三.上网行为安全

3.1 上网行为安全概述

3.1.1 上网行为安全背景

 为什么需要上网行为管理

1. 网络的发展与普及正在改变人们的工作和生活方式；

2. 互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网迁移； 

3. 互联网是一把”双刃剑”，缺乏管理的互联网络带来了诸多问题

带宽滥用 

现象：

上网体验差，分支机构与总部间数据交互慢；

语音、视频会议系统断断续续；

邮件发送、资料下载受严重影响；

员工抱怨网络环境，核心业务无法保障，IT部 门屡遭投诉，部门绩效受到影响。

分 析：

P2P、流媒体等流量占用了70%以上的带宽；

带宽缺乏合理划分与分配措施；

单纯扩容带宽，治标不治本

上网难监管

现象：

企业办公室沦为免费网吧，办公效率低；

政务人员上班时间网络聊天、炒股、网游，遭暗访曝 光，影响单位形象；

学校电子阅览室，学生使用IM聊天、看在线视频、网 游，影响学习。

分 析 ：

用户上网权限缺乏管理;

互联网应用泛滥、复杂、更新快等加大管理的困难性；

移动应用快速增长，增加管理难度。

信息泄露

现象：

高层领导的邮件信息、公司研发代码等重要信息泄漏；

公司经营决策、内幕消息被竞争对手提前知晓。

分析：

上网授权缺失，用户肆意上网，为网络泄密提供了通道；

主动外发信息泄密，或被黑客远程控制而被动泄密并存；

泄密后无据可查，责任难追究，难以形成威慑。

网络违法

现象：

微博、百度贴吧等已经成为网络造谣、人身攻击的重灾区；

肆意外发反动、赌博、色情信息，遭受法律追究；

流行的自由门、无界浏览器等代理翻墙软件，绕过公司管理。

分 析：

上网监管缺失，用户肆意上网；

Web2.0使每人都成信息发布者；

缺乏日志记录，无法举证追踪。

安全威胁

现象：

无杀毒软件、具有安全隐患的终端肆意上网，极易感染威胁；

访问看似正常的网页，却可能因此感染木马、恶意插件；

已感染威胁，用户不知晓；甚至爆发病毒、ARP欺骗等大问题。

分析：

管理制度如同空文，缺乏技术监督导致执行效果差；

互联网威胁越来越多、隐蔽和感染技术越来越先进；

限于成本原因，网络中没有部署安全设备。

3.1.2 上网行为安全需求

上网行为管理的三要素

用户认证

目的：

确立上网用户身份，验证其合法性；

以该信息作为用户标识，对用户的上网行为进行控制及审计；

功能：

IP/MAC绑定；

本地用户名-密码认证；

第三方服务器认证；

DKEY双因素认证；

单点登录；

短信认证/二维码认证。

终端类型识别

应用控制

目的：

封堵IM聊天、炒股、游戏、下载、在线视频等应用，规范上网行为， 提高 员工工作效率；

封堵代理、翻墙软件，规避不当上网行为带来的法律风险；

封堵邮件，防止敏感信息泄露；

功 能：

应用特征识别库；

应用管理标签化；

精细化管控； l 防共享防翻墙

网页过滤

过滤非法、不良网站，避免法律风险；

过滤游戏、赌博、购物、在线视频等网站，提高员工工作效率；

过滤恶意网页，保障上网安全；

功能：

千万级URL识别库；

URL智能识别系统；

URL云共享；

自定义URL；

恶意网址过滤

行为审计

目的：

记录内网用户的上网行为，一旦发生网络违法违规事件可作为追查证据；

统计用户的上网时间、应用流量、应用分布等，为企业决策提供依据；

记录内网安全事件，帮助管理员发现安全威胁。

功 能：

网页访问审计；

邮件审计；

IM聊天应用审计；

外发文件审计；

微博、论坛发帖等

流量管理

目的：

根据业务类型进行带宽限制或保障，保证核心业务畅通运行；

灵活分配带宽资源，实现动态调整，提高带宽利用率；

功 能：

基于用户/用户组/应用/网站类型的流控；

多级父子通道；

动态流控；

P2P智能流控；

流控黑名单

应用选路

目的：

对多运营商线路进行有效负载；

精准的识别应用，能够进行有效引流；

动态智能选路。 功 能：

应用引流方案；

DNS透明代理；

应用路由技术；

动态引流技术；

DSCP/tos标签

3.1.3 上网行为安全应用场景

互联网上网行为管控

目标客户：

全行业，只要有互联网出口

客户需求：

1、员工随意使用互联网，需要网页过滤和应用封堵，提高员工工作效率；

2、上网体验差，需要控制带宽流量，保障核心业务畅通；

3、上网行为审计，满足网络安全法；

具体方案：

路由或网桥模式部署

1、URL过滤+应用封堵

2、动态流控+P2P智能流控

3、基于网站、邮件、论坛、微博、IM等内容审计以及 灵活的报表呈现

一体化网关

目标客户：

多分支的企业、政府、部门等

客户需求：

1、分支和总部之间需要IPSEC组网；

2、分支需要管控上网行为；

3、需要有上网行为审计，满足网络安全法；

4、分支需要基础的防火墙防护 多分支的企业、政府、金融等 

方案价值：

1、节省投资，一体化网关，轻松满足组网、安全、行为管控 需求

2、全面审计，满足公安部门的监管要求

无线Wi-Fi管控营销

客户需求：

1、对分支的Wi-Fi接入做集中认证

2、需要多种认证方式和界面，满足不同场景

3、实现统一策略管理，权随人行

4、要满足网络安全法审计要求

具体方案：

1、用户认证前，用浏览器访问任意网站

2、无线控制器发现用户没有通过认证，重定向到Portal服务器

3、在Portal服务器上进行认证，短信、二维码认证等多种认证方 式。

4、通过认证，正常访问网络

5、审计并将日志汇总至总部

6、行为感知系统展示全网上网态势

办公网出口上网与审计

目标客户：

政府/金融/高校

客户需求 ：

1、缺少上网行为记录措施，一旦发生网络违法，无法追踪到人

2、《网络安全法》要求做上网审计，合规要求更严格

3、组织结构复杂，人员众多，无法进行有效的实名上网认证

具体方案：

1、构建上网身份认证体系，保障人员上网接入安全

2、全面审计上网行为

3、【高校】有精确流控需求

4、【金融】有精确识别与策略管控需求 目标客户 政府/金融/高校

无线防共享上网

客户需求 ：

1、企业和政府：私接Wi-Fi容易暴露内网，因此需要禁止共 享上网行为，避免共享接入的用户绕开企业的上网权限控制 和上网行为监控。

2、高校：运营商承建高校的校园网，学生寝室内无线共享网 络，影响运营商宽带开户率及收益

具体方案：

设备以网关或网桥模式部署在出口主干线路上，检测发 现共享行为后，依据策略告警并阻断共享上网行为

技术优势 ：‘

漏判率低、误判率低

全网上网态势分析

客户需求：

多分支网络复杂难管理

全网上网现状不可视

应用价值 ：

 汇总实时数据，在总部统一呈现上网现状 及安全现状

目标客户：

教育局（教育城域网）、多分支的企业、垂直体系的政府单位（公安、武警等）

3.2上网行为组网方案

3.2.1 上网行为管理基本操作

设备外观

软件版本

如何登录设备

首次拿到AC/SG设备时，可以通过以下方法登录设备控制台

SANGFOR AC/SG设备，各网口默认的出厂IP为：

eth0(LAN)：10.251.251.251/24 , eth1(DMZ)10.252.252.252/24

1、使用一根交叉线连接设备和电脑

(1) 如果电脑连接的是设备的eth0口，需先在电脑上配置一个10.251.251.0/24网段的地 址（10.251.251.251除外），打开浏览器输入https://10.251.251.251 登录设备网关控制台。

(2) 如果电脑连接的是设备的eth1口，需先在电脑上配置一个10.252.252.0/24网段的地 址（10.252.252.252除外），打开浏览器输入https://10.252.252.252 登录设备网关控制台

2、输入控制台admin帐号登录设备。默认的管理员用户名和密码为admin/admin

如何登陆设备

如果设备接口地址被修改，在不知道更改后接口地址的情况下，提供以下2种方法登录设备

1、SANGFOR AC/SG设备的lan口(默认eth0定义为lan)有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0口，通过 https://128.127.125.252登录设备网关控制台。

同时，AC/SG设备dmz口(默认eth1定义为dmz)也有保留IP地址128.128.125.252/29，也可以通 过交叉线电脑接到设备eth1口，且电脑配置IP为128.128.125.253/29，通过 https://128.128.125.252登录设备控制台。

注意：

（1） 路由模式部署时lan和dmz都有保留地址，网桥模式网桥br0和dmz有保留地址，旁路 模式部署时管理口有保留地址。

（2） 路由模式出厂默认eth0定义为lan，eth1口定义为dmz 举例：配置被重新定义过网口，如eth2口定义为lan，eth0定义为dmz,此时eth2口有 lan口保留地址,eth0口有dmz口保留地址；网桥和旁路模式部署网口的保留地址同样遵循此 原则。

2、通过SANGFOR 升级系统工具查找设备地址后，通过查找得到的地址进设备控制台

（1）安装SANGFOR 升级系统工具的PC和设备使用交叉线直连

（2）关闭PC上安装的防火墙及windows自带防火墙，如下图

（3）通过SANGFOR 升级系统工具查找设备地址，如下图所示

（4）通过SANGFOR 升级系统工具查到的地址登录设备

如何恢复设备出厂设置

恢复出厂配置会使设备重启。

对于能够正常登录设备的情况，可以通过以下四种方法恢复出厂配置

1、通过控制台界面恢复出厂配置

恢复出厂配置会重启设备，通过此方法恢复出厂配置后，再次登录控制台，右下角会有“恢复 成功”的提示，如下图

2、通过SANGFOR 升级系统工具恢复出厂配置

通过SANGFOR 升级系统工具恢复出厂配置

3、交叉线短接设备两个电口恢复

如果无法登录设备(如无法获得设备接口地址)，可以尝试一下方法恢复出厂配置

(1)先将设备关机。                                                     12.0.12之前，必须接非BY口

(2)准备一根交叉线。                                                  12.0.12之后，必须接0和2口

(3)使用交叉线连接设备面板上任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不 能短接这两个口恢复密码）

(4)将设备加电开机。一直等待，直到设备重启（说明设备恢复出厂配置成功），此时务必拨掉短 接电口的交叉线。

(5)等设备运行起来后，即可通过出厂地址，默认控制台帐号和密码登录设备

4、U盘恢复出厂设置

如果无法登录设备(如无法获得设备接口地址)，可以尝试以下方法恢复出厂配置

(1)新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的

(2)AC上插入U盘，重启设备

(3)当设备的LED红灯熄灭之后，alram灯闪烁，拔出U盘 注意事项：U盘恢复出厂配置，需要重启设备

如何恢复控制台密码

如果忘记了admin的密码，导致无法登录设备，又需要保留设备配置（即不能恢复出厂配置），可 以通过下面两种方法单独恢复admin的密码

交叉线恢复控制台密码

1.确保电脑和设备可以通信，访问设备地址，https://acip/php/rp.php，如下图，提示“创建文件 成功，请连接交叉线并重启设备

2.准备交叉线短接设备任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短 接这两个口恢复密码）

3.手动重启设备，重启过程中，注意观察交叉线短接的两个电口ACT灯状态，两个电口ACT灯 同时闪烁10次后，说明密码恢复完成，此时可以拔掉短接的交叉线，通过默认的控制台帐号 密码admin/admin登录设备即可。设备重启到密码恢复成功大约3到5分钟左右。

4.如果第3步无法根据网口灯状态判断密码恢复是否成功，你可以一直等待，等待5到10分钟 左右，尝试通过默认帐号admin/admin帐号登录设备

U盘恢复密码 ：

1.新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为 FAT 32的。

2.确保电脑和设备可以通信，访问设备地址 https://ACIP/php/rp.php

3.AC上插入U盘，重启设备

4.当设备的LED红灯熄灭之后，alram灯闪烁即恢复密码成功，拔出U盘 注意事项：U盘恢复密码,需要设备重启

3.2.2 上网行为管理部署模式

路由部署解决方案

部署模式简介

部署模式是指设备以什么样的工作方式部署到客户网络中去，不同的部署模式对客户原有网 络的影响各有不同；设备在不同模式下支持的功能也各不一样，设备以何种方式部署需要综合用 户具体的网络环境和功能需求而定。

根据客户需求及环境不同： AC设备支持路由、网桥、旁路部署模式,

SG设备支持路由、网桥、旁路、单臂部署模式

12.0版本之后支持认证部署模式，13.0版本之后认证模式功能融入到普通模式中

路由模式简介

设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路 由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网 络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。

 路由模式下支持AC所有的功能。 

如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署， 其它工作模式没有这些功能。

路由模式需求背景

背景：客户需要用新的上网行为管理设备来替 换旧的出口路由器，实现行为审计和管控

路由模式配置思路

1、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL 拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；

2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的 数据回指给设备下接的三层设备。

3、用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。

4、检查并放通防火墙规则。

路由模式效果展示

路由模式排错思路

（1）检查PC本身的网口IP，子网掩码

（2）检查PC本身的默认网关，首选的DNS服务器

（3）检查AC上给PC做的SNAT

（4）检查AC上给PC做的回包路由

（5）被PC访问的设备本身能否上网 PING /TELNET /WGET

（6）网口兼容性 换网线 换网口 中间加交换机

（7）arp防护和免费arp可能存在冲突

（8）通过ifconfig检查网口错误包或者丢包，ethtool -S 查看丢包类型

网桥部署解决方案

网桥模式介绍

设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC 就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即 可恢复网络通信。

 网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

网桥模式应用场景

网桥模式需求背景

网桥模式配置思路

1、配置设备网桥地址，网关地址，DNS地址。

2、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到 内网各网段的数据回指给设备下接的三层设备。

3、检查并方通防火墙规则

网桥模式效果展示

网桥模式设备无法上网

1、AC网线是否反接（在线用户列表出现大量公网IP）

2、网桥地址是否可用，是否和内网冲突

3、网关是否指向靠近出口方向的设备

4、设备上的DNS是否填写正确

5、确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址 转换代理上网

旁路部署解决方案

旁路模式简介

旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交 换机的镜像口，实现对上网数据的监控。这种模式对用户的网络环境完全没有影响，即使宕机也 不会对用户的网络造成中断。

旁路模式部署主要用于做上网行为的审计，且只能对TCP应用做控制，对基于UDP的应用无法控 制。不支持流量管理、NAT、 VPN、 DHCP等功能。

更多场景：全网行为管理推荐的旁路准入+审计场景

旁路模式需求背景

需求：某客户想部署上网行为管理设备来审计内网用 户的上网行为，但是不能改动下面有的网络环境

旁路模式配置思路

TCP RST

RST作用：标示复位、用来异常的关闭连接。

1. 发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓冲区中的包。

2. 而接收端收到RST包后，也不必发送ACK包来确认

1、交换机设置镜像口，并接到AC监听口。

2、配置需要审计的内网网段和服务器网段。

3、配置管理口地址，用于管理AC设备

旁路模式效果展示

注意事项

1、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制， 控制功能最弱。

2、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响， 即使设备宕机也不会影响客户断网。

3、设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外， 其它网口均可作为监听口，可以同时选择多个网口作为监听口

功能支持列表

TRUNK部署解决方案

VLAN

什么是VLAN？

        Virtual LAN（虚拟局域网）是物理设备上连接的不受物理位置限制的用户的一个逻辑组。 形象地说，交换机VLAN技术就是将1台物理交换机划分为若干台逻辑上完全独立的交换机。

为什么引入VLAN？

1. 二层交换机不能阻隔广播域，网络规模越大，广播危害也越严重

2. 路由器可以阻隔广播，但价格比交换机贵，而且中低端路由器是使用软件转发，转发性能不高， 会造成性能瓶颈

3. 大量的未知单播流量和无用组播流量

4. 带来安全隐患

5. 难以管理和维护

为什么需要VLAN

VLAN协议

802.1Q

        – 公有标准 – 默认情况，在802.1Q Trunk上对所有的VLAN打Tag，除了Native VLAN；

        – Native VLAN，也称为本征VLAN，是在trunk上无需打标签的VLAN，默 认为vlan1，可手工修改

        – Tag标记字段详细信息：

                • Tag 标记字段包含一个2 bytes EtherType（以太类型）字段、一个 3bits的PRI字段、1bit的CFI字段、12bits的VLAN ID字段；

Trunk

不同交换机相同的vlan互访解决方案：

VLAN间路由

单臂路由

Trunk环境需求背景

拓扑如右图所示，交换机划分了三个 VLAN，VLAN ID分别为10，20，30。 路由器内网口配置为Trunk口，各Vlan 间的互访通过路由器实现。

Trunk环境路由部署

Trunk环境路由配置

1、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好设备。 2、配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可

Trunk环境网桥部署

Trunk环境网桥部署配置

1、网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。

2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。

3、或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库。

3.2.3 防火墙技术及其应用

防火墙过滤规则

防火墙规则是控制设备各个网口转发数据的 开关。

这里设置的规则可基于IP和端口进行数据包 的转发控制，和传统的四层防火墙相似

防火墙过滤规则

防火墙端口映射及其应用

该客户已经通过配置实现了AC代理内网用户和服 务器上公网。

内网有一台OA服务器，地址是192.200.2.250， 使用的服务端口是TCP 80。

客户希望将此OA服务器发布到公网，外网用户通 过http://202.96.137.75:8000的方式访问到服务器

端口映射实现原理

端口映射即DNAT，用来设置对数据 包目标IP地址进行转换的规则。 常用来实现客户内网有服务器需要 发布到公网，或者内网用户需要通 过公网地址访问内部服务器的需求

端口映射数据分析

LAN-LAN端口映射需求

PC需要通过202.96.139.99的4433端口去访 问到WOC服务器的443端口，如何实现？

只配置DNAT规则

LAN-LAN端口映射配置

只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器” 。 若不 勾选，仅允许公网用户通过公网地址访问到内网服务器

勾选“发布服务器”

端口映射排查思路

1.检查内网PC到WEB务器的访问是否正常？（判断服务器本身是否OK）

2.检查AC到WEB服务器的访问是否正常？

3.检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比如说80）？

4.检查AC设备的端口映射配置？

5.检查AC设备的防火墙配置？

6.检查AC-WEB服务器中间设备的ACL策略？

7.检查WEB服务器本身的防火墙策略？（是否禁止公网IP访问）