ)10.252.252.252/24
使用一根交叉线连接设备和电脑

如果电脑连接的是设备的eth0口，需先在电脑上配置一个10.251.251.0/24网段的地址（10.251.251.251除外），打开浏览器输入https://10.251.251.251 登录设备网关控制台。
如果电脑连接的是设备的eth1口，需先在电脑上配置一个10.252.252.0/24网段的地址（10.252.252.252除外），打开浏览器输入https://10.252.252.252 登录设备网关控制台

输入控制台admin帐号登录设备。默认的管理员用户名和密码为admin/admin。

注意：

路由模式部署时lan和dmz都有保留地址，网桥模式网桥br0和dmz有保留地址，旁路模式部署时管理口有保留地址。
路由模式出厂默认eth0定义为lan，eth1口定义为dmz
举例：配置被重新定义过网口，如eth2口定义为lan，eth0定义为dmz,此时eth2口有
lan口保留地址,eth0口有dmz口保留地址；网桥和旁路模式部署网口的保留地址同样遵循此原则。

恢复出厂设置

一：交叉线短接设备两个电口恢复

先将设备关机。
准备一根交叉线。
使用交叉线连接设备面板上任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短接这两个口恢复密码）
将设备加电开机。一直等待，直到设备重启（说明设备恢复出厂配置成功），此时务必拨掉短接电口的交叉线。
等设备运行起来后，即可通过出厂地址，默认控制台帐号和密码登录设备

二：U盘恢复出厂设置

新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的
AC上插入U盘，重启设备
当设备的LED红灯熄灭之后，alram灯闪烁，拔出U盘
注意事项：U盘恢复出厂配置，需要重启设备

恢复控制台密码

交叉线恢复控制台密码

确保电脑和设备可以通信，访问设备地址，https://acip/php/rp.php，如下图，提示“创建文件成功，请连接交叉线并重启设备”。
准备交叉线短接设备任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短接这两个口恢复密码）
手动重启设备，重启过程中，注意观察交叉线短接的两个电口ACT灯状态，两个电口ACT灯同时闪烁10次后，说明密码恢复完成，此时可以拔掉短接的交叉线，通过默认的控制台帐号密码admin/admin登录设备即可。设备重启到密码恢复成功大约3到5分钟左右。
如果第3步无法根据网口灯状态判断密码恢复是否成功，你可以一直等待，等待5到10分钟左右，尝试通过默认帐号admin/admin帐号登录设备

U盘回复密码

新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的。
确保电脑和设备可以通信，访问设备地址 https://ACIP/php/rp.php
AC上插入U盘，重启设备
当设备的LED红灯熄灭之后，alram灯闪烁即恢复密码成功，拔出U盘
注意事项：U盘恢复密码,需要设备重启

上网行为管理部署模式

路由部署

设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。
路由模式下支持AC所有的功能。
如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。

客户需要用新的上网行为管理设备来替换旧的出口路由器，实现行为审计和管控。这个时候使用路由部署

配置思路:

网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；
确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。
检查并放通防火墙规则

排错思路：

检查PC本身的网口IP，子网掩码
检查PC本身的默认网关，首选的DNS服务器
检查AC上给PC做的SNAT
检查AC上给PC做的回包路由
被PC访问的设备本身能否上网 PING /TELNET /WGET
网口兼容性换网线换网口中间加交换机
arp防护和免费arp可能存在冲突
通过ifconfig检查网口错误包或者丢包，ethtool -S 查看丢包类型

网桥部署

设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。
网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。
网桥模式约等于接口对，两个接口都是二层口，没有IP，使用不支持做nat，VPN，DHCP

客户需要部署一台上网行为管理设备，但是又不想对网络改动太大，这个时候使用网桥部署

配置思路：

配置设备网桥地址，网关地址，DNS地址。
确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
检查并放通防火墙规则。

配置无法上网排错:

AC网线是否反接（在线用户列表出现大量公网IP）
网桥地址是否可用，是否和内网冲突
网关是否指向靠近出口方向的设备
设备上的DNS是否填写正确
确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址转换代理上网

旁路部署

旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控。这种模式对用户的网络环境完全没有影响，即使宕机也不会对用户的网络造成中断。
旁路模式部署主要用于做上网行为的审计，且只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。
更多场景：全网行为管理推荐的旁路准入+审计场景

某客户想部署上网行为管理设备来审计内网用户的上网行为，但是不能改动现有的网络环境,这个时候做旁路模式

旁路模式下可以禁止用户访问赌博网站，禁止用户使用qq，但是不能对视频流量进行限速

流量经过镜像口，然后进行监听，如果禁止会从管理口发送RST包，直接关闭连接。

TCP RST

RST作用：标示复位、用来异常的关闭连接。

发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。
而接收端收到RST包后，也不必发送ACK包来确认。

配置思路：

交换机设置镜像口，并接到AC监听口。
配置需要审计的内网网段和服务器网段。
配置管理口地址，用于管理AC设备。

注意事项：

路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。
路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。
设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。

TRUNK部署

部署上网行为管理设备替换出口路由器实现内网上网行为的审计和控制，使用Trunk部署

Trunk环境路由配置思路:

AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好设备。
配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可。

Trunk环境网桥部署配置思路：

网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。
可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。
或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库。

防火墙技术及其应用

防火墙过滤功能

防火墙规则是控制设备各个网口转发数据的开关。

防火墙端口映射及其应用

端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。

常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求

LAN-LAN端口映射配置：

只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器”。若不勾选，仅允许公网用户通过公网地址访问到内网服务器。

把第二个方框给勾选上

排查思路：

检查内网PC到WEB务器的访问是否正常？（判断服务器本身是否OK）
检查AC到WEB服务器的访问是否正常？
检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比如说80）？
检查AC设备的端口映射配置？
检查AC设备的防火墙配置？
检查AC-WEB服务器中间设备的ACL策略？
检查WEB服务器本身的防火墙策略？（是否禁止公网IP访问）