AC技术分享

1.     应用特征识别传统检测只能检测数据包五元组（源IP、目的IP、源端口、目的端口、协议），深度行为检测能够对应用层的内容进行检查识别。其分为深度包检测技术（基于特征字锻检测技术、应用网关检测技术、行为模式检测技术）、深度流检测技术只能对应用类型进行笼统的分类，它能在数据包是加密传输的时判断应用里的内容。2.     HTTP识别控制技术终端解析DNS域名获取IP地址，然后跟服务器进行三次握手，之后发送Get请求，数据包host字段含有具体url，然后设备伪装服务器给终端发送302状态码数据包，源IP就是网站服务器的地址，目的是终端的IP地址。（数据包单向经过我们的设备是不能进行控制的）3.     HTTPS识别控制技术（在http上加上了ssl加密）Pc请求交互会有四阶段握手，发送携带ssl、加密套件、算法、随机数传送给服务器，然后服务器选择一一对应的属性发送给PC，还有证书，在向PC索要证书，通知确认发送完成消息，然后PC向服务器发送证书，进行交换密钥，然后把PC证书进行对比验证，在通知服务器开始交互加密参数，ssl协商成功后发送握手报文确保数据完整性，然后服务器也进行加密约定消息，ssl协商成功后发送握手报文确保数据完整性，最后数据传输。HTTPS网站封堵，终端设备在发送hello报文后，识别到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包，断开终端设备与网站服务器之间的连接，从而控制HTTPS网站的访问。与HTTP封堵区别：HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面（也可以开启这个功能）。排错1）URL库是否更新到最新版本2）该https网站是否在应用识别库或URL规则库中3）策略是否配置正确4）策略的适用用户是否在线5）该用户是否在全局排除地址中6）是否开启了直通7）抓包分析ServerName是否正确，是否对应该HTTPS网站4.     自定义应用方法（在【对象定义】-【自定义应用······】~~~）自定义准入规则：可以定义运行了某个进程才允许(或不允许)上网，自定义应用（封堵或审计精准的应用），自定义URL（封堵或审计精准的URL），自定义关键字（用作关键字过滤或审计）排错2，访问权限策略检查设备部署,如是旁路模式部署,设备本身只能对一些TCP的应用做控制。【全网监控】-【入网用户管理】查看策略对应的用户是否在线。检查规则库“应用识别”“URL库”“审计规则库”是否为最新。检查上网权限策略是否与用户关联,检查用户是否关联了多条上网权限策略,注意策略的叠加顺序（自上而下优先级递减）。检查【系统诊断】-【上网故障排除】是否开启直通；【系统配置】-【全局排除地址】是否有排除内网PC的ip、目标域名、目标IP等。检查是否有自定义应用,禁用或删除自定义的应用看策略是否正常。如数据中心没有识别内网PC任何的应用,此时注意检查客户是否有其它的上网线路,抓包分析用户流量是否经过AC5.     流量管理技术通过“五元组”定义各种流量，针对不同流量实施不同的排队机制和拥塞机制以实现控制流量的目的。但这种无法识别出流量中所涉及的应用，则无法对应用进行精细的流控。①  流量检测方法（主动检测能对网络拓扑、延迟、内容可用性等微观行为特征与被动检测能对流量大小、连接数量、连接持续时间等宏观流量特性），②应用检测技术（常用端口检测，深度流检测、深度包检测）。③应用控制技术（流量整形技术与连接干扰/信令干扰），④识别控制组网模式（直路串联流控模式与旁路干扰流控模式对链路影响较小）当前网络流量控制系统主要由流量分类、队列管理、分组调度、流量整形合力进行流量控制的。6.     Sangfor流控（缓存流控、队列调度（令牌桶）、单用户流量的公平调度、P2P智能流控抑制上行流量、动态流控设定阈值来区分空闲和繁忙状态，动态调节带宽限制、流控黑名单设定用户限额通道与流量惩罚通道）流控通道匹配过程，同级通道从上往下匹配，匹配到父通道后如果有下级子通道，则继续往下级匹配，直到匹配到最后一级，如果无法匹配到任何自定义的通道，则匹配到所在级别的默认通道7.     DNS代理使用“重定向至DNS服务器”功能先收集客户的内网web服务器域名，再通过配置DNS代理将这些域名的DNS请求重定向到内网DNS服务器上。还可以通过AC的DNS代理直接解析为web服务器的IP通过DNS代理的“访问某些域名直接丢弃”功能，将这些域名的DNS请求直接丢弃。8.     Sangfor链路负载（能够路由部署实现应用引流。支持基于标签的引流。）9.     行为审计通过行为审计模块—日志记录----组成需要结构---进入拷贝缓冲区然后分发到不同的审计模块如URL，应用行为、下载文件名、发帖、发邮件等应用行为。10.  日志查询（日志查询模块，提供给管理员进行日志查询的功能，包含所有行为查询、访问网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询，能够追查到各种违反组织规定的行为。）还有统计分析，报表中心都是能够帮助审计的。11.  互联网审计能够设定对WEB邮箱、论坛、微博、网盘、笔记、网页版IM、HTTP外发与下载、网络协议、网络命令、URL等进行审计还有文件类型。12.  SSL解密技术中间人解密是代理访问替换证书，准入插件解密需要准入客户端透明代理替换证书。中间人解密就是把PC到服务器之间的交互过程拦下来自己充当彼此交互对象。代理插件跟服务器交互的时候通过PC代理程序修改数据包模拟NAT功能从而进行TCP/UDP连接进行代理功能。13.  客户端审计针对网络上传输加密内容进行审计，PC安装插件，采用消息勾子注入的方式可以审计到多种上传附件的操作，可审计PC的IM审计、邮件客户端、远程类软件、运维类软件、文件传输类软件、U盘审计等。以上应用均支持离线审计（离线审计是通过下发策略到插件上，插件会先把审计到的信息缓存下来，等连接上AC设备的时候进行传输）14.  业务审计有WEB业务系统、FTP业务系统、SMB业务系统审计。业务访问前强制认证，确保只有授权的用户才能访问核心业务，根据用户角色和属性，控制业务访问权限，只允许访问有权限的业务，对用户访问行为纪录生成业务访问日志，用于分析和追溯，发现异常和违规的访问行为，可以及时预警15.  行为感知系统软件BA（有数据汇总、建模、展示，深信服AC、AF等日志）让数据更有价值。能够提供日志中心、办公网上网态势分析、校园网贷组件等功能。

多谢分享，如果排版能更有条理一点会看着更清晰。