是什么?——控制内部用户上网行为的设备。在深信服公司中,被称作AC。
大纲
一、为什么需要上网行为管理?
1.带宽滥用;
2.上网难监管;
3.信息泄露;
4.网络违法;
5.安全威胁。
二、上网行为管理
三要素:
1.用户和终端可视可控;
2.应用和内容可视可控;
3.流量可视可控。
上网行为的五大安全需求:
1.用户认证:
2.网页过滤:
3.应用控制:
4.流量管理:
5.行为审计:
三、上网行为管理的应用场景
1.互联网行为管控;
2.一体化网关;
3.无线网络管控;
4.数据价值分析。
四、部署模式:
1.路由模式
2.网桥模式
3.旁路模式
上网行为的五大安全需求详解:
1.用户认证:
用户认证前,需放通用户对外的DNS请求。
认证过程:
①用户先对域名进行DNS解析;
②用户对解析出来的服务器ip地址进行TCP三次握手;
③用户向服务器发送GET/POST请求;
④AC拦截用户发送的请求,且伪装成服务器向用户发送重定向(302)报文,将用户重定向至认证页面:
通过重定向报文中的location字段携带重定向页面的地址;
⑤用户需要使用合法的账号密码登陆成功才能上网;
⑥同时AC会记录成功登陆用户的IP地址、MAC地址和上网时长等信息。
认证类型:
本地认证:
AC需消耗资源存储账号密码;
用户进行身份认证也会消耗资源。
AAA服务器认证:
功能:认证、授权、计费;
优点:将用户名密码存储在单独的AAA服务器上,不浪费AC资源; 用户进行身份认证也不需要AC来判断用户合法性,AAA服务器会返回结果。
AC与AAA之间的通信协议:
RADIUS:基于UDP传输,源目IP分别是AC和AAA的地址,对数据部分的密码加密,用户名是明文;
TACACS+:(厂商私有化,不同厂商对此协议解释不同)
基于TCP传输,源目ip同样是AC和AAA的地址,对整个数据都加密,即账号密码都加密。
2.网页(URL)过滤:
HTTP:
URL获取:AC检测用户GET请求内的HOST字段,进行URL过滤;
封堵行为:AC伪造成目标服务器向用户发送重定向报文,提示用户 目标不可访问,然后发送TCP RST报文断开用户与服务器的连接。
HTTPS:
URL获取:用户根网站服务器进行TCP三层握手后,在SSL协议的第一阶段,用户会向服务器发送client hello报文,该报文中的server name字段等同于HTTP中用户get请求的host字段,AC通过该字段进行URL过滤;
封堵行为:直接发送TCP RST报文,断开用户与服务器的连接,不发送重定向报文提示。
自定义URL过滤:
对URL库中没有的URL,可以自定义添加要过滤的URL。
3.应用控制:
深度行为检测技术:
深度包检测技术(DPI):
对数据包的内容进行分析,判断应用类型。
基于“特征字”——例如http中的UA字段,
基于应用网关的检测技术(ALG);
深度流检测技术(DFI):
基于流量行为的应用识别技术,通过检测数据口的平均包长、下载时长等来区分应用类型。
应用场景:如果数据包经过加密传输,就使用DFI。
自定义应用识别:对应用特征库里没有的应用,可以自定义添加应用。
4.流量管理:
带宽的合理使用,及规定什么应用可以使用多少带宽。
5.行为审计:
内容审计扩展:
免审计key:带有免审计key的主机行为不受AC记录;
数据中心key:带有数据中心key的主机才能查看AC的记录日志。
SSL解密:
客户端使用HTTPS与外界服务器通信时,AC会伪造成服务器与客户端之间形成一堆秘钥,因此AC可以解密客户端发送的内容,在确保内容无异常后,AC会与服务器通信形成另一对秘钥,将原来解密后的客户端的数据包重新加密封装后转发至服务器,代理客户端与服务器通信。
OICP解密:
sangfor通过安装插件在客户端本地的数据库中读取qq的聊天记录,并写入到AC的日志中心。