深信服复赛准备知识点

准备深信服复赛。主要侧重安全部分(深信服是一家做安全的公司啊)。


第一章

脆弱性

  • 缺乏数据源验证
  • 缺乏机密性保障
  • 缺乏完整性验证

安全风险

由底向上:

设备破坏,侦听
MAC欺骗 泛洪
IP欺骗 ICMP攻击
TCP欺骗 TCP UDP拒绝服务
漏洞 缓冲区溢出

网络的基本攻击模式

  • 截获
    • 嗅探
    • 监听
  • 篡改
    • 数据包篡改
  • 中断
    • 拒绝服务
  • 伪造
    • 欺骗

信息安全的五要素

  • 保密性
  • 完整性
  • 可用性
  • 可控性
  • 不可否认性

安全实现:

  • 行为审计
  • 授权访问
  • 身份认证
  • 数据加密

第二章

VPN概述

VPN定义

依靠ISP或者NSP在公用网络基础设施上构建的专用的安全数据通信网络。

核心技术隧道技术

VPN分类

  • Access VPN
  • LAN-LAN VPN

IPSec GRE 位于网络层、SSL位于应用层、L2TP PPTP位于网络接口层。

常用技术

  1. 隧道技术
  2. 加解密技术
    • 对称加密 IDEA AES RC DES
    • 非对称加密 ECCC RSA Rabin Elgamal
  3. 身份认证技术
    PKI体系,CA认证中心管理(Certificate Authority)。
    实例:HTTPS

IPSec

开放的协议族
IPSec架构

IPSec工作模式

  1. 传输模式
    主机到主机之间,子啊包头后面插IPSec包头
  2. 隧道模式
    私网与私网之间,添加新的IP头和IPSec头

通信协议

  1. AH Authentication Header 协议号51
    • 无连接数据完整性
    • 数据源认证
    • 抗重放服务
  2. ESP 封装安全有效载荷 (DES AES) 协议号50
    • AH的功能
    • 数据保密
    • 有限的数据流保护

IKE协商
为IPSec协商生成密钥,建立SA Security Association
两个阶段:

  • IKE阶段1
    • 主模式
      SA交换、密钥交换、IP交换及验证,使用6条ISAKMP
    • 野蛮模式 Aggressive
      三个交互包
  • IKE阶段2
    协商IPSec参数

DPD解决VPN隧道黑洞: 超时计时器

注意:

  • NAT下,只有ESP 隧道模式可用
  • NAT-T解决多个IPSec VPN (为ESP增加了UDP头)

深信服VPN优势

  1. WebAgent (自动寻址
  2. 更细致的权限粒度
  3. 线路探测

第三章

上网行为安全

上网行为管理

  1. 用户认证
  2. 网页过滤
  3. 应用控制
  4. 流量管理
  5. 行为审计

互联网上网行为管控

路由或网桥部署

  1. URL过滤+应用封堵
  2. 动态流控+P2P智能流控
  3. 基于网站等进行审计

一体化网关

无线wifi管控

portal服务器上进行认证

无线防共享上网

网关或网桥模式部署在出口主干线路。

上网行为组网方案

问题思考:

  • AC路由模式部署,不知道接口地址,如何登陆
  • 如何恢复admin账号密码
  • 恢复出厂设置

路由部署解决方案

AC支持路由、网桥、旁路
SG支持路由、网桥、旁路、单臂

  • 路由模式
    NAT VPN DHCP等功能,必须以路由模式
  • 网桥模式
    相当于透明设备 —— 过滤 非TCP控制 SSL内容识别等等
  • 旁路模式
    主要用于审计,对原有网络无影响 —— 静态路由 数据中心

TRUNK部署解决方案

VLAN:

802.1q 单臂路由(子接口) 可用上网行为管理设备AC替换路由

防火墙过滤规则

防火墙规则是控制设备各个网口转发数据的开关。

端口映射

DNAT LAN-LAN端口映射(允许公网用户通过公网地址访问内部服务器)

用户认证技术

  • 不需要认证
  • IP-MAC绑定认证
    SNMP网络管理标准 MIB库 管理信息库,SNMP的5中协议数据单元PDU(SNMP管理程序(UDP162)和代理程序(UDP161)之间:
    1. get-request
    2. get-next-request
    3. set-request
    4. get-response
    5. trap 代理进程主动发出的报文
      30位掩码,只有2个可用IP,AC网桥上下都要分配IP,AC无IP,不能用。
  • 密码认证技术
    HTTP协议,GET/HTTP,八种方法(GET POST DELETE CONNECT HEAD PUT TRACE OPTION)
    AC拦截GET请求,伪装成服务器,发包,HTTP302 重定向——虚拟IP重定向(网桥模式)DMZ口重定向(无网桥)
  • 外部认证技术
    LDAP认证
  • 用户和用户组管理

应用控制技术

应用特征识别

数据包五元组(源IP,目的IP,源端口,目的端口,协议)

深度行为检测:

  • 深度包检测技术 DPI
  • 深度流检测技术 DFI (RTP流 P2P流)
  • 基于应用层网关的检测 ALG
  • 基于行为模式的检测

HTTP识别控制

重定向

HTTPS识别控制

HTTPS封堵,四次握手的第一阶段,识别Client hello报文中的server_name字段

自定义应用方法

终端识别和管理技术

防共享识别和控制

传统防共享——

  • ID轨迹检测
  • 时钟偏移检测
  • 流量/连接数统计
  • MAC地址检测(淘汰)
  • TTL检测

深信服DPI:

  • 分析数据包 提取客户端IP
  • 深信服字体检测
  • 辅助检测(URL 微信特征ID)
  • 移动终端间共享方案

  • URL检测

  • 应用规则检测
  • UA检测 user-agent

PC和移动终端共享

  • URL检测
  • 应用规则检测

移动终端解决方案

  • URL
  • 应用规则
  • UA检测

流量管理技术

传统流量管理,基于Qos,五元组

主流的流量管控技术

  • 流量监测
    • 主动
    • 被动
  • 应用检测
    • 常用端口
    • 深度流 DFI
    • 深度包 DPI
  • 应用控制
  • 识别控制组网
    • 直路串联
    • 旁路干扰

流量控制系统

  • 流量分类
  • 队列管理
  • 分组调度
  • 流量整形 (漏桶 令牌桶)

SANGFOR

  • 缓存流控
  • 队列调度
  • 单用户流量公平调整

内容审计技术

  • 上网行为审计
  • 外发邮件审计
  • SSL内容解密审计
  • WEB关键字过滤
  • IM聊天内容审计

下一代防火墙

相关技术

  • 包过滤
    • 检查包头
  • 会话
    • 会话表项
  • 应用代理
    • 只检查数据

性能指标

  • 吞吐量
  • 时延
  • 丢包率
  • 背靠背(缓冲容量的大小)
  • 并发连接数

深信服下一代

安全可视 持续检测

融合安全 系统架构

暂时就做这些 复赛已经结束了


Author: Ykk
Link: https://ykksmile.top/posts/42224/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.