《网络安全设备原理与应用》课件 3.2 IPSec VPN技术-5.7 安全感知分析功能

IPSECVPN解决方案（二）IPSEC协议簇安全框架IPSEC工作模式IPSEC通信协议IPSEC建立阶段IPSECVPN应用场景目录IPSEC协议簇安全框架IPSEC工作模式IPSEC通信协议IPSEC建立阶段IPSECVPN应用场景目录IPSEC建立阶段安全联盟SA定义：SA（SecurityAssociation）是通信对等体间对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识，包括：目的IP地址安全参数索引安全协议号IPSEC建立阶段IKE的产生背景用IPSec保护一个IP包之前，必须先建立安全联盟（SA）IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时，手工配置将非常困难，而且难以保证安全性。这时就可以使用IKE（InternetKeyExchange）自动进行安全联盟建立与密钥交换的过程。Internet密钥交换（IKE）就用于动态建立SA，代表IPSec对SA进行协商。IPSEC建立阶段IKE的用途IKE为IPSec协商生成密钥，供AH/ESP加解密和验证使用。在IPSec通信双方之间，动态地建立安全关联（SA：SecurityAssociation），对SA进行管理和维护。IPSec处理（IP层）IPSec处理（IP层）IKE协商IKE协商协商IPSec通信IPSEC建立阶段IKE与AH/ESP之间关系IKETCPUDPAH/ESPIKETCPUDPAH/ESP加密的IP报文IPIKE的密钥协商KEYKEYIPSEC建立阶段IKE工作过程IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟：第一阶段交换：通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAKMPSA（也可称为IKESA）。第一阶段交换有两种协商模式：主模式协商野蛮模式协商第二阶段交换：用已经建立的安全联盟（IKESA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSecSA，产生真正可以用来加密数据流的密钥，IPSecSA用于最终的IP数据安全传送。IPSEC建立阶段IKE阶段1主模式IKE阶段1野蛮模式IKESA默认使用IP地址作为身份标识，默认是传递自己的出口地址做身份标识，校验对端的公网IP做对端身份标识。（自动生成双方身份ID）可以使用用户名或IP等作为双方身份标识，即可以手动配置身份IDIPSEC建立阶段IKE阶段1协商过程协商建立IKE安全通道所使用的参数交换DH密钥数据双方身份认证建立IKE安全通道协商建立IKE安全通道所使用的参数交换DH密钥数据双方身份认证建立IKE安全通道HostAHostBRouterARouterBIKE阶段一IPSEC建立阶段IKE阶段1--主模式协商IPSEC建立阶段IKE阶段1--主模式交互过程主模式下IKEv1采用3个步骤6条ISAKMP消息建立IKESA。下面是以23主动发起IKE协商为例的整个数据构成：IPSEC建立阶段主模式交互-消息1第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-DES,散列机制-MD5-HMAC,Diffie-Hellman组-2,认证机制-预共享DLAN6.25开始支持IKEv2IPSEC建立阶段主模式IKE交互-消息2消息2是应答方对发送方信息的应答，当应答方查找SPD查找到发送方相关的策略后，将自己的信息同样发送给对端，当然，应答方在发送传输集时将会生成自己Cookie并添加到数据包中，数据包信息如下：可以看到，双方交流的都是自己含有的配置信息，如果双方信息一致，则开始进行下一步传输。IPSEC建立阶段主模式IKE交互-消息3当完成了第一步骤双方的策略协商后，则开始进行第二步骤DH公共值交换，随数据发送的还包含辅助随机数，用户生成双方的加密密钥。消息3的数据包信息如下：可以看到在数据包中，当前载荷类型属于密钥交换，载荷为DH公共值和Nonce随机数。都属于明文，未加密IPSEC建立阶段主模式IKE交互-消息4应答方同样将本端的DH公共值和Nonce随机数发送给对端，通过消息4传输：IPSEC建立阶段主模式IKE交互-消息5第五条消息由发起者向响应者发送,主要是为了验证对端就是自己想要与之通信的对端。这可以通过预共享、数字签名、加密临时值来实现双方交换DH公共值后，结合随机数生成一系列的加密密钥，用于双方加密、校验，同时生成密钥后，将公共密钥和本端身份信息等进行hash，hash值传输给对端进行验证设备身份。发送方通过消息5发送给接收方，可以看到载荷类型为身份验证载荷，所携带的信息经过加密，无法查看相关信息IPSEC建立阶段主模式IKE交互-消息6第六条消息由响应者向发起者发送，主要目的和第五条一样。在这六条消息过后，也就是验证一旦通过，就进入了IKE第二阶段：快速模式IPSEC建立阶段野蛮模式IKE交互过程野蛮模式同样包含三个步骤，但仅通过三个包进行传输，其数据传输如下，从抓包中可以看到野蛮模式标识为Aggressive。野蛮模式下有三个交互包：1、第一个交互包发起方建议SA，发起DH交换2、第二个交互包接收方接受SA 3、第三个交互包发起方认证接受方 野蛮模式交互过程少，所以在传输过程中，其传输的数据比较多，并且前两个数据为明文传输，仅消息3为加密传输。IPSEC建立阶段野蛮模式IKE交互过程IPSEC建立阶段野蛮模式IKE交互-消息1在消息1中，我们可以明确看到，数据包中包含了SA载荷，即策略协商信息；密钥交换载荷和随机数载荷；身份验证载荷。野蛮模式将主模式中需要进行交换的数据全部进行了发送。IPSEC建立阶段野蛮模式IKE交互-消息2当应答方接收到发起方发送来的消息1后，通过自身查看SPD是否存在与发起方身份匹配的相关策略，若存在，则利用消息1中信息与自身配置进行计算，生成身份验证hash值后，将自身配置策略信息和hash值传送给发起方。对比消息1和消息2，可以看到消息2中增加了hash载荷。IPSEC建立阶段野蛮模式IKE交互-消息3发起方接收到应答方的策略信息和hash值后，同样进行验证，若匹配，则将自身的hash值用计算出的密钥加密后，传输给应答方。从flag中可以看出此时数据经过了加密。IPSEC建立阶段IKE阶段1两种模式对比主模式野蛮模式消息交互交互6个消息交互3个消息身份ID以IP地址作为身份ID，自动生成本端身份ID和对端身份ID可以以多种形式（IP，字符串等）手动或自动的生成本端和对端的身份ID域共享密钥只能基于IP地址来确定预共享密钥。基于ID信息（主机名和IP地址）来确定预共享密钥。安全性较高前4个消息以明文传输，最后两个消息加密，对对端身份进行了保护较低前两个消息以明文传输，最后一个消息进行加密，不保护对端身份速度较慢较快IPSEC建立阶段IKE阶段2协商过程协商IPSec安全参数协商IPSec安全参数建立IPSecSA建立IPSecSAHostAHostBRouterARouterBIKE阶段二IPSEC建立阶段标准IPSECVPN建立过程IKE阶段2双方协商IPSec安全参数，称为变换集transformset，包括：加密算法Hash算法安全协议封装模式存活时间Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIPSEC建立阶段标准IPSec第二阶段ISAKMP/IKE阶段2只有一种信息交换模式——快速模式，它定义了受保护数据连接是如何在两个IPSEC对等体之间构成的。深信服的标准IPSEC有几对的出站入站，在DLAN运行状态里面就会显示几条连接，每一对快速模式交互的包都是三个，第一个包由主连接发起方发起响应快速模式有两个主要的功能：1.协商安全参数来保护数据连接。2.周期性的对数据连接更新密钥信息。第二阶段的效果为协商出IPSec单向SA，为保护IPsec数据流而创建。第二阶段整个协商过程受第一阶段ISAKMP/IKESA保护。第二阶段所有数据都经过了加密，在公网抓取的数据如下：IPSEC建立阶段数据传输阶段数据传输阶段是通过AH或者ESP通信协议进行数据的传输。数据传输建立在网络层。IPSEC建立阶段数据传输阶段建立隧道后，如果其中一端的设备异常重启，导致SA不一致，会出现什么问题？IPSEC建立阶段VPN隧道黑洞可能情况：对端的VPN连接已经断开而我方还处在SA的有效生存期时间内，从而形成了VPN隧道的黑洞。我方不停的发送加密后的VPN数据过去，但对方拒绝接受。IPSEC建立阶段DPD解决VPN隧道黑洞DPD:死亡对等体检测（DeadPeerDetection），检查对端的ISAKMPSA是否存在。当VPN隧道异常的时候，能检测到并重新发起协商，来维持VPN隧道。DPD主要是为了防止标准IPSEC出现“隧道黑洞”。DPD只对第一阶段生效，如果第一阶段本身已经超时断开，则不会再发DPD包。IKE

IIKE

IIIPSEC建立阶段DPD概述DPD包并不是连续发送，而是采用空闲计时器机制。每接收到一个IPSec加密的包后就重置这个包对应IKESA的空闲定时器；如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下一次有IP包要被这个SA加密发送或接收到加密包之前就需要使用DPD来检测对方是否存活。DPD检测主要靠超时计时器，超时计时器用于判断是否再次发起请求，默认是发出5次请求（请求->超时->请求->超时->请求->超时）都没有收到任何DPD应答就会删除SA。IPSEC协议簇安全框架IPSEC工作模式IPSEC通信协议IPSEC建立阶段IPSECVPN应用场景总结SANGFORVPN解决方案（一）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN功能优势深信服设备自身能互联两种VPN类型，一是标准IPSecVPN，另一个就是自主开发的SANGFORVPN。与标准IPSecVPN相比，SANGFORVPN的专利技术的优势：1、支持两端都为非固定IP的公网环境---通过webagent实现2、更细致的权限粒度与标准IPSecVPN相比，SANGFORVPN的特殊场景：1、更细致的权限粒度2、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控3、隧道内NAT技术，解决多个分支网段IP冲突的问题SANGFORVPN功能优势WebAgent工作原理WebAgent寻址过程：用于SANGFORVPN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。（寻址过程中，所有信息均使用DES加密。）SANGFORVPN功能优势更细致的权限粒度高级权限普通权限病毒财务服务器OA服务器SANGFORVPN功能优势线路探测技术移动用户移动用户CableModemADSL宽带独有的“线路探测”技术总部DLANSANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN术语解释术语解释总部提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。SANGFORVPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支即接入总部端的设备。一般将客户端所在的网络做为分支。移动即SANGFORVPN的软件客户端，又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。SANGFORVPN术语解释术语解释SANGFORVPN术语解释WebAgent格式WebAgent:用于SANGFORDLAN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。WEBAGENT有如下几种的填写方式：1.IP:端口，如23:4009适用于总部VPN设备有固定公网IP地址的环境2.IP1#IP2:端口，如23#21:4009适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境3.网址的形式，如/webagent/123.php适用于总部VPN设备没有固定公网IP的环境，如ADSL线路4.域名：端口形式，如:4009适用于总部已存在动态域名指向他们出口的公网IP的环境SANGFORVPN术语解释本地子网IPSecVPN一般通过ACL抓取感兴趣流，而SANGFORVPN是通过本地子网宣告自身内网网段给对端的形式，来让对端具备访问本端网段的路由，从而实现数据的互访。（设备默认只宣告设备直连网段）SANGFORVPN术语解释VPNTUN接口Vpntun接口：VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN建立过程建立条件1、至少有一端是总部，且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权。2、至少有一端在公网上可访问，即“可寻址”或固定公网IP。3、建立VPN两端的内网地址不能冲突。4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联，但VPN2.x版本只能跟VPN2.x版本互联）SANGFORVPN建立过程建立过程最基本的三步曲1、寻址：与谁建立连接(找到目标)——寻址（WebAgent原理、WebAgent设置）2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP寻址认证策略SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景总结SANGFORVPN解决方案（二）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN数据传输过程分析SANGFORVPN建立隧道SANGFORVPN数据传输过程分析数据传输问题1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①SANGFORVPN数据传输过程分析数据传输问题1AC没有去往网段的路由！SANGFORVPN数据传输过程分析问题1解决方法在长沙AC上配置静态路由！SANGFORVPN数据传输过程分析数据传输问题2SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②③SANGFORVPN数据传输过程分析数据传输问题2因为WOC没有去往网段的路由！SANGFORVPN数据传输过程分析问题2解决方法在总部的SSL设备上配置本地子网，将总部的资源网段宣告给长沙WOC设备SANGFORVPN数据传输过程分析问题2解决方法在分支WOC设备上可以查看到去往总部本地子网的路由条目SANGFORVPN数据传输过程分析数据发送成功①②③④⑤⑥⑦⑧⑨SANGFORVPN数据传输过程分析数据发送成功1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②SANGFORVPN数据传输过程分析数据发送成功2③SIPDIPSportDportProtocolDATA8400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功3④SIPDIPSportDportProtocolDATA98400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功4⑤⑥SIPDIPSportDportProtocolDATA900400004009TCP加密的原始数据包⑦SANGFORVPN数据传输过程分析数据发送成功5⑧⑨SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据SANGFORVPN数据传输过程分析数据回包问题①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据②SANGFORVPN数据传输过程分析数据回包问题正常情况下AF不会把回包发送给SSL！SANGFORVPN数据传输过程分析解决方法SANGFORVPN数据传输过程分析数据回包成功⑤④⑥③⑦②①⑧SANGFORVPN数据传输过程分析数据回包成功1②①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SANGFORVPN数据传输过程分析数据回包成功2⑤④③SIPDIPSportDportProtocolDATA009400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功3⑥SIPDIPSportDportProtocolDATA89400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功4⑦SIPDIPSportDportProtocolDATA8400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功5SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据⑧SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN特殊场景权限控制场景需求：总部和分支部署了两台VPN设备，现总部的VPN设备做为VPN总部与分支建立了VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许分支网络的PC访问总部的WEB服务器（80端口），禁止访问其他的任何服务器（包括PC客户端）。如下图：基本思路：该客户需求一共有两种方法可以实现，通过VPN内网权限（两端都会受到限制）或者通过防火墙过滤规则（更细化的控制）。SANGFORVPN特殊场景分支通过总部互联场景需求：总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。问题分析：两个分支分别与总部建立VPN隧道，但分支1与分支2之间并没有任何线路相连，也没有VPN隧道。解决办法：通过分别在分支1和分支2的设备中配置隧道间路由实现。SANGFORVPN特殊场景分支通过总部上网场景需求：总部与分支建立VPN连接，总部希望审计分支的上网行为，因此总部要求分支通过总部实现上网。解决办法：通过在分支1中配置隧道间路由实现通过总部上网。SANGFORVPN特殊场景分支地址冲突场景需求：总部分别与两个分支建立VPN连接，分支1与分支2内网均为/24网段，用户要求不能改变任何一端的IP地址，实现分支与总部互访。问题分析：两个分支内网网段相同，当总部收到来自/24网段的数据时，不知道该回给哪个分支。解决办法：通过配置隧道内NAT实现SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景总结EDR安装部署了解EDR产品的架构熟悉EDR管理平台的部署方法熟悉EDR客户端的安装与卸载方法教学目标产品架构MGR部署Agent部署Agent卸载目录总体架构EDR从系统架构上分为三层，基础平台层、核心引擎层以及功能展现层。基础平台层：负责提供集中管控，云查以及主机代理功能的基础能力。核心引擎层：负责提供病毒检测，威胁分析以及行为检测等能力。功能展现层：从预防、防御、检测、响应等四个方面，提供全面的安全防护体系。EDR从部署结构上分为云端、管理端（MGR）和客户端（Agent）三部分。云端：包括病毒库升级、云端查杀服务中心、安全情报中心。管理端：负责维护管理所有的Agent客户端。客户端：安装在终端的软件，对终端进行安全防护。部署结构云查服务中心病毒库升级中心安全情报中心EDR管理平台WindowsLinux云端管理端客户端产品架构MGR部署Agent部署Agent卸载目录场景：公司领导给了你一个软件，告诉你这个软件可以实现某些功能，需要你尽快安装上，投入使用思考：想要安装，你都需要了解什么？思考在安装部署EDR之前，需要进行系统兼容性确认硬件资源环境确认网络连通性确认部署准备EDR管理平台Agent客户端系统兼容性确认浏览器Mgr控制台IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系统（64位）Mgr控制台Centos7+YUbntul16+Y操作系统类型操作系统用户PC终端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服务器终端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系统类型操作系统linux服务器终端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系统类型操作系统国产Neokylin5.0x86（客户端版）Neokylin6.0x86（客户端版）Neokylin7.0x86（客户端版）银河麒麟4.0x64（客户端版）优麒麟18.0Agent客户端操作系统类型操作系统linux服务器终端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系统兼容性确认物理环境和虚拟化环境都需要符合以下硬件资源要求硬件资源环境确认终端数CPU（奔腾双核）内存磁盘1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T客户端（Agent）与管理平台（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。确保端口连通性。4430端口：Agent组件更新和病毒库更新。8083端口：Agent和管理端业务通信端口。54120端口：逃生端口，应急情况与Agent通信端口。完成Agent重启、卸载和脚本执行命令下发。ICMP：连通性探测客户端与管理平台网络连通性网络连通性确认管理平台与云端网络连通性（云脑）漏洞补丁相关：https://（云脑）接入云脑授权：https://（云脑）云查服务器：（云脑）云安全计划：（CDN）漏洞补丁、规则、病毒库地址：http://网络连通性确认MGR管理平台部署软件部署ISO镜像部署OVA模板部署硬件一体机部署管理平台部署ISO镜像部署基于CentOS系统镜像，其内嵌MGR安装包，即安装该ISO后，便自动部署MGR。优势：安装步骤简化。该ISO基于CentOS最新包定制，内嵌mgr安装包，只需一次安装即可，不再需要原有的mgr单独部署流程。安全性更高。该ISO在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。物理环境和虚拟化环境都支持安装。ISO镜像部署OVA模板部署是基于CentOS安装镜像，其内嵌MGR安装包，在虚拟化环境中，导入OVA模板，便自动部署MGR。优势：安装步骤简化。该OVA模板基于CentOS最新包定制，内嵌MGR安装包，只需一次安装即可，不再需要原有的MGR单独部署流程。安全性更高。该模板中的系统在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。OVA模板部署目前硬件EDR有两个型号EDR-1000-B600（最大支持管控1000点EDR客户端）和EDR-1000-C600（最大支持管控2500点EDR客户端）硬件一体机部署硬件一体机部署如图，EDR硬件设备eth0口旁路接到客户网络，确保EDR设备可以和内网终端连通即可。EDR硬件设备eth0口默认地址为51，默认登录控制台方式为51admin/admin产品架构MGR部署Agent部署Agent卸载目录部署方式（5种）：安装包部署、网页推广部署、AC联动部署、虚拟机模板部署、域控场景部署客户端Agent部署特别注意：EDR客户端与以下安全软件完全兼容使用。安装有非以下安全软件的电脑同时安装EDR客户端，支持在兼容模式下安装，但文件实时监控功能无法正常使用。EDR客户端Agent支持与金山毒霸、火绒（个人版）、QQ管家、瑞星个人版、奇安信天擎、360杀毒、360安全卫士、趋势深度安全、趋势officescan、赛门铁克等数10款安全软件兼容安装和使用适用场景管理员下载agent安装包，通过U盘等移动介质将其导入终端进行安装部署，最直接的部署方法安装包部署适用场景管理员发布部署通知的web页面，将发布页链接通过邮件、OA等方式发送至终端，终端用户自行下载agent安装包进行安装部署网页推广部署适用场景适用于同时购买了AC的客户，EDR和AC联动，当用户打开网页时，被AC重定向至下图安装Agent页面，直至终端成功安装AgentAC联动部署虚拟机模板部署适用场景适用于桌面办公环境或虚拟化环境，管理员在虚拟化平台提前做好含EDR客户端的虚拟机模板，根据需要进行派生成其它虚拟机域控部署适用场景终端受WindowsAD域控统一管理，可以通过域控组策略批量部署软件安装包进行静默安装。虚拟机模板部署与域控场景部署产品架构MGR部署Agent部署Agent卸载目录Agent卸载包括Windows客户端卸载和Linux客户端卸载客户端Agent卸载Windows客户端卸载有两种方式：终端卸载、MGR管理平台卸载Windows客户端卸载为了防止客户端被恶意卸载导致终端得不到安全防护，所以从终端卸载Agent时，需要先获取防卸载密码（防卸载密码由管理员在管理平台设置）。Windows客户端卸载Linux客户端卸载有两种方式：终端卸载、MGR管理平台卸载Linux终端是无图形化界面的，所以从Linux终端卸载或从MGR管理平台卸载均无需卸载密码。Linux客户端卸载产品架构MGR部署Agent部署Agent卸载总结EDR终端管理（一）掌握如何管理终端组织结构掌握EDR可以采集终端哪些信息，以及在实际场景中能够指导客户如何使用教学目标终端分组管理终端清点目录内网电脑数量多，不同部门电脑系统版本不一样、不同终端类型需要配置的安全策略也不一样，管理员缺少一种对全网电脑进行管理的方式、给运维带来不便。EDR终端分组是树形组织结构，能根据客户不同需求对终端进行灵活分组，如按业务部门、按终端类型（客户端和服务器）等进行分组，并且可以对各个分组配置个性化的安全策略，从而做到内网众多电脑进行分类管理、方便运维。需求背景需求背景分组不多的情况可以使用新增分组，如下图：新增分组分组数量多的情况，可以使用excel表格先制作好分组，再导入EDR，如下图：导入分组当需要根据IP地址自动上线到匹配的组，可以使用自动分组管理，如下图：自动分组导出分组/终端，对分组/终端进行备份或批量编辑，如下图：导出分组或终端终端分组管理终端清点目录对资产“看得清、理得清”已成为IT日常安全建设的重要内容，客户无需额外采购其他资产管理的软件，即可实现看清、理清终端信息。终端清点功能能够帮助管理员看清全网主机资产全貌，理清全网主机风险暴露面，从而削减全网主机攻击面。需求背景终端清点是由EDR客户端读取终端操作系统信息、已安装的应用软件信息、开放的监听端口信息、终端的系统账户信息和终端硬件信息，上报给EDR管理平台进行集中展示和分析。原理介绍操作系统信息安装软件信息开放端口信息系统账户信息终端硬件信息EDR客户端EDR管理平台采集上报集中分析展示功能介绍：清点终端操作系统功能介绍：清点终端应用软件功能介绍：清点终端监听端口功能介绍：清点终端帐户功能介绍：清点终端基本信息终端详情可以展示终端操作系统、CPU、内存占用情况，终端基本信息、运行信息、应用软件和监听端口信息等，如下图:应用场景1：全网非授权软件使用统计IT管理员可以通过应用软件清点了解全网主机所安装软件是否都符合单位授权要求。如下图所示，通过“终端清点”->“应用软件”页面，管理员可以根据软件类型、软件厂商搜索单位全网哪些主机安装了单位禁止使用的软件，如某个厂商（如中天xxxx公司）的某款非正版软件（如software3）。应用场景1：全网非授权软件使用统计点击上图“终端数量”列的数字，管理员可以查看所有安装了这款软件的主机详情，可以通知主机进行整改，如下图所示。应用场景2：全网主机风险账户梳理IT管理员可以通过“终端清点”->“终端账户”页面，全局了解企业内网主机的账号风险情况（如是否存在隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号等），如下图所示：应用场景2：全网主机风险账户梳理可以将存在风险账号的主机导出excel表格，并通过邮件或其他方式通知相关责任人进行自查和整改（或配合EDR的主机隔离功能，对未能在规定时间内整改完成的主机进行断网隔离）。应用场景3：统一封堵风险端口通过监听端口功能，可以将管理终端所监听的端口进行统计并展示，同时针对风险端口有特殊的展示效果应用场景3：统一封堵风险端口针对风险端口，可对其进行统一封堵或接触封堵终端分组管理终端清点总结EDR终端管理（二）掌握EDR终端发现功能使用掌握EDR基线检查功能使用掌握EDR远程协助功能使用教学目标终端发现终端基线检查远程协助目录终端电脑数量很多的情况下，管理员很难知道哪些终端未安装EDR客户端进行防护，从而带来潜在的安全风险。终端发现功能可以帮助管理员发现内网没有安装EDR客户端的电脑，及时做好安全防护，降低风险暴露面。需求背景EDR集成了Nmap扫描工具实现终端发现功能。管理员触发内网扫描（Nmap扫描）对内网终端进行活跃探测，扫描返回结果中的IP说明主机是活跃的，EDR将活跃的主机IP和EDR管理平台中在线的终端IP比较，得出EDR管理平台中不存在的活跃主机即为未安装EDR客户端的终端。原理介绍EDR管理平台安装EDR客户端的Linux服务器发起Nmap全网扫描活跃主机PC1PC2PC3PC4........................PCn活跃主机与EDR管理平台中的终端比较EDR管理平台存在以下终端PC1PC2EDR管理平台不存在以下终端PC3PC4已安装EDR客户端PC1PC2未安装EDR客户端PC3PC4已安装EDR客户端未安装EDR客户端注：内网使用终端发现功能可能会导致内网安全设备识别为异常扫描行为，需要提前和客户沟通功能介绍发起扫描设备”可以设置由EDR管理平台发起扫描，或由已经安装了EDR客户端的Linux终端发起扫描（不能是windows客户端）。如果扫描范围大，为了增加扫描速度，建议设置由多个已经安装了EDR客户端的Linux终端发起扫描。功能介绍终端发现终端基线检查远程协助目录需求背景信息安全等级保护标准已经成为国内企业信息安全建设的标准。国家规定，有些行业（如金融、教育、能源、电商等）是有要求自己的信息安全建设过等保测评的。等保从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等方面对信息安全建设都做了相应的规范要求。如果客户业务系统需要准备等保测评，那么业务系统当前安全状态与等保安全要求之间的差距在哪里，需要帮助客户梳理出来，进行整改。EDR的基线检查功能是根据三级等保合规性要求对windows和linux系统进行合规性检查，帮助客户发现内网不合规终端及不合规项，并提供加固整改建议。功能介绍基线检查能够对Windows和Linux系统的以下5项安全策略进行合规性检查：功能介绍每项安全策略检查的具体内容如下，检查到具体内容不符合安全性要求时，则以红色显示，始下图，红色显示内容为不合规项。功能介绍基线检查设置如下，可以对指定的终端（windows或linux）进行检查。功能介绍基线检查的效果如下，列出具体不合规项，并提供加固文档。终端发现终端基线检查远程协助目录需求背景

当被管控的终端出现故障时，管理员需要远程协助功能对终端进行远程控制，快速、安全的响应解决终端问题。原理介绍基于远程控制开源软件UltraVNC（分为客户端和服务端），EDR客户端默认附带UltraVNC服务端程序。通过在EDR管理平台发起远程，下载运行UltraVNC客户端程序，输入被远程端的IP、端口以及授权码即可实现远程控制。功能介绍远程协助功能当前支持WinXPsp3，Win7和Win10系统，下面介绍使用方法策略中心-桌面管控，支持是否需要终端用户同意功能介绍远程协助功能当前支持WinXPsp3，Win7和Win10系统，下面介绍使用方法选中被控制电脑，发起远程协助功能介绍发起控制电脑上下载vnc-viewer，如果已下载，跳过此步。被控制电脑接受管理员控制请求，允许控制功能介绍功能介绍生成授权码和随机端口功能介绍发起远程的电脑通过vnc-viewer输入被控制电脑IP、端口、授权码进行远程协助注意事项1、远程协助只支持远程端和被远程终端网络互通的情况下使用，NAT这种场景不支持；2、当前只支持WinXPsp3，Win7和Win10系统；3、每次发起远程请求后超过10min没有远程连接，需要重新申请远程；4、远程连接成功后，持续断开超过30s，需要重新申请远程才能远程成功；5、每次发起连接的端口和授权码是随机的，防火墙需放行远程协助接入。终端发现终端基线检查远程协助总结EDR策略中心（一）整体了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同终端有哪些安全策略掌握病毒查杀、文件实时监控策略的配置和使用教学目标客户选择EDR是为了给终端提供一套完整的安全解决方案，保护内网服务器和PC的安全。EDR提供基本策略、病毒查杀、实时防护、安全加固、信任名单和漏洞修复等安全策略帮助用户保护内网主机安全。打开【终端管理】->【策略中心】，选中具体分组即进入该组安全策略设置。需求背景病毒查杀文件实时监控目录需求背景以勒索软件为首的恶意软件让政企用户深受其害2019年“网络攻击千千万勒索病毒占一半”

GandCrab勒索病毒攻击我国政企内网2019-03易到用车核心服务器被勒索病毒攻击2019-05著名飞机零件供应商ASCO遭遇勒索病毒攻击2019-062019-09国内某大型建筑设计有限公司遭到勒索病毒攻击分布式团队作战按劳分配多劳多得高度专业化2020年勒索病毒攻击预测

企业

政府单位

医疗行业

公共机构目标集中化数据加密与数据窃取双重攻击不止于加密对整个文件进行哈希，基于MD5、SHA1进行检测阶段一：哈希运算提取病毒特征码，基于特征库进行检测阶段二：病毒特征码分析师对病毒的排查经验总结为自动化的检测程序阶段三：启发式检测基于哈希运算和病毒特征码的特点，静态特征与病毒需一一对应网络空间安全已成国家安全战略高地人才缺口巨大需要大量专业安全人才持续整理从2007年病毒数量开始爆发式增长新病毒变种持续增多，变种成本持续减小基于病毒特征库方式进行杀毒高级威胁持续产生，呈被动，后知后觉特点后知后觉本地病毒特征库有限特征库数量与已知病毒样本不匹配天生受限特征数量不断增多加重终端资源以及运算成本资源加重依赖云端查杀反馈结果杀软依赖云查杀，隔离网环境检测能力骤降依赖性大基于AI的检测技术可以解决以上问题检测技术进入第四阶段未知威胁层出不穷，传统特征杀毒趋近失效需求背景功能介绍文件信誉检测引擎基因特征检测引擎行为分析检测引擎人工智能检测引擎安全云脑检测引擎文件信誉检测引擎基于本地、全网、安全云脑构建文件信誉库基因特征检测引擎基于”小红伞“引擎构建基因特征识别库速度快，准确率高，误杀操作少行为分析检测引擎虚拟沙盒、引擎和操作系统环境仿真解析恶意代码本质人工智能检测引擎利用深度学习训练数千维度的算法模型持续学习，自我成长无特征检测技术安全云脑检测引擎使用大数据分析平台，基于多维威胁情报秒级响应检测结果基于AI多维度智能检测引擎功能介绍文件信誉检测引擎基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。功能介绍基因特征检测引擎

深信服EDR的安全运营团队，根据安全云脑和EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。功能介绍人工智能检测引擎SAVE勒索病毒PE文件结构原始特征(字节级特征)IP、端口、注册表键值、汇编指令等基于语义的特征构建高层次特征（提取本质行为）网络连接测试、文件加密、写入注册表、自启动特征筛选（降维）高质量特征（提取对判断是否是病毒最有效的特征）分类模型（训练/预测）黑/白………文件加密、自启动SAVE引擎能够分析高层次特征的影响，从而调整和优化分类模型泛化检测能力通过对某一类病毒高维特征提取泛化检测具有相同高维特征的数百类病毒功能介绍人工智能检测引擎SAVE相比基于病毒特征库的传统检测引擎，SAVE的主要优势有：强大的泛化能力，甚至能够做到在不更新模型的情况下识别新出现的未知病毒；对勒索病毒检测达到业界领先的检出率，包括影响广泛的WannaCry、BadRabbit等病毒；云+端联动，依托于深信服安全云脑基于海量大数据的运营分析，SAVE能够持续进化，不断更新模型并提升检测能力，从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。功能介绍行为分析检测引擎

传统静态引擎，是基于静态文件的检测方式，对于加密和混淆等代码级恶意对抗，轻易就被绕过。而基于行为的检测技术，实际上是让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。因此，不管使用哪种加密或混淆方法，都无法绕过检测。最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。功能介绍安全云脑检测引擎

针对最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等，秒级响应未知文件的检测结果。配置步骤配置病毒查杀策略下发病毒查杀扫描对病毒查杀结果进行处置配置思路病毒查杀策略打开【终端管理】->【策略中心】，选中具体分组即进入该组安全策略设置。配置介绍配置介绍病毒查杀策略配置介绍病毒查杀策略病毒查杀发现威胁文件后的三种处理动作标准处置：默认配置为标准处置。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置（确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理）严格处理：适用于严格保护场景，可能会存在一定误判。EDR检测的所有威胁文件均隔离处理。仅上报不处置：适用于有人值守且用户了解如何处置病毒的场景，需要人工分析上报的威胁日志进行处理。EDR检测的所有威胁文件仅上报安全日志，不隔离。扫描引擎默认没有启用行为引擎，如果电脑配置在CPU4核、内存4G以上可以启用所有引擎，低于此配置，建议保留默认配置。“开启高启发式扫描”后会提高病毒检出率，但也会增加误判，此配置项在多家厂商PK测试病毒检测率时使用，非此场景慎用。配置介绍病毒检测通过管理端下发查杀任务，选中需要查杀的终端，可以下发快速查杀或全盘查杀，如下图。配置介绍病毒检测通过EDR客户端也可以对这台终端进行查杀毒扫描，如下图。配置介绍病毒处置如果病毒查杀策略设置发现恶意文件的处置动作为“标准处置”或“仅上报，不处置”，则病毒查杀发现的威胁文件（未自动隔离的）可以由人工进行“处置”、“信任”和“忽略”处理，如下图。处置：对感染性病毒、宏病毒文件先进行修复，无法修复再进行隔离处理；其它类型病毒直接隔离。信任：如果检测出的威胁为正常文件，则可以添加为可信任。忽略：如果威胁在终端已自行处理，管理端不需要显示威胁日志，则可以设置为忽略。威胁分析：接入深信服安全中心，对威胁事件详细分析，进一步判断威胁文件影响。案例背景某项目同时有安全厂商A、安全厂商B、深信服EDR三家厂商参与，客户关注安全软件对病毒的检出能力，这种场景下，我们如何测试才能体现我们产品的检测能力。使用案例准备工作版本确认确认当前EDR的版本为3.2.16及以后版本样本提供

测试前需要确认测试样本如何提供，需提前准备好测试样本，一般有以下几种方式：我司提供样本友商提供样本客户提供样本我司、友商、客户各提供1/3样本使用案例测试方法1、设置病毒查杀策略打开EDR【终端管理】->【策略管理】，按如下图设置病毒查杀策略使用案例测试方法2、确认配置生效完成上述配置后，右键点击终端Agent托盘图标，如下图，说明当前查杀处于高启发式扫描”模式。3、对比查杀使用EDR客户端自定义查杀对病毒样本查行扫描查杀，对比不同厂商的检出率。使用案例注意事项通过管理端下发快速查杀任务，只对以下目录生效，所以在测试快速查杀时，样本需要放在以下目录：Linux快速查杀目录：Linux快扫目录/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查杀目录：/windows和/windows/system32本级目录，/windows/system32/drivers目录和其子目录杀毒扫描模式有“极速”、“均衡”和“低耗”三种模式，区别如下，建议使用“均衡”模式，不会因为资源占用影响客户业务。极速：全速扫描、不限制扫描软件自身的CPU占用率；均衡：扫描速度和CPU占用率达到一定平衡，限制CPU占用率不超过30%；低耗：扫描时尽量少占用CPU资源，限制CPU占用率不超过10%。病毒查杀文件实时监控目录需求背景为了保护业务安全，不仅要做到威胁发生后对威胁事件的及时检测与响应，更需要在威胁发生前进行相应预防和威胁发生的过程中做好相应的防护策略。这样才能在保护业务安全方面提供事前预防、事中防护、事后检测和响应的闭环解决方案。此次培训主要介绍在事中防护阶段文件实时监控如何保护业务安全。功能介绍文件实时监控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多种引擎，实时监控电脑上文件写入、读取和执行操作，当检测到威胁文件写入、读取、执行时，立即阻断相关操作，并进行告警。防止威胁文件落地、并进一步执行，从而保护业务安全。原理介绍文件实时监控通过SAVE人工智能引擎、基因特征引擎、云查引擎等多种引擎，实时检测文件并判定为黑白，流程图如右图。对WindowsServer和WindowsPC所在组启用文件实时监控策略。配置介绍配置介绍打开【终端管理】->【策略中心】，选中具体分组即进入该组实时防护设置。配置介绍防护级别高：监控文件打开、执行、落地动作中：监控文件执行、落地动作低：监控文件执行动作扫描引擎电脑性能足够，扫描引擎可以全开；性能不足，建议关闭基因特征引擎配置介绍发现恶意文件后的处置动作标准处置：默认配置为标准处置。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置（确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理）严格处理：适用于严格保护场景，可能会存在一定误判。EDR检测的所有威胁文件均隔离处理。仅上报不处置：适用于有人值守且用户了解如何处置病毒的场景，需要人工分析上报的威胁日志进行处理。EDR检测的所有威胁文件仅上报安全日志，不隔离。配置介绍启用文件实时监控后，当检测到存在威胁文件时，会弹框告警发现恶意文件的告警。注意事项1、启用文件实时监控策略时，注意，右侧锁图标需要点亮，管理端的策略才能够下发到终端，如下图：2、文件实时监控策略只对Windows终端生效，对其它终端不生效。病毒查杀文件实时监控总结EDR微隔离掌握如何管理终端组织结构掌握EDR可以采集终端哪些信息，以及在实际场景中能够指导客户如何使用掌握EDR基线检查功能使用教学目标需求背景原理简介微隔离使用目录需求背景客户端与业务服务器、服务器与服务器之间访问关系复杂，无法看清之间的访问关系、无法基于访问关系配置访问控制策略，从而给服务器安全带来隐患，加大安全管理难度。微隔离是一种集中化的流量识别和管理技术。

在东西向访问关系控制上，能够基于访问关系进行访问控制策略配置，集中统一管理服务器的访问控制策略，减少了对物理、虚拟的服务器被攻击的机会。

在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录。访问关系控制

在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。

在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录。访问关系可视化需求背景原理简介微隔离使用目录原理简介微隔离使用Windows防火墙WFP和Linux防火墙iptables进行访问流量控制和上报的。

如下图为微隔离整体流程图，先在MGR下发微隔离策略，此时终端会根据配置的微隔离策略设置终端电脑防火墙规则。当终端发送请求时，系统会根据要访问的IP地址、端口、协议等来解析请求，然后与防火墙规则进行匹配，允许则放通，不允许则直接丢弃。设置微隔离策略下发微隔离策略消除原有规则消除原有规则根据微隔离策略设置防火墙根据微隔离策略设置防火墙MGR数据库agent1agentNagent1的防火墙agent1的防火墙agent1agent1的防火墙分析此次请求要请求的地址、端口、协议防火墙规则是否符合防火墙规则否是agent2agent2的防火墙原理简介需求背景原理简介微隔离使用目录微隔离使用此章节我们先介绍微隔离整体配置思路，再以“防止感染病毒蔓延场景”举例说明微隔离如何使用及使用效果。配置思路完成微隔离的配置需要以下四个步骤：1.业务系统梳理根据客户需求梳理客户业务系统/IP/角色/服务及各对象之间的访问关系，为后面的微隔策略做准备。2.定义对象根据第1步梳理的内容，定义业务系统/IP组/服务等对象，为微隔离策略调用。3.配置微隔离策略根据第1步梳理的访问关系和第3步定义的业务系统/IP组/服务，配置微隔离策略。4.效果验证微隔离使用案例——防止感染病毒蔓延场景场景说明需求描述：在用户区出现了勒索病毒时，勒索病毒将会作用135、136、137、139、445以及3389进行传播，在不能即时查杀时，可使用微隔离，对所有的终端（PC，服务器）进行端口封堵。预期效果：所有的终端之间不能相互访问共享服务端口以及远程桌面端口。配置步骤1.业务系统梳理根据场景说明梳理业务系统/IP组/服务，及访问关系，如下表：对象业务系统业务系统名称终端组包括的终端所有终端-ALL用户区1、用户区2、用户区3、服务区1、服务区2pc1、pc2...server1、server2...IP组IP组名称IP地址范围IP组类型办公终端172.16.200-54内网服务（只需要梳理自定义策略）服务名称协议类型端口流量类型smbTCP135、136、137、139、445业务流量rtptcp3389运维流量对象间访问关系访问关系源目标服务动作IP组：默认互联网业务系统：所有终端-ALLsmb、rtp拒绝案例——防止感染病毒蔓延场景配置步骤2.定义对象（1）配置业务系统，所有终端匹配到业务系统中，如下图：案例——防止感染病毒蔓延场景配置步骤2.定义对象（2）配置服务，包括需要禁止访问的共享端口（135、136、137、139、445）端口。远程桌面端口平台内置调用即可，如下图：案例——防止感染病毒蔓延场景配置步骤3.配置微隔离策略拒绝内网终端之间所有共享端口访问，如下图：案例——防止感染病毒蔓延场景配置步骤3.配置微隔离策略打开微隔离策略开关，下发策略配置，如下图：配置完成后，策略如下，从上到下匹配。案例——防止感染病毒蔓延场景配置步骤4.效果验证微隔离策略生效后，内网终端之间相互telnet共享端口及3389端口，均无法连通。如果特殊电脑需要进行远程桌面维护，需要对这台电脑单独配置放行3389的微隔离策略。案例——防止感染病毒蔓延场景微隔离使用——流量可视开启“流量上报”，可以查看业务系统流量访问情况，包括已放通流量和未放通流量。帮助用户梳理业务系统访问关系及业务系统状态，如下图：微隔离使用——流量可视微隔离使用——日志查询流量图中单击具体服务器，可以查看服务器流量状态及访问记录，如下图：需求背景原理简介微隔离使用总结安全感知功能说明-资产和报告中心了解资产中心的资产感知和脆弱性感知了解报告中心的安全风险报告和安全告警熟悉联动响应的方式教学目标资产中心报告中心联动响应目录资产中心资产感知资产识别目是STA探针产品的一个重要功能，目的旨在帮助用户梳理资产，识别风险资产（如影子资产），为攻击检测提供辅助等。目前探针主要使用被动识别以及主动识别进行资产识别，被动识别主要根据网络流量镜像到探针，探针根据镜像流量进行内网识别，内网资产梳理；主动识别是探针进行发包主动探测内网资产，再进行数据汇总与分析。平台识别到的资产将定义为内网资产，在为后续识别横向、外连、外部威胁或访问关系定义方向，需要事先定义好内部IP组或者分支IP范围。资产中心资产感知界面资产中心资产感知----受监控内部IP组定义内网的受监控IP范围，用于平台更精准的识别出内网资产，当出现需要修改IP归属地时，也可以使用互联单位IP功能进行配置。资产中心资产感知----业务/服务器业务/服务器与终端，是在配置完成受监控内部IP组后，对应IP范围的IP按照IP属性会自动匹配到业务或者终端中。资产中心资产感知----分支当用户有分支单位时，可以通过IP范围以及设备模式配置分支信息。资产中心资产感知----安全域安全域是将内网划分为多个区域，检测每个区域的安全情况，用于分析区域的安全状况，加强薄弱区域的安全建设。资产中心脆弱性感知脆弱性总览：平台可以通过STA/AF/云眼/云镜以及第三方设备识别出来的漏洞，收集上来进行汇总展示。资产中心脆弱性感知----弱密码弱密码/web明文传输，可以检测出当前网络中使用的弱密码，以及web业务使用http协议将用户名/密码通过明文进行传输。资产中心脆弱性感知----配置风险SIP可通过流量检测到当前业务系统开放的风险端口以及授权配置不当的情况。资产中心报告中心联动响应目录报告中心报告中心包括两部分：安全风险报告：包括自动生成的预设报告以及手动导出的报告，也可以订阅报告，用于汇报，安全运维等方面。安全告警：当检测到安全事件时，会通过邮件或者短信的方式发送告警信息给管理员。报告中心安全告警配置策略后，当平台检测到对应的安全事件，可向管理员发送告警邮箱或短信。资产中心报告中心联动响应目录联动响应联动响应功能的引入：

大家都知道SIP只做为安全事件的检测，无法对检测到的安全问题进行闭环。当前的两类安全问题闭环方式。1、MDR服务，通过购买安全服务，由安服人员对安全问题进行处置闭环（培训中不进行说明）。2、通过与深信服其它产品进行联动，如AF/EDR等，在SIP上下发策略对问题进行处置闭环。联动响应分为三部分1、红线：服务器发起威胁访问，被AF或者STA审计到。2、绿线：AF或者STA将审计到的威胁访问日志上传到SIP，SIP上进行安全事件分析，识别到服务器存在风险。3、黄线：SIP上下发联动策略到AF，通过AF的联动封锁对存在威胁的服务器进行拦截，减少威胁。EDR与AF数据流程类似。联动响应联动端口使用说明AC版本SIP版本功能实现方式端口AC11_XSIP2.5.8及以上版本同步用户信息端口固定为1775、协议为UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本联动：弹窗提醒、冻结账号https协议7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本联动：弹窗提醒优化（新增批量上网提醒、新增可配自动上网提醒）https协议7433AC12.0.7以及以上SIP3.0.30及以上版本联动：上网提醒、冻结账号https协议9998AC12.04以及以上SIP3.0.39及以上版本联动：AC对接SIP心跳https协议SIP:7443AF版本SIP版本功能实现方式端口AF7.3.0SIP2.3及以上版本同步日志：同步安全日志https协议4430AF7.5.0SIP2.5.3及以上版本同步日志：同步安全日志https协议4430SIP2.5.8及以上版本联动：封锁联动https协议7743AF8.0.2SIP3.0.2及以上版本同步日志：同步流量审计日志、同步cpu，内存，磁盘网口流量，日志上报认证https协议4430AF8.0.2、AF8.0.5、AF8.0.6打上对应的定制包SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.8正式版本SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志：同步blob类型日志https协议4430联动响应联动端口使用说明EDR支持版本SIP支持版本功能实现方式端口EDR2.0SIP2.5.8以及以上同步日志包括：wellshell日志爆破日志僵尸网络日志微隔离日志HTTPS请求7443EDR3.0.2SIP3.0.2以及以上同步日志包括：杀毒日志HTTPS请求7443SIP3.0.2以及以上联动：主机隔离禁止出站禁止入站HTTPS请求443EDR3.2.9SIP3.0.18以及以上联动：同步主机信息