DPtech-UAG3000审计及流控(培训文档)

UAG3000审计及流控杭州迪普培训中心ISSUE1.1杭州迪普科技有限公司BeyondYourImagination产生背景来自外网的病毒、蠕虫、木马等攻击外部网站存在各种安全陷阱机密信息泄漏无限制接入和无限制访问……安全威胁IM、炒股等造成工作效率下降P2P、在线点播无度，造成网络拥塞网络安全的不断扩容带来成本压力“糖葫芦”式的堆叠式部署带来管理压力潜在法律和法规风险……管理威胁：滥用网络资源Page4产生背景网络中各种应用混乱无序，网络处于混沌状态以迅雷、eDonkey为代表的P2P应用，消耗了大量的网络带宽，造成网络拥塞在工作中进行网络炒股、网络游戏、在线电影，无法安心工作发现网络使用MSN、QQ等聊天工具的比例高达89.2%，影响工作效率……网络应用不清晰，处于“失明”状态，缺少对网络进行IT诊断和规划指导，核心业务无法保障，都严重影响公司业务开展！CNCERT/CC发布的企业网流量使用图：工作效率的降低Page5产生背景•浏览新闻•聊天、交友•音乐、电影下载•炒股•购物•游戏•电子贺卡•彩票•……公司开通了宽带上网，老板发现大部分员工上班都在用MSN和QQ聊天，上网做一些与工作无关的事情，以前只是通过考勤来考核员工迟到早退，现在人虽在办公室，但是这些人并不在工作，让老板很恼火！：病毒威胁Page6产生背景网络黑客、网络病毒非常猖獗时刻威胁网络办公的安全。安全调查结果显示，2009年全年新增病毒数量高达1271万余个，增长超过50%。木马后门病毒占85.9%，互联网被挂马增长10倍。网络中肆虐的病毒会导致：恶意攻击泛滥，危害终端使用产生异常流量，影响核心业务扰乱正常审计，致使无法明确问题责任人是否有意操作：信息安全威胁Page7产生背景随着社会的网络化，近几年利用计算机网络犯罪的案件以每年30%的速度递增。其中内部人员占有相当的比例，据统计：身为银行或证券公司职员而犯罪的占78%。计算机犯罪从原来的金融犯罪发展为现在的生产、科研、流通等几乎所有计算机联网的领域。“最大的安全威胁来自内部”，这是信息安全界经常在喊的一句口号。网络四通八达，一封邮件就可能将公司的客户资源发送给竞争对手。某些员工泄露公司机密，将给公司造成致命打击！：被动引发的法律风险Page8产生背景深陷“邮件门”事件的戴尔公司决心在中国摆脱尴尬戴尔全球总部发表声明，对其员工关于联想的歧视性言论“深表遗憾”，并强调该言论绝不代表公司的立场。“兽兽门”事件“兽兽门”事件暴露了网络安全没有预防的危害性。政府部门严厉监管反动言论、种族攻击、迷信、邪教、黄、赌、毒、盗版等网络行为，网络资源的非法使用，员工利用公司网络发表反动言论等将导致组织面临法律风险，员工所在的组织必然会在其中被动地卷入法律风险，影响企业的正常经营。统一审计网关行为审计流量分析和带宽管理可视、可控、可优化：流量控制，解决P2P等带宽滥用行为审计，防止机密信息泄露防病毒，抵御安全威胁，并确保审计与流控准确URL过滤，提供Web访问控制路由认证，接入身份识别网流分析、故障分析：对威胁和异常流量及时发现及时告警Internet•行为审计：一体化行为管控，保护内部数据安全•带宽管理：P2P等流量的全面透析和管理，提升带宽价值•安全防护：集成卡巴病毒库，具备恶意攻击防御能力•高效智能：构建可视、可控、可优化的高效网络UAG3000-CE百兆级千兆级万兆级产品介绍传统融合智能资源化►叠加式►简单管理►部署固化►新应用适应性差►低性能►多故障网络UAG►融合式，一体化管控►统一管理，多网管协议►弹性部署，组网灵活►专业团队，确保及时升级►性能无衰减►高可靠网络:10.99.0.1Interneteth0_0DHCPeth0_110.99.0.1/24WAN口通过DHCP获取IP地址连接外网Client10.99.0.4/24GW:10.99.0.1Interneteth0_0PPPoEeth0_110.99.0.1/24WAN口通过PPPoE拨号连接外网WAN口通过手动配置IP地址连接外网Client10.99.0.4/24GW:10.99.0.1Interneteth0_0固定IPeth0_110.99.0.1/24WAN口通过3G拨号连接外网Client10.99.0.4/24GW:10.99.0.1Internet3Geth0_110.99.0.1/24未经授权禁止扩散组网模式-透明模式在线模式，适用于设备串接在现有网络中使用，不改变网络拓扑，增加安全功能Page16技术特性Client10.99.0.4/24Server10.99.0.5/24eth0_0eth0_1Manager/UMC192.168.0.25/24meth0_0192.168.0.1/24旁路模式，旁路接口不存在接口对概念，只对镜像流量只做检测，无动作Client10.99.0.4/24Server10.99.0.5/24eth0_0Manager/UMC192.168.0.25/24mirrormonitormirrormeth0_0192.168.0.1/24未经授权禁止扩散组网模式-透明桥接模式透明桥接模式，在透明模式的基础上，提供了认证功能和带内管理功能。可以使用带内和带外两种管理方式（地址网段不能冲突）Page17技术特性Client/Manager10.99.0.4/24Server/UMC10.99.0.5/24eth0_0eth0_1BridgeIP10.99.0.25/24未经授权禁止扩散行为审计行为与内容是如何被审计出来的？Page18技术特性未经授权禁止扩散行为审计应用程序在数据报文中的体现：QQ空间、FTPPage19技术特性未经授权禁止扩散流量分析全局流量快照Page20技术特性业务流量快照用户流量快照业务流量趋势业务流量汇总整点流量统计未经授权禁止扩散流控管理：网络应用带宽限速Page21技术特性流程1：识别网络应用协议流程2：匹配生效时间流程3：匹配接口/地址流程4：抑制网络应用流量流程5：配置策略失败原因流程2：匹配生效时间流程3：匹配接口/地址流程4：抑制网络应用流量流程5：配置策略失败原因未经授权禁止扩散流控管理：网络应用带宽限速Page22技术特性网络应用组限速与网络应用每IP限速策略机制：网络应用组限速：针对源IP组内全部对象执行限速策略；网络应用每IP限速：针对源IP组内每一个IP对象执行限速策略；用户组限速策略与每IP限速策略共同执行机制：（1）优先执行每IP限速策略；（2）每IP限速的总和不高于组IP限速值；未经授权禁止扩散流控管理：网络应用访问控制Page23技术特性流程1：识别网络应用协议流程2：匹配生效时间流程3：匹配接口/地址流程4：阻断网络应用流量流程2：匹配生效时间流程3：匹配接口/地址流程4：阻断网络应用流量未经授权禁止扩散流控管理：灵活丰富的URL过滤Page24技术特性预定义分类库及自定义网址库匹配入接口及源地址根据HOST主机地址匹配策略URL中黑白名单的实现原理匹配入接口及源地址根据HOST主机地址匹配策略URL中黑白名单的实现原理未经授权禁止扩散流控管理：灵活丰富的URL过滤Page25技术特性高级URL过滤策略的精细化控制：支持定义主机名（域名），IP地址，正则表达式进行URL过滤；匹配数据报文的入接口以及源IP地址；通过用户提交的HOST主机地址（域名/IP）匹配过滤参数；结合URL中黑白名单，丰富URL过滤功能，并支持URL推送；本地认证步骤1：内网PC通过WEB浏览器访问公网Server可使用任意公网HTTP服务触发WEB认证步骤2：UAG阻断内网PC访问请求，并向其弹送WEB认证页面UAG通过透明桥地址向内网PC推送WEB认证页面步骤3：内网PC通过用户名、密码完成认证后，可访问公网Server可通过免认证、唯一性、老化时间、登陆状态栏等参数控制认证粒度Page26技术特性ClientPCInternetServer步骤1步骤2步骤3未经授权禁止扩散配置概览流量控制1）配置带宽限速2）配置访问控制3）配置URL过滤行为管理4）配置行为审计5）配置流量分析终端接入控制6）配置WEB认证7）配置MAC/IP绑定Page28功能配置）带宽限速配置流程Page29功能配置Client/Manager10.99.0.4/24Server/UMC10.99.0.5/24eth0_0eth0_1BridgeIP10.99.0.25/24•设备初始化•选择组网模式•创建内网用户•创建网络应用组•配置带宽限速•添加管理路由•配置DNS地址）带宽限速配置截图Page30功能配置•设备初始化•选择组网模式•创建内网用户•创建网络应用组•配置带宽限速•添加管理路由•配置DNS地址Password: