IPSec VPN

• IPSec VPN通在数据包中插入一个预定义头部的方式 ，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包

image.png

• IPSec VPN特性：机密性、完整性、重传攻击保护（通过单向递增序列号实现），数据源鉴别 不可否认性（通过数字数字证书实现）、访问控制、有限的流量保密

• VPN经常应用与站点-站点（总部-分支 私网-私网）、站点-出差员工

• 传输模式经常用于主机-主机之间，且俩台pc必须配置公网IP地址；封装方式：不改变原来的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据

  
  
  image.png

• 隧道模式：应用于站点-站点，私网-私网之间；封装模式：增加新的IP（外网IP）头，其后是ipsec包头，之后再将原来的整个数据包封装

  
  
  image.png

• AH提供的服务：无连接数据完整性、数据源验证、抗重放服务；AH不提供任何保密性服务，不加密所保护的数据包

• ESP：封装安全有效载荷；提供的服务：无连接数据完整性、数据源认证、抗重放攻击、数据保密、有限的数据流保护

• ESP通常使用DES、3DES、AES等对称加密算法实现数据加密，使用MD5或SHA1来实现数据完整性认证

• AH协议号51；ESP协议号50

  
  
  image.png

• 主模式默认使用自己的出接口作为自己的身份标识，校验对端的公网IP做对端的身份标识；野蛮模式可以使用用户名或IP等作为双方身份标识，即可以手动配置身份ID（仅对深信服设备）

• 非对称加密算法：RSA、DH、DSA；对称加密算法：DES、3DES、AES

  
  
  image.png

• 建立隧道后。如果其中一端的设备异常重启，导致SA不一致，会出现什么问题？会出现VPN黑洞。解决办法：DPD对等体检测

• IPSec NAT：（1）ipsec和nat在同台设备部署：nat在ipsec前处理数据，干扰ipsec流量，解决办法：私网之间流量不做NAT转换；（2）nat和ipsec不在同一台设备部署，ipsec处理数据在前
  nat在后处理会改变数据的源ip，那么俩端身份验证就会失败，解决办法：使用野蛮模式，使用字符串作为身份验证标识

  
  
  image.png
  
  
  image.png

SangFor VPN

• IPSec支持固定IP、动态IP、动态域名
• WenAgent寻址过程：用于SangFor VPN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接（寻址过程中，所有信息均使用DES加密）
• 与标准IPSec VPN相比，SANGFOR VPN 的专利技术优势：
  1、支持俩端都为非固定IP的公网环境----通过WebAgent实现
  2、更细致的权限粒度（权限控制）
  3、线路带宽叠加技术
• 与标准IPSec VPN相比，SANGFOR VPN的特殊场景：
  1、更细致的权限粒度
  2、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控
  3、隧道间NAT技术，解决多个分支网段IP冲突问题

• SANGFOR VPN既可以实现分支和总部的互连，也可以实现出差员工和总部的互连（通过PDLAN）

  
  
  image.png
• IPSec VPN 和 SANGFOR VPN设备之间要能正常连接VPN，则至少要保证一端为直连

• 4009位WebAgent服务端口，有三种形式

  
  
  image.png
• 本地子网作用是为了宣告，为了告诉分支要访问总部哪些网段需要进行VPN数据封装

• SANGFOR VPN建立条件：
  1、至少有一端是总部，且有足够的授权，SANGFOR 硬件与SANGFOR硬件之间直连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权
  2、至少有一端在公网上可访问，即“可寻址”或固定公网IP
  3、建立VPN俩端的内地地址不能冲突
  4、建立VPN俩端的软件版本要匹配

  
  
  image.png

• SANGFOR VPN特殊应用场景

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
• IPSec 也可以针对出差员工使用（场景很少），SANGFOR VPN也可以针对出差员工使用
• SANGFOR VPN出差员工访问总部时，得先在客户端电脑安装一个PDLAN，会形成一个虚拟网卡，虚拟网卡得有一个IP地址，地址是总部给发，总部得创建一个IP地址池来给虚拟网卡分发地址

• 移动用户特殊场景

  
  
  image.png

SSl

image.png

image.png

• ssl发布资源类型：Web类型、TCP类型、L3VPN类型、远程应用类型

• sslVPN组网类型：网关部署、单臂模式部署、

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

• 远程应用支持windows系统

  
  
  image.png
  
  
  image.png

AC

• 问题：带宽滥用、上网难监管、信息泄漏、网络违法、安全威胁
• 技术解决方案（AC的功能）：

• 用户认证技术：
  1、IP/MAC绑定
  2、本地用户名-密码认证
  3、第三方服务器认证

  
  
  image.png
• 应用控制
  1、应用特征识别库
  2、应用管理标签化
  3、精细化管理
  4、防代理共享
• 网页过滤
  1、千万级URL识别库
  2、URL智能识别系统
  3、URL云共享
  4、自定义URL
  5、恶意网址过滤
• 行为审计
  1、网页访问审计
  2、邮件审计
  3、IM聊天应用审计
  4、外发文件审计
  5、微博、论坛发帖等
• 流量管理
  1、基于用户/用户组/应用/网站类型的流控
  2、多级父子通道
  3、动态流控
  4、P2P智能流控
  5、流控黑名单
• 网络安全法规定，日志至少保留六个月

• AC不能用登录console口来登录 控制台和恢复密码；AC/SG不能用U盘恢复密码；防火墙可以用U盘恢复密码

  
  
  image.png
• AC的日志可以存放在本地，也可以存放在数据中心
• bypass分为硬件bypass和软件bypass，作用为当AC串联在网络中忽然断电时，一对bypass口将会自动吸合，相当于一根网线，让网络不中断，原理为继电器原理，bypass口必须为一对；软件bypass，当CPU或内存太高时，开启直通会让AC上一些功能失效，可以用来定位故障，当AC开启直通时，网络变好则为AC问题，网络依然不好则不是我们AC问题
• 在网桥模式中开启直通才有用，路由模式下无用
• 防火墙也可以开启直通
• 防火墙上的直通有俩个，一个实施拦截日志并开启直通，开启后，网络层的功能还可以用，例如dos攻击，应用层不能用，另一个开启直通调试，开启后功能则都不能在用了，数据包将在二层直接被bypass，网络不通可以开启二层直通定位是不是防火墙问题
• AC设备支持路由、网桥、旁路部署模式
• SG设备支持路由、网桥、旁路、单臂部署模式
• AC以路由模式部署的时候，工作方式与路由器相当，具备基本的路由转发及NAT功能，一般在客户还没有相应的网关设备或者用户的网络环境规模较小时，需要将AC做网关使，建议以路由模式部署
• 路由模式下支持AC所有的功能
• 如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其他工作模式没有这些功能
• 路由模式排错思路：
  1、检查PC本身的网口IP、子网掩码
  2、检查PC本身的默认网关，首选的DNS服务器
  3、检查AC上给PC做的SNAT
  4、检查AC上给PC做的回包路由
  5、被PC访问的设备本身能否上网PING/TELNAT/WGET
  6、网口兼容性、换网线、换网口、中间加交换机
  7、arp防护和免费arp可能存在冲突
  8、通过ifconfig检查网口错误包或者丢包，ethtool -s，查看丢包类型
• AC设备网桥模式部署比较多
• AC以网桥模式部署时对客户原有的网络基本没有改动，网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信
• 网桥模式部署时AC不支持NAt（代理上网和端口映射）、VPN、DHCP等功能
• 网桥模式部署可以分为单网桥和多网桥
• 网桥模式设备无法上网排错思路：
  1、AC网线是否接反（在线用户列表出现大量公网IP）
  2、网桥地址是否可用，是否和内网冲突
  3、网关是否指向靠近出口方向的设备
  4、设备上的DNS是否填写正确
  5、确认前面设备是否有拦截(可能做ACL拦截了AC)或者是否对AC做源地址转换代理上网
• 旁路模式主要应用于实现审计功能，完全不需要改变用户得网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控，这种模式对用户的网络环境完全没有影响，即使闸机也不会对用户的网络造成中断
• 旁路模式部署主要用于做上网行为审计，且只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、VPN、DHCP等功能
• qq使用的是UDP，网站一般使用的是TCP、视频直播使用的是UDP

• 旁路模式下最起码得俩口，管理口和监听口

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
• 跨三层取MAC实现原理为SNMP协议，SNMP协议是基于UDP传输的，SNMP管理程序（AC向SW取MAC）端，基于UDP协议传输，端口为162，SNMP代理程序（SW向AC发送MAC）端，基于UDP协议传输，端口为161

• 当管理程序向代理程序取mac时，会发送request请求，代理程序收到request请求就会回应reponse响应包，当代理程序主动向管理程序发mac时，就会发送一个trap包给管理程序

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

• 302错误重定向

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

• 检测qq号用深度包检测

  
  
  image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

• 防共享技术：
  传统防共享技术
  1、深信服DPI检测技术
  （1）QQ检测防共享
  2、深信服字体检测技术
  3、深信服辅助检测技术
  （1）URL检测
  （2）微信特征ID检测
• 移动端-移动端共享解决方案
  1、URL检测（U-A字段显示系统版本）
  2、应用规则检测（设备内置规则库，识别匹配app）
• PC-移动端共享解决方案
  1、URL检测（U-A字段显示系统版本）
  2、应用规则检测（设备内置规则库，从应用中分析出未识别的移动终端）
• 移动终端管理解决方案
  1、排除信任IP和用户
  2、识别移动终端
  3、管理非法接入的移动终端
  4、移动终端发现趋势
• 技术
  1、URL检测
  2、应用规则检测
  3、U-A字段检测

• 不支持识别以下三种场景
  1、手机插电脑上充电
  2、PC里装了虚拟机
  3、电脑上安装了移动终端模拟器

  
  
  image.png
  
  
  image.png

• 主流的流量管控技术
  1、流量监测方法
  （1）主动检测方法：利用爬虫，获取网络的特征信息，可行性高准确性好，但是会引用额外的流量
  （2）被动检测方法：在核心网络出口监测，主要用于测量p2p网络流量，不会引用额外的流量，但对设备硬件要求较高
  2、应用检测技术
  （1）常用端口检测
  （2）深度流检测（DFI）：检测数据包大小、速率、延时、持续时间、发送平率、上下行流量的比例关系及IP地址的连接方式
  （3）深度包检测（DPI）：检测五原组、应用层分析、识别各种应用及内容，关键字检测、应用网关检测、行为模式检测
  3、应用控制技术
  （1）流量整形技术（gts）：在软件队列缓存，控制流量
  （2）连接干扰（TCP 传输层）/信令干扰（UDP 应用层）

  
  
  image.png
  
  
  image.png
  
  

  4、识别控制组网模式
  （1）直路串联流控模式
  （2）旁路干扰流控模式
  优势：对链路影响较小，可扩展性较强
  劣势：目前只能对应的使用连接干扰，信令干扰进行数据流控制，控制能力受到较大影响

• 深信服流控特性：
  （1）更全更准

  
  
  image.png
  
  

  （1）更人性化

  
  
  image.png
• SANGFOR流控原理
  1、缓存流控
  2、队列调度
  3、单用户流量的公平调度

• P2P智能流控技术

  
  
  image.png

• 动态流控技术

  
  
  image.png

• 流控黑名单

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
• WebMail
  PC-HTTP-qq邮箱服务器-SMTP-腾讯邮箱服务器-HTTP-PC
  -客户端Mail
  PC-SMTP-qq邮箱服务器-SMTP-腾讯邮箱服务器-POP3-PC
• SMTP TCP25号端口，用于发送邮件；POP3 110号端口
• SMTP只能发一些普通的文本格式，要发图片视频等非文本格式的邮件得使用MIME转码，转码之后再使用SMTP发送

• 对于SMTP和POP3协议的客户端邮件可以审计发送及接收，对于WenMail只能审计外发的邮件

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

• IM聊天内容审计：需要在客户端电脑上安装一个插件，这个插件在聊天内容发送之前就读取数据，然后写到AC日志中

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

AF

• 防火墙功能：访问控制、地址转换、网络环境支持、带宽管理功能、高可用性、用户认证、入侵检测和攻击防御
  -防火墙默认会有安全区域（有的厂商可能没有或不叫这些名字）：trust、untrust、dmz、local
• 防火墙接口必须加入安全区域才能使用
• 默认情况下各个安全区域禁止互访，要互访得配置安全策略，安全策略可以让不同区域互访，一个安全区域分为条件和动作，条件是为了抓流，匹配哪些流量，动作是让不让流量过；相同条件--或关系，匹配其中一个就可以；不同条件--与关系，必须全都匹配
• 安全策略有一个默认策略--拒绝所有

• 可以配置多条安全策略，后设置的在最上面，流量来之后自上而下匹配，匹配过了就不匹配下一个策略了

  
  
  image.png
• 下一代防火墙系统架构-深信服多核并行操作系统

• 下一代防火墙支持：路由模式、透明模式、虚拟网线模式、混合模式、旁路模式

  
  
  image.png
• 防火墙默认的管理口为eth0，接口类型为路由口，且无法修改，管理地址为10.251.251.251/24
• 防火墙的物理口根据网口数据转发特性不同，可选择路由，透明，虚拟网线和旁路镜像类型，前三种接口又可设置WAN或非WAN属性（部分功能要求接口是WAN属性，比如流控、VPN、策略路由等）

• 防火墙默认接口不让ping，防火墙上的缺省不会自动生成，要手动添加下一跳网关地址，配置缺省路由，用于故障检测

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png

• 一个接口只能属于一个区域，一个区域可以有多个接口

  
  
  image.png
  
  
  image.png

• af旁路模式管理口启用reset功能

  
  
  image.png
  
  
  image.png
  
  
  image.png
• 终端安全检测和防御
  （1）基于应用的控制策略
  （2）基于服务的控制策略

• 计算机病毒特征
  1、隐蔽性
  2、破坏性
  3、潜伏性
  4、不可预见性
  5、繁殖性
  6、传染性

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
• DOS技术
  （1）DOS攻击-一种拒绝服务攻击，常用来使服务器或网络瘫痪
  （2）DDOS攻击-分布式拒绝服务攻击

• DOS目的
  （1）消耗带宽
  （2）消耗服务器性能
  （3）引发服务器闸机

  
  
  image.png
  
  
  image.png
  
  
  image.png
• IDS入侵检测

• IPS入侵防御

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png