一、应用特征识别
配置思路
(1) 新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用里面勾选IM,生效时间全天 ,移动终端设备里面勾选通讯聊天,动作拒绝,在【适用对象】选择办公区,即对办工区的所有用户关联上 这条控制策略。
(2)新增【上网策略】-【上网审计策略】-【应用审计】添加,勾选所有选项,在【适用对象】选择办公区,即对办工区的所有用户关联上这条识别策略。
配置思路
(1)新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】-【QQ白名单】,将允许的QQ用户加入QQ白名单,在【适用对象】选择办公区,即对办工区的所有用户关联上这条控制策略。
(2)新增【上网策略】-【上网审计策略】-【应用审计】添加,勾选所有选项,在【适用对象】选择办公区,即对办工区的所有用户关联上这条识别策略。
(3)登录在白名单内的QQ号,可以正常登录;登录在白名单之外的QQ号,登录失败。
深度行为检测技术:深度包检测技术(DPI)、深度流检测技术(DFI)
深度包检测技术(DPI):
基于特征字的检测技术(在HTTP协议的User-Agent字段区分出手机数据和PC数据)
基于应用网关的检测技术(ALG)、
基于行为模式的检测技术
深度流检测技术(DFI) :
•DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态等各 有不同。基于流的行为特征,通过与已建立的应用数据流的数据模型对比,判断流的应用类型或业务。
二、 HTTP识别控制技术
1、HTTP识别工作原理
HTTP网站识别,终端设备通过DNS解析域名后,跟网站服务器三次握手完成,发给get请求,在get请求数据包中的host字段,就是我们访问网站的具体URL,我们通过抓取这个字段来识别终端用户是访问的哪个 网站;
配置思路
(1) 新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用里面访问网站-娱乐在线影音及下载勾选,生效时间上班时间,动作拒绝。
(2)在【适用对象】选择IT部,即对IT部的所有用户关联上这条控制策略。
三、 HTTPS识别控制技术
1、HTTPS四阶段握手过程
(1)客户端给服务器hello报文,包含SSL版本号、加密套件、压缩算法、计算sessionid以及随机数发送给服务器
(2)服务器回应,包含SSL版本选择双方都支持且版本号最高的,确定要用的加密算法、压缩套件、随机数及证书(包含公钥)
(3)服务器将自己的证书发给客户端
(4)服务器向客户端索要证书
(5)服务器通知客户端握手消息发送完成
(6)客户端向服务器端发送自己的证书
(7)客户端交互秘钥(生成预主秘钥)
(8)客户端验证证书是否有效
(9)改变加密消息,通知服务端,开启加密参数
(10)客户端SSL协商成功结束,发送握手确保数据完整性
(11)改变加密消息,通知客服端,开启加密参数
(12)服务器端SSL协商成功,发送握手消息确保数据完整性