SINFOR_AC新产品渠道技术培训

SINFORTECHNOLOGIESCO.,LTD.Page1AC1.96新产品培训SINFORTECHNOLOGIESCO.,LTD.Page2目录1.上网策略新增功能1.1.HTTPPOST过滤1.2.HTTPSURL过滤1.3.URL白名单1.4.外发文件告警1.5.准入系统1.6.危险行为识别2.流量控制2.1.虚拟线路2.2.应用场景举例SINFORTECHNOLOGIESCO.,LTD.Page3目录3.URL智能识别3.1.识别方式3.2.识别结果3.3.误判处理4.界面抓包4.1.抓包分类4.2.其他注意事项5.其他新增功能5.1.DNS缓存5.2.流量特征识别5.3.SNMP跨三层绑MAC5.4.取消证书警告框5.5.新用户策略SINFORTECHNOLOGIESCO.,LTD.Page41.上网策略新增功能1.1.HTTPPOST过滤1.2.HTTPSURL过滤1.3.URL白名单1.4.外发文件告警1.5.准入系统1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page51.1.HTTPPOST过滤禁止访问某些URL时通过HTTP_POST上传数据。主要用于禁止论坛发贴，通过webmail发送邮件等。拒绝：拒绝在此类URL上用HTTP_POST上传仅允许登录POST：仅允许上传登录信息。动作1.上网策略新增功能SINFORTECHNOLOGIESCO.,LTD.Page61.2.HTTPSURL过滤过滤用HTTPS协议访问的网站，原理是检测安全证书中的颁发信息，一般SSL网站的安全证书“颁发给”即为网站的URL。直接调用URL库；支持通配符。设置：1.上网策略新增功能SINFORTECHNOLOGIESCO.,LTD.Page71.3.URL白名单用于拒绝HTTP上传和下载某类文件时，排除对某些网站的限制。选择需要排除的URL组1.上网策略新增功能SINFORTECHNOLOGIESCO.,LTD.Page81.4.外发文件告警检测目标：通过FTP、HTTP、SMTP协议外发的文件动作：目前只有告警作用：以前的版本只能通过后缀名来识别文件，所以有很多文件只要改一下后缀名设备就无法识别了，AC1.96可以通过文件特征识别某些文件类型（不是靠后缀名来识别）、识别加密文件、识别压缩包中的文件识别条件：开启“审计网页上传附件内容”、“审计发送邮件信息”和“审计通过FTP上传的文件”1.4.1作用及原理客户需求：基于特征的文件识别对于存心泄密者通过HTTP、FTP、Email附件外发文件时篡改、删除扩展名，压缩、加密再外发的行为，AC能识别，并且报警；AC尝试解压压缩包后再识别文件类型；1.上网策略新增功能SINFORTECHNOLOGIESCO.,LTD.Page9类别包含类型是否支持加密识别压缩数据包zip,rar,7z,bz2,tar,gz支持办公软件doc,xls,ppt,docx、pptx、xlsx、wps,dps,et支持阅读器pdf支持工程制造idv、idw、ipn、sldprt、slddrt、dwg、vsd、mpp、dxf、prt、ddb、stp、igs、pcb、sch、（ipt,iam）不支持影音图像处理pdd、psb、rmvb、cdr、avi、wav、gif、MPG、bmp、jpg、png、psd、rm、asf不支持程序源文件cs、c、cpp、java不支持文本文件txt不支持未知类别未知类型支持支持的文件类型分类：加密识别是指文件本身自带的加密方法进行加密，第三方加密软件加密的文件是无法识别的。1.4.1作用及原理1.4.外发文件告警SINFORTECHNOLOGIESCO.,LTD.Page101.4.2设置识别方式包括：特征识别和后缀识别。特征识别是根据文件特征进行识别；后缀识别是根据文件后缀名进行识别。告警选项包括：所有和加密。所有：只要检测到此文件类型即告警。加密：检测到此类文件且是进行加密的才告警（只针对可以进行加密识别的文件，参照前页表格）。是否启用邮件告警对于压缩超过两次的文件告警，设备不对这种文件解压。排除不需要告警的文件类型，主要是用于告警“未知文件”时，对某些文件类型要求不告警。1.4.外发文件告警SINFORTECHNOLOGIESCO.,LTD.Page111.4.3注意事项1、对加密文件的识别：只是对前面表格中标识的文件可以进行加密识别，并且是文件本身进行加密。如果是第三方软件进行加密的话，设备识别不了类型。2、对于压缩文件设备最多解压两次，并会在数据中心列出压缩包内文件的清单，最多列出前100个，并且如果压缩包中有某类文件需要告警，会对此文件进行告警，只对第一个需要告警的文件进行告警。3、告警文件类型中自定义类型优先于特征识别。例：如果特征识别pdf文件，自定义后缀识别doc文件，那么将一个pdf文件后缀改成doc，则设备会以doc文件进行告警而不是pdf文件了。4、设备只对小于2M的文件进行解压缩。5、不支持文件嵌套识别。6、压缩类型文件本身不进行告警不会影响对压缩包解压后对其内部文件进行告警。1.4.外发文件告警SINFORTECHNOLOGIESCO.,LTD.Page121.5.准入系统1.5.1准入规则组合实现将多条单独的准入规则组合设置“与”和“或”的关系。例：公司要求电脑安装瑞星和卡巴斯基任意一种杀毒软件方可上网，怎样设置？分别设置两条准入规则，规则设置为“没有运行杀毒软件”。关系：用于选择“与”和“或”的关系操作：只有“禁止用户上网”和“不操作（仅提交报告）”两种操作。规则类型：用于设置组合规则的类型，用于设置准入策略时使用。设置准入策略，选择准入类型，无法选择名称了，所以请注意规则的分类设置。1.上网策略新增功能SINFORTECHNOLOGIESCO.,LTD.Page13作用：终端自定义检查支持在终端加载运行客户自定义脚本或程序，实现终端自定义检查；支持反馈检查结果，并支持封堵违反检查结果的终端上网；1.5.准入系统1.5.2准入新增功能A：任务计划实现：通过准入使客户端定时执行某些可执行程序、Jscript或者Vbscript。案例：XX公司希望通过准入让客户端检查用户的操作系统是否更新了补丁：第一步：写脚本需要检查的补丁设置返回值当准入需要检查返回值时，要求脚本里面必须要有这样的语句，用于输出返回值，目前对于脚本我们只支持这一种方式。SINFORTECHNOLOGIESCO.,LTD.Page141.5.准入系统1.5.2准入新增功能A：任务计划选择规则类型“任务计划”设置“规则类型”执行方式：准入运行时执行或者是周期性执行设置周期性执行间隔时间当客户端执行的程序或脚本，在执行后有返回值时，准入可以通过返回值对客户端进行操作。返回值“1”和“2”是需要客户在脚本中配合设置的。选择需要执行的文件类型。设置文件路径，保证客户端都能正常访问到，目前只支持网上邻居、环境变量SINFORTECHNOLOGIESCO.,LTD.Page151.5.准入系统1.5.2准入新增功能B：通过准入客户端获取未知应用的进程名：当客户端有应用无法识别时，准入会进行反查，查出此未知应用的进程名，并在数据中心进行记录。实现：通过准入客户端的srport.exe来获取进程名。上报信息的端口是：UDP5656用于：未知应用上报、数据中心记录未知应用的进程名SINFORTECHNOLOGIESCO.,LTD.Page161.6.危险行为识别1.6.1作用及原理危险行为：反弹性木马：感染了木马的被控制端主动连接外网的控制端，从而避免被防火墙过滤。HTTP隧道技术：将木马、间谍软件流量通过HTTP协议封装传输，确保能够穿透防火墙，实现与公网的控制端通信的目的。端口扫描：即“踩点”，在短时间内有很多来自相同源地址传向同一目的地址不同端口的数据包。内网垃圾邮件群发：内网某一用户短时间内发送大量垃圾、广告邮件，垃圾邮件发送行为可能是有意的，也可能是感染病毒所致。危险行为识别包括：非标准协议检测、协议异常检测、端口扫描检测、异常外发邮件检测。非标准协议检测检测80、21、25、110、443端口的数据，看是否是标准协议数据。协议异常检测检测HTTP、SMTP协议的数据，查看数据特征是否是伪造的数据。端口扫描检测通过记录同一源IP和目标IP的连接数，超过一定阀值时判断为端口扫描异常外发邮件检测通过统计内网用户外发邮件数量及特征，判断是否中了邮件病毒，阻止其狂发垃圾邮件。SINFORTECHNOLOGIESCO.,LTD.Page171.6.1作用及原理非标准协议检测:检测目标：80、21、25、110、443端口的数据动作：告警\丢弃数据包，封锁此连接识别条件：应用识别中HTTP、SMTP、FTP、POP3、SSL的识别正常启用作用：防止客户端电脑上有木马或者是某些未知应用通过80端口传输数据突破防火墙的拦截，泄露客户端信息1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page18协议异常检测:用于检测使用HTTP/SMTP协议攻击的反弹端口型木马。Internet监听1234端口监听80端口伪造HTTP协议数据普通木马原理：控制端防火墙反弹端口型木马原理：非标准协议数据通过非标准协议检测进行封堵通过协议异常检测进行封堵普通防火墙端口封堵PC1PC2PC31.6.1作用及原理1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page19协议异常检测:检测目标：HTTP/SMTP协议数据动作：告警/丢弃数据包，封锁此连接识别条件：应用识别中HTTP、SMTP的识别正常启用作用：检测通过HTTP或SMTP协议连接的反弹端口型木马1.6.1作用及原理1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page20端口扫描检测:检测目标：TCP/UDP数据动作：告警\封锁源IP到目标IP的数据阀值：默认情况是一分钟内端口扫描20次，默认封锁时间是10分钟作用：检测端口扫描的行为，防止内网用户对服务器进行端口扫描，有些服务器的安全防护检测到端口扫描行为，就会封锁源IP的访问，从而影响整个内网访问服务器1.6.1作用及原理1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page21异常外发邮件检测:检测目标：SMTP发送邮件数据动作：告警\封锁源IP发送邮件识别条件：应用识别可以正常识别SMTP的数据，同时需开启“应用审计”中的“邮件审计”选项作用：基于统计的检测方法，可以设置两个阀值，一是邮件发送频率，二是相同大小邮件发送频率。检测发送邮件频率，避免内网用户短时间内发送大量垃圾、广告邮件，这种行为可能是感染病毒所致。1.6.1作用及原理1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page221.6.2设置危险行为识别需要激活多功能后方可使用，在上网策略对象中设置。灵敏度低：只检测HTTP协议异常，即HTTP木马数据；中：检测HTTP和SMTP协议异常数据；高：检测HTTP和SMTP协议异常数据、端口扫描、非标准协议数据。对哪些数据进行检测？对检测出的哪些数据进行告警对检测出的哪些数据进行拦截异常邮件单独设置。必须开启“邮件审计”设置告警信息发送到管理员邮箱1.6.危险行为识别SINFORTECHNOLOGIESCO.,LTD.Page231.6.3注意事项1、应用识别中的HTTP、SMTP、FTP、POP3、SSL识别无法禁用了，以免影响危险行为识别的检测。2、发送告警邮件的频率：第一次发生危险行为时立即发送告警邮件，以后是每隔30分钟发送一次告警邮件。3、上网权限-高级配置-“允许在HTTP协议和SSL协议标准端口使用其他协议”和危险行为识别的“非标准协议检测”的关系：前者只是针对80、443端口进行协议检测，两者中任意一处拒绝了，则数据被丢弃。4、端口扫描只对TCP\UDP数据进行检测，连接上的数据不会统计。1.6.危险行为