8.19笔记

一、应用控制技术

1.传统检测技术

• 传统检测技术主要针对网络数据包的二三四层协议进行识别
• 功能包括协议报文识别及基于策略的转发或拒绝
• 典型应用场景为禁止特定业务（如QQ）的访问控制

2.深度行为检测

|--------|----------|
| 检测类型 | 核心差异 |
| 传统检测 | 仅分析协议层特征 |
| 深度行为检测 | 增加内容识别功能 |

1) 深度包检测

• 技术分类：
  • 基于特征库的检测技术
  • 基于网关的检测技术
  • 基于行为模式的检测技术
• 功能特点：可精细检测数据活动内容，实现账户级访问控制（如限制特定账户登录）
• 检测范围：能够解析业务层数据结构

2) 深度流检测

• 检测依据：数据包包头特征、连接时长、传输速率等流量特征
• 工作流程：通过特征模型匹配实现流量类型识别（如聊天/下载/视频流量）
• 控制机制：基于流量分类结果实施差异化管控

二、HTTPS原理

1.加密要求

HTTP过滤本质为深度包检测技术中的关键字匹配机制，典型应用包括：

• 移动端上网限制
• 特定网站访问控制（通过Host字段识别）

1) 防截获

传输安全基础要求：

• 防截获：通过加密技术保障数据机密性
• 防篡改：采用完整性校验机制（如哈希算法）

2) 身份认

核心安全机制：

• 数字证书用于通信双方身份验证
• 完整性校验确保数据未被篡改

3) 防重放攻击

加密传输的潜在风险：

• 重放攻击原理：攻击者复制加密数据包重复发送
• 防护措施：
  • 数据包添加序列号
  • 关键操作二次认证（如金融交易短信验证）

2.四阶段握手

1) Client Hello

客户端握手报文包含：

• 支持的加密套件（如AES-256、SHA-384）
• 密钥交换模式（如RSA证书认证）
• 随机数用于主密钥生成

2) Server Hell

服务器响应特征：

• 选定加密套件（从客户端提案中单选）
• 会话ID建立唯一连接标识
• 随机数参与密钥生成
• 密钥交换参数传输（如Diffie-Hellman参数）

3) 密钥交换

• 密钥交换过程主要交换48位预主密钥
• 预主密钥通过服务器公钥加密传输，具体内容不可见
• 加密握手消息包含48位预主密钥，最终完成认证即可

4) 证书验证

• 认证摘要信息通过本端私钥加密，具体内容无法解析
• 访问已认证网站时握手流程简化，可能仅包含client hello和密钥交换
• 加密业务层数据以数字串形式呈现，解密难度较高

3.加密约定变更

|------|------------------------|----------------|
| 阶段 | 操作 | 触发条件 |
| 初始握手 | 完成证书验证后即可通信 | 首次建立连接 |
| 密钥更新 | 发送change_cipher_spec消息 | 密钥使用时间过长或安全性降低 |
| 重新协商 | 生成新加密参数并验证完整性 | 密钥过期或主动请求 |

• 已访问过的网站可能仅需三次报文交互（client hello、密钥变更消息、验证数据）
• 服务器保存客户端历史记录可跳过部分流程，但证书公钥有效期通常为一年

4.HTTPS拦截难点

HTTPS拦截需在SSL握手完成前实施，否则加密数据无法区分请求类型（如GET/PUT）。

1) 加密数据传输

• SSL协商成功后所有数据均为加密状态
• 上网行为管理无法解析加密内容中的具体请求

2) CDN技术影响CDN通过动态分配服务器降低负载并提升安全性

• 实际服务器IP因CDN调度可能频繁变更，无法通过固定IP拦截
• 域名解析是访问CDN的必要条件

三、WLAN文件操作

客户端首次交互报文为client hello。

四、SSL协议分析

1.SSL加密状态

未加密状态下可通过server_name字段标识目标服务器。

2.客户端服务器协商

协商对象可通过报文中的服务器信息确定，此数据可用于策略匹配。

3.深度包检测技术

深度包检测技术中基于关键字的检测方法相同，但协议存在差异。HTTP协议与当前协议不同。

五、HTTPS协议对比

SSL协议的功能相对有限，甚至在SSL的hello包阶段即可完成验证。

1.HTTP重定向机制

针对HTTP错误字段过滤后禁止访问时，ADC会伪装成服务器向客户端发送重定向报文，明确提示禁止访问页面。阻断机制通过ISP断开连接实现。

六、SSL VPN技术

1.SSL VPN原理

需明确报文所属协议是SSL还是HTTP。

2.HTTPS握手过程

• HTTP报文类型：仅包含客户端请求和服务器响应两种。
• SSL协议功能：与HTTP协议独立，先协商加密再传输HTTP数据。
• 协议分离性：SSL可独立使用，无需依赖HTTP。

七、SSL协议结构

1.SSL协议组成

SSL VPN为独立协议，与HTTP协议分离，类似DNS与HTTP的关系。

2.SSL协议内容

• 握手协议：首次建立安全连接时协商密钥。
• 密钥重新协商协议：密钥到期后重新建立。
• 告警协议：通信异常时通知对方终止或重建连接。
• 记录协议：传输数据封装与记录。

八、HTTPS控制原理

1.HTTPS封堵方法

握手阶段通过server name字段识别禁止访问域名时，直接丢弃数据包并通过ISP发送断开指令。

2.RST包断开连接

• SSL中间人劫持：AC可伪造证书拦截通信，但终端证书与服务器不匹配。
• 劫持限制：未开启中间人劫持时，仅能通过RST包强制断开连接。

九、SSL中间人劫持

1.证书验证机制

浏览器访问网站时显示的证书通常为代理设备（如AC）签发，而非原网站证书。

2.代理劫持原理

• 代理劫持功能：AC可解密加密流量并检测恶意代码。
• 证书替换：代理劫持需替换两端证书以实现数据解密。

十、上网行为审计

1.审计架构设计

未启用代理劫持时，直接断开连接；启用后可返回拒绝访问页面以提升用户体验。

2.日志查询功能

|--------|------------|------------------------|
| 对比项 | HTTP | HTTPS |
| 域名获取方式 | 从请求报文获取 | 从SSL协议的server name字段获取 |
| 阻断行为 | 先重定向后RST断开 | 直接RST断开 |

十一、自定义应用控制

1.自定义规则配置

• 自定义规则场景：企业内部专用应用或规则库未覆盖的新应用/网站。
• 规则更新周期：通常为半个月或一周，可能存在遗漏情况。

2.URL自定义方法

• 自定义方式：通过端口、应用层特征、URL或关键字实现。
• 适用范围：90%以上应用可通过规则库匹配，少数需人工自定义。

十二、准入策略排查

1.应用控制技术

• 应用控制技术主要包含浏览器和其他应用两类控制对象
• 传统行为检测基于二到四层数据进行一刀切式控制，深度行为检测可实现应用层精细化控制（如账号级上网权限管理）
• 深度行为检测分为三类技术：基于特征的检测技术、基于应用网关的检测技术、基于行为模式的检测技术
• HTTP协议过滤通过识别超文本传输协议字段实现，HTTPS协议过滤通过识别SSL中的server字段实现
• 针对规则库未覆盖的应用和URL需管理员进行自定义过滤配置

十三、内容审计技术

1.审计法律要求

• 法律层面审计要求包含明确责任人机制和日志留存机制
• 日志分析流程需提取报警信息（如防火墙拦截病毒事件）并采取对应保护措施
• 数据管理规范要求对审计数据进行分类、备份和加密处理

2.审计架构组成

• 审计核心要素需记录账号、设备、时间、服务、操作行为及流量等完整信息链
• 日志中心功能可记录所有通过/拦截的访问行为及安全设备识别事件
• 日志存储支持本地与远程两种模式，大规模网络建议采用远程服务器存储
• 查询模块支持多维检索：可按用户、行为类型（网站访问/邮件收发/文件传输）、安全事件等条件组合查询
• 报表自动生成功能支持导出PDF等格式，便于周期汇报使用

十四、邮件审计技术

1.网页邮件审计

• 网页邮件审计对象包括论坛发帖和HTTP协议传输内容
• 明文邮件审计可直接解析报文内容，但不同邮件服务商（如163/QQ邮箱）的报文格式存在差异
• 加密邮件（HTTPS）审计需依赖SSL解密技术实现内容可见性

2.客户端邮件审计

|-------|-----------|--------|--------------|
| 邮件类型 | 传输协议 | 审计方式 | 技术难点 |
| 网页邮件 | HTTPS | 代理解密审计 | 需处理证书信任链问题 |
| 客户端邮件 | SMTP/POP3 | 协议解析审计 | 需适配不同邮件客户端格式 |

• 审计系统识别特征包括数据包长度异常（如内网66字节转外网64字节）及证书颁发者变更
• 终端用户可通过检查证书颁发者判断是否存在代理审计行为
• SSL代理技术原理为中间人攻击模式，安全设备需部署可信CA证书

十五、SSL解密技术

1.代理识别方法

• SSL解密技术本质为中间人代理模式，安全设备需同时模拟客户端和服务端
• 企业级代理证书通常由安全厂商预置（如深信服AC设备证书）
• 终端告警处理建议忽略证书信任提示，该机制为企业安全策略组成部分

2.数据包对比分析

|-------|-----------|-----------------|
| 对比维度 | 正常传输特征 | 代理干预特征 |
| 数据包长度 | 内外网传输保持恒定 | 出现字节数差异（如66→64） |
| TTL值 | 符合操作系统默认值 | 呈现异常跳变 |
| 证书链 | 显示原始CA机构 | 颁发者为安全设备厂商 |

• 内容识别关键点在于检测协议字段和报文模式异常
• 企业网络管理建议员工应注意HTTPS代理环境下的隐私敏感操作

十六、SSL内容识别

1.识别配置方法

• 内容识别需填写被识别的网站URL，包括各类邮箱网站如QQ邮箱、Gmail等
• 配置过程需手动输入目标网站地址

2.邮件内容审计

• 开启SSL识别后可能触发证书警告，需在本地添加信任或安装SSL设备根证书
• 有效期内的根证书通常不会告警，过期证书需重新安装
• 证书伪造需私钥签名，公钥可公开下载但无法用于伪造
• 证书安全机制：证书由颁发者私钥签名，无私钥无法篡改证书内容

十七、关键字过滤

1.网页关键字过滤

• 法律禁止内容过滤包括邪教宣传等违法信息
• 企业内网禁止上传内部文件至公网
• 网页版邮箱过滤使用关键字过滤功能

2.文件类型过滤

|---------|----------|---------|
| 过滤类型 | 适用场景 | 技术实现 |
| 客户端邮箱过滤 | 邮件协议通信 | 邮件过滤功能 |
| 网页邮箱过滤 | HTTP协议通信 | 网页关键字过滤 |

十八、文件类型过滤

外网文件过滤功能位于业务控制模块，需与应用控制功能区分

1.业务控制

外部环境过滤功能应归类至用户管理模块，与前端应用控制形成完整管理体系

十九、QQ聊天记录审计

1.QQ数据加密

QQ/微信采用程序内置加密，无需协商加密方式，直接与服务器建立安全连接

2.加密方式

应用程序固定加密方案与浏览器动态协商机制存在本质区别

3.逆向加密风险

逆向通讯加密将面临法律风险，企业安全团队会采取法律手段维护加密体系

二十、QQ审计实现方式

1.客户端插件

终端需安装监控软件，定期读取本地缓存文件并上传至日志中心

2.日志中心写入

• 企业设备管理策略允许安装监控程序，私人设备通常不受约束
• 多平台支持包括Windows、Android、iOS等系统的专用准入程序
• 设备报销政策与离职流程关联，不同企业存在管理差异

二十一、AC内容审计技术

1.AC功能概述

二十二、AAA服务器技术

1.认证授权计费

3A协议指实现认证、授权和计费功能的协议统称。常见实现协议包括RADIUS和TACACS+。

2.RADIUS协议

• 3A功能部署可通过远程服务器或交换机本地服务器实现，优势在于用户管理便捷性（服务器端集中操作）。
• 支持服务认证类型包括FTP、HTTP、PPP等，均可通过3A服务器统一维护账号密码。
• 认证流程验证用户名、密码及证书；授权涉及访问目录权限及用户等级（如华为ESP的66级权限体系）；计费分为流量统计（如移动数据）或时长计费（如宽带套餐）。

3.TACACS+协议

• RADIUS协议为分布式交互协议，采用客户端-服务器架构，基于UDP端口：
  • 1812端口处理认证与授权
  • 1813端口处理计费
• 报文结构采用TLV（类型-长度-值）格式，支持功能扩展（类似IPv6包头可附加参数）。
• 报文类型由Code字段定义：1-3为认证报文（请求/通过/拒绝），4-5为计费报文。

二十三、认证方式

1.RADIUS认证

RADIUS客户端通常为交换机，认证流程中终端仅提交凭证，策略执行均由交换机完成。

2.CA认证

• RADIUS扩展性体现在TLV结构可无限追加字段（需受报文总长限制），厂商常利用此特性添加私有标识。
• 典型应用场景为PPPoE拨号认证，但权限控制较粗放（公网访问无细粒度限制）。
• TACACS+协议专精终端权限管控，特征包括：
  • 认证/授权/计费全分离（与RADIUS的认证授权合并不同）
  • 报文交互流程更复杂，但权限分配更精确
• 本地认证方式分为：本地认证、RADIUS认证及CA认证。

二十四、设备间协议认证

1.OSPF认证

• 认证方式包括本地认证和RADIUS认证，其中本地认证需在设备本地设置用户名密码
• 设备间协议认证主要应用于VRRP、OSPF等协议，通常采用本地接口或区域密码认证方式
• RADIUS认证适用于多种场景，包括用户接入网络认证和设备登录认证

二十五、网络准入控制

1.NAC定义

|----|------------|
| 特性 | 说明 |
| 本质 | 网络架构而非独立设备 |
| 功能 | 端到端安全结构 |
| 组成 | 包含多种认证方式 |

3.EAD解决方案

传统网络安全防护存在局限性，主要针对边界防护而忽视内网终端安全。零信任架构通过终端安全检查与网络准入控制结合，包含三个核心组件：

• 终端设备：包括电脑、手机等接入设备
• 网络准入设备：通常为交换机等策略实施点
• 服务器系统：包含补丁、病毒查杀等安全服务

4.终端安全检查

内网终端可能存在安全隐患，如未修复漏洞或感染病毒。NAC解决方案直接从终端入手，通过以下机制提升安全性：

• 终端安全状态扫描：检查系统补丁、密码强度等
• 隔离修复机制：对不符合安全要求的终端进行隔离
• 自动更新功能：从服务器下载补丁和杀毒软件

5.NAC功能

|------|-------------|
| 功能模块 | 实施要点 |
| 身份认证 | 对接入终端进行身份验证 |
| 访问控制 | 基于策略限制网络访问 |
| 安全检查 | 扫描终端安全状态 |
| 系统修复 | 提供自动/手动修复选项 |

6.隔离修复机制

NAC工作流程分为三个阶段：

• 预检阶段：扫描终端安全状态，重点检查系统补丁和病毒防护 - 隔离阶段：对不安全终端实施网络访问限制
• 修复阶段：通过补丁服务器提供安全更新，强制终止危险进程