2024-08-14

笔记学习

深信服安全技术认证工程师学习笔记

第一章网络安全基础

1.1信息时代与信息安全

我国超级计算机-神威太湖之光、天河二号
《中华人民共和国网络安全法》2016年11月7日颁布，于2017年6月1日正式实行
《中华人民共和国密码法》2019年10月26日正式通过，2020年1月1日正式实施
2020年04月27日，国家网信办等十二部门联合印发《网络安全审查办法》
2021年6月10日《中华人民共和国数据安全法》发布，于2021年9月1日起施行。
2021年7月30日，国务院发布《关键信息基础设施安全保护条例》，于2021年9月1日开始施行。
2021年8月20日，《中华人民共和国个人信息保护法》，于2021年11月1日开始实施。

1.2网络空间安全学科浅谈

第二章操作系统基础

第三章网络运维

第一部分计算机网络原理

第二部分路由与交换

第四章网络安全产品运维

第一部分下一代防火墙基础原理与运维

4.1.1下一代防火墙概述

防火墙分类

防火墙功能
- 访问控制（ACL）
- 地址转换（NAT）
- 网络环境支持
- 带宽管理功能
- 入侵检测和攻击防御
- 用户认证
- 高可用性
防火墙安全策略

防火墙安全策略原理

安全策略分类

域间安全策略（不同域之间）
域内安全策略（相同域内）
接口包过滤

防火墙发展进程

传统防火墙（包过滤防火墙）

判断信息：五元组（源目IP、源目端口、协议类型）
工作范围：网络层、传输层
和路由器的区别：多一个对包过滤的判断
技术应用：包过滤技术
优势：对于小型站点易实现，处理速度快，价格便宜
劣势：规则表会很庞大，只能基于五元组

传统防火墙（应用代理防火墙）

判断信息：所有应用层的信息包
工作范围：应用层
与包过滤防火墙的区别：所在层不同，包过滤通过检验报头进行规则表匹配，应用代理检查所有应用层信息包，每个应用需要添加对应的代理服务
技术应用：应用代理技术
优势：检查了应用层数据
劣势：检测效率低，配置运维难度极高，可伸缩性差

传统防火墙（状态检测防火墙）

判断信息：IP、端口号、TCP标记
工作范围：数据链路层、网络层、传输层
与包过滤的区别：是包过滤的升级，一次检查建立==会话表==，后期直接按会话表放行
技术应用：状态检测技术
优势：主要检查3-4层能保证效率，对TCP防御较好
劣势：应用层检查较弱，不检查数据区

入侵检测系统（IDS）

部署方式：旁路部署、可多点部署
工作范围：2-7层
工作特点：根据部署位置监控到的流量进行攻击事件的监控，属于事后呈现的系统。相当于网络监控摄像头
目的：主要为了帮助管理员清晰了解网络环境发生的事，只能发现攻击，不能做是或否的策略

入侵防御系统（IPS）

部署方式：串联部署
工作范围：2-7层
工作特点：根据已知安全威胁生成对应的过滤规则，对于已知威胁进行阻断，未知的放行
目的：IDS只检测不防御，IPS针对已知威胁进行防御

防病毒网关（AV）

判断信息：数据包
工作范围：2-7层
目的：防止病毒文件流入内网环境
和防火墙的区别

传统的病毒检测方法：

MD5：病毒都会有一些共性的二进制序列

病毒特征码：特征码部分匹配二进制序列

规则匹配：正则表达式，当出现一些正则表达式，则判断为病毒

沙箱：虚拟执行、开销大、潜伏期长

Web应用防火墙（WAF）

判断信息：http协议数据的request和response
工作范围：应用层
目的：防止基于应用层的攻击影响Web应用系统
主要技术原理：
- 代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
- 特征识别：通过正则表达式的特征库进行特征识别
- 算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

统一威胁管理（UTM）-多合一安全网关

包含功能：FW、IDS、IPS、AV
工作范围：2-7层
目的：将多种安全问题通过一台设备解决
优点：功能多合一，降低硬件、人力、时间成本
缺点：模块串联检测效率低，性能消耗大

下一代防火墙（NGFW）-升级版UTM

包含功能：FW、IDS、IPS、AV、WAF
工作范围：2-7层
和UTM的区别：
- 增加了WAF
- UTM是串行处理机制，NGFW是并行处理机制
- NGFW性能更强，管理更高效

4.1.2 深信服下一代防火墙解决方案

传统防火墙的防御模式：

通过防御设备划分边界，基于IP/端口和特征进行判断
以隔离为基础，基于信任原则构建安全框架
以防护为核心，基于静态特征的攻击检测

安全现状

深信服应对方案

==深信服AF的核心价值==

（1）风险全面可视化

（2）保障企业业务安全

事前风险预知

事中风险防御

事后持续检测与响应

业务全面保护

==深信服人工智能杀毒引擎SAVE==

智能联动

图谱：

云端智能检测-威胁情报

云端智能检测-云端沙箱

互联网出口安全防护场景

对外业务发布安全防护场景

分支机构安全防护场景

数据中心安全防护

4.1.3 下一代防火墙组网简介

下一代防火墙具备灵活网络适应能力，支持：**==路由模式、透明模式、虚拟网线模式、混合模式、旁路模式==**

AF的接口

根据接口属性分为：物理接口（**==路由口、透明口、虚拟网线口、旁路镜像口==**）、子接口、VLAN接口、聚合接口
根据接口不同工作层面，分为：二层区域、三层区域、虚拟网线区域

AF的部署模式由各接口的属性决定的

物理接口

分为四种类型：路由、透明、虚拟网线、旁路镜像
无法删除或新增，数量由硬件决定
1. 路由接口：需配置ip，具有路由转发功能
  - 部分功能要求出接口属性是WAN属性，比如流控、流审等
  - 需要手动配置缺省路由0.0.0.0
    - ADSL拨号（PPPoE）
    - 管理口：Eth0为固定管理口，类型为路由口，无法修改，默认管理IP为10.251.251.251/24
2. 虚拟网线接口：普通交换接口，不能配IP，不支持路由转发，转发数据时，不验证MAC表，直接从虚拟网线配对的接口转发
  - 转发性能高于透明接口（要查MAC），单进单出，双进双出等成对出现的网桥环境下，推荐使用虚拟网线接口部署
3. 旁路镜像接口：不能配IP，不支持数据转发，只是用来接收从外部镜像过来的镜像数据
  - 可配置多个

聚合接口：将多个以太网接口捆绑在一起形成逻辑接口

最多支持4个聚合接口
不支持旁路镜像

子接口：应用于路由接口需要启动VLAN或TRUNK的时候

逻辑接口，只能在路由口下添加，默认继承物理口的属性

VLAN接口：为VLAN定义IP，则会产生VLAN接口

逻辑接口

接口设置注意事项

设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。
管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。
一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

区域

什么是区域？

是本地逻辑安全区域的概念
一个或多个接口所连接的网络
用于定义和归类接口

==一个接口只能属于一个区域，而一个区域可以有多个接口==

错题：

4.1.4 下一代防火墙组网-路由模式

需求背景

客户需求：使用AF替换防火墙部署在出口
需求分析

配置思路

单臂路由模式

配置步骤：
注意事项

4.1.5 下一代防火墙组网-透明模式

需求背景

客户需求：增加一台AF设备做安全防护，不改动现有网络环境
需求分析：

配置思路

透明模式与虚拟网线模式的区别

配置案例

注意事项

4.1.6 下一代防火墙组网-旁路模式

需求背景

需求分析

配置思路

配置案例

注意事项

4.1.7 下一代防火墙组网-混合模式

需求背景

客户需求

需求分析

配置思路

配置案例

注意事项

4.1.8 策略路由解决方案

策略路由概述

在企业网络环境中，存在多条互联网出口线路，经常出现某一条线路接口带宽占满，另外一条线路经常空闲状态，从而导致网络时延过高，带宽利用率低，业务运行无法得到保障，严重影响办公人员工作效率和用户带来的投诉。因此，需要一种技术手段解决互联网多出口带宽利用率的问题。

策略路由的定义

为保障出接口多条线路时，根据源/目的IP、源/目的端口、协议等条件进行出接口和线路选择，以实现不同的数据走不同的外网线路的自动选路功能

策略路由类型（两种）

源地址策略路由

存在多条线路出口情况下，根据源/目IP，端口、协议、应用来定义匹配条件，对于匹配上的流量根据选择指定线路的出口或下一跳，比如多运营商选路场景

支持DNS检查、PING检测、ARP检测

多线路负载路由

存在多条线路出口情况下，根据源/目IP，端口、协议、应用来定义匹配条件，对出接口选择轮询、带宽比例、加权最小流量、优先使用前面的线路策略，进行动态选择线路实现线路带宽的有效利用和负载均衡

==轮询==:平均分配连接到多条外网线路

==带宽比例==:按照外网线路带宽的比例来分配连接

==加权最小流量==:通过比较当前线路流量与线路带宽的比值，选择最小的线路优先分配连接

==优先使用前面的线路==:用于线路需要做主备的场景，则所有连接均分配到第一条线路如果第一条线路故障，才把连接切换到第二条选择的可用线路

应用场景

5. 配置案例

配置思路及步骤

注意事项

错题：

4.1.9 高可用性功能基础（高可用性架构）

客户需求：提高网络可靠性，保证业务连续性，**避免单点故障**
功能概述：高可用性功能，用来解决AF单点故障，所以在**出口部署两台AF**，以达到冗余备份
建立基础：

名词解释：

主线路与辅线路

主线路：负责主备机心跳保持、配置同步、会话同步。目前支持使用聚合口做为心跳接口，但聚合接口模式只支持“主备模式”

辅线路：当主心跳故障后，辅心跳可承接主心跳进行心跳保证的工作，同样支持聚合主备接口。但需要注意，辅心跳不支持配置同步，所以如果主心跳故障的，也需要立即处置，否则还是有业务风险

      2. <u>抢占（在双机热备配置）</u>

不开启抢占：如果原主机因故障切换成备机，故障恢复后，就算优先级高，也不会自动恢复成主机，而是以备机身份继续运行

开启抢占：如果原主机因故障切换成备机，故障恢复后，如果优先级高，会自动恢复成主机

抢占功能非特殊场景不建议开，原因是当主机网线出现故障，主机状态变成备机或者故障状态之后，网口默认不发包，设备链路检测状态为故障，当线路恢复正常，主机抢占回主状态，这个时候链路状态还未恢复，主机又会恢复成备机或者故障状态，会一直反复来回切换增加切换频次，而且因为AF必须同构(即两台AF需要硬件一致)运行，所以也不存在位差异，抢占的意义一般不大

网口监视

网口监视：双机切换条件之一，通过接口物理状态进行检测结果判定，如接口出现ifconfig down，网线脱落，协商失败等物理故障。物理状态的故障双机状态可以快速检测到，并在多播包中发送prio=0，通知对端变成主机，理论上可以实现无延时切换

网口监视还有一个功能是，备机状态下，添加到网口监视中的接口，处于发包抑制状态，无法发送任何数据包，所以配置了业务的接口，都必须添加到网口监视中，否则双机同步配置后，主备机接口IP一致，就会导致网络中的IP冲突

链路监视

双机切换条件之一，通过链路连通性状态进行检测结果判定，目前支持ARP、DNS、PING三种检测方法，三种检测方法可以在接口上选择性开启，同时双机判断链路失败的条件也可以自由组合

主备机与主备控

主备机:简单理解为设备数据层面控制，主机状态加入网口监视的业务接口允许进行正常的数据转发，备机状态加
入网口监视的业务接口不允许进行数据转发

主备控:简单理解为设备配置层面控制，主控允许修改设备配置，备控不允许修改设备配置，主机强制绑定为主控，备机强制绑定为备控。主备控配置同步的流程为：

备控向主控主动发起配置更新请求（10秒一次发送需要同步配置文件的MD5到主控）
主控收到备控请求后，向备控同步当前的配置（比对有MD5差异的文件，把有差异的文件同步给备控）

高可用部署类型

（1）主备部署

两台设备只有一台处于工作状态，还有一台处于热备状态，当检测机制检测到主机故障后，由热备设备自动承接所有工作，从而来保障客户业务的连续性

（2）主主部署

两台设备均处于工作状态，根据流量转发到不同AF的情况，来进行数据处理，主主又分两种情况:
- 有VRRP双主：配置多组VRRP，每组有不同的主备机，该场景不推荐，路由有VRRP双主基本上很难支持起来。透明有VRRP双主一般就直接引导为无VRRP双主
- 无VRRP双主：不配置VRRP组，只配置双机基本信息和配置同步，根据上下联设备把数据引流到不同设备来进行承接

高可用性基本原理

主备部署，是通过VRRP协议来实现主备关系之间的选择和切换，优先级高的为主，优先级相同的情况下心跳口IP地址大的为主。但AF又不完全是使用标准的VRRP协议，在标准VRRP协议上做了一定的开发
VRRP(Virtual Router Redundancy Protocol，虚拟路由器冗余协议)将可以承担网关功能的一组路由器加入到备份组中，形成一台虚拟路由器，这样主机的网关设置成虚拟网关就能够实现冗余

状态切换

虚拟IP和虚拟MAC

虚拟IP
- 为了保证双机切换时内网PC不需要重新修改网关IP和重新学习网关mac，要求主备机在同一个vrid组中对应的接口拥有同样的IP地址和mac地址
- AF实现方法是，启用双机配置同步之后，两台设备接口ip是一样的(加了HA标签的口除外)，即同一个vrid组中的对应接口拥有相同的IP地址，设备工作为备机时通过ha_drv模块丢弃所有到本接口和从本接口出去的数据包，这样只有主机工作，因此不会产生冲突
- 注意，业务口都要加入到网口监视中，双机才能正常切换，另外，接口是路由式下，路由接口都要加入网口监视中才能避免ip冲突
虚拟MAC
- 同-vrid组中对应的两个接口分别有自己的实MAC，和一个虚拟MAC，谁为主机谁就使用这个虚拟MAC，切换成备机后接口的MAC地址又换回成实MAC，这样内网PC得到网关的IP/MAC不会随着设备切换而发生改变
- 虚拟MAC的构成:vrrp mac(00-00-5E)+接口序号+vrid，比如:vrid为101，eth1口的虚拟MAC就是:00-00-5E-00-01-65，eth2口的虚拟MAC就是:00-00-5E-00-02-65，65的十进制就是101

4.1.10 主主&主备部署应用场景及配置思路

主备部署

应用场景

配置思路

配置案例

心跳口不能为业务口，需要单独配置一个物理接口（或聚合口）

==注意事项==

主主部署

应用场景：

配置思路

配置案例

==注意事项==

4.1.11 双机聚合应用场景及配置思路&双机部署常见故障

需求背景

基本原理

双机聚合功能开启后，每台AF都会在后台程序自动生成一个是0或者是1的编号，这个编号界面上看不到，所有经过AF的流量都会是经过算法(即根据源/目的IP地址)计算，看计算结果的值是0还是1，从而将对应数据包转发到对应编号的AF上进行转发(比如根据算法算出来的值是0，则从编号为0的AF转发数据)

具体过程

注意事项

常见故障排查

错题：

4.1.12 终端安全风险&终端上网安全应用控制技术

应用控制策略功能

防火墙做逻辑隔离，过滤数据包（过滤条件包括源目区域、源目IP、目的服务及应用）

工作过程

根据自定义应用控制策略，从上往下依次匹配，并根据策略允许或拒绝，同时创建一个会话

应用控制策略分类
1. 基于服务的控制策略
  - 通过匹配数据包五元组来进行过滤动作
2. 基于应用的控制策略
  - 通过匹配数据包特性来进行过滤动作，需要一定数量的包通过后才能判断应用类型，然后拦截动作的判断
  - 配置应用控制策略，必须服务和应用两类型都匹配，策略才生效，例如：服务是TCP，应用是DNS（UDP），那么就不生效
应用场景

策略表

策略	源	目的	应用	动作
1、允许ip访问服务器固定端口80	172.16.10.10	172.16.20.20:80	any	允许
2、禁止访问P2P相关应用	172.16.10.10	any	P2P	拒绝
3、PC允许访问互联网（加时间计划）	172.16.10.10	any	any	允许

应用控制策略–长连接

在一些特殊的环境下，实现服务器在一段时间中没有收到客户端的数据(应用层数据)，也不会断开连接，这就

需要AF配置长连接，防止会话超时删除。

应用场景：

应用控制策略辅助功能

应用场景：

配置案例：

注意事项

4.1.13 终端上网安全网关杀毒技术

网关杀毒功能优势：
1. 基于应用层过滤病毒
2. 过滤出入网关数据
3. 网关阻断病毒传输，主动防御病毒于网络之外
4. 部署简单，方便管理，维护成本低
5. 与杀毒软件联动，建立多层防护
实现方法
1. 代理扫描
  - 将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。
2. 流扫描
  - 依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。

杀毒优势
1. 支持各类主流协议文件传播杀毒，包括SMB v1/v2/v3协议，通过采用SAVE智能文件检测引擎(杀毒)，大幅提高恶意文件识别率
2. 支持对邮件正文中的恶意域名、URL进行检测
3. 提供覆盖更广的杀毒能力，支持文档类、脚本类的非PE文件检查、office宏病毒的杀毒功能
4. 杀毒文件的大小限制可以灵活调整，界面可调整的大小限制为1-20M
5. 支持对压缩文件的检测，且可设置层级，界面可调整的层级最多16层
SAVE引擎优势
1. 基于AI技术提取稳定可靠的高层次特征，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种;
2. 对勒索病毒检测效果达到业界领先，影响广泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒，save均有检出新变种的案例。同时，对非勒索病毒也有较好的检出效果;
3. 轻量级，资源占用少，隔离网环境检测能力业界领先;
4. 云+边界设备+端联动，依托于深信服安全云脑海量的安全数据，SAVE能够持续进化，不断更新模型并提升检测能力，未知威胁能够在云端分钟级返回检测结果并全网同步，构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。
应用场景

配置思路：

配置案例：

注意事项

4.1.14 僵尸网络检测和防御技术

僵尸网络

僵尸网络(Botnet，亦译为丧尸网络、机器人网络)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络

防御技术思路
1. 需要一种事后检测机制用于发现和定位客户端受感染的机器，以降低客户端安全风险。同时记录的日志要求有较高的可追溯性。
2. 感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据用户策略进行阻断和记录日志。
防御技术
1. 木马远控：对防护区域发出的数据及收到的请求数据都进行木马远控安全检测
2. 异常流量：包含非标准端口运行对应协议检测（**例如22端口运行非ssh协议**），反弹检测，启发式的dos攻击检测等手段
异常流量检测
1. 通过对当前的网络层及应用层行为与安全模型进行偏离度分析，能够发现隐藏的网络异常行为，并根据行为特征确定攻击类型，发现特征匹配无法发现的攻击
2. 外发流量异常功能是一种启发式的dos攻击检测手段，能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击。
3. 外发流量异常功能的原理为:当特定协议的外发包pps超过配置的阈值时，基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容，得出分析结论，并将发现的攻击提交日志显示。
其他检测方法
1. 与僵尸网络连接是最基础的判定方式，信息来源包括:上万台在线设备收集、与google等机构合作共享
2. 对于未知的僵尸网络(存在大量DGA生成的C&C域名)，通过模拟DGA算法总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络
3. 危险的外联方式检测，如使用已知的(IRC、HFS)与僵尸网络进行通讯
4. 使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
5. 对外发起CC攻击
6. 对外传播恶意文件
7. 对外发送shellcode
8. 检测出下载恶意文件、恶意PDF等行为
9. 检测出下载文件与后缀名不符
10. 上下行流量不符
配置思路

配置案例

误判处理方式

恶意域名重定向

通过蜜罐技术解决内网存在DNS服务器时，用于定位内网感染僵尸网络主机的真实IP地址。
防止配置过程中忽略蜜罐设置，导致后续无法溯源的问题，策略配置界面新增DNS服务器服务界面。

4.1.15 终端安全防护专题-勒索病毒防护

勒索攻击感染过程分析

首先，黑客通过SMB、RDP等口令暴力破解、勒索常用端口利用、以及服务器漏洞等的利用想方设法让勒索病毒感染用户主机(感染主机)
当主机感染了勒索病毒文件之后，会在主机上运行勒索程序，同时黑客也会尝试利用SMB、RDP手动进行横向传播，感染更多的主机(横向扩散)
接着，当勒索程序在一台或者多台主机上被运行后，勒索病毒会遍历本地所有磁盘，对指定类型的文件进行加密，加密后的文件无法再被读取(加密文件)
生成勒索通知文件，告知受害者这台机器已经中了勒索病毒了，并要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则数据会被销毁(生成勒索通知勒索用户)
加密后数据正常无法自己解密，因为勒索采用的是高强度非对称加密方式，受害者在没有私钥情况下无法恢复文件(交赎金恢复数据文件)

感染过程流程示例

勒索病毒防护
1. 事前防御
  - 勒索常用端口主动扫描
  - 服务器高危漏洞主动扫描
  - **RDP/VNC/SSH/SMB**服务弱口令主动扫描
2. 事中对抗
  - 自动生成全面勒索防护的安全策略
  - 不需再手动单独配置多类防护策略
3. 事后响应
  - 联动EDR查杀
  - 勒索事件可视易懂
  - 一键隔离失陷资产
功能介绍
1. 事前防御
  - 梳理资产暴露面，屏蔽勒索入侵进入点，对勒索常用端口、勒索常用漏洞、弱口令做事前的识别，并给出处理建议
2. 事中对抗
  - 勒索专项防护策略自动生成，全面防护勒索黑客攻击。通过安全策略深度检测入侵手段对抗隐蔽勒索攻击，通过自动生成web应用防护、漏洞防护、内容安全、慢速爆破检测的全面防护策略对勒索病毒做全面入侵防御
3. 事后响应
  - 联动EDR查杀，隔离失陷资产，快速处置勒索风险，勒索事件可视、易分析
配置思路

配置勒索防护配置

勒索专项防护的主动扫描，目前仅支持对RDP/VNC/SSH/SMB服务的弱口令扫描并分析受保护的服务器是否存在已知漏洞
支持SMB慢速爆破、分布式慢速爆破检测，支持RDP慢速爆破检测;
可支持将SMB/RDP慢速爆破的日志同步到SIP平台

4.1.16 服务器安全风险与DOS攻击检测和防御技术

4.1.17 漏洞攻击防护入侵检测和防御技术

4.1.18 WEB攻击检测和防御技术

4.1.19 联动封锁技术

4.1.20 安全运营中心

4.1.21 业务安全功能

4.1.22 用户安全功能

4.1.23 业务资产管理

4.1.24 主动诱捕（云蜜罐）

4.1.25 账号安全检测和防御技术

4.1.26 DNS-Mapping功能与设备常用运维功能

4.1.27 xhack工具介绍

第二部分全网行为管理基础原理与运维

4.2.1 全网行为管理概述

AC：全网行为管理 BA：行为感知系统

需求背景

企业运维各环节中存在的风险

资产管理混乱
终端违规接入
入网行为不规范
上网缺乏管控
数据泄密风险
事后溯源困难

核心价值

内部风险智能感知，全网行为可视可控：通过全网终端、应用、流量和数据的可视可控，智能感知终端违规接入、敏感数据泄密、上网违规行为等内部风险，解决上网管控、终端准入管控和数据泄密管控的一体化管控。

应用场景

场景维度

上网行为管控

终端准入管控

多分支组网

数据价值分析

4.2.2 全网行为管理的基本操作

1. 登陆设备

2.恢复出厂设置

交叉线路短接设备两个电口恢复

U盘恢复出厂设置

设备基本操作总结：

错题

4.2.3 全网行为管理部署模式

部署模式：部署模式是指设备以什么样的工作方式部署到客户网络中去，不同的部署模式对客户原有网络的影响各有不同:设备在不同模式下支持的功能也各不一样，设备以何种方式部署需要综合用户具体的网络环境
和功能需求而定。

根据客户需求及环境不同分为：

AC设备支持路由、网桥、旁路部署模式

SG设备支持路由、网桥、旁路、单臂部署模式

12.0版本之后支持认证部署模式，

13.0版本之后认证模式功能以认证口的形式融入到普通模式中

路由部署解决方案

简介

设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。

路由模式下支持AC所有的功能

如果需要使用NAT、VPN、DHCP等功能时AC必须以路由模式部署，其它工作模式没有这些功能。

配置思路

（1）网口配置:配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关:如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码;确定内网口的IP;
（2）确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
（3）用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。
（4）检查并放通防火墙规则。

网桥部署解决方案

简介

设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。

网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP等功能。

配置思路

（1）配置设备网桥地址，网关地址，DNS地址。
（2）确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。
（3）检查并放通防火墙规则、

旁路部署解决方案

简介

旁路模式主要用于实现行为审计功能，不需要改变用户的网络环境通过把设备的监听口接在交换机的镜像口上同时镜像交换机上下行的数据，从而实现对上网数据的监控与控制。这种模式对用户的网络环境没有影响，即使设备本身宕机也不会对用户的网络造成中断。

旁路模式部署还可用于旁路重定向认证，在不改变网络原有架构的情况下对入网用户进行认证。

更多场景:旁路portal重定向认证+审计场景、旁路802.1X认证+基线核查+审计场景。

注意:旁路部署模式只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、VPN、 DHCP等功能。因为TCP是有连接的，UDP是无连接的，无法关闭应用传输

TCP RST:标示复位、用来异常的关闭连接

1.发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。
2.而接收端收到RST包后，也不必发送ACK包来确认

配置思路

（1）交换机设置镜像口，并接到AC监听口。
（2）配置需要审计的内网网段和服务器网段。
（3）配置管理口地址，用于管理AC设备。

部署模式小结

路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。
路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。
设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。

Trunk部署解决方案

Trunk环境路由配置

（1）AC路由模式部署直接替代原有的路由器(或FW)，并按照路由模式部署配置好设备。
（2）配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可

Trunk环境网桥配置

（1）网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备
（2）可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库
（3）或者给设备管理口配置其中一个VLAN中的可用IP(此时不用加vid)来进行管理和更新规则库

错题

4.2.4 全网行为管理高可用部署

1 高可用需求背景

需求背景

随着网络的快速普及和应用的日益深入，各种增值业务在网络上得到了广泛部署，网络带宽也以指数级增长，网络短时间的中断就可能影响大量业务，造成重大损失
作为业务承载主体的基础网络，其高可用性(HighAvailablity，HA)也因此日益成为关注的焦点
高可用性的设计理念我们在日常生活中随处可见

例如:机房供电分为市电供电以及UPS电源，通过UPS电源来应对突发的停电情况。

衡量网络可用性的标准：

故障少

平均维修时间MTTR

恢复快

平均无故障时间MTTF

高可用部署类型

各部署模式对高可用支持情况

2 主备模式部署

介绍

主备模式是指路由模式部署的两台设备通过心跳检测，实现热备份(保持心跳和配置同步)。正常情况下，只有主设备工作如果主设备故障，则自动切换到备设备，备设备接替主设备工作。从而保证客户的业务不受影响，网络不中断。
主备模式只有一台主设备处于正常工作状态，另一台备设备处于监听状态。

适用场景：AC路由模式部署在网络出口且稳定性要求较高的客户环境。

注意：网桥模式不支持配置为主备模式！

条件

主备设备软件版本必须一致，包括R版本、KB和定制等信息也需要一致
硬件型号尽量选择相近型号，避免负载差别太大切换出现断网
设备本身的硬件网口数量(需要区分干兆还是万兆，电口还是光口)需要一致。
两台设备必须路由模式部署，LAN/WAN/DMZ口与ethx的对应关系要一致。
设备授权信息需一致。

配置思路

（1）主机网络配置，配置设备部署模式为路由模式，并根据网络规划配置接口IP地址等信息。

（2）主机高可用配置

HA口：心跳口

主备部署设备上架顺序：

主机和备机上架并固定(通过耳片，托盘或导轨固定)
按照规划拓扑接线。
主机先加电开机，等待主机成功启动后(alarm灯熄灭，控制台可以正常登录则成功启动)，备机加电开机。
观察主机和备机的Ha灯的状态，正常应该是主机Ha灯常亮，备机Ha灯有规律的闪烁。

3 主主模式部署

介绍

主主模式部署由多台AC设备通过通信网口同步配置。主主模式部署的设备同时工作，主控设备将配置同步到所有节点主控与各节点之间相互同步会话信息。当主控故障，将无法更改设备配置。

适用环境:客户原有网络中有多台交换机，交换机为堆叠部署/链路聚合、防火墙/路由器主主或主备部署时，AC以网桥串接在中间，建议使用主主模式部署。

部署条件

主备设备软件版本必须一致，包括R版本、KB和定制等信息也需要一致
AC设备型号不要求完全一样，但是硬件网口数量必须一致
设备授权信息必须一致

配置同步情况

不同步的配置：

网关模式、网口配置、数据中心配置、数据中心审计日志，病毒库等

自动同步的配置：

上网策略、在线用户状态、应用识别规则库、URL库、管理员账户、全局排除等

注意：节点不能修改配置只能由主控同步，界面限制只读

主主部署配置案例

配置思路

配置效果

问题思考

错题

4.2.5 接入认证基础

案例背景

要求实现：

IT部电脑IP不固定，认证不受限制
办公区用户不能修改IP地址上网
公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到，

认证框架

无认证技术

需求背景

需求一：IT部电脑IP不固定，认证不受限制IT部电脑IP不固定，认证不受限制

数据包特征信息

配置思路

效果展示

IP/MAC认证

需求背景

需求二：办公区用户不能修改IP地址，否则禁止上网

需求分析：源MAC地址经过二层交换机是不会改变的，但是经过三层交换机或者路由器则会改变，所以如何获取终端真实的IP/MAC表项呢？

SNMP协议

SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点(如服务器、工作站、路由器、交换机等)的标准协议。

管理站（manager）：运行了可以执行网络管理软件的服务器

代理（agent）：代理在各个终端上，实现SNMP功能

通信通过：UDP

SNMP工作方式：get、set、trap

管理端：162端口代理端：161端口

版本：

v1：初始版本
v2：实现密码功能
v3：增加认证和密文传输的支持

MIB库

管理信息库MIB：任何一个被管理的资源都表示成一个对象，称为被管理的对象

每个OID(Object IDentification)都对应一个唯一的对象

SNMP协议数据单元

配置思路

思考总结

错题

OAuth是一种开放标准,用于授权第三方应用程序安全地访问用户账户信息,而无需提供用户名和密码。它允许用户授权应用程序在不透露密码的情况下访问他们账户中的受保护资源,如网页、手机应用程序等。

OAuth认证主要涉及以下几个角色:

资源所有者(Resource Owner)：拥有受保护资源的用户。
客户端(Client)：想要访问资源所有者资源的应用程序。
授权服务器(Authorization Server)：负责验证资源所有者的身份并颁发访问令牌的服务器。
资源服务器(Resource Server)：存放受保护资源的服务器,需要访问令牌才能访问资源。

OAuth认证的主要流程如下:

客户端请求用户授权
用户同意授权
客户端获取访问令牌
客户端使用访问令牌访问资源

这样可以确保第三方应用程序不会获取到用户的密码,从而保护用户的账户安全。

Microsoft Authenticator 不属于密码认证的范畴,而是属于多因素认证(MFA)的一种形式。多因素认证是在传统密码认证的基础上增加了其他验证因素,提高了安全性。

Microsoft Authenticator 是一款 app,用于作为第二因素来验证用户身份。认证流程如下:

用户输入用户名和密码进行初次认证。
系统会要求用户在 Microsoft Authenticator app 上确认登录请求。
用户打开 app,系统会验证用户的手机设备,如指纹、面部识别等,并允许用户确认登录。

这样即使用户的密码被泄露,黑客也无法单独访问账户,因为还需要通过第二因素验证才能成功登录。

B：根据源IP地址、计算机名、MAC地址来标识用户

4.2.6 密码技术认证

需求背景

需求：公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到

当用户首次上网时，会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和本地(或第三方服务器)一致，则给予认证通过

一般适用于对认证要求严格，希望上网日志记录具体的帐号，或希望和客户现有的第三方服务器结合认证的场景。

HTTP协议（超文本传输协议）

超文本：包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接，形成网状(Web)，因此又被称为网页(WebPage)。这些链接使用URL表示。最常见的超文本格式是超文本标记语言HTML。

URL：即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。如:

超文本传输协议：是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台主机(浏览器)的应用层协议，以实现超链接的功能。

HTTP工作原理

HTTP请求方法

HTTP响应

状态码：

HTTP头部

UA字段：

Server字段：

Referer字段：

Location字段：

密码认证流程

认证流程实现

密码认证配置

配置思路

效果展示

思考总结

注意事项

4.2.7 外部认证技术

功能介绍

SANGFOR AC/SG的外部认证，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。

外部认证过程

PC向AC/SG提交用户名密码信息
AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验
外部认证服务器校验后，向AC/SG发送认证失败或成功的消息
AC/SG根据外部认证服务器返回的消息，确定是否让该PC通过认证。
PC通过认证后，就可直接访问公网了

外部认证条件

外部认证配置

外部认证服务器配置

（1）选择服务器类型（LDAP、Redius、POP3）

（2）选择服务器通信方式，IP，端口等

POP3只支持单点登录，不支持外部认证

LDAP认证配置

LDAP简介

目录是一个为查询、浏览和搜索而优化的数据库，它以树状结构来组织数据，类似文件目录。目录数据库与关系型数据库不同，他有优异的读性能，但是写性能较差，并且没有事务处理、回滚等机制，不适用于频繁修改的数据，适用于快速响应和大文件查询，

LDAP概念

LDAP(Lightweight Directory Access Protocol)是基于X.500标准的轻量目录访问协议，其实是一种目录服务，类似于我们所使用诸如NlS(Network Information Service)、DNS(Domain NameService)等网络目录，LDAP数据库是一种特殊的数据库，对查询进行了优化。

目录服务数据库是成树状结构组织数据，类似文件目录一样。

LDAP、AD和域控的联系

（1）LDAP （Lightweight Directory Access Protocol）是一种目录服务协议，用于访问和管理目录信息。它是一种通用的、跨平台的协议。

（2）AD （Active Directory）是Microsoft开发的目录服务产品，基于LDAP协议进行工作。AD使用LDAP作为目录访问的标准协议。

（3）域控制器（Domain Controller）是AD基础架构中的核心组件。域控制器负责验证用户身份、管理用户帐户、组织资源访问权限等。域控制器通过LDAP协议与客户端进行通信。

（4）在AD中，域控制器存储着用户、计算机、组等目录信息。这些信息通过LDAP协议提供给各个客户端应用程序访问和管理。

（5）域控制器还负责同步域中的目录信息，确保各个域控制器上的数据一致性。这种同步机制依赖于LDAP协议进行数据传输。

LDAP是目录服务的通用协议标准,AD则是基于LDAP构建的一个完整的目录服务解决方案,域控制器是AD架构中的核心组件,负责管理和维护整个目录系统。三者之间存在密切的技术联系。

LDAP特点

跨平台，标准的协议
安全的协议 v3版本：使用SA、SL、SSL、TLS
提供了访问控制
支持异类数据存储
部署安装简单，易于维护

LDAP术语

LDAP场景

LDAP具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制，使LDAP广泛地应用于基础性、关键性信息的管理，如用户信息、网络资源信息等。

LDAP产品

LDAP认证案例

（1）新建外部认证服务器，设置AD域服务器信息。

（2）新建认证策略，选择“密码认证”认证服务器选择上面创建好的服务器。

配置步骤：

错题

4.2.8 802.1x认证

案例背景

要求实现：

1、公共上网区终端未认证前不能访问服务器区和办公区任何资源。且需要输入账号和密码才能上网，确保网络行为能跟踪到。
2、办公区终端也需要认证后才能访问内网打印机资源。
3、摄像头、打印机等设备免认证入网。

需求分析：

802.1X需求背景

公司内外存在各种各样的终端设备(员工终端、访客终端、哑终端、IOT终端等)，AC一般放在出口位置，只能对访问外网的用户做认证和管控，内网这些终端设备无法管控，没有经过可信认证就可随意接入内网，我们全网行为管理新增802.1x功能即是在这种背景下产生结合终端管控和外设管控等功能，一起补齐AC在内网安全这块的短板。

802.1X应用场景

已经做了出口边界的管理，但是缺少内部接入入口的管理，需要确保不可信、不合规的终端不能接入网络
认证通过根据用户属性自动划分VLAN，细化用户访问权限
内网存在哑终端，绑定信息可自动放行

802.1X认证与portal认证的对比

802.1X协议介绍

802.1X认证：又称为EAPOE(Extensible Authentication Protoco Over Ethernet)认证，主要目的是为了解决局域网用户接入认证问题。802.1X认证中用到了RADIUS协议[^3]认证方式，典型的C/S结构

认证模式:

基于接口：该模式下只要连接到端口的某个设备通过认证，该端口下得其他设备则不需要通过认证，就可以访问网络资源
基于MAC：该模式下连接到同一端口的每个设备都需要单独进行认证，一台终端通过认证之后交换机只对该MAC地址放通认证，同个端口下其它终端均需要。

认证方式：EAP终结[^4]、EAP透传(中继)[^5]

注意：AC是用EAP透传的方式

802.1X认证流程

以有线PC终端802.1x认证为例，说明整个802.1x

认证流程:

第一步:客户端发起开始认证请求。

第二步:交换机收到请求之后，要求客户端提交用户信息。

第三步:客户端会提交用户账号密码信息给到交换机

第四步:交换机收到用户信息之后，将数据封装成RADIUS报文发送到AC。

第五步:AC完成校验，如果检验成功通过认证，发送认证成功报文给到交换机，交换机然后放通端口，如果检验失败，发送认证失败报文给交换机，交换机不放通端口

PC将发出请求认证(EAPOL-Start报文)的报文给交换机
交换机收到请求认证的数据帧后，将发出一个请求帧(EAP-Request/ldentity报文)要求用户的PC发送输入的用户名。
PC响应交换机发出的请求，将用户名信息通过数据帧(EAP-Response/ldentity报文)发送给交换机
交换机将PC发送的数据帧经处理后(RADIUS Access-Request报文)发给AC
AC收到用户名信息后，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，
同时也将此加密字通过RADIUS Access-Challenge报文发送给交换机，由交换机转发给客户端程序
PC收到由交换机传来的加密字(EAP-Request/MD5 Challenge报文)后，用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的)，生成EAP-Response/MD5 Challenge报文，并通过交换机传给AC。
AC将收到的已加密的密码信息(RADIUS Access Request报文)和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)
设备收到认证通过消息后将端口改为授权状态，允许用户通过端口访问网络并通知PC认证成功。

802.1X上线流程

认证成功之后交换机放通了端口，终端获取到IP后可以正常去上网，但是终端未在AC设备上线，AC需要收到计费开始请求或者收到流量之后才开始走上线流程:

认证成功后，AC将终端MAC地址缓存在设备内存中5分钟
AC需要获取IP/MAC对应关系完成上线，三种上线方式
- 计费报文带IP
- 通过流量方式(二层环境终端上网数据过AC)或者镜像方式获取DHCP，ARP广播报文
- 跨三层取MAC的方式+计费报文，

注意：若没有计费报文的情况，PC注销后交换机不会通知AC下线，会存在用户无法注销的情况。

802.1X认证配置步骤（**认证端口 UDP 1812**）

MAB免认证

定义：MAB认证，全称为MAC旁路认证(MAC Authentication Bypass)，MAB是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法，在此类认证方式中，不需要给用户分配账号密码，由接入设备使用接入设备的mac地址作为用户名、密码自动做认证(也可以使用其他方式，但是都不需要用户输入账号信息)。

场景：适用于不能或者不想做802.1X认证，只想通过mac地址作为准入依据的用户，常见用于打印机，指纹机，摄像头，IP电话等哑终端[^6]，也可用于pc，此时终端不需要主动做认证，无感知免认证入网，需要在AC上维护mac地址数据库。

MAB认证流程

以有打印机终端802.1x认证为例，说明整个mab认证流程：

第一步:交换机在30s超时时间内未收到客户端发起的认证请求，开始MAB认证流程。
第二步:交换机通过ARP等报文学习到终端的MAC地址，
第三步:交换机把终端的MAC地址当作用户名和密码封装在radius报文中发送给AC。
第四步:AC完成校验，如果检验成功通过认证，发送认证成功报文给到交换机，交换机然后放通端口，如果检验失败，发送认证失败报文给交换机，交换机不放通端口

MAB配置步骤

注意事项

MAB认证属于802.1X认证的一种，802.1X的免认证通过MAC认证来实现，同样需要联动交换机配置。
配置802.1X认证，用户源只能是AC本地用户或者AD域用户
802.1x认证有基于端口和基于MAC，建议客户交换机配置为基于MAC，安全性更高
802.1x认证有EAP中继和EAP终结方式，我们AC的802.1x是EAP中继方式
使用认证助手功能时需要在控制台勾选开启准入认证客户端802.1x功能选项，安装完准入插件后会在桌面生成认证助手快捷方式。

4.2.9 终端识别和管理概述

终端识别和管理需求背景

管理员无法感知内网资产，包括终端、服务器、网络设备的情况，未知设备的存在并不受管控的状态对内网安全形成风险
无法感知IP使用情况，造成IP资源的浪费同时引起管理运维上的困难

终端识别技术

（1）资产识别技术

企业单位内网资产管理混乱，大量终端类型无法识别，通过对tcp/dhcp/arp/http/dicom等协议流量的分析以及NMAP主动扫描结合深信服终端识别指纹库实现资产精准识别。识别终端类型、操作系统、厂商信息等并自动
分类。

资产资产识别分为三步:

一、通过被动抓取或主动扫描等方式收集到终端流量里面的各种属性字段。

二、把收集到的字段交给指纹库对终端类型进行识别获取终端类型。

三、将获取到的终端类型信息存储到数据库中用于被调用展示;同时将其下发到驱动里，从而实现访问权限策略模块可以根据不同的终端类型进行不同的策略控制。

配置思路：

1、AC上开启被动扫描，设置内网网段。只能识别经过AC的流量。
2、AC上开启主动扫描，设置重点关注网段，会主动发起扫描内网设备，跨三层需要开启snmp。等待扫描结果，对扫描出来的资产进行个性化编辑。

配置步骤：

注意事项：

1、开启主动扫描功能需注意可能会被内网其它安全设备检测并告警拦截。

2、终端主动扫描的IP数量最大支持20w。

3、资产列表优先以mac地址来确认一条资产，若要提高资产识别的准确性建议开启snmp跨三层确mac地址。

4.2.10 终端检查和管控技术

杀软检查与登录域检查

杀软检查需求案例

杀软检查需求案例

准入插件检查杀软是否运行(通过插件读取终端注册表信息获取软件安装信息)
插件准入规则支持检测EDR、360、金山毒霸等22款杀软有无运行，也支持杀软版本号检测。未检测到软件安装则判定为违规。违规动作:
- 支持禁止上网并提示用户，提示用户，只记录结果，违规修复和限制用户权限五种违规处理
  方式。
  1、禁止上网并提示用户：通过重定向浏览器http/https上网流量来阻断上网，并在右下角
  提示用户。
  2、提示用户：在终端右下角弹出提示信息。
  3、只记录结果：只在日志中记录违规行为日志并不给予其它动作。
  4、违规修复：向终端下发并运行指定的安装程序或者重定向http/https流量
  5、限制用户权限：支持选择违规后匹配【访问权限策略】和【用户限额策略】两种策略

杀软检查配置思路

杀软检查功能说明-流量实现方式

通过流量检查杀软是否运行，不需安装准入插件:
支持8种个人版杀软检查和4种企业版杀软(个人版杀软流量特征已定义，通过检查终端的流量特征来确定是否安装个人版杀软;企业版杀软需要指定中心端地址，通过检查终端和中心端是否有流量来判断是否安装企业版杀软)。在指定事件内未检测到对应流量则判定为违规。
对于违规动作的操作:
- 定期重定向至指定网址修复:每隔设定的间隔时间对http/https流量进行重定向到指定安装页面。
- 只记录结果:只在日志中记录违规行为日志并不给予其它动作。
- 注意:使用企业版杀软检查的情况下，终端与杀软中心端服务器之间的流量包需要经过AC。

注意事项

（1）杀毒软件的版本号需要看操作系统-控制面板\程序\程序和功能处的版本信息，金山毒霸只支持最新版本号(金山毒霸版本号11.2019.4.9.121300.1335)

（2）流量杀软检查违规处置，默认针对所有终端类型生效;可通过修改后台配置仅针对windowsPC终端生效，若要修改，非原厂工程师联系400售后支持。

（3）流量方式判断企业版杀软，违规判定条件要根据企业版杀软配置的更新频率来EDR默认心跳是1分钟，建议配置为5分钟，其他企业杀软可根据配置，也可通过终端抓包来确定时间交互时间，建议配置的时间大于实际交互时间。

（4）流量杀软检查最多只检查10W在线用户是否违规

（5）两种杀软检查方式，用户必须在线之后才能获取到下发的策略

思考

登录域检查需求案例

AD的全称是Active Directory:活动目录，是企业常用的一种管理架构，PC加入域之后，在域内均能进行身份验证，管理人员可以较好的管理计算机资源。

但是企业内网的PC往往因为各种原因未加入域，需要检测终端是否加域，不加域则不允许上网。

登录域检查概述

支持登录域检测和登录指定域检测:
1、登录域检测：PC以任意域账号登录即可检测合规。
2、登录指定域：PC必须以域账号登录到指定域中的一个即可检测到合规，登录非指定域无效。
违规动作，支持禁止上网，提示用户，只记录结果和限制用户权限四种违规处理方式。
1、禁止上网并提示用户：通过重定向浏览器http/https上网流量来阻断上网，并在右下角提示用户。
2、提示用户：在终端右下角弹出提示信息。
3、只记录结果：只在日志中记录违规行为日志并不给予其它动作。
4、限制用户权限：支持选择违规后匹配【访问权限策略】和【用户限额策略】两种策略。

注意事项

使用限制用户权限功能需要事先定义好访问权限策略/用户限额策略
用户必须在线之后且己安装插件才能获取到下发的策略，
windows server多用户模式下“提示用户”功能无法对所有用户生效，只能生效一个

放篡改检查与外联检查

防篡改检测需求案例

企业出于商业机密和自主知识产权保护，需防止非法仿冒合法终端MAC/IP地址绕过认证入网造成安全隐患以及避免IP地址冲突导致运维管理繁琐，若有违规则恢复篡改前地址

防篡改检查概述

防篡改检查
- MAC防篡改：通过插件先获取当前系统识别的网卡MAC地址信息，再通过调取系统底层文件IO接口获取设备接口真实物理MAC地址，进行比对，一致则继续检测下一个网卡，若违规动作选择了修复，则会删除注册表对应网卡的NetworkAddresskey恢复真实MAC地址
- IP防篡改：插件启动后会把当前所有网卡的IP信息记录下来，每40s检测一次网卡ip信息，与记录的ip信息不一致则认证ip被篡改，判定违规
违规动作:
- IP地址篡改检测：检测违规后恢复修改前地址并提示用户
- MAC地址篡改检测，支持【禁止上网并提示用户】、【恢复修改前地址并提示用户】、【提示用户】【只记录结果】四种违规处理方式。
- 支持同时检测IP地址与MAC地址篡改，检测违规后恢复修改前地址并提示用户。

非法外联检测需求案例

企业专网场景需要检测内网络端非法访问其它网络的行为，若有违规则禁止其访问网络，防止泄密。

外联检查

拨号行为:通过检查系统API接口或者函数判断拨号行为
网卡相关:通过检测相关API接口或函数和注册表相关信息来检测有无线网卡，有4G网卡和双网卡行为
连接外网:检测以下几个网站是否能ping通，如果可以则认为是可以连接外网www.taobao.com、www.jd.com、www.baidu.com、www.sangfor.com、www.ifeng.com
连接非法WIF1:通过检查系统的API接口或函数获取SSID信息，然后和白名单中设置的SSID作对比
连接非法网关:通过检查系统的API接口或函数获取所有物理网卡的网关，然后和白名单中设置的地址作比对
自定义外联:可设置IP/域名和端口，准入客户端去检测是否
可以访问
违规动作:可选发送告警邮件或直接禁用网卡

注意事项

防篡改检查策略需要安装准入客户端。（只在Windows客户端生效）
选择不能修改IP行为检查项时违规操作只支持选择恢复修改前地址并提示用户。
用户必须在线之后才能获取到下发的策略。
外接网卡地址和虚拟机地址暂不支持防篡改检查。

外联控制与外设管控技术

外联控制需求案例

企业专网场景需要从端上实现控制访问权限，如只允许访问某个IP或者访问某个IP范围。

外联控制

Windows系统使用微软WEP(Windows Filtering Platform)框架中的防火墙API来实现微隔离功能(XP系统电脑
不支持管控，xp没有WFP框架)
支持黑白名单的方式，支持IP和端口，端口为空是默认1-65535端口。

外设控制需求案例

企业为了防范病毒通过外设传播以及资料外泄的风险，需要对内网终络端接入的外设设备进行管控，不允许接入U盘拷贝资料。

外设管控

外设管控可分为两种管控方式：组策略管控、精细化管控
1、组策略管控：通过使用组策略来禁止外设设备安装驱动，从而达到管控外设的目的(无组策略的系统不支持，如家庭版)，
2、精细化管控：调用系统的设备管理器和进程注入的方式来实现U盘和便携设备的精细化管控(只支持win7及以上操作系统，不区分是否家庭版)。
U盘精细化管控：
1.拒绝 2.可读 3.可读写 4.告警(需要启用设备的事件告警功能)
便携设备精细化管控
1.允许 2.禁用 3.告警(需要启用设备的事件告警功能)

外设管控白名单

白名单需要填入外设设备的硬件ID，可下载设备ID获取指南，里面有工具可以获取硬件ID
硬件ID由每个设备的硬件ID和电脑的父系组成，因为父系不一样，默认每个外设设备在每台电脑上的硬件ID都不一样
历史存储设备快捷导入功能只对U盘及移动硬盘生效其他例如网络设备、蓝牙设备等不支持快捷导入，需要使用工具
工具使用方法可从设备ID获取指南得到。

注意事项

（1）需要用户先通过认证之后才能下发终端检查和管控策略

（2）PC到全网设备的路径中不能存在NAT，如果存在NAT终端策略功能不生效

（3）组合规则不适用外联检查和控制规则

（4）使用组策略方式禁用存储设备，如果电脑存在除系统盘之外的第二块非usb口的内置硬盘，也会禁用掉，如果需要放开要加白名单

（5）外设管控策略中如果终端正在使用外设设备，这时下发外设管控策略也能禁止正在使用的外设，下发策略的总白名单ID条数限制为1024

（6）组策略禁止方式不支持windows系列所有家庭版操作系统和xp系统也包括加入域的PC也不支持外设管控。

（7）使用组策略禁用的外设重新放开时可能需要重新插拔一下安装驱动或者手动安装驱动;使用精细化管控禁用的设备重新放开无需重新插拔一下安装驱动或者手动安装驱动，重新放开需要更新策略一般是40s

（8）组策略目前发现和360天擎不兼容，装有天擎的环境外设管控不建议使用组策略方式。

4.2.11应用特征识别技术

需求背景

需求背景(一):

全天不允许使用QQ等聊天工具

需求背景(二)

全天只允许特定QQ账号上网，不允许其他QQ账号上网

实现需求一功能

传统行为检测原理:传统的网络设备根据数据包的五元组(源IP、目的IP，源端口，目的端口，协议)这些特征等来识别应用并进行丢弃、转发、接收、处理等行为。

通过识别协议为UDP，端口为8000，从而识别出是QQ聊天的应用将该类数据包全部丢弃，

实现需求二功能

从数据包中发现，QQ用户的字段在应用层OICQ协议的Data字段。该需求需要识别特定的QQ用户，而传统的行为检测只能对链路层、网络层、传输层进行数据处理，不能对应用层进行操作。

深度行为检测技术

产生背景：传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的数据包，无法满足现在的安全需求和可视需求。

深度行为检测技术分为深度包检测技术（DPI）和深度流检测技术（DFI）

优点：

（1）可视化全网
（2）流量精细化管理
（3）减少或延迟带宽投入，降低网络运营成本
（4）及时发现和抑制异常流量
（5）透视全网服务质量，保障关键业务质量
（6）丰富的 QoS 提供能力

深度包检测技术（DPI）

深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容。

技术分类：

基于“特征字”的检测技术

客户需求：在客户局域网中只允许电脑上网，不允许手机上网

需求分析：该需求需要能够识别哪些上网数据是手机端发出的，哪些是PC端发出的。通过数据包分析，发现手机和电脑在同时上网的时候（同时使用HTTP协议）会在HTTP协议的User-Agent字段区分出手机数据和PC数据。

不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的 Bit 序列。
基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容，
通过对应用特征信息的升级(例如http数据包中的User-Agent的位置)，基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。

基于应用网关的检测技术（ALG）

某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。
应用层网关需要先识别出控制流，根据对应的协议，对控制流进行解析，从协议内容中识别出相应的业务流。

客户需求：禁用VoIP视频。

需求分析：VoIP视频[^7]协议是先使用控制信令来协商数据的传输，之后进行数据流的传输。

VoIP视频数据交换过程抓包如下：

VoIP视频协议的数据流可以看到是基于UDP的，跟踪数据流，发现该数据没有任何特征，但是VOIP在进行数据传输前是有控制信令来协商数据的传输。

存在IP地址等信息

基于行为模式的检测技术

基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作
行为模式识别技术通常用于无法根据协议判断的业务的识别。

例子：垃圾邮件行为模式识别

SPAM(垃圾邮件)业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出 SPAM 业务

深度流检测技术（DFI）

DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务

如下图，不同流有不同的特征，包括平均包长、下载时长等

DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型

深度包检测(DPI) VS 深度流检测(DFI)

DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但是无法判断该流量是否采用H.323或其他协议。
如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。

4.2.12 HTTP与自定义识别控制技术

HTTP识别控制

需求背景

IT部上班时间不允许访问视频网站

HTTP识别工作原理

如果我们对该url做封堵，终端设备在发出get请求后(即完成HTTP识别)**，设备会伪装成网站服务器向终端设备发一个状态码302的数据包**，源ip是网站服务器的ip地址(实际是我们设备发送的，我们设备发送的标识是ip.id为0x5826)，数据包中的内容是告知终端设备访问网站服务器的拒绝界面。

思考总结

HTTPS识别控制

需求背景

公共上网区的用户禁止访问百度

HTTPS协议

全称Hypertext Transfer Protocol over Secure Socket Layer，是HTTP的安全版，HTTPS默认使用TCP端口443。HTTPS中S,实际上是SSL(Secure Sockets Layer)协议
SSL是Netscape公司发明的一种用于WEB的安全传输协议。随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组(IETF)。第一个后Netscape版本被重新命名为安全传输层协议(TLS)，TLS(Transport Layer Security :RFC 2246)是基于SSL上研发的，但是与SSLv3.0有细微的差别。因此，SSL协议有时也称为TLS协议。目前常用的是TLSv1.2的协议。

HTTPS原理

HTTPS识别工作原理

HTTPS网站识别，终端设备通过DNS解析域名后，跟网站服务器三次握手完成，终端开始发Client hello报文(SSL握手的第一阶段)，在此报文中的server name 字段包含所访问的域名，上网行为管理提取Server Name字段来识别https的网站。如下图所示：在终端设备访问https://www.baidu.com抓取到的数据包。

HTTPS控制工作原理

对HTTPS网站封堵，终端设备在发送Cient helo报文后，我们识别到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包(ip.id也是0x5826)，断开终端设备与网站服务器之间的连接

与HTTP封堵的区别：HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面。

效果展示

思考：有没有办法重定向提示信息让用户知道呢？

Client Hello方案

如果只是做重定向，那只要AC能跟PC完成SSL握手就可以了，没必要像中间人代理这样两边维护请求，所以在SSL中间人的方案下，数据流简化如下:

PC发起的TCP三次握手，AC不做控制，在PC的Client Hello到达AC的时候，如果满足需要重定向的条件，则AC伪装为服务器跟PC完成SSL三次握手，等待真正的HTTPS请求过来的时候，AC再回重定向报文，完成重定向的整个过程。过程其实跟中间人代理类似，只是没有维护两边的连接。

思考总结：

HTTPS网站不能正常封堵，应该如何排查?
- URL库是否更新到最新版本
- 该https网站是否在应用识别库或URL规则库中
- 策略是否配置正确
- 策略的适用用户是否在线
- 该用户是否在全局排除地址中
- 是否开启了直通
- 抓包分析ServerName是否正确，是否对应该HTTPS网站
HTTPS网站和HTTP网站封堵的相同点和不同点?
- 相同点
  - 封堵对象的获取：都是通过获取服务器的标识进行封堵HTTP和HTTPS网站
  - 封堵行为：都是发送RST包来断开PC和服务器的TCP连接
- 不同点
  - 封堵对象的获取：针对HTTP是获取三次握手后的GET请求包中的HOST字段来识别服务器；针对HTTPS是在四次握手的第一阶段，获取客户机发送Client Hello包中的Servername字段来识别服务器
  - 封堵行为：针对HTTP是先发送重定向包，再发送RST；针对HTTPS是直接发送RST结束TCP连接不发重定向包。开启SSL中间人代理/Client Hello方案也可以重定向。

自定义识别控制

自定义应用方法

全网行为管理已经内置规则库已经覆盖常见的应用和网站，并以半个月为周期的持续更新，但难免有部分不常见的应用和网站没有更新。在这种环境下面，只要我们提供应用的特征或者url就可以通过自定义进行识别和控制。

自定义应用思路

URL自定义思路

对象自定义总结

自定义准入规则：可以定义运行了某个进程才允许(或不允许)上网
自定义应用(封堵或审计精准的应用)
自定义URL(封堵或审计精准的URL)
自定义关键字(用作关键字过滤或审计)
………………
对象自定义的作用：对于精准的应用等进行精准的管控，保证在99.99%的日常应用能被sangfor内置识别库识别的基础上，对0.01%的应用进行精准的管控

访问控制策略排查思路

（1）检查设备部署,如是旁路模式部署,设备本身只能对一些TCP的应用做控制。
（2）【全网监控】-【入网用户管理】查看策略对应的用户是否在线。
（3）检查规则库“应用识别”、“URL库”、“审计规则库”是否为最新。
（4）检查上网权限策略是否与用户关联，检查用户是否关联了多条上网权限策略，注意策略的叠加顺序(自上而下优先级递减)。

（5）检查【系统诊断】-【上网故障排除】是否开启直通；【系统配置】-【全局排除地址】是否有排除内网PC的ip、目标域名、目标IP等。
（6）检查是否有自定义应用，禁用或删除自定义的应用看策略是否正常。
（7）给用户关联一条【互联网审计策略】,开启所有应用的审计,进入【内置数据中心】,检查数据中心识别到的应用和实际使用的应用是否对应。如不对应那回滚下应用识别规则库再重新更新规则库
（8）如数据中心没有识别内网PC任何的应用，此时注意检查客户是否有其它的上网线路，抓包分析用户流量是否经过AC

4.2.13 流量管理概述

流量管理背景

带宽资源被非关键应用大量占用
传统的缓存丢包式的流控无法控制P2P下行流量
空闲时带宽利用率低
一刀切的流量控制手段，影响员工使用体验

P2P流量占用大量带宽

在众多的网络应用中，尤以P2P应用的带宽侵蚀性最为强烈。据调查统计，P2P应用对带宽占用比大致是40%~60%，在极端情况下占用比会达到80%~90%。同时，再加上其他与工作无关的应用占用了带宽资源。核心业务应用得不到充分的带宽资源，员工在日常工作中反应网络慢，严重影响工作效率。因此，企业需要完善的上网流量管理方案，对带宽资源进行合理的分配。

流量管理技术

传统流量管理技术的缺陷

流量控制建立在流量识别的基础上，所以流量识别相当重要
传统的流控方式是基于网络协议的L4层及以下的内容(非有效负载内容)进行分析，通常可以基于固定的数据封装格式提取数据特征
举例:使用QoS技术实现基于源地址、目的地址、源端口、目的端口以及协议类型等“五元组”的流量控制。
通过“五元组”定义各种流量，针对不同流量实施不同的排队机制和拥塞机制以实现控制流量的目的。
但这种传统的IP数据包流量识别和QoS技术，仅根据数据包头中的“五元组”信息进行分析，却无法识别出流量中所涉及的应用，因此无法对应用进行精细的流控。
现在主流的流控已经能实现对流量的精准精细流控
传统流控是伪流控
传统流控：基于缓存丢包方式，UDP协议自身没有速率调整机制，且P2P传输模式具有特殊性，外网线路依然被大量的P2P数据报文所占用，导致带宽浪费。

主流的流量管控技术

（1）流量检测方法
（2）应用控制技术
（3）应用检测技术
（4）识别控制组网模式

1 流量检测方法

2 应用控制技术

流量整形技术
根据数据流识别的结果，对数据流量采用阻塞、随机丢包、或者提供QoS保证等方式，对符合策略控制条件的数据流进行流量管理和资源调度，达到流量控制的目的。

举例：TCP整形技术—滑动窗口允许根据自己的接受速率动态调整窗口大小来调整发送方的数据传输速率

连接干扰（TCP）/信令干扰（UDP）
- 连接干扰—根据数据流识别的结果，针对TCP流量，复制数据流的IP五元组信息，并交换源/目的IP、端口，伪造成为数据流连接的对端，发送标准的TCP Reset/FIN数据包，中断该数据流连接，或者引发TCP重传，达到流量控制的目的。
- 信令干扰—针对UDP流量，由于UDP为无状态协议，因此无法从4层对数据流进行干扰，只能通过7层的协议信令进行干扰，达到流量控制的目的。

3 应用检测技术

常用端口检测
端口检测法是依赖于端口来识别流量，在应用较少的互联网初期作用效果较好
随着互联网发展的多样化，应用的常用端口越来越不明显，因此，该方法识别能力非常有限。
深度流检测(DFI)
深度流检测方法主要采用基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态不同。
主要识别指标包括：数据包的大小、速率、延时、持续时间、发送频率、上下行流量的比例关系以及IP地址的连接方式等。
深度包检测(DPI)
深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了**应用层**分析，另外识别各种应用以及内容，包括关键字检测、应用网关检测、行为模式检测

4 识别控制组网模式

直路串联流控模式
串联在网络中，控制方式比较直接，可以灵活的对不同流量使用不同策略
串联使得控制设备成为被控网络的一部分，控制设备可能会影响整个被控链路
旁路干扰流控模式
（1）TCP截断，通过伪造并发送TCP RST报文来截断TCP连接
（2）TCP降速，通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值。
（3）UDP截断，通过伪造并发送P2P应用层特殊控制命令方式来截断UDP连接
（4）UDP降速，通过伪造并发送P2P应用层特殊控制命令方式来降低UDP连接的传送速率。
优势：对链路影响较小，可扩展性(扩展其他功能)较强

劣势：目前只能对应地使用连接干扰、信令干扰技术进行数据流控制，控制能力受到较大影响

网络流量控制系统

当前广泛部署的网络流量控制系统主要由四个部分：流量分类，队列管理，分组调度，流量整形。

流量分类：按照不同的优先级或控制策略，将数据包注入到不同队列。当前的流量分类技术主要分为基于端口、会话、内容的识别方式。
队列管理：指对网络传输节点中队列缓冲资源的管理和分配，即缓冲管理。通过控制队列的平均深度来避免拥塞发生。
分组调度：分类器根据分组的上下文和粒度确认它所在的队列，分组进入相应队列排队等候，直至调度器将其选择发送。可以控制不同类型的分组对链路带宽的利用使不同的数据流得到不同等级的服务。
流量整形：使经过网络瓶颈的数据包平缓的注入主干网，减少数据包在边缘网关排队等待的时间，从而减少边缘网关缓存的大小和数据包丢失率。流量整形主要采用两种基本方法:漏桶算法和今牌桶算法

流量控制解决方案

SANGFOR流控原理

缓存流控
以前的流控的效果是通过直接丢包来实现的，导致了丢包率比较高，SANGFOR使用缓存的方式，可以有效的解决丢包的问题。
队列调度(HTB分层令牌桶)
可以使每个连接的数据包得到更为公平的调度。避免因为某个连接速率过高导致其他连接得不到带宽的问题。使保证带宽更准确。
单用户流量的公平调度(UCFQ:User & Conn Fair Qdisc)
对当前有流量的用户进行公平调度，而不是根据在线用户进行带宽分配，因为在线的用户不一定有流量。对用户的流量进行公平调度，避免某个用户的流量很大，导致其他用户只能使用很少的带宽。保证同一通道的用户流量可以平均分配

P2P智能流控技术

动态流控技术

设定阈值(%)来区分空闲和繁忙状态，当整体带宽利用率低于值时通道的最大带宽
限制将上浮，直到整体利用率超过了闽值，才回收上浮的部分，实现带宽利用率最大化

流控黑名单

流控通道匹配过程

同级通道从上往下匹配
匹配到父通道后如果有下级子通道，则继续往下级匹配直到匹配到最后一级
如果无法匹配到任何自定义的通道，则匹配到所在级别的默认通道

流控通道优先级

保证通道和限制通道都可以设置优先级
优先级别相同时，如果都需要借用带宽则按照保证带宽的比例借用
优先级别不同，都需要借用带宽时，带宽优先给优先级高的通道使用，剩下的带宽才给低级别的通道借用。

4.2.14 流量管理应用场景

4.2.15 DNS与链路流量管理

4.2.16 行为审计概述

4.2.17 SSL内容解密技术

4.2.18 客户端与业务审计技术

4.2.19 数据价值解决方案

4.2.20 管理员账号功能

4.2.21 结合AD域单点登录功能（脚本方式）

4.2.22 结合AD域单点登录功能

第三部分零信任基础原理与运维

aTrust是一款基于区块链技术的信任管理平台，主要用于数字身份管理和数据安全。它通过去中心化的方式，提供安全、透明和可追溯的身份验证和数据共享服务。

4.3.1 aTrust设备部署实施上架

硬件环境

零信任aTrust分为“分离式部署”和“综合网关部署”两种形式。
代理网关设备、控制中心设备、综合网关设备外观基本相同(网口数有差异)，主要是设备上的型号差异。
控制中心型号以C结尾，如aTrust-1000-B1080C;
代理网关的型号以G结尾，如aTrust-1000-B1060G;
综合网关型号以M结尾，如aTrust-1000-V1050M。

aTrust设备，控制中心和安全代理网关的默认的出厂IP均为MANAGE(ETHO):10.254.254.254/24。如果电脑连接的是aTrust设备控制中心或安全代理网关的MANAGE(ETH0)口，需要先在电脑上配置一个10.254.254.0/24网段的地址，打开浏览器输入https://10.254.254.254:**4433** 登录设备网关控制台。控制中心或安全代理网关控制台管理端口是4433，默认用户名admin密码SangforSDP@1220

软件环境

支持虚拟化部署，支持平台有:
1. 深信服超融合平台(HCIV5.8.6及以上)
2. VMware5.0及以上，使用KVM虚拟化技术，支持qcow2格式导入的虚拟化环境
3. 各种常见公有云平台，如阿里云、腾讯云、华为云、
服务器配置参数要求

安装–HCI平台镜像部署

 ![](https://pic.imgdb.cn/item/66dc715bd9c307b7e9776ff9.png)

 ![](https://pic.imgdb.cn/item/66dc71a8d9c307b7e977db66.png)

 ![](https://pic.imgdb.cn/item/66dc71cfd9c307b7e97810f3.png)

 ![](https://pic.imgdb.cn/item/66dc71eed9c307b7e978420c.png)

网络部署–后台配置临时网络
网络部署–web平台配置网络

控制中心和代理网关联动

aTrust用户访问和客户端下载

4.3.2 aTrust本地集群部署

本地集群部署使用背景

本地集群部署主要是为解决设备高可用问题，为客户**提供设备容灾和扩容的能力**。实现单节点设备出现故障时，集群模块能进行容灾处理，不中断业务的效果

控制中心(SDPC)集群目前主要提供两部分的能力:

高可用性:集群中的一个节点失效，业务可转移给另一个节点，不中断业务。
高性能:集群采用负载均衡技术，实现接更多用户的接入，业务响应速度更快。

代理网关(Proxy)集群目前主要提供两部分的能力:

高可用性:集群中的一个节点失效，业务可转移给另一个节点，不中断业务。
高性能:集群采用负载均衡技术，实现更多的接入资源访问。
零信任aTrust，控制中心SDPC、代理网关Proxy和二合一综合网关组建主从集群时，支持集群数量为2~4台进行组建。
其中控制中心sdpc和二合一集群添加节点时，可以选择节点的角色，分为从节点和工作节点，从节点数量要
求至少有一个，至多有四个;
代理网关proxy集群分为集群主从模式、双机热备式。
主从模式下的集群扩展支持1主+1从+2工作、1主+2从+1等工作模式，但不支持1主+3从，在此模式下性能难
以满足。
设备版本低于 2.1.17 时，必须要拆除集群和 proxy 分别升级;当版本为 2.1.17及之后的版本时，可以在不
拆除集群和 proxy的场景下，进行设备升级。。

注:从节点与工作节点区别:

从节点具备灾备和工作负载两种作用，在主节点出现故障后，从节点会自动切换为主节点(如有两个从节点，则随机进行切换);而工作节点仅具备工作负载作用。

从节点需要实时和主节点进行数据同步，工作节点仅在每天凌晨进行数据同步。因此从节点在设备运行时对主节点性能消耗更高。

本地集群部署配置指导

集群部署配置案例–组建代理网关集群，并与控制中心联动
注意事项

Proxy集群由于是采用的DR模式（直接转发），要求Proxy集群节点只能是在同一局域网，不能跨局域网之间的节点进行组建
两台sdpc（控制中心）或proxy设备CPU核数(可以在console页面查看)、内存大小、网口数需均一致
软件版本、授权类型(分基础版和增强版)必须一致
硬件和虚拟化软件设备、不同虚拟化环境上的虚拟机不能组集群
主线版本一致，但一台打了定制包或补丁包的，另一台没有，不建议组集群
设备版本低于 2.1.17时，升级必须要拆除集群;当版本为 2.1.17及之后的版本时，可以在不拆除集群的场
景下，进行设备升级。
当前集群状态下，不支持配置导入，需要拆集群后再导入配置
SDPC集群会同步配置信息，Proxy集群不同步配置信息

4.3.3 aTrust用户管理

用户管理，用于提供用户认证登录的用户源，管理各个认证服务器的用户和组织信息。可实现用户/组织的新增、删除、编辑，实现用户、组织架构、角色的精细化授权，和策略绑定(包括认证策略和用户策略)

aTrust用户目录，主要有两种来源，分别是外部和本地
（1）本地

本地用户目录
- 本地用户目录是aTrust设备内置的数据库用户目录管理，当客户没有第三方用户服务器时，可使用本地用户目录进行管理。
自定义本地用户目录
- 客户使用的是第三方的认证服务器，但第三方认证服务器没有提供LDAP/AD或企业微信等用户源设备导入至aTrust本地。此时我们可使用自定义本地用户目录，将第三方的用户信息批量导入aTrust本地。

（2）外部

微软MS ActiveDirectory、Open LDAP、Sangfor IDTrust LDAP
企业微信
钉钉

用户源选择本地时，用户的账号和密码信息是保存在aTrust的数据库内。本地用户目录aTrust支持如下功能。

新增组织架构，角色和用户
用户的批量导入和导出功能
精细化授权，可通过组织架构，角色和用户针对性的进行应用授权

外部用户可实现同步至aTrust设备本地，实现如下功能:

精细化授权，可通过组织架构，角色和用户针对性的进行应用授权
LDAP（**轻量级目录访问协议）/AD（活动目录**）用户目录，支持立即同步和定时自动同步用户信息，支持导入安全组
企业微信用户目录，支持立即同步和定时自动同步用户信息功能

用户管理功能指导–本地用户、自定义本地用户

所有的预置条件都是：aTrust控制器SDPC和代理网关Proxy已安装联动(或已完成综合网关的安装)

用户管理功能指导–LDAP/AD域用户

预置条件：aTrust控制器SDPC和代理网关Proxy已安装联动(或已完成综合网关的安装)；控制中心(综合网关)设备与LDAP/AD认证服务器通信正常

用户管理功能指导–企业微信用户

预置条件：aTrust控制器SDPC和代理网关Proxy已安装联动(或已完成综合网关的安装)；控制中心(综合网关)设备与企业微信通信正常，同时获取了企业微信的CorpID和通讯录Secret信息

用户管理功能指导–钉钉用户

预置条件：aTrust控制器SDPC和代理网关Proxy已安装联动(或已完成综合网关的安装)；控制中心(综合网关)设备与钉钉通信正常，同时获取了认证应用的AppKey和AppSecret信息

4.3.4 aTrust本地认证

4.3.5 aTrust_LDAP认证

4.3.6 aTrust_TOTP动态令牌认证

4.3.7 aTrust证书认证

4.3.8 aTrust腾讯云阿里云短信认证

4.3.9 aTrust自定义HTTP(S)短信认证

4.3.10 aTrust_Radius账号认证

4.3.11 aTrust_Web应用

4.3.12 aTrust权限管理

4.3.13 aTrust隧道应用

4.3.14 aTrust安全基线

4.3.15 aTrust策略管理

4.3.16 aTrust自适应认证

4.3.17 aTrust免认证应用

4.3.18 aTrust_对接CAS票据认证

4.3.19 aTrust_OAuth2票据认证

4.3.20 aTrust系统升级

4.3.21 aTrust配置备份与SNMP管理

4.3.22 aTrust平台安装部署

4.3.23 aTrust平台网络配置与授权

4.3.24 零信任网络安全架构

第四部分终端安全原理与运维

4.4.1 EDR安装部署

EDR（终端安全检测响应系统）

总体架构

EDR从系统架构上分为三层，基础平台层、核心引擎层以及功能展现层

基础平台层:负责提供集中管控，云查以及主机代理功能的基础能力。
核心引擎层:负责提供病毒检测，威胁分析以及行为检测等能力。
功能展现层:从预防、防御、检测、响应等四个方面，提供全面的安全防护体系。

部署结构

EDR从部署结构上分为云端、管理端(MGR)和客户端(Agent)三部分。

云端:包括病毒库升级、云端查杀服务中心、安全情报中心。
管理端:负责维护管理所有的Agent客户端。
客户端:安装在终端的软件，对终端进行安全防护，

MGR(管理端)部署
- 兼容性确认
- 硬件要求确认
- 网络连通性确认
  - 客户端(Agent)与管理平台(MGR)通信使用到TCP:4430、TCP:8083、TCP:54120端口、ICMP。确保端口连通性。
    - 4430端口:Agent组件更新和病毒库更新。
    - 8083端口:Agent和管理端业务通信端口。
    - 54120端口:逃生端口，应急情况与Agent通信端口。完成Agent重启、卸载和脚本执行命令下发。
    - ICMP:连通性探测
1. 软件部署
  - ISO镜像部署
  - OVA模板部署
2. 硬件一体机部署
客户端Agent部署

部署方式(5种):安装包部署、网页推广部署、AC联动部署、虚拟机模板部署、域控场景部署

4.4.2 EDR终端管理

终端管理–需求背景

内网电脑数量多，不同部门电脑系统版本不一样、不同终端类型需要配置的安全策略也不一样，管理员缺少一种对全网电脑进行管理的方式、给运维带来不便。

EDR终端分组是树形组织结构，能根据客户不同需求对终端进行灵活分组，如按业务部门、按终端类型(客户端和服务器)等进行分组，并且可以对各个分组配置个性化的安全策略，从而做到内网众多电脑进行分类管理、方便运维。

终端清点–需求背景

终端清点功能能够帮助管理员看清全网主机资产全貌，理清全网主机风险暴露面，从而削减全网主机攻击面。

终端清点是由EDR客户端读取终端操作系统信息、已安装的应用软件信息、开放的监听端口信息、终端的系统账户信息和终端硬件信息，上报给EDR管理平台进行集中展示和分析

应用场景：

（1）全网非授权软件使用统计

（2）全网主机风险账户梳理

（3）统一封堵风险端口

终端发现–需求背景

终端电脑数量很多的情况下，管理员很难知道哪些终端未安装EDR客户端进行防护，从而带来潜在的安全风险。终端发现功能可以帮助管理员发现内网没有安装EDR客户端的电脑，及时做好安全防护，降低风险暴露面。

原理：

EDR集成了Nmap扫描工具实现终端发现功能。管理员触发内网扫描(Nmap扫描)对内网终端进行活跃探测，扫描返回结果中的IP说明主机是活跃的，EDR将活跃的主机IP和EDR管理平台中在线的终端IP比较，得出EDR管理平台中不存在的活跃主机，即为未安装EDR客户端的终端。

终端基线检查–需求背景

信息安全等级保护标准已经成为国内企业信息安全建设的标准。国家规定，有些行业(如金融、教育、能源、电商等)是有要求自己的信息安全建设过等保测评的。等保从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等方面对信息安全建设都做了相应的规范要求。
如果客户业务系统需要准备等保测评，那么业务系统当前安全状态与等保安全要求之间的差距在哪里，需要帮助客户梳理出来，进行整改。EDR的基线检查功能是根据三级等保合规性要求对windows和linux系统进行合规性检查，帮助客户发现内网不合规终端及不合规项并提供加固整改建议。

功能:

对以下安全策略进行合规性检查

身份鉴别策略组检测
访问控制策略组检测
安全审计策略组检测
剩余信息保护策略组检测
入侵防范检测

远程协助

原理:

基于远程控制开源软件UItraVNC(分为客户端和服务端)，EDR客户端默认附带UItraVNC服务端程序。通过在EDR管理平台发起远程，下载运行UItraVNC客户端程序，输入被远程端的IP、端口以及授权码即可实现远程控制。

注意事项:

4.4.3 EDR策略中心

需求背景

客户选择EDR是为了给终端提供一套完整的安全解决方案，保护内网服务器和PC的安全。EDR提供基本策略、病毒查杀、实时防护、安全加、信任名单和漏洞修复等安全策略帮助用户保护内网主机安全。

一、病毒查杀

功能介绍：漏斗式，从上到下依次进行，一旦上层发现有问题就继续交给下层

文件信誉检测引擎：

基因特征检测引擎：提取基因，处理病毒家族

人工智能检测引擎：

行为分析检测引擎：

安全云脑检测引擎：

配置步骤:

配置病毒查杀策略
下发病毒查杀扫描
对病毒查杀结果进行处置

病毒查杀策略

病毒查杀发现威胁文件后的三种处理动作
- 标准处置:**默认配置为标准处置**。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置(确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理)
- 严格处理:**适用于严格保护场景，可能会存在一定误判**。EDR检测的所有威胁文件均隔离处理。
- 仅上报不处置:**适用于有人值守且用户了解如何处置病毒的场景，需要人工分析上报的威胁日志进行处理**。EDR检测的所有威胁文件仅上报安全日志，不隔离。
扫描引擎默认没有启用行为引擎，如果电脑配置在CPU 4核、内存 4G以上可以启用所有引擎，低于此配置，建议保留默认配置。
“开启高启发式扫描”后会提高病毒检出率，但也会增加误判，此配置项在多家厂商PK测试病毒检测率时使用，非此场景慎用。

病毒处置

如果病毒查杀策略设置发现恶意文件的处置动作为“标准处置”或“仅上报，不处置”，则病毒查杀发现的威胁文件(未自动隔离的)可以由人工进行“处置”、“信任”和“忽略”处理

处置:对感染性病毒、宏病毒文件先进行修复，无法修复再进行隔离处理:其它类型病毒直接隔离。
信任:如果检测出的威胁为正常文件，则可以添加为可信任。
忽略:如果威胁在终端已自行处理，管理端不需要显示威胁日志，则可以设置为忽略。
威胁分析:接入深信服安全中心，对威胁事件详细分析，进一步判断威胁文件影响。

注意事项

二、文件实时监控

需求背景

为了保护业务安全，不仅要做到威胁发生后对威胁事件的及时检测与响应，更需要在威胁发生前进行相应预防和威胁发生的过程中做好相应的防护策略。这样才能在保护业务安全方面提供事前预防、事中防护、事后检测和响应的闭环解决方案。此次培训主要介绍在事中防护阶段文件实时监控如何保护业务安全。

功能介绍

文件实时监控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多种引擎，实时监控电脑上文件写入、读取和执行操作，当检测到威胁文件写入、读取、执行时，立即阻断相关操作，并进行告警。防止威胁文件落地、并进一步执行，从而保护业务安全

原理介绍

配置介绍

防护级别
- 高：监控文件打开、执行、落地动作
- 中：监控文件执行、落地动作
- 低：监控文件执行动作
扫描引擎
- 电脑性能足够，扫描引擎可以全开;性能不足，建议关闭基因特征引擎
发现恶意文件后的处置动作
- 标准处置:默认配置为标准处置。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置(确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理)
- 严格处理:适用于严格保护场景，可能会存在一定误判。EDR检测的所有威胁文件均隔离处理。
- 仅上报不处置:适用于有人值守且用户了解如何处置病毒的场景需要人工分析上报的威胁日志进行处理。EDR检测的所有威胁文件仅上报安全日志，不隔离。

注意事项

三、勒索诱饵防护

功能介绍

EDR在勒索病毒经常加密的目录按照**投放规则投放诱饵文件(文本文件、pdf、图片等)并实时监控诱饵文件是否被修改**。如果电脑感染勒索病毒，勒索病毒会遍历目录下的所有文件并对文件进行加密(勒索防护功能够按一定算法确保诱饵文件先被勒索病毒读取)，当EDR检测到诱饵文件被修改时，EDR客户端及时进行报警拦截，从而更早更及时地发现和清除未知勒索病毒，避免终端系统文件或业务文件被加密。

原理介绍

注意事项

四、暴力破解检测

需求背景

安全事件的发生，绝大多数都是因为黑客先拿到了内网控制权限，再植入了病毒。黑客拿到内网权限的方法常见有暴力破解入侵、漏洞利用等。所以攻击过程中，如果能够实时检测暴力破解行为，并加以阻止，就能够阻止黑客通过暴力破解入侵内网，从而保护内网安全。

功能介绍

暴力破解是指攻击者使用用户名和密码字典，一个一个去枚举，尝试入侵服务器。理论上来说，只要字典足够庞大，枚举总是能够成功的。爆破的类型有很多，**EDR支持Windows的RDP、SMB爆破检测，以及Linux的SSH爆破检测。**

原理介绍

EDR支持Windows的RDP、SMB爆破检测，以及Linux的SSH爆破检测。
通过**读取Windows和Linux系统登录日志**，检测在一分钟时间内同一个用户登录系统的次数或同个IP不同用户登录系统的次是否达到阀值，达到阀值则判定为爆破，进行封锁或上报日志。

注意事项

五、安全加固

功能介绍

为了保护服务器或服务器重要目录不被勒索或不受恶意威胁影响，安全加固功能可以**只允许可信进程(EDR自动学习或手动添加)在服务器运行或访问服务器重要目录，不可信进程无法在服务器运行，从而保护服务器或服务器重要目录，有效阻止未知勒索病毒等威胁对服务器的影响。此功能只适用Windows Server，不适用Windows PC和Linux系统。**

原理介绍

EDR客户端实时监控不可信进程是否在受保护的服务器运行、不可信进程是否访问服务器重要目录，当检测到存在不可信进程时，立即停止运行或停止访问服务器重要目录。

适用场景

适用于保护运行稳定的服务器系统，阻止不可信进程(如勒索病毒等恶意病毒)在服务器运行，从而达到保护服务器安全的目的。
适用于针对服务器的重要目录进行防护，避免重要目录及其文件被勒索病毒等进行非法篡改/获取。

六、漏洞修复

需求背景

漏洞利用是攻击者常用的攻击手段，如著名的WannaCry勒索病毒事件正是利用了MS17-010漏洞(永恒之蓝)实施的入侵，给全球用户造成了无法估计的损失。与此同时内网终端多，漏洞修复过程复杂、周期长。正因为如此，急需一种工作能够在预防阶段集中批量、方便检测终端系统漏洞，并进行修复，防止攻击者通过漏洞入侵。

功能介绍

EDR通过管理平台集中管理内网所有终端能够批量检测内网windows系统漏洞，并进行批量修复。通过管中管管理、批量检测与修复，使漏洞修复工作更简单、周期更短。

原理介绍

漏洞修复过程两阶段：漏洞检测、漏洞修复
- 漏洞检测
  - 漏洞库更新：云脑定期更新微软当前发布的漏洞补丁信息，EDR获取对应漏洞的检测规则发布到CDN，MGR从CDN更新漏洞规则为库，Agent从管理平台更新漏洞规则库。
  - 漏洞检测：MGR^1下发漏洞扫描检测指令到Agent，Agent收到漏洞检查任务后，开始检查(根据漏洞规则库与电脑漏洞进行匹配)，并将检查结果上报给管理平台。
- 漏洞修复
  - 管理平台下发漏洞修复指令到Agent，Agent收到漏洞修复任务后，从漏洞补丁服务器(CDN、微软补丁服务器、EDR管理平台、客户自建补丁服务器)下载漏洞补丁进行修复，修复结果上报管理平台。

七、轻补丁漏洞免疫

需求背景

漏洞利用攻击在当前热点威胁中拥有最高的使用率，通过打补丁修复漏洞成为众多企业级用户的首选方案。然而，传统的漏洞修复方法在①补丁未及时发布(0day漏洞)②微软停止提供漏洞修补支持(Win7等停更系统)③漏洞修复导致重启等场景下，已不能提供快速有效的防护能力，企业用户的终端存在很大的安全隐患。

轻补丁漏洞免疫，直接在内存里对有漏洞的代码进行修复，无需下载补丁重启电脑，快速修复，对业务系统“零”干扰。

原理介绍

传统的漏洞修复大致分为3个过程:

首先，根据漏洞规则定位到有BUG的系统原文件
其次，将系统原文件替换成新的已修复文件
最后，重启系统进程将新的代码读入内存中运行

该方案一方面需要将补丁替换到磁盘并重启生效，存在中断业务的困扰;另一个方面，安装补丁往往需要对系统进行修改，存在与现有业务系统的兼容性风险。

轻补丁漏洞免疫：

为避免传统漏洞修复的弊端，轻补丁漏洞免疫通过补丁规则包匹配定位问题代码内存片段，直接替换问题代码完成修复，无需重新启动进程调用内存。

注意事项

八、终端广告弹窗拦截

需求背景

终端大量软件为盈利自带广告弹窗功能，给用户的办公带来很大的干扰，特别是教育、政府行业。希望能够对终端进行一键弹窗拦截，减少垃圾信息的干扰，为用户提供一个纯净的工作环境。

原理介绍

深信服EDR终端广告弹窗拦截是由客户端UI加载弹窗拦截的插件，实时对当前桌面所有的窗口进行扫描，匹配本地的弹窗拦截规则，若匹配上则进行拦截，并记录拦截日志;其中拦截规则可云端在线更新。

注意事项

4.4.4 EDR微隔离

需求背景

客户端与业务服务器、服务器与服务器之间访问关系复杂，无法看清之间的访问关系、无法基于访问关系配置访问控制策略，从而给服务器安全带来隐患，加大安全管理难度。

微隔离是一种集中化的流量识别和管理技术。

在东西向访问关系控制上，能够基于访问关系进行访问控制策略配置，集中统一管理服务器的访问控制策略，减少了对物理、虚拟的服务器被攻击的机会。

在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录

访问关系控制

在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。

访问关系可视化

在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录。

原理介绍（终端本机装防火墙）

微隔离使用Windows防火墙WFP和Linux防火墙iptables进行访问流量控制和上报的
如下图为微隔离整体流程s图，先在MGR下发微隔离策略，此时终端会根据配置的微隔离策略设置终端电脑防火墙规则。当终端发送请求时，系统会根据要访问的IP地址、端口、协议等来解析请求，然后与防火墙规则进行匹配，允许则放通，不允许则直接丢弃。

微隔离使用

配置思路：四个步骤

（1）业务系统梳理

根据客户需求梳理客户业务系统/IP/角色/服务及各对象之间的访问关系，为后面的微隔策略做准备

（2）定义对象

根据第1步梳理的内容，定义业务系统/IP组/服务等对象，为微隔离策略调用

（3）配置微隔离策略

根据第1步梳理的访问关系和第3步定义的业务系统/IP组/服务，配置微隔离
策略。

（4）效果验证

案例-防止感染病毒蔓延场景

4.4.5 终端安全产品介绍

4.4.6 AIO功能介绍

第五部分广域网组网与传输安全

4.5.1 VPN概述

VPN需求背景

企业、组织、商家等对专用网有强大的需求。
高性能、高速度和高安全性是专用网明显的优势
物理专用网价格高昂，物理架设实施有难度。传统的通过租用专线或拨号网络的方式越来越不适用。(性价比较低)
TCP/IP 协议簇本身的局限性，不能保证信息直接传输的保密性。TCP/IP协议在设计之初是基于可信环境的，没有考虑安全问题，所以在TCP/IP协议簇本身存在许多固有的安全缺陷。

总结两点：对专用网的需求增加、物理专用网架设性价比低

VPN概述

VPN定义(VitualPrivate Network，虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。

虚拟：用户不再需要拥有实际的长途数据线路，而是使用公共网络资源建立自己
的私有网络。

专用：用户可以定制最符合自身需求的网络。

核心技术：隧道技术

VPN分类
1. 按业务分类
（1）Client-LAN VPN（Access VPN）
- 使用基于Internet远程访问的 VPN
- 出差在外的员工、有远程办公需要的分支机构，都可以利用这种类型的VPN，实现对
  企业内部网络资源进行安全地远程访问。
（2）LAN-LAN VPN
- 为了在不同局域网络之间建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，则可以采用LAN-LAN 类型的VPN。
1. 按网络层次分类
VPN常用技术

隧道技术
加解密技术
身份认证技术

隧道技术

隧道：是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。
隧道技术：是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道，使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。

多种隧道技术对比

目前使用最多的市IPSec和SSL VPN，Intranet VPN和Extranet VPN场景多用IPSec，而Access VPN多用SSL VPN

加解密技术

目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

通常使用加密机制来保护信息的保密性，防止信息泄密。信息的加密机制通常是建立在密码学的基础上。

常见对称加密算法

对称算法的缺陷

常见非对称加密算法

对比对称与非对称

身份认证技术

身份认证：通过标识和鉴别用户的身份，防止攻击者假冒合法用户来获取访问权限。
身份认证技术：是在网络中确认操作者身份的过程而产生的有效解决方法。

A和B：（RSA）

数字签名是证明发送者就是发送者的东西，检查发送者的数据是否被篡改

初始版本：A给B发送信息，A用B的公钥加密，B用自己的私钥解密

现在版本：A要发送的数据进行HASH得到数字摘要，A用A的私钥加密数字摘要之后发送给B，B用A的公钥解密得到数字摘要，然后对比数字摘要是否被篡改，并且确认信息就是由A发过来的，但是黑客可以在B的电脑上把A的公钥换成自己伪造的公钥，于是B不能确定自己电脑上的A的公钥是不是A的，于是有了数字证书

那么此时A要去CA机构，让CA机构用自己的私钥对数字证书进行签名，然后接收者B要去用CA的公钥解开数字证书，拿到数字证书中A的的公钥，再用A的公钥解密数字签名，得到信息摘要，然后比对

PKI体系

PKI(公开密钥体系，PublicKeyInfrastructure)是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
PKI技术采用证书管理公钥，通过第三方的可信任机构–CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户的身份。
目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

PKI体系组成

PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。

CA中心

CA中心，即证书授权中心(Certificate Authority)，或称证书授权机构，作为电子商务交易中受信任的第三方。

CA中心的作用：签发证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书，以及对证书和密钥进行管理。

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。

CA中心的数字签名使得攻击者不能伪造和篡改证书。

数字证书认证技术原理

数字证书：一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件

数字证书一般包含:

用户身份信息
用户公钥信息
身份验证机构数字签名的数据

从证书用途来看，数字证书可分为签名证书和加密证书

签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性
加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。

常见证书类型

数字证书
根证书：CA自己给自己下发的证书
用户证书：CA给个人下发的证书，一般存放于个人的浏览器中
设备证书：也叫做服务器证书

数字证书实例–HTTPS协议

HTTP是常用的web协议，用来交互网页数据。由于HTTP是不加密的，在公网上明文传输，缺少保密性。所以出现了安全加密的HTTP协议—HTTPS协议。HTTPS是在SSL协议基础上的HTTP协议
SSL协议的握手过程需要传输服务器的证书，并验证证书的可靠性。

服务器证书是由CA机构颁发，用户浏览器中存在一些可信任的CA机构的列表，如果服务器证书颁发机构不在这个列表中，那么就会弹出证书不可信的提示。

服务器证书中包含了服务器的公钥，用户浏览器验证成功后，会用服务器的公钥进行加密传输

4.5.2 IPsec VPN解决方案

IPSEC协议簇安全框架

需求背景

对保密性的需求越来越高
GRE、L2TP等VPN技术不支持保密性的要求

于是有了IPSec

IPSec VPN简介

IPSec(Internet Protocol Security)：是一组基于网络层的，应用密码学的安全通信协议族。IPSec不是具体指哪个协议，而是一个开放的协议族。

IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务

IPSeC VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

IPSec提供的安全服务

IPSec协议族安全体系框架

IPSEC工作模式

IPSEC通信协议

IPSEC建立阶段

IPSEC VPN应用场景

4.5.3 SANGFOR VPN解决方案

4.5.4 AutoVPN功能

4.5.5 BBC部署及设备管控功能

4.5.6 BBC分支序列号批量更新及平台告警功能

4.5.7 BBC常见使用场景

4.5.8 VPN内网服务选路功能

第六部分态势感知基础原理与运维

SIP：态势感知平台

4.6.1 安全感知平台功能说明-监控和大屏

监控中心

（1）用途：

监控中心用于显现全网的安全事件总览，并呈现存在的主机或安全事件的数据统计情况，并可查看主要功能模块存在问题的top5情况。

（2）板块：

接入设备状态、综合安全感知、业务安全感知、终端安全感知、威胁感知、资产感知、安全播报

（3）安全检测清单：用于对当前SIP检测出来的安全事件，统计出各类安全事件当前存在多少风险主机，以及处理进度情况如何。

（4）挖矿专项检测：黑客可以通过挖矿获得收益，所以挖矿事件也较多，该功能模块可以对全网出现挖矿的安全事件进行统一展示，检测当前存在挖矿各阶段的主机数量，更直观了解挖矿的安全态势，及时进行处置。

大屏可视

（1）安全类

综合安全态势大屏：全局总览整体安全态势，包括“事前”资产态势、脆弱性态势、“事中”攻击态势，以及“事后”安全事件态势等;同时，也能以安全域的视角直观地看清风险所在区域。
分支安全态势大屏：在多分支单位场景时，直观地、全局地监控各健的安全态势以及排行。
通报预警大屏
安全事件态势大屏：监控内网发生安全事件的情况，对近期网络安全行业中发生的风险进行监控。
网络攻击态势大屏：监控来自外部的攻击，直观展示内部网络在全球范围内面临的攻击威胁，攻击源地理位置、攻击手段，被攻击业务一目了然。
网络攻击态势大屏-3D(需要独显支持)
外连风险监控大屏：监控业务的风险外连情况态势，业务系统对外部发起的攻击、C&C通信、违规访问等。
横向威胁监控大屏：监控内部横向的威胁，看清来自内部的威胁，包含内对内的攻击违规访问、可疑行为、风险访问。
脆弱性态势大屏

（2）访问关系类

正常横向访问监控大屏
正常外连监控大屏

（3）资产&接入设备类

资产态势大屏
设备运行态势大屏

（4）重保类

重大活动网络安全指挥调度大屏

大屏功能扩展

每个大屏可以在“设置”中进行一定程度的自定义，如修改大屏标题，或者增加或减少大屏展示的内容。
可以在大屏上实现实时告警功能，当出现安全事件后，会在大屏上出现告警的贴图。
若只有一个大屏需要将所有的大屏投放时，可以全貌和大屏轮播投屏，可自定义间隔时间。
将鼠标放至大屏上可看到大屏的作用描述，如下一页图:

4.6.2 安全感知平台功能说明-处置中心

处置中心

安全感知平台最关键的模块，用于查看当前网络中存在的风险主机(服器器、PC终端)以及网络中存在的安全事件。安全感知平台无处置功能，能分析出当前的网络中存在的问题，需要人工或使用杀软等工具对该模块中的待处置主机进行处置操作，完成安全问题闭环

处置中心将全网安全问题，通过风险主机(服务器、终端)视角、安全域视角、安全事件视角进行整理。

当管理员习惯查看哪些主机存在安全问题时，可以通过风险业务视角或风险终端视角进行查看。
当管理员想知道哪个区域安全较薄弱时，可以通过风险安全域视角进行确认。
当公司出现了某项安全事件时，如勒索病毒，可以通过安全事件视角进行查找所有中勒索病毒的主机。

数据分析和监控

基于NTA技术、利用人工智能分析**(南北向与东西向)流量和载荷文件**，从而识别异常协议、异常流量、主机异常行为;
匹配机制问题: 传统安全设备的判断机制是特征匹配，需要通过异常检测的方式才有可能识别出可疑攻击行为，0day、特种木马、隐蔽通道传输等未知攻击;
监控网络流量、资产、设备，建模学习日常网络行为，这样对异常的连接、数据交互、用户变更等可以实现安全可视和追踪。

检测手段

（1）DGA检测

DGA（Domain Generation Algorithm）检测是指识别和分析利用域名生成算法（DGA）生成的域名的技术。DGA通常用于恶意软件和网络攻击中，以便通过频繁改变的域名来隐蔽其命令和控制（C&C）服务器。

DGA检测的主要方法包括：

域名分析：监控和分析网络流量中的域名请求，以识别异常或可疑的域名模式。
机器学习：使用机器学习模型训练历史数据，对域名的生成方式进行分类，从而检测是否符合DGA的特征。
规则基检测：构建特定的规则或特征集，识别符合DGA生成模版的域名。
黑名单对比：将所生成的域名与已知的DGA域名黑名单进行比对，进行自动检测。
行为检测：分析不寻常的网络行为，比如频繁连接未知域名等，以寻找潜在的DGA活动。

（2）APT检测

APT（Advanced Persistent Threat，高级持续性威胁）检测是指识别和响应针对特定目标的复杂攻击，这些攻击通常由组织化的攻击者发起。APT攻击通常以长时间潜伏、精心规划和持续攻击为特征，其目标往往是窃取敏感信息或破坏关键基础设施。

APT检测的主要方法包括：

网络流量监测：实时监控网络流量，寻找异常流量模式、可疑的通信行为或者大量数据传输。
行为分析：采用动态行为分析技术，将系统的正常行为基线建立起来，识别出偏离正常行为的可疑活动。
终端检测与响应（EDR）：在终端设备上部署监测工具，检测恶意软件、可疑的文件活动和异常进程。
指标与恶意活动（IOCs）：使用已知的APT攻击指标（如IP地址、域名、文件哈希等）进行对比检测。
多层防御：结合边界防护、入侵检测系统（IDS）、入侵防御系统（IPS）等技术，形成全面的安全防护体系。
安全信息与事件管理（SIEM）：集中收集和分析来自不同安全设备和系统的日志，以识别潜在的APT活动。
用户行为分析（UBA）：监测用户行为模式，识别内部威胁或被入侵账户的异常活动。
红队与蓝队演练：通过模拟攻击（红队）与防御（蓝队）演练，评估和提高组织的APT侦测与响应能力。

（3）数据泄露检测

数据泄露检测是识别和防止敏感信息未经授权访问、使用或披露的重要过程。数据泄露可能会导致财务损失、声誉损害、法律责任等问题。检测数据泄露的主要方法和策略包括：

数据丢失防护（DLP）：
- 部署DLP解决方案，监控和控制终端、网络和存储设备上的敏感数据使用。
- 设置策略，防止对敏感数据的未经授权访问和传输。
网络流量监控：
- 实时监控网络流量，识别异常数据传输，尤其是大量数据向外部网络的发送。
- 使用入侵检测系统（IDS）和入侵防御系统（IPS）检测可疑行为。
用户行为分析（UBA）：
- 分析用户的正常行为模式，识别异常活动，如账户被入侵后的权限提升或数据访问。
- 关注高风险用户的异常登录行为和数据访问模式。
日志监控与分析：
- 集中收集和分析应用、服务器和网络设备的日志，以发现潜在的数据泄露迹象。
- 使用安全信息和事件管理（SIEM）工具，进行实时监控和警报。
敏感数据分类和标记：
- 对敏感数据进行分类和标记，确保被识别和保护。
- 使用加密技术保护静态和传输中的敏感数据。
资产和漏洞管理：
- 定期进行网络和应用程序的安全审计，识别漏洞和潜在的泄露风险。
- 采取补救措施，确保系统和应用程序的安全性。
用户教育与培训：
- 为员工提供安全意识培训，帮助他们识别社会工程攻击和数据泄露的风险。
- 强调安全最佳实践，减少人为错误导致的数据泄露风险。
第三方安全评估：
- 对供应链和第三方服务提供商进行安全评估，确保其遵循数据保护政策。
- 签署保密协议，限制对敏感数据的访问。
传统引擎和人工智能引擎的比较

风险等级

SIP对事件通过“失陷确定性”、“威胁等级”两个维度进行定级。

失陷确定性：是对主机风险评级的主要指标。
- 优先查看报的已失陷与高危等级事件，这些事件准确性较高，容易查出问题
- 对于中危和低危事件，需要进一步的分析排查，去确认事件，需要一定的安全分析能力。
威胁等级：是主机对内网或外网造成威胁的评级指标。
- 威胁等级是风险主机对内网或外网主机发起的攻击行为，如病毒的扩散事件，是对内网有威胁的，肉鸡对互联网发起攻击将会被监管单位进行通报。
- 如下图，是主机对内网发起永恒之蓝漏洞利用攻击，以及对互联网发起数据库扫描攻击，描述了方向。

4.6.3 安全感知平台功能说明-分析中心

分析中心的作用说明

（1）分析中心结合了深信服安全感知平台的可视化威胁追捕、源分析、情报关联、行为分析等技术提供的可视化数据呈现，展现那些暂未形成安全事件，但存在可疑，或结合业务现状可分析发现存在异常的数据，提供给驻点安全专家，或有一定安全分析能力的运维人员进行分析，从正常现象中挖掘异常。查看主机存在的外部、横向、外连，三个方向的威胁以及访问情况进行分析。对恶意文件以及邮件威胁可以直接查看到。
（2）对2U的SIP平台还可以使用SIEM与EBA发现更多的主机风险，可以全方位的对安全事件进行识别。

功能说明

（1）分析中心包括了外部、横向、外连三个方向的安全与访问关系，并对数据传输中的文件威胁和邮件威胁做出了单向的检测展示
（2）对访问情况，平台还将识别其访问次数以及访问流量，并通过机器学习出基线识别出异常，通过EBA(行为画像)展示。
（3）若在有第三方操作系统以及第三方设备可以接入到SIP时，会通过SIEM进行关联分析。

分析中心功能介绍

（1）威胁分析

来自互联网，内网的攻击，包括外部威胁、横向威胁，外连威胁和文件威胁、邮件威胁检测。

（2）访问分析

检测互联网，内网主机的访问关系，审计访问行为。

（3）日志检索

平台审计的安全日志，审计日志以及第三方日志等。

（4）情报分析

查看当前平台的威胁情报总量，检测到内网存在威胁情报的情况，并可自定义威胁情报以及将误报的情报加入白名单。

（5）SIEM分析系统

通过接入第三方设备/操作系统日志进行异常行为分析。

（6）行为分析(EBA)

通报机器学习，建立服务器访问基线，为后续识别出服务器的异常流量以及异常访问等

威胁分析

（1）外部威胁分析

来自互联网的攻击，包括总览、高危攻击、残余攻击、外部风险访问等。快速识别到互联网的攻击，可用于分析入口点。

（2）横向威胁分析

来自内网主机的攻击行为，包括横向攻击、违规访问、可疑行为等。

（3）外连威胁分析

内网主机主动向互联网发起的攻击行为或异常连接，包括对外攻击，C&C通信^2，隐蔽通信等。

（4）文件威胁分析

STA审计到的文件，上传到SIP通过分析引擎进行识别是否为恶意文件。

（5）邮件威胁分析

包括钓鱼邮件、垃圾邮件以及病毒邮件的检测分析。

威胁分析—-分析中心是用于更高级的安全事件分析工具，较处置中心，需要更强的安全分析能力。如当在处置中心中发现一台主机的威胁等级为中危、低危时，可以通过分析中心对该主机进行外部、横向、外连等维度的威胁分析。

访问分析功能概述

横向访问分析
- 通过探针审计横向访问流量分析出服务器流量排行以及内网最活跃的源主机。
外连分析
- 识别内网主机访问互联网的情况，分析服务器和终端，是否访问到没有业务的地域行为。
外对内业务流量分析
- 审计互联网对DMZ区业务的访问情况，识别出是否有异常的大流量访问或大量的访问次数
可疑DNS分析
- 探针审计到内网主机访问了一些异常的DNS访问请求
访问控制核查
- 配置好需要核查的关系，通过探针进行审计，是否存在该访问关系。

日志检索

日志检索是最原始的数据源，其中有安全日志也有审计日志，上述的分析中心模块是已经将日志检索中的日志进行聚合的结果，只在需要分析单条日志时才使用日志检索

日志类型选择
- 用于筛选安全日志，审计日志以及第三方接入设备/操作系统日志，进行分类查询
搜索框
- 可以自定义输入查询的字段，搜索技巧可以查看帮助文档。
日志方向
- 在分析日志时，可能有时需要只筛选某个方向上的日志，可以使用此功能
重点/可选字段
- 在检索到的日志时，有一些字段默认未展示，可以手动添加重点或可选字段
解码小助手
- 在检索到日志后发现日志是ur1，base64等常见编码时，可以使用解码小助手解码
  查看分析。

SIEM分析系统

通过接入第三方安全设备(如防火墙、IPS、IDS、WAF、终端安全等)、网络设备(如路由器、交换机等)、操作系统(如windows、linux各系列)、中间件(web中间件如apache等，数据库中间件如Mysql、Sqlserver等中间件)等日志数据进行关联分析，结合A1机器学习和数据挖掘技术发现安全威胁和安全风险，结合可视化呈现构造多源化监视和分析的安全系统，目的旨在帮助用户通过多源数据分析检测威胁和溯源(2U设备支持关联分析)

行为分析（EBA）

UEBA采用流式计算框架，产生的日志以流的形式不断的输入到分析引擎，分析引擎以最近一段时间(7~30天)的数据为基础进行学习，学习正常的行为式，对于偏离正常基线的行为做出异常告警。
UEBA可以检测传统工具看不到的安全事件，因为这些安全事件不符合预定义的相关规则或攻击模式，或者因为它们跨越多个组织系统和数据源。UEBA代表了对传统SIEM系统的重要改进。首先，它克服了SIEM关联规则的局限性，其次在许多情况下整个关联规则模型被打破的现实。

4.6.4 安全感知平台功能说明-资产和报告中心

资产中心

资产感知
- 资产识别目是STA探针产品的一个重要功能，目的旨在帮助用户梳理资产，识别风险资产(如影子资产)，为攻击检测提供辅助等。目前探针主要使用被动识别以及主动识别进行资产识别，被动识别主要根据网络流量镜像到探针，探针根据镜像流量进行内网识别，内网资产梳理;主动识别是探针进行发包主动探测内网资产，再进行数据汇总与分析。
- 平台识别到的资产将定义为内网资产，在为后续识别横向、外连、外部威胁或访问关系定义方向，需要事先定义好内部IP组或者分支IP范围。
脆弱性感知
- 有脆弱性总览
- 检测弱密码、http明文传输
- 配置风险：检测风险端口、授权配置不当

报告中心

安全风险报告：包括自动生成的预设报告以及手动导出的报告，也可以订阅报告，用于汇报，安全运维等方面。
安全告警：当检测到安全事件时，会通过邮件或者短信的方式发送告警信息给管理员

联动响应

联动响应功能的引入:

大家都知道SIP只做为安全事件的检测，无法对检测到的安全问题进行闭环

当前的两类安全问题闭环方式

1、MDR服务，通过购买安全服务，由安服人员对安全问题进行处置闭环(培训中不进行说明)
2、通过与深信服其它产品进行联动，如AF/EDR等，在SIP上下发策略对问题进行处置闭环。

三部分

联动端口使用说明

方向	端口
AC–>SIP（检测到威胁上传给态势感知平台）	1775
SIP–>AC（下发封锁策略）	7443/9998

AC：上网行为管理 SIP：态势感知平台

方向	端口
AF–>SIP（检测到威胁上传给态势感知平台）	4430
SIP–>AF（下发封锁策略）	7743

AF：防护墙 SIP：态势感知平台

方向	端口
EDR–>SIP（检测到威胁上传给态势感知平台）	7443
SIP–>EDR（下发封锁策略）	443

EDR：终端安全检测 SIP：态势感知平台

4.6.5 SIP平台日常运营使用

4.6.6 安全感知平台产品对接

4.6.7 级联功能专项培训

[^3]:RADIUS（Remote Authentication Dial-In User Service）协议是一种用于身份验证、授权和计费的网络协议。它广泛应用于各种网络环境中,主要用于验证远程访问用户的身份。
[^4]:EAP 终结方式要求 RADIUS 服务器负责完成整个 EAP 身份验证过程。RADIUS 服务器与客户端(如无线接入点)之间使用 RADIUS 协议进行通信。RADIUS 服务器执行 EAP 认证方法,并将最终的认证结果返回给客户端。这种方式简化了客户端的实现,但要求 RADIUS 服务器具有更强的计算能力。
[^5]:EAP 透传方式下,RADIUS 服务器不参与 EAP 身份验证过程本身。客户端与 RADIUS 服务器之间使用 RADIUS 协议进行通信,但 EAP 帧是透明地传递的。EAP 认证方法在客户端和终端用户设备之间直接执行,RADIUS 服务器只负责转发 EAP 帧。这种方式将 EAP 认证过程分散到客户端和用户设备上,减轻了 RADIUS 服务器的负担。
[^6]:哑终端主要用于输入和输出数据,没有复杂的数据处理和应用程序功能。它们通常只能执行基本的数据显示、键盘输入等功能。哑终端完全依赖于连接的主机或服务器来执行计算和数据处理。它们没有自己的操作系统和本地应用程序,只是充当主机的输入/输出设备。
[^7]:VoIP（Voice over Internet Protocol）最初是用于语音通信，但现在也扩展到视频通信。它允许用户通过网络进行实时视频通话，而不是传统的电话系统

深信服安全技术认证工程师学习笔记

第一章 网络安全基础

1.1信息时代与信息安全

1.2网络空间安全学科浅谈

第二章 操作系统基础

第三章 网络运维

第一部分 计算机网络原理

第二部分 路由与交换

第四章 网络安全产品运维

第一部分 下一代防火墙基础原理与运维

4.1.1下一代防火墙概述

传统防火墙（包过滤防火墙）

传统防火墙（应用代理防火墙）

传统防火墙（状态检测防火墙）

入侵检测系统（IDS）

入侵防御系统（IPS）

防病毒网关（AV）

传统的病毒检测方法：

Web应用防火墙（WAF）

统一威胁管理（UTM）-多合一安全网关

下一代防火墙（NGFW）-升级版UTM

4.1.2 深信服下一代防火墙解决方案

深信服应对方案

==深信服人工智能杀毒引擎SAVE==

智能联动

云端智能检测-威胁情报

云端智能检测-云端沙箱

互联网出口安全防护场景

对外业务发布安全防护场景

分支机构安全防护场景

数据中心安全防护

4.1.3 下一代防火墙组网简介

AF的接口

接口设置注意事项

区域

错题：

4.1.4 下一代防火墙组网-路由模式

4.1.5 下一代防火墙组网-透明模式

4.1.6 下一代防火墙组网-旁路模式

4.1.7 下一代防火墙组网-混合模式

4.1.8 策略路由解决方案

错题：

4.1.9 高可用性功能基础（高可用性架构）

4.1.10 主主&主备部署应用场景及配置思路

主备部署

主主部署

4.1.11 双机聚合应用场景及配置思路&双机部署常见故障

错题：

4.1.12 终端安全风险&终端上网安全应用控制技术

4.1.13 终端上网安全网关杀毒技术

4.1.14 僵尸网络检测和防御技术

4.1.15 终端安全防护专题-勒索病毒防护

4.1.16 服务器安全风险与DOS攻击检测和防御技术

4.1.17 漏洞攻击防护入侵检测和防御技术

4.1.18 WEB攻击检测和防御技术

4.1.19 联动封锁技术

4.1.20 安全运营中心

4.1.21 业务安全功能

4.1.22 用户安全功能

4.1.23 业务资产管理

4.1.24 主动诱捕（云蜜罐）

4.1.25 账号安全检测和防御技术

4.1.26 DNS-Mapping功能与设备常用运维功能

4.1.27 xhack工具介绍

第二部分 全网行为管理基础原理与运维

4.2.1 全网行为管理概述

4.2.2 全网行为管理的基本操作

1. 登陆设备

2.恢复出厂设置

错题

4.2.3 全网行为管理部署模式

路由部署解决方案

网桥部署解决方案

旁路部署解决方案

部署模式小结

Trunk部署解决方案

错题

4.2.4 全网行为管理高可用部署

1 高可用需求背景

2 主备模式部署

第一章网络安全基础

第二章操作系统基础

第三章网络运维

第一部分计算机网络原理

第二部分路由与交换

第四章网络安全产品运维

第一部分下一代防火墙基础原理与运维

第二部分全网行为管理基础原理与运维

第三部分零信任基础原理与运维