上网行为管理功能概述及实现
AC上網(wǎng)行為管理:
-
看似風(fēng)平浪靜的網(wǎng)絡(luò)中實(shí)際存在著看不見管不住的問題,帶寬濫用(帶寬不合理劃分分配),上網(wǎng)難管理(上網(wǎng)權(quán)限缺乏管理),信息泄露,網(wǎng)絡(luò)違法(缺乏日志記錄),安全威脅
-
AC實(shí)現(xiàn)可視可控管理三要素:用戶和終端,應(yīng)用和內(nèi)容,流量。
-
控制內(nèi)部用戶的上網(wǎng)行為
-
-
應(yīng)用場(chǎng)景:互聯(lián)網(wǎng)出口處單做一個(gè)上網(wǎng)行為的管控,也可以充當(dāng)一體化網(wǎng)關(guān),無效WIFI的管控管銷(推廣微信公眾號(hào))等,有很多應(yīng)用場(chǎng)景根據(jù)客戶需求來定,可以作認(rèn)證作流控作應(yīng)用控制作審計(jì),需要監(jiān)控用戶上網(wǎng)行為的地方都可以使用
-
解決:
-
用戶認(rèn)證:驗(yàn)證上網(wǎng)用戶的身份,對(duì)其上網(wǎng)行為進(jìn)行控制審計(jì)
-
功能:IP/MAC綁定;本地用戶名-密碼認(rèn)證; AAA認(rèn)證,第三方服務(wù)器認(rèn)證; DKEY雙因素認(rèn)證; 單點(diǎn)登錄; 短信認(rèn)證/微信認(rèn)證。 終端類型識(shí)別
-
-
網(wǎng)頁過濾:過濾非法不良網(wǎng)站避免法律風(fēng)險(xiǎn);過濾惡意網(wǎng)頁保障安全;過濾游戲,購物等影響工作效率的網(wǎng)站
-
功能:千萬級(jí)URL識(shí)別庫;URL智能識(shí)別系統(tǒng); URL云共享; 自定義URL;惡意網(wǎng)址過濾
-
-
應(yīng)用控制:封堵聊天、炒股、游戲、在線視頻等應(yīng)用提高員工效率;封堵郵件,防止敏感信息泄露;封堵代理、翻墻軟件,規(guī)避不當(dāng)上網(wǎng)行為帶來的法律風(fēng)險(xiǎn);
-
功能:應(yīng)用特征識(shí)別庫;應(yīng)用管理標(biāo)簽化; 精細(xì)化管控; 防代理防共享。
-
-
流量管理:根據(jù)業(yè)務(wù)類型進(jìn)行帶寬限制或保障,保證核心業(yè)務(wù)暢通運(yùn)行;靈活分配帶寬資源,實(shí)現(xiàn)動(dòng)態(tài)調(diào)整,提高帶寬利用率;
-
功能:基于用戶/用戶組/應(yīng)用/網(wǎng)站類型的流控;多級(jí)父子通道; 動(dòng)態(tài)流控; P2P智能流控; 流控黑名單
-
-
行為審計(jì):記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為,有依可查;記錄內(nèi)網(wǎng)安全事件,幫助管理員發(fā)現(xiàn)安全威脅。
-
功能:網(wǎng)頁訪問審計(jì);郵件審計(jì); IM聊天應(yīng)用審計(jì); 外發(fā)文件審計(jì); 微博、論壇發(fā)帖等
-
-
-
功能實(shí)現(xiàn):
-
用戶認(rèn)證,可以基于用戶和用戶組來管理用戶的登陸,可以配置本地認(rèn)證也可以AAA認(rèn)證等等
-
URL過濾,運(yùn)用HTTP識(shí)別技術(shù)就是獲取到HTTP請(qǐng)求時(shí)帶有的host字段來獲知用戶想要訪問的網(wǎng)站,以此來達(dá)到過濾網(wǎng)站目的
-
HTTP:三次握手后,HTTP發(fā)出請(qǐng)求,帶有host字段,從這里得知訪問網(wǎng)站
-
HTTPS:三次握手后會(huì)建立SSL加密通道,在SSL第一次握手時(shí)客戶端發(fā)出client hello報(bào)文時(shí),會(huì)有個(gè)server name字段,從這里獲知后進(jìn)行相應(yīng)的過濾
-
-
應(yīng)用控制,采用深度內(nèi)容檢測(cè)DPI和深度流檢測(cè)技術(shù)DFI即深度行為檢測(cè)技術(shù),覆蓋應(yīng)用層數(shù)據(jù)部分的檢查
-
深度內(nèi)容檢測(cè)DPI:除了五元組,增加了,基于“特征字”的檢測(cè)技術(shù);基于應(yīng)用網(wǎng)關(guān)的檢測(cè)技術(shù);基于行為模式的檢測(cè)技術(shù)
-
基于“特征字”的檢測(cè)技術(shù):基于應(yīng)用層協(xié)議的請(qǐng)求中某些字段來進(jìn)行一個(gè)業(yè)務(wù)的承載過濾,比如HTTP請(qǐng)求頭中的UA字段可以判斷是手機(jī)還是電腦,這就可以對(duì)設(shè)備進(jìn)行控制吧
-
基于應(yīng)用網(wǎng)關(guān)的檢測(cè)技術(shù):某些應(yīng)用的控制流和數(shù)據(jù)流是分離的,數(shù)據(jù)流沒有任何一個(gè)字段可以幫助我們區(qū)分業(yè)務(wù)流。這種情況下,應(yīng)用層網(wǎng)關(guān)先識(shí)別控制流,對(duì)控制流進(jìn)行解析,基于對(duì)控制流的阻斷來對(duì)這個(gè)業(yè)務(wù)進(jìn)行阻斷,比如VoIP視頻控制流控制命令是通過H.245協(xié)議傳輸建立從控制流中找字段來進(jìn)行過濾,而數(shù)據(jù)流是RTP協(xié)議,那么就可以對(duì)H.245這個(gè)協(xié)議進(jìn)行過濾就可以實(shí)現(xiàn)對(duì)VoIP視頻業(yè)務(wù)的禁用了
-
基于行為模式的檢測(cè)技術(shù):通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識(shí)別,基于用戶的行為來識(shí)別業(yè)務(wù)流,比如我1分鐘收到同一個(gè)設(shè)備發(fā)來的1000封郵件這肯定就不正常啊,這種垃圾郵件的業(yè)務(wù)流就不明顯不正常
-
-
深度內(nèi)容檢測(cè)DFI:基于流量行為的應(yīng)用識(shí)別技術(shù),不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)等各有不同。基于流的行為特征,通過與已建立的應(yīng)用數(shù)據(jù)流的數(shù)據(jù)模型對(duì)比,判斷流的應(yīng)用類型或業(yè)務(wù)。(平均包長(zhǎng),下載時(shí)長(zhǎng),流量速率,會(huì)話保持時(shí)間等等)
-
區(qū)別各自優(yōu)勢(shì):如果數(shù)據(jù)包是經(jīng)過加密傳輸?shù)?#xff0c;則采用DPI方式的流控技術(shù)則不能識(shí)別其具體應(yīng)用,而DFI方式的流控技術(shù)則不受影響。DFI僅對(duì)流量行為分析,但是無法判斷該流量是否采用H.323或其他協(xié)議
-
-
內(nèi)容審計(jì),每個(gè)上網(wǎng)行為管理一定會(huì)有的就是日志中心了吧,會(huì)把用戶的所有上網(wǎng)行為監(jiān)控下來,方便出現(xiàn)安全威脅后的排錯(cuò)
-
數(shù)據(jù)不加密的報(bào)文是完全可以連人帶內(nèi)容都監(jiān)控下來的,重要說一下加了密的報(bào)文數(shù)據(jù)如何監(jiān)控下來
-
SSL內(nèi)容的解密技術(shù)
-
開啟SSL內(nèi)容識(shí)別后,用戶發(fā)出SSL四次握手,其實(shí)是跟AC建立了SSL建立,AC再跟服務(wù)器建立連接,這就可以對(duì)之后所有的HTTPS數(shù)據(jù)進(jìn)行解密了,可以從得到網(wǎng)站的CA證書上看到頒發(fā)者的區(qū)別,正常是CA機(jī)構(gòu),開啟了之后頒發(fā)者是AC。這樣就可以對(duì)所有HTTPS網(wǎng)頁上的傳輸內(nèi)容(郵件的附件都能下載下來)都記錄下來了
-
-
審計(jì)QQ聊天內(nèi)容咋辦?它們通過QICQ協(xié)議加密傳輸,使用準(zhǔn)入系統(tǒng),在客戶端安裝插件將QQ聊天記錄緩存下來傳給AC
-
-
總結(jié)
以上是生活随笔為你收集整理的上网行为管理功能概述及实现的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: pagerank 的介绍
- 下一篇: 《电影院的爆米花为什么卖的贵》读书笔记之