本文共 6647 字,大约阅读时间需要 22 分钟。
MTU:最大传输单元=1500
TTL:生存时间,最大值255 windows:128 Linux:64 数据帧格式:type: 0X0800 IP 0X0806 ARP MAC地址表的保留时间:5分钟(五分钟没有被用到,就会自动删除) ARP: ARP请求 ARP代理 免费ARP MAC地址表的保留时间五分钟 Unix中ARP缓存表老化时间:20分钟 Windows中ARP缓存表老化时间:2分钟为20分钟 路由器中ARP缓存表老化时间:1--1440分钟 缺省 广播包无法通过路由器 VLAN标记: 通过802.1Q协议做VLAN标记 STP生成树解决交换机环路问题 IKE的A阶段用UDP做封装,并且原目端口基本500TCP网关状态好
UDP网络状态差信息安全五要素:
保密性 完整性 可用性 可控性 不可否认性 常见的对称加密算法: RC AES DES/3DES IDEAVPN:
按业务类型分类: Client-LAN VPN 适合初查在外的员工与公司的通信 LAN-LAN VPN 适合企业、分支企业间的通信 按网络层次分类: SSL VPN 应用层 Sangfor VPN 传输层 IP Sec、 GRE 网络层 L2F/L2TP、pptp 网络接口处 VPN常用技术: 隧道技术 加解密技术 身份验证技术 数据认证技术 密钥管理技术 PKI:是一种遵循标准的利用非对称加密技术的一套安全基础平台的技术和规范 采用证书管理公钥,通过CA认证中心,在互联网上验证用户身份 CA证书的作用: 签发证书 规定证书的有效期 发布证书废除列表(LRC) 对证书和密钥进行管理 数字证书包含: 用户身份信息 用户公钥信息 身份验证机构数字签名的数据 IPSec VPN: 是一组基于网络层的,应用密码学的安全通信协议簇 即提供隧道也提供加密的技术 隧道模式:既可以提供隧道,也可以提供加密 传输模式:仅提供加密技术 机密性:所采用的加密算法,比如对称加密算法和非对称加密算法 完整性:完整性校验算法,比如哈希算法 数据源鉴别:认证方式,比如预共享和证书认证 重传保护:通过随机数(序号)实现 不可否认性:采用非对称加密算法实现:私钥加密公钥解密 IPSec协议框架: 两种工作模式: 传输模式:没有隧道,只提供安全 隧道模式:即有隧道,又提供安全 两种通信协议: ESP:提供加密和鉴别算法----跨越公网环境 AH:提供仅鉴别算法----内网传输 密钥交换管理协议(IKE): 阶段一:主模式(6个包) 野蛮模式(3个包) 阶段二: 快速模式 两个数据库: 安全关联数据库(IKE SA)---第一阶段形成 (IPSec SA)----第二阶段 安全策略数据库 传输模式: 主要应用场景:主机到主机、端到端的通信 封装方式:在原始IP和数据之间插入IPSec包头,保护数据部分 隧道模式: 主要应用场景:用于私网与私网之间站到站的通信 封装方式:在原始数据和IP包之前加上隧道头,保护原始数据和IP头AH在传输模式下的封装:
在原始IP和数据之间插入AH包头,对原始数据和包头做认证 AH在隧道模式下的封装: 在原始IP和数据之前插入AH包头,对所有头做认证 ESP:只认证ESP头包裹的部分 SA安全联盟 IKE的作用: 为IPSec通信双方协商,建立安全联盟 生成密钥 安全联盟SA: 通过三元组标识:安全参数索引、目的IP地址、安全协议号 安全参数: 加密算法 认证方式 哈希算法 DH强度值 密钥交换时间IKE协商阶段1
五个安全参数: 加密方式 认证算法 哈希算法 DH强度值 密钥交换时间 主模式:6个数据包 野蛮模式:3个数据包 IKE协商阶段会出现3种:2个单项SA,一个双向SA IKE做协商时时基于UDP协议,源目端口号:500 IKE协商时,IPSec VPN和SngForVPN默认开启野蛮模式,不可修改,但是其他厂家可能支持手动更改模式 SANGFOR vpn 相比IPSec VPN的优势: 支持两端都为非固定公网环境---通过webbagent实现 更细的权限颗粒度 线路宽带叠加技术 SANGFOR vpn 相比IPSec VPN的特殊场景: 更细的权限颗粒度 隧道间路由技术--实现分支通过总部上网 隧道间NAT技术,解决多个分支网段IP冲突的问题 SANGFOR vpn设备之间要能正常互联VPN,至少保证一端为直连 sangforVPN的建立条件: 总部需要有足够的权限,当与第三方对接时,需要做授权 至少一端在公网课访问,即“可寻址”或固定公网IP 建立VPN两端两端的内网地址不能冲突 建立VPN两端版本要匹配。 V4既能和V4匹配也能和V5匹配,V2只能和V2匹配 sangforVPN建立过程: 寻址 认证 策略 Sangfor VPN的优势(与IPSec VPN相比): 支持两端都为非固定IP的公网环境--通过webbagent实现 更细致的权限颗粒度 线路带宽叠加技术 webagent工作原理: 分支和移动用户寻找总部IP的手段,寻址过程中,所有信息使用DES加密 VPNTun接口:VPN数据的虚拟路由口,用来引导数据发往VPN隧道,从而封装报文 sangforVPN 应用场景: 1.总部只允许分支网络的PC访问总部WEB服务器的80端口 VPN内网权限设置----两端都会收到限制 防火墙过滤规则----更细化的控制 2.实现分支间的互相访问 在分支网络设备中配置隧道见路由 3.总部要求分支通过总部上网,实现对分支上网行为的审计 在分支网络设备中配置隧道见路由 4.分支地址冲突 配置隧道内NAT实现 Sangfor PALAN: PALAN接入,总部必须配置虚拟IP地址池 总部新建账号时,类型必须设置为移动 Sangfor PALAN 是windows客户端软件Sangfor SSL VPN 中的TCP资源支持BS、CS架构的32为基于tcp协议的应用
Sangfor SSL VPN 配置网关模式,配置代理上网SNAT
上网行为管理:
上网行为管理:用户和终端、应用和人内容、流量 上网行为的审计: 记录内网用户上网的行为,一旦发生网络违法违规事件可作为追查证据 统计用户上网时间、应用流量、应用分布等,为企业决策提供依据 记录内网安全时间,帮助管理员发现安全威胁 设备的登录: eth0(LAN):10.251.251.251/24 eth1(DMZ):10.252.252.252/24 保留地址: 通过升级工具获取设备IP,登录设备 eth0(LAN):128.127.125.252/29 电脑端:128.127.125.153/29 eth1(DMZ):128.128.125.252/29 电脑端:128.128.125.253/29 设备的部署模式: AC设备:路由、网桥、旁路部署模式 SG设备:路由、网桥、旁路、单臂部署模式 路由模式部署时有lan和dmz保留地址,网桥模式为br0和dmz保留地址,旁路模式为管理口保留地址 路由模式: 路由模式下支持AC所有的功能 需要使用NAT、VPN 、DHCP功能时,AC必须配置路由模式 问题:内网用户需要上网时,需要配置什么 NAT、内网、外网地址和路由 网桥模式:对网络没有基本的改动,AC相当于透明模式 网不支持NAT(代理上网和端口映射)、VPN、DHCP功能 旁路模式: 相当于一台主机,完全不会改变用户的网络环境 主要用于上网行为的模式审计 只能对TCP应用做监控,实现较弱的控制,UDP不支持 不支持流量管理、NAT、VPN、DHCP功能应用控制技术:
1.应用特征识别: 传统行为检测原理: 五元组:源目端口、源目IP、协议 深度行为检测:依据数据包五元组、数据内容(应用层)做识别 分类:深度包检测技术、深度流检测技术 深度包检测技术:基于“特征字”的检测技术: 基于应用网关的检测技术 基于行为模式的检测技术 2.应用控制技术: 流量整形技术 连接干扰(TCP)信令干扰(UDP) 3.流量组网模式: 直连串联流控模式 旁路干扰流控技术: TCP截断 TCP降速 UDP截断 UDP降速 防共享技术: 1.ID轨迹检测技术 特点: 1.较准确地判断出是否共享上网 2.较准确地判断出在线共享上网主机数 3.完全被动监听,不发送检测消息 2.时钟偏移检测技术: 特点: 1.非常准确的判断出是否为共享上网用户 2.较准确的判断出共享上网的主机数 1.深信服DPI检测技术 通过抓包分析数据包携带电脑网卡的IP地址来判断是否存在共享行为 2.深信服字体检测技术 通过识别PC的flash插件的字体信息判断是存在共享上网行为 3.深信服辅助检测技术 URL检测技术:通过URL特征字符串判断 微信特征ID检测:通过数据包固定便宜位置存在的二进制数判断 SOCKS代理原理: sock5协议没有规定加密,明文传输。可以搭配SSL加密 上网行为管理的三要素: 用户和终端 应用和内容 流量 用户认证的目的: 确立上网用户身份 提该信息作为用户标识,随用户上网进行控股及审计 获取用户上网信息,为企业营销提供高质量营销对象 防火墙的种类: 包过滤 应用代理 状态检测 MTU 下一代防火墙 防火墙的性能指标: 吞吐量 时延 丢包率 背靠背 并发连接数 并发连接数 下一代防火墙防火墙部署模式: 路由模式 透明模式 虚拟网线模式 混合模式 旁路模式 路由优先级: VPN路由>静态路由>策略路由>默认路由终端安全检测技术和防御技术
基于7层应用的深度数据包检测可实现终端安全可控 非法应用-----禁止 可疑应用-----允许访问,但需要进行IPS扫描 合法应用-----允许访问,需要保证和限制带宽 基于应用的控制策略----数据包特征过滤 基于服务的控制策略----数据包五元组 常见的dos攻击手段: syn flood icmp flood dns flood udp flood 畸形数据包攻击 CC攻击 慢速攻击 防御dos攻击 syn代理 SSL VPN: SSL VPN一般采用插件系统支持各种TCP和UDP的非WEB应用,使得SS VPN真正称得上是一种VPN SSL协议主要通过三个协议实现: SSL握手协议 SSL修改密文协议 SSL报警协议 SSL握手协议采用非对称加密算法(公钥加密算法)协商出会话密钥,后续使用此会话密钥进行加解密(堆成加密算法)速度和效率大大提示 使用CA认证完成密钥传输 组网模式: 网关模式:用户需要将SSL VPN作为网络出口设备,满足内网用户上网,同时,实现外网用户通过SSL VPN访问内网资源 单臂模式:不会改动原有网络的拓扑 配置:配置LAN口IP地址、DNS 前置网关做TCP 443和80端口映射 用户认证技术: 用户名、密码 硬件特征码 短信认证 口袋认证 口袋助理 UKey认证 动态令牌认证 CA认证 LDAP RADIUS 移动接入身份认证技术: 本地账户认证技术 数字证书认证技术 LDAP认证技术 硬件特征码认证技术 SSL VPN远程接入的服务类型: WEB TCP(需要安装Proxy控件) L3VPN(需要安装虚拟网卡,即客户端)支持TCP、UDP、ICMP协议 远程应用(需要安装客户端) 移动接入: 主流远程接入方式: 基于互联网接入 基于专线接入 基于VPN接入实时漏洞分析功能不支持集中管理
实时漏洞分析功能仅支持TCP协议,不支持·udp、dns 实时漏洞分析功能对ftp与http支持任意端口识别,其他服务仅支持标准协议 mysql、ssh 实时漏洞分析需要通过多功能序列号开启 实时漏洞分析不干预数据转发流程,不发reset包 实时漏洞分析识别库下的规则无拒绝动作 问选路,不支持htt 多线路选路功能需要通过http访ps触发自动选路关于用户注销:
DKEY用户无法手动强制注销 可以通过无流量自动注销所有用户 密码认证的用户可以被手动强制注销移动端识别检验机制:
URL识别 应用规则识别 UA识别 CIA三原则: 可用性 完整性 机密性NGAF所实现的功能:
防止WEB服务器遭遇XSS攻击 防止WEB服务器遭口令暴力破解 隐藏FTP服务器的版本信息 针对FTP服务器不支持出错页面 普通的防火墙一般具有DOS攻击防护能力AC服务与端口的对应关系:
Sangfor Firmware Update连接设备51111端口 设备http密码认证服务端口80 设备同步日志到外部数据中心端口810(tcp810同步数据、udp810同步命令)关于硬件特征码的描述:
多个用户可以对应一个硬件特征码 一个用户可以对应多个硬件特征码 一个终端设备只有一个硬件特征码AC审计QQ传文件:
AC可以审计QQ发送文件、文件夹,但是不支持接受 审计QQ发送文件内容,需要通过准入策略来实现WebAgent用于非固定公网IP环境,常见拨号上网获取公网IP的场景,用于动态寻址
WebAgent寻址过程中会加密,使用DES加密算法 IDS部署在网络中是并联部署,IPS为串联、并联部署公共IP地址利用率从低到高:
静态NAT、动态NAT、NAPT通过角色管理把用户和资源管理起来
关于NGAF网关杀毒:
双向流量检测 文件识别技术 加密协议解密杀毒SSL/TLS协议通道描述:
可靠性 完整性 机密性 虚拟IP重定向只在网桥模式下存在 一般在无可用网桥IP时选择DMZ口重定向sangforVPN PDLAN、SSL VPN用户数可以调整,保持授权总数不变
SANGFOR SSL VPN:
WEB 支持固定IP 支持DHCP 支持ADSL拨号 支持客户端免控件 支持所有类型浏览器 支持资源页面访问 L3VPN 依赖客户端虚拟网卡 支持TCP、UDP、ICMP协议 支持新开浏览器输入地址访问 TCP TCP登录时需要安装控件私有用户和公有用户都能使用硬件特征码认证
所有数字认证的用户都是私有用户中间人攻击原因:缺少身份认证
关于审计:
可以审计客户端QQ 使用SSL识别可以审计微信网页版 不能审计手机QQ聊天内容 数据包经过三层交换机转发后源和目MAC地址都会变化混杂模式:接受所有经过本机网卡的数据包,包括目的MAC不是本机网卡的
Sangfor Firmware Update:
给设备升级 将设备的光口和电口进行逻辑网口交换 测试设备网络联通性 未对输入做过滤所造成的漏洞: SQL注入 XSS攻击 CSRF攻击 计算机病毒特征: 隐藏性 破坏性 繁殖性 潜伏性 不可预见性 传染性 计算机病毒工作过程: 潜伏 传染 触发 发作三层网络环境下:开启跨三层取MAC
软件检测不支持webQQ ,只支持客户端
移动终端识别和控制技术:
URL检测 应用规则检测 UA检测 主流检测管控技术: 流量检测方法 应用检测技术 应用控制技术 识别控制组网模式 流量检测方法: 主动检测方法 被动检测方法应用检测技术:
常见端口检测 深度流检测(DFI) 深度包检测(DPI) 应用控制技术: 流量整形技术 干扰连接(TCP)/信令干扰(UDP) 惩罚通道: 惩罚通道只能是限制通道,且此通道不可再建子通道 惩罚通道要按应用来匹配,即一个用户流量可以跑多个惩罚通道(最多20),没有匹配上惩罚通道的流量走原有的通道匹配流程 惩罚通道的生效时目的IP组、线路号也要有效 web 关键字过滤只针对网页版邮箱过滤 如果网站是https的,需要开启内容识别,并且添加对应的URL 邮箱过滤 只针对客户端方式生效,对于web mail不生效AC支持http显示代理、socks4代理、socks5代理、PAC脚本
ICAP:应用层协议,常用于金融客户做校验
路由接口默认存在管理口,eth0:10.251.251.251/24 且无法删除
远程桌面端口号:3389
通过SYn代理防御SYn洪水攻击
IPS配置:
保护客户端:选择内网客户端所在的区域,源IP选择需要防护的客户端IP组 保护服务器:选择外网区域,源IP选择全部转载地址:https://blog.csdn.net/XY0918ZWQ/article/details/103984662 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!