AC上网行为管理:
-
看似风平浪静的网络中实际存在着看不见管不住的问题,带宽滥用(带宽不合理划分分配),上网难管理(上网权限缺乏管理),信息泄露,网络违法(缺乏日志记录),安全威胁
-
AC实现可视可控管理三要素:用户和终端,应用和内容,流量。
-
控制内部用户的上网行为
-
-
应用场景:互联网出口处单做一个上网行为的管控,也可以充当一体化网关,无效WIFI的管控管销(推广微信公众号)等,有很多应用场景根据客户需求来定,可以作认证作流控作应用控制作审计,需要监控用户上网行为的地方都可以使用
-
解决:
-
用户认证:验证上网用户的身份,对其上网行为进行控制审计
-
功能:IP/MAC绑定;本地用户名-密码认证; AAA认证,第三方服务器认证; DKEY双因素认证; 单点登录; 短信认证/微信认证。 终端类型识别
-
-
网页过滤:过滤非法不良网站避免法律风险;过滤恶意网页保障安全;过滤游戏,购物等影响工作效率的网站
-
功能:千万级URL识别库;URL智能识别系统; URL云共享; 自定义URL;恶意网址过滤
-
-
应用控制:封堵聊天、炒股、游戏、在线视频等应用提高员工效率;封堵邮件,防止敏感信息泄露;封堵代理、翻墙软件,规避不当上网行为带来的法律风险;
-
功能:应用特征识别库;应用管理标签化; 精细化管控; 防代理防共享。
-
-
流量管理:根据业务类型进行带宽限制或保障,保证核心业务畅通运行;灵活分配带宽资源,实现动态调整,提高带宽利用率;
-
功能:基于用户/用户组/应用/网站类型的流控;多级父子通道; 动态流控; P2P智能流控; 流控黑名单
-
-
行为审计:记录内网用户的上网行为,有依可查;记录内网安全事件,帮助管理员发现安全威胁。
-
功能:网页访问审计;邮件审计; IM聊天应用审计; 外发文件审计; 微博、论坛发帖等
-
-
-
功能实现:
-
用户认证,可以基于用户和用户组来管理用户的登陆,可以配置本地认证也可以AAA认证等等
-
URL过滤,运用HTTP识别技术就是获取到HTTP请求时带有的host字段来获知用户想要访问的网站,以此来达到过滤网站目的
-
HTTP:三次握手后,HTTP发出请求,带有host字段,从这里得知访问网站
-
HTTPS:三次握手后会建立SSL加密通道,在SSL第一次握手时客户端发出client hello报文时,会有个server name字段,从这里获知后进行相应的过滤
-
-
应用控制,采用深度内容检测DPI和深度流检测技术DFI即深度行为检测技术,覆盖应用层数据部分的检查
-
深度内容检测DPI:除了五元组,增加了,基于“特征字”的检测技术;基于应用网关的检测技术;基于行为模式的检测技术
-
基于“特征字”的检测技术:基于应用层协议的请求中某些字段来进行一个业务的承载过滤,比如HTTP请求头中的UA字段可以判断是手机还是电脑,这就可以对设备进行控制吧
-
基于应用网关的检测技术:某些应用的控制流和数据流是分离的,数据流没有任何一个字段可以帮助我们区分业务流。这种情况下,应用层网关先识别控制流,对控制流进行解析,基于对控制流的阻断来对这个业务进行阻断,比如VoIP视频控制流控制命令是通过H.245协议传输建立从控制流中找字段来进行过滤,而数据流是RTP协议,那么就可以对H.245这个协议进行过滤就可以实现对VoIP视频业务的禁用了
-
基于行为模式的检测技术:通常用于无法根据协议判断的业务的识别,基于用户的行为来识别业务流,比如我1分钟收到同一个设备发来的1000封邮件这肯定就不正常啊,这种垃圾邮件的业务流就不明显不正常
-
-
深度内容检测DFI:基于流量行为的应用识别技术,不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征,通过与已建立的应用数据流的数据模型对比,判断流的应用类型或业务。(平均包长,下载时长,流量速率,会话保持时间等等)
-
区别各自优势:如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术则不受影响。DFI仅对流量行为分析,但是无法判断该流量是否采用H.323或其他协议
-
-
内容审计,每个上网行为管理一定会有的就是日志中心了吧,会把用户的所有上网行为监控下来,方便出现安全威胁后的排错
-
数据不加密的报文是完全可以连人带内容都监控下来的,重要说一下加了密的报文数据如何监控下来
-
SSL内容的解密技术
-
开启SSL内容识别后,用户发出SSL四次握手,其实是跟AC建立了SSL建立,AC再跟服务器建立连接,这就可以对之后所有的HTTPS数据进行解密了,可以从得到网站的CA证书上看到颁发者的区别,正常是CA机构,开启了之后颁发者是AC。这样就可以对所有HTTPS网页上的传输内容(邮件的附件都能下载下来)都记录下来了
-
-
审计QQ聊天内容咋办?它们通过QICQ协议加密传输,使用准入系统,在客户端安装插件将QQ聊天记录缓存下来传给AC
-
-