上网行为管理

news/2024/10/31 1:22:38/

是什么?——控制内部用户上网行为的设备。在深信服公司中,被称作AC。

大纲

一、为什么需要上网行为管理?

1.带宽滥用;

2.上网难监管;

3.信息泄露;

4.网络违法;

5.安全威胁。

 

二、上网行为管理

三要素:

1.用户和终端可视可控;

2.应用和内容可视可控;

3.流量可视可控。

上网行为的五大安全需求:

1.用户认证:

2.网页过滤:

3.应用控制:

4.流量管理:

5.行为审计:

 

三、上网行为管理的应用场景

1.互联网行为管控;

2.一体化网关;

3.无线网络管控;

4.数据价值分析。

 

四、部署模式:

1.路由模式

2.网桥模式

3.旁路模式

 

上网行为的五大安全需求详解:

1.用户认证:

用户认证前,需放通用户对外的DNS请求。

认证过程

①用户先对域名进行DNS解析;

②用户对解析出来的服务器ip地址进行TCP三次握手;

③用户向服务器发送GET/POST请求;

④AC拦截用户发送的请求,且伪装成服务器向用户发送重定向(302)报文,将用户重定向至认证页面:

通过重定向报文中的location字段携带重定向页面的地址;

⑤用户需要使用合法的账号密码登陆成功才能上网;

⑥同时AC会记录成功登陆用户的IP地址、MAC地址和上网时长等信息。

认证类型

本地认证

AC需消耗资源存储账号密码;

用户进行身份认证也会消耗资源。

AAA服务器认证

功能:认证、授权、计费;

优点:将用户名密码存储在单独的AAA服务器上,不浪费AC资源; 用户进行身份认证也不需要AC来判断用户合法性,AAA服务器会返回结果。

AC与AAA之间的通信协议:

RADIUS:基于UDP传输,源目IP分别是AC和AAA的地址,对数据部分的密码加密,用户名是明文;

TACACS+:(厂商私有化,不同厂商对此协议解释不同)

基于TCP传输,源目ip同样是AC和AAA的地址,对整个数据都加密,即账号密码都加密。

 

2.网页(URL)过滤:

HTTP

URL获取:AC检测用户GET请求内的HOST字段,进行URL过滤;

 

封堵行为:AC伪造成目标服务器向用户发送重定向报文,提示用户 目标不可访问,然后发送TCP RST报文断开用户与服务器的连接。

HTTPS

URL获取:用户根网站服务器进行TCP三层握手后,在SSL协议的第一阶段,用户会向服务器发送client hello报文,该报文中的server name字段等同于HTTP中用户get请求的host字段,AC通过该字段进行URL过滤;

 

封堵行为:直接发送TCP RST报文,断开用户与服务器的连接,不发送重定向报文提示。

自定义URL过滤

对URL库中没有的URL,可以自定义添加要过滤的URL。

 

3.应用控制

深度行为检测技术:

深度包检测技术(DPI):

对数据包的内容进行分析,判断应用类型。

基于“特征字”——例如http中的UA字段,

基于应用网关的检测技术(ALG);

深度流检测技术(DFI):

基于流量行为的应用识别技术,通过检测数据口的平均包长、下载时长等来区分应用类型。

应用场景:如果数据包经过加密传输,就使用DFI

自定义应用识别:对应用特征库里没有的应用,可以自定义添加应用。

 

4.流量管理

带宽的合理使用,及规定什么应用可以使用多少带宽。

 

5.行为审计

内容审计扩展

免审计key:带有免审计key的主机行为不受AC记录;

数据中心key:带有数据中心key的主机才能查看AC的记录日志。

SSL解密

客户端使用HTTPS与外界服务器通信时,AC会伪造成服务器与客户端之间形成一堆秘钥,因此AC可以解密客户端发送的内容,在确保内容无异常后,AC会与服务器通信形成另一对秘钥,将原来解密后的客户端的数据包重新加密封装后转发至服务器,代理客户端与服务器通信。

OICP解密

sangfor通过安装插件在客户端本地的数据库中读取qq的聊天记录,并写入到AC的日志中心。

 

 


http://www.ppmy.cn/news/265520.html

相关文章

路由器上网行为管理功能浅谈 -- 路由端

出处:http://networking.ctocio.com.cn/286/12489786.shtml 上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。。这些问题其实是一个职业素质的基本问题,但企业管理者由于各种原因,对此经常无可奈何。路由器上…

磊科全功能路由器上网行为管理配置指南 -- 路由器

有些公司曾经实施过惩罚制度,但效果不理想。为此,公司高层反对开通网络。这样一来,员工也有意见,认为如果不开通网络工作起来不方便。现在很疑惑,如果开通网络,该怎么管理员工呢?严格要求&#…

千兆上网行为管理路由评测

WSG-200P上网行为管理路由是一款性价比非常高的上网行为管理设备。和WSG的企业版(E系列)相比,虽然没有上网记录、域账号等功能,但是就上网行为管理和流控来说,与E系列基本是一样的,可以提供专业的上网行为管…

【二叉树】298. 二叉树最长连续序列

文章目录 一、题目1、题目描述2、基础框架3、原题链接 二、解题报告1、思路分析2、时间复杂度3、代码详解 三、本题小知识 一、题目 1、题目描述 给你一棵指定的二叉树的根节点 root ,请你计算其中 最长连续序列路径 的长度。 最长连续序列路径 是依次递增 1 的路…

CBCGPCaptionBar 使用实例说明

CBCGPCaptionBar的位置如下: 如图区域就是 MainFrame.h中声明: CBCGPCaptionBar m_wndCaptionBar; MainFrame.cpp中创建显示控件: BOOL CMainFrame::CreateCaptionBar () { if (!m_wndCaptionBar.Create (WS_CHILD | WS_V…

销量增273%,万亿汽车后市场下的英得尔车载冰箱走红之路

毋庸置疑,国内的汽车后市场正是一片光明,前途无量。 据公安部交管局统计,截至去年年底,我国汽车保有量高达2.17亿辆,同比增长11.85%。而且我国汽车后服务市场每年都保持超20%的增长,潜力巨大。这一市场的诱…

数论与组合数学 期末总结(未完

自然数的基本性质 数学归纳法(Principle of Mathematical Induction) n n 0 nn_{0} nn0​时成立,且 n k nk nk成立 ⇒ n k 1 \Rightarrow nk1 ⇒nk1成立,则定理对 n ≥ n 0 n\ge n_{0} n≥n0​成立良序定理(Well Ordering Principle) 每个非空集合…

算法修炼之筑基篇——筑基一层初期(解决01背包问题)

✨博主:命运之光 ✨专栏:算法修炼之练气篇​​​​​ ✨博主的其他文章:点击进入博主的主页 前言:学习了算法修炼之练气篇想必各位蒟蒻们的基础已经非常的扎实了,下来我们进阶到算法修炼之筑基篇的学习。筑基期和练气期…