《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 05-行為審計概述；06-流量管理應(yīng)用場景

行為審計概述行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄網(wǎng)絡(luò)安全法要求制定內(nèi)部安全管理制度和操作規(guī)程，落實安全保護責任明確責任人防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等采取防范保護措施法律、行政法規(guī)規(guī)定的其他義務(wù)其他法律義務(wù)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個月；s監(jiān)測、記錄并保留日志數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施數(shù)據(jù)分類、備份和加密行為審計架構(gòu)客戶端審計互聯(lián)網(wǎng)審計訪問網(wǎng)站、web郵件、論壇貼吧微博發(fā)帖、web網(wǎng)盤等行為查詢。應(yīng)用、流量、時長等數(shù)據(jù)統(tǒng)計。審計架構(gòu)業(yè)務(wù)審計IM客戶端、郵件客戶端、TeamViewer、向日葵遠程工具、XShell、Pshell等運維工具、網(wǎng)盤客戶端、U盤等附件外發(fā)審計。WEB、FTP、SMB業(yè)務(wù)系統(tǒng)的行為和流量審計。行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄結(jié)合前面的應(yīng)用識別技術(shù)行為審計技術(shù)應(yīng)用審計行為審計技術(shù)組成需要結(jié)構(gòu)url應(yīng)用行為未知應(yīng)用行為分發(fā)到不同審計模塊日志記錄行為審計模塊進入零拷貝緩沖區(qū)例：例：QQ/王者榮耀下載文件名例：史記.txt………………

審計到的數(shù)據(jù)怎么存儲？行為審計技術(shù)組成需要結(jié)構(gòu)分發(fā)到不同審計模塊提取必要信息行為審計模塊進入零拷貝緩沖區(qū)

發(fā)送日志日志中心：按不同日志類型存儲日志數(shù)據(jù)行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄在之前的課程中有介紹過“上網(wǎng)行為監(jiān)控”這個模塊，可以實時的看到一些“拒絕”或者“被記錄”的上網(wǎng)動作，但是實時的日志是會被刷掉的，那么如果想查以前的日志怎么辦？這個時候就需要登錄到日志中心去查看歷史日志了日志記錄方式此處跳轉(zhuǎn)到內(nèi)置日志中心此處跳轉(zhuǎn)到外置日志中心【如果有配置外置DC】日志查詢模塊，提供給管理員進行日志查詢的功能，包含所有行為查詢、訪問網(wǎng)站查詢、即時聊天日志查詢、郵件、發(fā)帖、發(fā)微博等日志查詢，能夠追查到各種違反組織規(guī)定的行為。日志查詢?nèi)罩練w類，簡潔清晰高級過濾選項這個模塊可以查詢到所有的行為日志，但是不會顯示行為內(nèi)容可以根據(jù)時間、用戶、組、應(yīng)用來查詢?nèi)罩鞠聢D是查詢所有行為日志截圖：日志查詢主要滿足客戶的流量分析、時長分析、用戶行為分析、合規(guī)性分析等需求。例如：統(tǒng)計應(yīng)用流量排行統(tǒng)計分析可以快速的自動生成精美的圖標呈現(xiàn)出來，并且可以自由切換不同風格的表格。統(tǒng)計分析客戶可訂閱指定的報表內(nèi)容，將訂閱的內(nèi)容上報到指定的郵箱進行審閱；滿足客戶流量時長分析、用戶行為分析、合規(guī)性分析等需求。報表中心報表中心行為審計需求背景行為審計技術(shù)日志記錄查詢互聯(lián)網(wǎng)審計技術(shù)目錄如何審計論壇微博發(fā)帖、WEB郵箱發(fā)送郵件、網(wǎng)頁網(wǎng)盤上傳附件等通過http/https協(xié)議外發(fā)的內(nèi)容？需求背景全網(wǎng)行為管理可以審計WEB郵箱、論壇、微博、網(wǎng)盤、筆記、網(wǎng)頁版IM、HTTP外發(fā)與下載、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)命令、URL等劃分了13個大類，每個大類細分了多種具體應(yīng)用，可選針對內(nèi)容或者附件進行審計可根據(jù)文件類型進行審計，避免審計的附件占用太大的空間?；ヂ?lián)網(wǎng)審計互聯(lián)網(wǎng)審計通過對流量的抓取和識別分析，從網(wǎng)絡(luò)流量中提取出host、username、subject等關(guān)鍵字段內(nèi)容，作為審計結(jié)果存放到日志中心。以新浪郵箱為例：首先用新浪郵箱發(fā)送封郵件，同時抓包，下圖是發(fā)送的郵件內(nèi)容：互聯(lián)網(wǎng)審計原理新浪發(fā)郵件數(shù)據(jù)包內(nèi)容互聯(lián)網(wǎng)審計原理然后在抓取163郵箱發(fā)郵件的數(shù)據(jù)包互聯(lián)網(wǎng)審計原理兩份數(shù)據(jù)包有什么異同？1、數(shù)據(jù)包的內(nèi)容格式完全不一樣，參數(shù)也不一樣。2、相同之處就是這兩個郵箱都是以明文方式發(fā)送的思考：密文的外發(fā)郵箱能審計嗎？外發(fā)郵件審計原理流量管理應(yīng)用場景

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶10M上網(wǎng)線路，內(nèi)網(wǎng)有200人，網(wǎng)絡(luò)管理員反映內(nèi)網(wǎng)上網(wǎng)較慢，AC設(shè)備以路由模式部署在公網(wǎng)出口，從AC設(shè)備應(yīng)用流量排名觀察，p2p下載，在線流媒體等占用帶寬很大?？蛻舨幌敕舛氯魏稳说娜魏螒?yīng)用，希望全天能優(yōu)先保證上網(wǎng)及郵件收發(fā)等關(guān)鍵應(yīng)用的流量，如果沒有這些關(guān)鍵應(yīng)用，p2p下載，在線流媒體等應(yīng)用可以盡量使用線路帶寬，避免帶寬浪費。P2P流量控制案例由背景分析客戶上網(wǎng)慢是由于高帶寬軟件(P2P，迅雷，在線視頻)吞噬了帶寬導致，但客戶不希望封堵這些應(yīng)用。所以我們可以使用流控功能把不合理的應(yīng)用帶寬控制在一個合理的范圍，把關(guān)鍵應(yīng)用優(yōu)先保證下帶寬，當沒有關(guān)鍵應(yīng)用時，高帶寬軟件可以突破限制，從而實現(xiàn)智能動態(tài)調(diào)整帶寬。需求分析流量管理前的數(shù)據(jù)流流量管理后的數(shù)據(jù)流配置建議：根據(jù)客戶的情況，我們需要建立兩種通道，保證通道和限制通道。1、保證通道針對所有員工，訪問網(wǎng)站，郵件，DNS，IM，辦工OA，微博論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%2、限制通道針對所有員工對P2P，P2P流媒體，文件下載，MEDIA進行帶寬限制，控制為總帶寬的20%，且同時勾選“抑制P2P下行丟包”和“當線路空閑時，允許突破限制”配置思路配置思路配置步驟一：設(shè)置公網(wǎng)線路的實際帶寬.點擊線路1進入配置框互聯(lián)網(wǎng)傳輸?shù)膯挝皇莃ps，10Mbps=1280KB/S配置思路配置步驟二：新增流量管理通道（保證關(guān)鍵應(yīng)用）建立保證通道，所有員工保證關(guān)鍵應(yīng)用訪問網(wǎng)站，郵件，DNS，IM，辦工OA，微薄論壇網(wǎng)上銀行等常見應(yīng)用保證帶寬最低50%，最高100%配置思路配置步驟三：新增流量管理通道（限制P2P）建立限制通道，所有員工對P2P，P2P流媒體，文件下載，MEDIA進行帶寬限制，控制為總帶寬的20%啟用“抑制p2p下行丟包”能夠更好控制udp應(yīng)用流量，限制通道且udp應(yīng)用較多時建議啟用。啟用“當線路空閑時，允許突然限制”，當網(wǎng)絡(luò)中沒有保證帶寬業(yè)務(wù)時，限制通道的應(yīng)用可以突破帶寬限制，避免帶寬浪費客戶背景：客戶網(wǎng)絡(luò)出口有兩條外網(wǎng)線路，100M電信和20M聯(lián)通，客戶要求電信線路分配30%的帶寬給技術(shù)部門，并要求技術(shù)部門每個用戶P2P和P2P流媒體應(yīng)用不超過100Kbps。這種情況應(yīng)該怎么去實現(xiàn)？P2P流量控制案例-擴展流量子通道概念流量子通道：將流量管理通道分級，使流量控制更加細化，更靈活。流量管理策略流量管理一級通道流量管理子通道

流量子通道應(yīng)用于對流量管理有細化需求的場景。比如一個公司有多個部門，給每個部門分配固定的帶寬，然后在這個帶寬范圍內(nèi)設(shè)置不同的流量管理策略。設(shè)置虛擬線路和線路帶寬，電信線路100M，網(wǎng)通線路20M新增一級通道，設(shè)定技術(shù)部門所有應(yīng)用帶寬不超過電信線路的30%新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps需求分析新增子通道，設(shè)定技術(shù)部門P2P和P2P流媒體應(yīng)用，單用戶上下行限制100Kbps配置思路

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄

客戶需求對所有下載進行流控，包括http文件下載（即瀏覽器目標另存為）的方式下載，但又不能影響打開網(wǎng)頁速度。需求背景下載網(wǎng)關(guān)升級客戶端，右鍵點擊下載然后復制下載鏈接，得到URL：/download/product/tools/SANGFOR_Updater6.0.zipHTTP下載流量控制技術(shù)數(shù)據(jù)包格式如下，可以看到下載文件的數(shù)據(jù)包和正常打開網(wǎng)站的數(shù)據(jù)包格式一模一樣！那么問題來了，如何才能只限制下載的速度，而不限制打開網(wǎng)站的速度呢？HTTP下載流量控制技術(shù)這種需求下，對于HTTP文件下載流控需要通過文件類型流控，如下圖：配置方法流量管理效果驗證方法：1、流控生效后，可以在客戶端電腦驗證流控效果2、可以從設(shè)備流量管理狀態(tài)查看流控效果。效果展示

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄實際使用環(huán)境，支持流量可視化功能流量可視化日常運維場景：在啟用流量管理功能后，幫助管理員檢視“啟用流控后”的流量使用情況在，評估流控通道的配置是否合理，并對通道配置進行調(diào)整，更好的分配流量。（條件限制沒有中文版效果圖）流量可視化

P2P流量控制案例

HTTP下載流量控制案例流量可視化流量配額案例目錄客戶背景：客戶做了用戶限額策略，針對員工每天每月的流量、時長、流速等都是有限的，超限后直接封堵用戶的上網(wǎng)行為會影響員工的正常辦公，現(xiàn)想實現(xiàn)超限后給予低速通道上網(wǎng)，滿足基本上網(wǎng)需求。流量配額案例1、首先在流控管理新增一條懲罰通道，把通道限制一個范圍2、在用戶限額策略中，設(shè)置“限額超出處理”為“處罰”并且勾選“添加到流控通道”，選擇第一步設(shè)置的懲罰通道。配置思路1、首先在流控管理新增一條懲罰