文章目錄
流控產品ACG
ACG=Application Control Gateway應用控制網關
流控與行爲管理
流控與上網行爲管理設備的區別?行爲管理和流控是一樣的嗎?
這個問題就像防火牆和路由器的區別一樣,好像沒什麼區別,包括華三廠商也把ACG作爲流控產品宣傳。
1.產品類別和傾向不一樣。行爲管理作爲安全設備,傾向管理和控制,限制用戶行爲,比如就是讓你不能用QQ。流控作爲網絡優化設備,比如高峯期控制用戶迅雷下載流量爲10M/s,空閒期用戶可以隨便使用。
2.使用規模和場景不一樣。行爲管理一般應用於中小型企業,而流控設備用於大型網絡居多,最典型的是高校校園網和運營網。而且流控設備可以實現認證系統聯動,實現用戶按流量計費(已過時),典型的華爲BRAS設備,銳捷ACE設備。
3.品牌不一樣。行爲管理的主流品牌:深信服,網康,新網程,百卓,華爲,華三。流量控制的主流品牌:萬任,UniERM,Allot,Packetteer,Panabit(免費軟件),AceNet。
BON-新一代ACG應用控制網關
BON=Business Oriented Network
業務部署:統一安裝應用
還可以做應用審計
精細化應用控制和審計
■精準
·DPI/DFI融合識別
·802.1Q、MPLS、QinQ等特殊封裝報文解析
·多流關聯及用戶流量模型分析
·特徵庫實時升級及雲端分析同步
·實名身份管控定位到人
■細緻
·超過八百種主流應用類別識別
·單應用高達12種行爲動作控制
·近60種分類URL審計過濾
·桌面及移動終端均可審計控制
用精細化管控,促進業務效率提升
日誌報表-事後行爲審計
特色功能-深度數據挖掘
用戶行爲分析
設備存儲空間預估:
日誌保存時長:180天
特色功能-智能選路
這個功能在LB也有。
■根據訪問地址,自動選擇所屬運營商,提高訪問速度和穩定性
■根據不同應用和用戶組選擇不同的出口,將非關鍵應用分流到低成本鏈路
■按業務需要各行其道讓最優質的鏈路承載最關鍵的業務
特色功能-極速上線
用於總分型網絡拓撲。
①連線(20秒)
·將連接廣域網的網線接入設備WAN接口
·將PC機連設備LAN接口
②配置地址信息(30秒)
·打開瀏覽器輸入任意網址自動彈出配置頁面
·填入PPPoE賬號密碼(分配的IP地址)和集中網管服務器地址
③完成配置(10秒)
·集中網管將配置自動下發到設備端
·設備配置完成正常運行
·無需專業人員到場,大幅節約總分型客戶部署成本
·網絡就緒時間更短,業務開展更快
特色功能-應用快速下發(本地cache)
作用:節約網絡出口帶寬;業務應用部署更快
1.管理平臺上傳緩存文件及定義加速URL
2.向網關設備端推送下發文件及配置
3.網關設備劫持客戶終端URL請求
4.將下載請求重定向到網關緩存文件
特色功能-微信認證營銷
82號令的目的是爲了預防和制止網上違法犯罪活動,說白了就是大家都用的是學校的ip公網地址,還是自動分配的,sei要是上個小黃網(額,小黃網好像還不至於哈),sei要是在網上賣毒品,上各種論壇反政府,說大家跟我一起自焚啥的,,公安局就只能找到這個學校而找不到這個具體的人,這樣就會很尷尬,於是乎,學校就弄了個賬號系統,給大家各自一個賬號或者各自通過微信QQ、手機短信等方式認證的號碼來上網,這樣呢,就能找到是誰再看小黃片了。。。基本上效果就類似
來自知乎:二大爺
H3CACG 1000全系列
典型方案
金融網點方案拓撲
教育城域網典型部署
◆背景:教育城域網中多個高職、中小學等匯聚,採用統一互聯網、Cernet等多個出口,流量異常高且複雜
◆優勢:
√易部署:全網極速上線,部署工作量小,出錯機率小;
√高性價比:全網梯次選型,中小型教育機構一體化部署實現高性價比;
√集中管理:支持對分佈式ACG設備的集中管理,支持管理平臺的分佈式部署、分權分域管理,審計日誌本地存儲的同時上送存儲審計;
WAF產品
WAF=Web應用防火牆,Web Application Firewall
部署於網站服務器羣的前端,提供抗掃描、防注入、防跨站腳本、防後門攻擊等安全策略,提供網站的安全防護能力。
PS:專業應用層安全防護設備有三個:WEB應用防火牆、視頻安全網關、數據庫審計。
WAF的三大核心價值
確保網站業務可用性
防範數據泄露/網頁篡改
優化業務資源(TCP的連接複用,加快網頁訪問速度)
SecPath WAF產品主要特色
■高性能架構
最快5秒內定位到攻擊者
實施動靜態分離檢測模型
異常訪問僅需單條白名單規則匹配
■雙引擎架構
白名單及特徵庫匹配雙引擎檢測技術,效率高,檢出率高,有效防護0day攻擊
■縱深安全防護
支持HTTPS、Web應用實時深度防禦
應對掃描器探測攻擊、黑客手工入侵、團隊化持續性攻擊、0day攻擊
傳統安全產品爲什麼不能解決網站安全?
WAF與IPS對比
■WAF基於代理模式,可以修改服務器的迴應頁面,對HTTP協議報文可以做到更細粒度識別,並支持SSL解密及應用交付類功能。
■IPS基於透明橋,除了對HTTP協議防護外,還可以檢測其他應用協議上的行爲和攻擊,並可以檢測殭屍網絡、木馬蠕蟲等活動。
| WAF | IPS | |
|---|---|---|
| 檢測機制 | 基於代理 | 基於流 |
| 檢測深度 | 可達應用層、文件層 | 可達應用層、文件層 |
| 檢測廣度 | HTTP協議爲主 | 無限制,一般支持上百種 |
| 注入檢測 | √ | √ |
| 跨站檢測 | √ | √ |
| Web掃描 | √ | √ |
| 應用交付 | √ | × |
| SSL解密 | √ | × |
| 修改服務迴應 | √ | × |
| 數據庫協議檢測 | × | √ |
| 殭屍、木馬檢測 | × | √ |
事前事中事後全流程防護
■事前
安全策略、WEB服務自學習
自動阻斷掃描、攻擊探測行爲
■事中
攔截注入、跨站等常規攻擊
自學習建模只允許正常請求通過,有效應對0day
獨創的訪問集中度和HTTP協議細粒度檢測算法,有效應對了應用層CC攻擊對業務的衝擊
基於行爲的檢測技術有效防護商業爬蟲
採用WEB cache、壓縮、HTTP協議優化等技術使訪問速率更高效
■事後
詳細安全事件顯現,輔助安全取證與程序優化(報表)
運維管理自助化
安全高效的檢測引擎
CC(Challenge Collapsar Attack)主要是用來攻擊頁面的。大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,訪問的人越多,論壇的頁面越多,數據庫壓力就越大,被訪問的頻率也越高,佔用的系統資源也就相當可觀。
白名單功能特性
WAF策略自學習實現對客戶業務的真實理解,定製化安全規則生成,一次請求僅需一次匹配即可識別安全行爲。
CC功能特性一多重檢測算法
IP訪問速率
下圖中80次/秒的肯定是異常
IP+URL集中度
同一個時間對URL1訪問同一個網站。
IP+User_Agent+URL
通過對比普通用戶的訪問頻率,得到異常用戶
挑戰模式:做驗證碼
區域分級:CC攻擊肉機比較分散,很多情況下是國外的肉機進行攻擊,WAF可設置用戶區域級檢測算法,隔離海外或其他省市肉機攻擊。
部署方式及典型場景
透明代理部署模式
·部署在WEB服務器前端
·無需用配置IP地址,不影響現有網絡業務
·無需在WEB服務器上安裝軟件,不影響WEB服務器性能
數據庫審計產品
審計安全產品有哪些?
內容審計:上網行爲管理ACG
數據庫審計:訪問數據庫操作等
運維審計:堡壘機/主機加固系統
數據庫審計系統功能:支持主流數據庫,全面記錄數據庫訪問行爲,識別越權操作等違規行爲,並完成追蹤溯源;
支持檢測數據庫漏洞掃描,提供漏洞報告及解決建議。
什麼是數據庫審計?
·一種記錄數據庫操作行爲的系統
數據庫審計能做什麼?
·違規事件的事後追溯
·數據庫安全評估及違規行爲實時預警
·基於海量審計數據的合規安全挖掘分析
·阻斷攻擊保護數據庫安全
數據庫審計結構說明
通過採集數據庫流量(原始信息收集)進行解析還原(標準化審計信息),再通過規則和報表等分析手段(審計信息篩選),發現數據庫的違規行爲(預警和報表)。
強大的報表功能
安全審計綜合分析報告:可以從帳號授權管理、認證管理、關鍵系統操作、敏感數據泄露、DDL操作異常分析、安全攻擊等多種視角、50多個維度進行分析,根據審計結果進行安全等級評分,形成綜合分析報告。
還可形成《等級保護》、《分級保護》、《塞班斯SOX法案》法律法規符合性報表!支持二次開發,可以爲客戶量身定做專用審計報告;
豐富的數據庫協議支持
1)支持六大主流數據庫
2)支持國產數據庫以及部分其他協議
·達夢·http
·人大金倉·Telnet
·神通oscar·FTP
·南大通用GBASE·Smtp/pop3
3)支持數據倉庫
產品優勢
部署和典型場景
旁路部署模式
·無需更改現有網絡
·無需修改應用配置
·無需在數據庫服務器上安裝軟件,不影響數據庫服務器性能
小型:
大型:
異常流量清洗產品
異常流量清洗設備=抗DDoS設備=抗D設備
綠盟、阿里(異常流量清洗服務)
異常流量清洗
◆什麼是異常流量清洗
來自互聯網的肉雞、殭屍網絡,在惡意操控者的控制,能產生大量的垃圾流量,致使目標服務器源被耗盡,無法提供正常的服務。
異常流量清洗產品主要負責對垃圾報文進行識別和過濾,並把正常業務報文轉發到網絡內部,保障業務即使在攻擊存在的情況下,也能滿足對外的正常服務。
AFC2000產品系列
AFC2100-D是檢測設備。
異常流量清洗系統處理架構
數據從進入到出去要經過如下模塊:
■黑/白名單:高速處理預定義的黑白名單策略,通過流量監控與學習建立黑白名單信譽。
■基礎規則匹配:根據規則匹配字段、協議、指令、端口等,執行相應的策略:如屏蔽、放行、限速、限連接等。
■首包丟棄:利用協議重傳機制,丟棄首個報文,並記錄請求信息,當再次來訪時則正常放行,過濾大部分殭屍網絡訪問(殭屍機器大多數只發一個包)。
真實源校驗:檢測終端是不是真實的終端而不是肉雞
TCP:SYN和ACK代理響應,正常則通過,不正常則判定爲肉雞。
UDP:首包丟棄
DNS:UDP轉TCP請求
■基線分析:分析日常流量,以平時的流量作爲baseline,考察當前流量是否超過baseline,例如:
協議比例異常
訪問流量異常
會話數異常
流量分佈異常
訪問集中度異常
■插件防護:
WEB插件
DNS插件
GAME插件
MISC插件
異常流量清洗系統清洗過程
AFC2000系列抗拒絕系統特點
■精細化防護能力
100萬主機防護能力,防護主機顆粒化,構造高效防護區域,運營增值。
■高效檢測能力
99%的DDoS攻擊類型防禦能力,全面支持IPv6網絡。
■高性能防護
全系列小包線速處理,單機最高性能40G。
■靈活的部署方式
部署靈活,支持多種引流及回注方式,支持雙機、集羣,靈活應對各種場景。
■智能溯源取證能力
自動分析攻擊溯,自動抓捕取證。
異常流量清洗產品主要應用場景
■運營商城域網出口
出口安全防護
增值運營
■企業、單位數據中心出口
出口安全防護,業務保障
門戶及互聯網應用平臺業務防護
內部殭屍網絡檢測
■企業、單位園區出口
出口安全防護
內部殭屍網絡檢測
■IDC出口
出口安全防護
增值運營
