深信服AC基本功能介紹匯報人：AA2024-01-25AC概述與基本原理訪問控制策略配置內容過濾與審計功能實現身份認證與授權管理日志分析與報表生成系統(tǒng)性能優(yōu)化與故障排查目錄01AC概述與基本原理0102AC定義及作用AC的主要作用包括：防止未經授權的訪問、保護敏感數據、防止惡意攻擊、確保合規(guī)性等。訪問控制（AccessControl，簡稱AC）是指通過技術手段，對網絡資源進行權限分配和控制，確保網絡資源的安全性和可用性。深信服AC產品提供全面的訪問控制功能，包括基于用戶、角色、時間、地點、設備等多種條件的訪問控制。全面的訪問控制功能深信服AC產品采用高性能硬件和優(yōu)化的軟件設計，確保在高并發(fā)、大流量環(huán)境下仍能保持穩(wěn)定的性能。高性能與穩(wěn)定性深信服AC產品提供直觀的管理界面和豐富的管理功能，方便管理員進行配置、監(jiān)控和維護。易于管理與維護深信服AC產品可與其他安全設備和應用系統(tǒng)無縫集成，提供一體化的安全解決方案。高度集成與兼容性深信服AC產品特點訪問控制基本原理3.訪問控制策略匹配4.訪問請求處理5.日志記錄與審計2.身份認證與權限檢查1.用戶發(fā)起訪問請求基于身份認證和權限分配，對用戶的訪問請求進行判斷和控制。當用戶嘗試訪問受保護的資源時，AC會檢查用戶的身份和權限，根據預設的訪問控制策略決定是否允許訪問。用戶通過終端設備（如PC、手機等）發(fā)起對受保護資源的訪問請求。深信服AC對用戶進行身份認證，并根據用戶的角色和權限檢查其是否有權訪問請求的資源。深信服AC根據預設的訪問控制策略，對用戶的訪問請求進行匹配和判斷。根據策略匹配結果，深信服AC決定是否允許用戶的訪問請求。如果允許，則轉發(fā)請求至目標資源；如果拒絕，則返回相應的錯誤信息。深信服AC會記錄所有用戶的訪問請求和處理結果，以便后續(xù)審計和分析。基本原理與工作流程02訪問控制策略配置深信服AC提供了一套完整的訪問控制策略配置功能，支持基于角色、用戶組、時間/日期條件等多種方式進行策略配置。通過靈活的策略配置，可以實現精細化的訪問控制，保護企業(yè)網絡的安全。訪問控制策略是網絡安全的核心，它定義了誰可以在何時訪問哪些資源，以及如何進行訪問。策略配置概述基于角色/用戶組策略配置01角色和用戶組是訪問控制策略的基礎，深信服AC支持基于角色和用戶組進行策略配置。02可以根據不同的職責和權限為用戶分配不同的角色，然后將角色與訪問控制策略關聯起來。用戶組可以將具有相似權限的用戶歸為一組，方便統(tǒng)一管理和配置訪問控制策略。03時間/日期條件策略配置深信服AC支持基于時間/日期條件的策略配置，可以根據不同的時間段和日期設置不同的訪問控制策略。例如，可以設置在工作時間段內允許訪問某些資源，而在非工作時間段內禁止訪問。通過時間/日期條件策略配置，可以更加靈活地管理用戶的訪問權限，提高網絡安全性。123深信服AC提供了豐富的訪問權限設置功能，包括允許/拒絕訪問、只讀/寫權限、文件上傳/下載權限等。可以根據不同的需求為不同的用戶或用戶組設置不同的訪問權限，實現精細化的權限管理。同時，深信服AC還支持優(yōu)先級調整功能，可以根據實際情況調整不同策略的優(yōu)先級順序，確保關鍵策略的優(yōu)先執(zhí)行。訪問權限設置及優(yōu)先級調整03內容過濾與審計功能實現基于URL分類過濾通過預先設定的URL分類庫，實現對網頁內容的快速識別和過濾。基于關鍵字過濾通過設定關鍵字黑白名單，對網頁內容進行精確匹配和過濾。基于文件類型過濾識別傳輸文件的類型，并根據安全策略進行允許或阻止操作。應用場景適用于企業(yè)、學校、政府機構等需要對網絡訪問內容進行控制的場景。內容過濾技術原理及應用場景網頁瀏覽記錄詳細記錄用戶的網頁瀏覽歷史，包括訪問時間、URL、網頁標題等信息。搜索關鍵詞記錄記錄用戶在搜索引擎中輸入的關鍵詞，幫助管理員了解用戶關注的內容。網頁內容快照保存用戶訪問過的網頁快照，方便管理員對用戶訪問的網頁內容進行審查。自定義審計策略支持管理員根據實際需求，自定義網頁內容審計策略和規(guī)則。網頁內容審計與記錄查看文件傳輸記錄文件內容審查文件類型識別自定義審計策略文件傳輸內容審計與記錄查看詳細記錄文件的上傳、下載操作，包括文件名、文件大小、傳輸時間等信息。自動識別傳輸文件的類型，如文檔、圖片、音頻、視頻等。對傳輸的文件進行內容審查，識別其中的敏感信息和違規(guī)內容。支持管理員根據實際需求，自定義文件傳輸內容審計策略和規(guī)則。采用SSL/TLS等加密技術，確保數據傳輸過程中的安全性。數據加密傳輸自動識別文本、圖片等載體中的敏感信息，并進行遮擋處理。敏感信息識別與遮擋根據用戶角色和權限，控制其對敏感信息的訪問和操作權限。訪問權限控制詳細記錄敏感信息的操作日志，發(fā)現異常行為時及時報警并通知管理員。日志審計與報警敏感信息泄露防范措施04身份認證與授權管理最基本的身份認證方式，用戶輸入正確的用戶名和密碼才能訪問系統(tǒng)。用戶名/密碼認證動態(tài)口令認證數字證書認證生物特征認證采用動態(tài)生成的口令進行身份認證，每次登錄時口令都不同，提高了安全性。使用數字證書進行身份認證，證書包含用戶的公鑰和身份信息，由權威機構頒發(fā)，具有更高的安全性。利用生物特征（如指紋、虹膜、人臉等）進行身份認證，具有唯一性和不可復制性，安全性極高。身份認證方式介紹及比較授權管理體系搭建和實踐基于角色的訪問控制（RBAC）根據用戶在組織中的角色來分配權限，實現不同角色對資源的不同訪問權限。基于屬性的訪問控制（ABAC）根據用戶、資源、環(huán)境等屬性來動態(tài)分配權限，實現更細粒度的訪問控制。權限繼承與委派允許上級用戶將其部分或全部權限委派給下級用戶，實現權限的靈活分配和管理。權限審計與日志記錄用戶對資源的訪問和操作日志，以便進行事后審計和追溯。單點登錄（SSO）實現方法在用戶首次登錄時，服務器生成一個包含用戶身份信息的Cookie，后續(xù)請求中瀏覽器自動攜帶該Cookie進行身份驗證。基于Token的SSO用戶登錄后，服務器生成一個包含用戶身份信息的Token，客戶端保存該Token并在后續(xù)請求中攜帶以進行身份驗證。基于OAuth2.0的SSOOAuth2.0是一種開放授權標準，允許第三方應用獲取用戶在某一服務上的部分權限，實現跨服務的單點登錄。基于Cookie的SSO用戶在輸入用戶名和密碼后，系統(tǒng)向用戶手機發(fā)送驗證碼，用戶輸入正確的驗證碼才能完成登錄。短信驗證用戶在輸入用戶名和密碼后，系統(tǒng)向用戶郵箱發(fā)送驗證碼，用戶輸入正確的驗證碼才能完成登錄。郵件驗證利用生物特征識別技術（如指紋、虹膜、人臉等）對用戶進行身份驗證，提高安全性。生物特征驗證采用動態(tài)生成的口令進行身份驗證，每次登錄時口令都不同，防止密碼被竊取或猜測。動態(tài)口令驗證多因素身份認證技術應用05日志分析與報表生成通過Syslog、SNMP、NetFlow等協議實時收集網絡設備和安全設備的日志。實時收集分布式存儲數據處理采用分布式存儲架構，支持海量日志數據的存儲和擴展。對收集到的日志數據進行清洗、歸一化、關聯分析等處理，提取有價值的信息。030201日志收集、存儲和處理機制基于規(guī)則的分析通過預設的規(guī)則對日志進行匹配和篩選，快速定位問題。統(tǒng)計分析對日志數據進行統(tǒng)計分析，如TOPN分析、趨勢分析等，揭示網絡運行規(guī)律。關聯分析將不同設備、不同時間點的日志進行關聯分析，還原事件全貌。日志分析方法和技巧分享明確報表需求根據業(yè)務需求和管理要求，明確需要展示的數據和指標。選擇合適的數據源從海量日志數據中選擇合適的數據源，確保報表數據的準確性和完整性。設計報表布局采用合適的圖表類型和布局方式，使報表更加直觀易懂。實現報表自動化通過腳本或工具實現報表的自動生成和定期更新，提高工作效率。自定義報表設計思路探討案例一通過日志分析定位網絡攻擊源頭，及時采取防御措施。案例二利用日志分析追蹤內部人員違規(guī)操作，加強安全管理。案例三結合日志分析和網絡拓撲信息，快速定位網絡故障點并恢復業(yè)務。典型案例分析：日志分析助力故障排除06系統(tǒng)性能優(yōu)化與故障排查衡量系統(tǒng)處理能力的關鍵指標，通常以每秒處理請求數（TPS）或每秒傳輸數據量（TPS）來衡量。吞吐量系統(tǒng)同時處理的用戶請求數量，體現系統(tǒng)并發(fā)處理能力。并發(fā)用戶數系統(tǒng)對請求作出響應所需的時間，包括網絡延遲、處理延遲等。響應時間包括CPU、內存、磁盤等資源的利用率，反映系統(tǒng)負載狀況。資源利用率系統(tǒng)性能評估指標體系建立硬件故障包括服務器、網絡設備等硬件出現問題，導致系統(tǒng)性能下降或無法正常運行。排查步驟包括檢查硬件狀態(tài)指示燈、查看系統(tǒng)日志、使用專業(yè)工具進行診斷等。軟件故障應用程序或操作系統(tǒng)軟件故障，可能導致系統(tǒng)崩潰、數據丟失等問題。排查步驟包括查看應用程序日志、操作系統(tǒng)日志，嘗試重啟服務或系統(tǒng)等。網絡故障網絡連接中斷、網絡帶寬不足等問題，影響系統(tǒng)正常運行。排查步驟包括檢查網絡連接狀態(tài)、測試網絡帶寬和延遲、查看網絡設備日志等。常見故障類型及排查步驟根據系統(tǒng)性能評估結果，針對性升級服務器、存儲設備等硬件，提升系統(tǒng)處理能力。升級硬件調整應用程序和操作系統(tǒng)配置參數，關閉不必要的服務和功能，降低系統(tǒng)負載。優(yōu)化軟件配置優(yōu)化網絡拓撲結構，提高網絡帶寬和穩(wěn)定性；合