行为管理（全）

html 静态页面 所有web默认支持

asp网站 微软 .net 搭配iis服务器 access数据库 （sql

server）

跨三层取mac原理

1、用户上网的数据经过三层交换机会在交换机上形成ARP表

2、上网的数据经过AC时，AC看到数据包的源MAC地址都是三层交换机的MAC，于是AC会主动通过SNMP协议去读取三层交换机的ARP表（要在三层交换机上先设置允许AC访问其SNMP服务）

3、AC会将第一次读取到的ARP条目录入到自己本地并绑定，当用户再次上网时将和AC设备里面绑定的IP/MAC条目进行对比

4、如果比对结果一致，则允许上网，否则丢弃数据包禁止上网

 

 

 

 外部认证过程

 

如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；

如果是父子域，如父域sangfor.com,子域ac.sangfor.com,ssl.sangfor.com等，则外部认证服务器配置的是父域的地址，且端口需要填3268

虚拟IP重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截并记录下数据包的源，目的IP，数据包的封装类型，以及数据包进入AC时的接口。

AC回弹portal的重定向认证页面时，会将记录下来的数据包的源，目的IP反转，再从数据包进入的接口直接发出去，其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。（AC只在网桥模式下有虚拟IP重定向）

DMZ口重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截数据包，AC通过查找本身DMZ口的路由表，将portal的重定向认证页面从DMZ口发出，其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址。(一般用在无可用网桥IP时选择从DMZ口重定向）

DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。

HTTP网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，发给get请求，在get请求数据包中的host字段，就是我们访问网站的具体URL，我们通过抓取这个字段来识别终端用户是访问的哪个网站，例如，我在终端设备访问www.youku.com，抓包就可以得到如下数据包。

 

 

中间人解密过程

 为了获得SSL加密通信的内容，中间人需要获得加密所使用的会话密钥。中间人采用的方法是，装成目标网站，向客户端出示一个伪造的同名服务器数字证书。为了这个伪造的证书通过客户端的检验，中间人必须让签发这个伪证书的CA的根证书进入客户端的受信任列表。然后，客户端就会使用中间人的伪证书公钥加密自己产生的会话密钥，经过中间人向服务器发送加密的会话密钥。中间人收到使用自己的公钥加密的会话密钥后，使用自己的私钥即可解密恢复出明文会话密钥。中间人在伪装成服务器与客户端建立SSL连接的同时，会与真实的服务器建立一个正常的SSL连接。以后，客户端发出的每个加密的应用级请求，如HTTP请求等，中间人都会先SSL解密成明文，然后再SSL加密发给服务器。服务器返回给客户端的数据，中间人也是照此处理。

 

第一步：客户端发起开始认证请求

第二步：交换机收到请求之后，要求客户端提交用户信息

第三步：客户端会提交用户信息给到交换机（当为哑终端无法提交用户信息时提交终端MAC信息，需要交换机配置MAB属性）

第四步：交换机收到用户信息之后，将数据封装成RADIUS报文发送到AC

第五步：AC完成校验，如果检验成功通过认证，发送认证成功报文给到交换机，交换机然后放通端口，如果检验失败，发送认证失败报文给交换机，交换机不放通端口

 

802.1x协议介绍

802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题

802.1X认证中用到了RADIUS协议认证方式，典型的C/S结构

认证模式：基于接口、基于MAC

认证方式：EAP终结、EAP透传（中继）

注意：AC是用EAP透传的方式

端口控制方式：自动识别、强制授权、强制非授权

 

 

 

ITM关于业务审计的配置，分为以下六方面：

1. 自动识别（无配置项，同步、索引正常即可）
2. 账号提取
3. 关键动作提取
4. 可疑行为定义
5. 服务器设置
6. 账号管理

准入系统工作需要用到如下端口：

TCP 80：客户端做portal认证

TCP 82：准入客户端找网关及配置下发

TCP 88：客户端上报合规检查结果

TCP 886：客户端上报审计日志

TCP 817：客户端自动升级

TCP 61111：终端代理解密上报SSL密钥

UDP 667：客户端发送保活心跳

UDP 999：UDP方式自动找网关

UDP 61182：AC 13.0.16以后版本找UDP方式找网关端口

TCP 61182： AC13.0.16以后版本找UDP方式找网关端口

在线规则库更新

规则库序列号处于有效期内

设备本身能联网

使用53、80端口。如果AC部署在内网，需要在AC前置设备放通AC的53和80端口的数据

升级服务器的域名：update1.sangfor.net；update2.sangfor.net；update3.sangfor.net

无需任何操作，设备可完成自动更新规则库动作

如果发现在线更新失败：深信服技术论坛-深信服案例库,深信服资料库,深信服在线技术支持,深信服论坛,深信服社区,深信服网络,sangfor,深信服技术服务社区,下一代防火墙,深信服科技,服务器虚拟化,桌面虚拟化,上网行为管理,深信服 - 深信服社区

离线规则库更新

规则库序列号处于有效期内

设备在不能联网环境

根据设备当前版本情况，在互联网环境下载离线规则库包：汇总各种内置规则库公网下载地址 - 行为管理AC - 深信服社区

1. 在对应设备位置上传离线包，完成更新（注：审计规则库不支持离线导入）

注意事项

1、SAVE引擎模型、网关补丁不是周期性更新的

2、URL库、应用识别默认保持每两周更新一次

3、审计规则库不支持离线更新

4、离线包无需解压，直接导入即可