应用控制技术、内容审计技术、AAA服务器技术

一、应用控制技术

1. 传统检测vs深度行为检测

传统检测特点：
- 工作层级：主要针对OSI二三四层
- 实现方式：通过识别协议报文并根据策略进行转发/拒绝
- 典型应用：如禁止使用QQ等特定业务
深度行为检测特点：
- 新增功能：增加了内容检测能力
- 技术分类：
  - 深度包检测(DPI)
  - 深度流检测(DFI)
- 精细控制：可实现如"仅允许特定账户登录"等高精度控制

2. HTTP过滤

实现基础：属于深度包检测中的基于特征码检测技术
控制方式：
- 关键字识别：通过识别数据包中的多个关键字实现控制
- 主机头识别：可对特定网站做定制化识别
典型应用：
- 禁止移动端上网
- 限制特定网站访问

3. 传输过程的数据安全性

1）数据加密与解密技术

防护目标：防止数据被截获
实现手段：采用加密/解密技术
实际案例：如HTTPS、VPN等传输加密技术

2）完整性校验

防护目标：防止数据被篡改
实现原理：通过校验机制确保数据在传输过程中未被修改

3）双方身份认证

防护目标：确认通信双方身份真实性
实现方式：使用数字证书进行身份验证
类比说明：类似于"身份证"的验证机制

4）防止重放攻击

攻击原理：攻击者无需解密数据，只需复制并重发有效数据包
典型案例：银行转账被重复执行
防护措施：
- 数据包添加序列号
- 实施二次认证机制（如短信验证）
- SSL/TLS握手过程中的随机数交换
四阶段握手流程：
- Client Hello：携带SSL版本号、加密套件列表等
- Server Hello：确定加密参数并返回随机数
- 证书交换与验证

密钥交换与加密参数启用

- 注：笔记中已根据课程内容完整保留了所有关键技术要点、实际案例和防护措施说明，并按照康奈尔笔记法进行了结构化整理。图片插入位置与相关知识点严格对应，确保笔记的完整性和可读性。

4. HTTPS原理

1）例题:HTTPS握手过程

Client Hello报文内容
- 基于TCP的特性：SSL/TLS协议都基于TCP，在发生报文前必须先完成三次握手
- 关键字段组成：
  - 版本信息：包含TLS协议版本号（如TLSv1.2/TLSv1.3）
  - PSK密钥交换模式：预共享密钥的交换方式
  - 加密套件列表：包含客户端支持的所有加密算法组合（如AES、RSA等）
  - 密钥共享扩展：用于密钥交换的参数
  - 随机数：用于生成会话密钥的重要参数
  - Server Name指示：明确告知服务器要访问的域名（如microsoft.com）
加密算法详解
- 对称加密算法：
  - AES算法：支持128/256位密钥长度，如AES_128_GCM、AES_256_GCM
  - 密钥长度原则：位数越长越安全（256位比128位更安全）
- 完整性校验算法：
  - 哈希算法：SHA_256、SHA_384等
  - 校验原理：同样遵循位数越长越安全原则
- 身份认证方式：
  - RSA证书认证：用于验证服务器身份
  - 商密标准：商业/国家机密级加密可达1024位密钥长度
- 实际应用考量：
  - 普通网站（如QQ官网）通常采用256位加密
  - 高安全需求场景才会使用更复杂的加密方式

2）例题:HTTPS握手过程分析

密钥交换过程
- 交换模式：
  - DH/DHE：Diffie-Hellman密钥交换协议
  - 随机数交换：客户端和服务器交换随机数用于生成会话密钥
- 保留字段：报文中存在多个标记为"unknown"或"reserved"的字段
Server Hello响应
- 与Client Hello的区别：
  - 加密套件选择：服务器从客户端提供的列表中选择一个最优套件
  - 会话ID：服务器生成的唯一会话标识符
  - 随机数：服务器生成的随机数，与客户端随机数共同生成密钥
- 密钥交换报文：
  - 包含选定的加密套件（如TLS_AES_256_GCM_SHA384）
  - 携带密钥交换参数
  - 可能包含证书链用于身份验证

3）客户端密钥交换

预主密钥生成：客户端产生48位随机数作为pre-master（预主密钥），该密钥是后续会话密钥的基础
加密传输机制：当采用RSA加密时，客户端使用服务器公钥对预主密钥进行加密后传输（如字幕所述："预主密钥是被加密的"）
服务器处理：服务器端收到加密的预主密钥后，使用私钥解密并缓存该密钥（字幕强调："服务器端缓存预主密钥"）
密钥交换的加密细节
- 加密验证：通过Wireshark抓包可见，Client Key Exchange报文内容显示为加密状态（字幕确认："看到这是个什么消息，看到没？加密的握手消息"）
- 密钥长度确认：明确使用48位密钥（字幕多次强调："就是这个48位的一种密钥"）
- RSA加密过程：客户端在client hello和server hello阶段已获取服务器公钥（字幕提问："是不是已经把那个公钥发过去了？"）
密钥交换后的流程
- 后续认证阶段：密钥交换完成后仅需进行最终认证（字幕说明："交换完了之后，最终最终就只需要做一个认证就行了"）
- 加密参数启用：通过Change Cipher Spec协议通知对方开始使用协商的加密参数
- 应用数据传输：认证通过后进入Application Data阶段，所有通信内容均被加密（字幕提到查看application data报文）
技术要点总结
- 核心功能：实现客户端与服务器之间的安全密钥传递
- 随机性要求：预主密钥必须是强随机数（字幕强调："48位随机数"）
- 前向安全性：即使长期密钥泄露，也不会危及本次会话安全
- 加密强度：采用服务器公钥加密确保传输安全（字幕确认："这个预主密钥是被加密的"）

4）客户端证书验证

签名生成过程：从ClientHello开始到当前所有握手消息（不包括本消息）的摘要，用客户端私钥加密生成签名
验证机制：服务器使用Client Certificate消息中的客户端公钥解密验证，确认客户端真实性
加密特性：加密后的签名内容不可读，仅显示为一串数字序列（如：0000000000000001534c914d8d8adb1c73d94da5aa511563）
简化握手流程
- 重复访问优化：访问已建立过连接的网站时，握手流程简化为ClientHello + 密钥交换两步
- 报文对比：相比完整握手省略了ServerHello等步骤，如Wireshark捕获的202.89.233.100通信案例
加密数据分析
- 数据特征：应用层数据加密后显示为十六进制串（如：ff 7f 35 00 00 17 03 03 00 5e...）
- 解密难度：无密钥情况下无法解析具体内容，仅能观察到传输层TCP/TLS协议头信息
握手过程实例
- 典型交互：
  - TCP三次握手建立连接
  - ServerHello + Certificate（427字节）
  - Client Key Exchange（212字节）
  - 应用数据交换（153/476字节）
  - New Session Ticket（396字节）
Hello Retry机制
- 触发条件：服务器要求重新协商参数时发送153字节的Hello Retry Request
- 变更通知：包含Change Cipher Spec消息用于更新加密约定
- 典型场景：当客户端支持的加密套件与服务器要求不匹配时发生

5）改变加密约定消息

改变加密约定消息的定义与目的
- 协议特性: 该消息仅包含一个值为1的字节，是与握手协议同级别的独立协议
- 核心功能: 通知通信对方后续消息将采用新协商的加密套件和密钥
- 密钥更新机制: 在网络中使用数字密钥时间越长安全性越低，定期更新可提升安全性
改变加密约定消息的发送时机
- 触发条件:
  - 密钥使用周期到期（通常半小时至一小时）
  - 任一方检测到密钥可能被破解
- 重协商过程: 与初始握手类似，需重新交换随机数并生成新的主密钥
- 本地计算: 客户端会将客户端随机数、服务端随机数和预主密钥组合生成主密钥，并导出MAC密钥和写密钥
改变加密约定消息在HTTPS握手中的位置
- 初始握手阶段: 位于Client Finished Message之后，作为加密通信开始的标志
- 会话恢复阶段: 在简化握手过程中可能仅包含Client Hello和Change Cipher Spec
- 密钥更新阶段: 作为独立消息通知对方启用新加密参数
实例分析：改变加密约定消息的传输过程
- 常见场景:
  - 首次访问：完整12步握手流程
  - 重复访问：可能简化为Client Hello → Change Cipher Spec → Finished三步
- 会话恢复机制: 服务器保存客户端会话信息时，可跳过证书验证等步骤
- 异常处理: 出现Hello Retry Request表示需要重新协商参数

6）证书层次结构

有效期特征: 通常为1年（示例中2024/12/2至2025/12/2）
公钥稳定性: 证书和公钥不会频繁变更，保障会话恢复可行性
颁发机构层级: 包含颁发者(DigiCert)和持有者(Tencent)的双重身份验证
指纹算法: 现代证书普遍采用SHA-256哈希算法生成指纹

7）证书字段

证书有效期与更新
- 有效期机制：证书/公钥通常一年有效，到期后需要重新颁发
- 更新方式：服务器和客户端只需更新各自记录，无需重新建立完整连接
- 密钥更新：直接发送改变加密的消息并重新计算必要参数即可传输数据
加密消息与数据传输
- 协商流程：无论是完整SSL还是简化三次握手，始终由客户端先发送Client Hello报文
- 架构特性：基于客户端-服务器架构的协议，必须由客户端先触发才能改变加密消息
HTTPS原理与握手协议
- Change Cipher Spec：
  - 属于独立协议，与握手协议同级
  - 消息内容为单个值为1的字节
  - 作用：通知对方后续通信将采用新协商的加密套件和密钥
- 加密触发：必须由客户端先发送Hello消息触发加密流程变更
数据加密与传输安全
- 加密特征：SSL协商成功后，所有传输数据均为加密状态
- 管理限制：
  - 无法从加密数据中区分GET/PUT等HTTP方法
  - 无法直接解析加密内容进行过滤
- CDN影响：大型网站使用CDN会导致服务器IP不固定，增加管理难度
CDN与内容分发网络
- 双重功能：
  - 降低服务器负载：将请求分发到本地服务器
  - 增强安全性：隐藏真实服务器IP地址
- 动态特性：用户可能访问不同地区的CDN节点（如长沙→南京）
- 管理难点：无法通过收集所有CDN IP地址进行过滤，操作复杂且危险
SSL/TLS协议与数据加密
- 初始报文：客户端首个包为Client Hello，此时尚未加密
- 关键字段：Server Name字段标识客户端要访问的具体域名
- 检测原理：深度包检测(DPI)可通过分析未加密的Hello包进行过滤
HTTP报文与重定向
- 阻断机制：
  - 检测到违规访问时，伪装服务器发送重定向报文
  - 重定向至禁止访问页面
  - 最终由ISP断开连接
- 协议层级：阻断操作发生在HTTP层而非SSL层

8）HTTPS协议结构

证书交换过程：服务器在SSL握手第二阶段将自己的证书发送给客户端，证书包含服务器身份信息和公钥。客户端会验证证书有效期并缓存服务器公钥。
协议独立性：HTTP和SSL是两个独立的协议，SSL先协商加密通道，再在该通道中传输HTTP数据。类似DNS和HTTP的关系，可以单独使用SSL（如SSL VPN）。

9）SSL协议结构

四层协议组成：
- 握手协议：首次建立安全连接时协商加密参数
- 修改密文协议：密钥过期后重新协商密钥
- 报警协议：通信异常时通知对方终止或重建连接
- 记录协议：负责传输数据的加密记录
工作流程：先通过握手建立安全连接，期间可修改密钥，发现问题通过报警协议处理，所有传输数据由记录协议封装。

10）握手协议细节

预主密钥生成：客户端产生48位随机数作为pre-master，用服务器公钥加密后发送
证书验证：客户端发送包含签名的Certificate verify消息，签名内容是从Client hello开始的所有握手消息摘要
访问控制机制：当发现禁止访问的域名时，直接终止握手过程并发送TCP RST断开连接，不返回具体错误页面

11）HTTPS控制工作原理

工作机制：
- 终端发送Client hello报文后，设备识别网站并伪装服务器发送RST包（IP.ID为
  
  0×58260 \times 58260×5826
  
  ）断开连接
- 与HTTP的区别：
  - HTTPS全程加密，未做SSL中间人劫持时无法伪造数据包
  - HTTP可重定向到拒绝界面，HTTPS只能直接断开连接
技术细节：
- 通过Client hello报文中的ServerName字段识别目标网站
- 直接发送RST包终止TCP连接，不发送重定向页面

封堵机制：终端发送Client hello报文后，识别目标网站并伪装服务器发送RST包（IP.ID为0×5826）强制断开连接
关键步骤：通过TCP重置攻击实现访问控制，无需解密HTTPS流量
HTTPS与HTTP封堵的区别
- 加密特性：HTTPS全程加密，未做SSL中间人劫持时无法伪造具体数据包
- 控制差异：HTTP可实现重定向到拒绝界面，HTTPS只能断开连接
- 技术限制：HTTPS封堵仅能阻断连接，无法像HTTP那样修改响应内容
SSL中间人劫持
- 实现条件：需要AC设备同时伪装服务器（对客户端）和客户端（对服务器）
- 证书问题：终端证书与真实服务器不匹配，浏览器会显示AC设备提供的证书
- 典型场景：内网SSL劫持时，所有网站证书均显示为AC设备证书
证书查看与中间人识别
- 验证方法：检查证书颁发者信息，正常应显示网站所有者（如Microsoft）
- 劫持特征：若显示AC设备厂商名称，则存在中间人劫持
- 注意点：未开启SSL代理时，证书显示原网站信息（如访问bing.com显示Microsoft证书）
HTTPS原理与四阶段握手
- 阶段1（Client Hello）：携带SSL版本号、加密套件列表、客户端随机数
- 阶段2（Server Hello）：服务器确定加密参数，发送证书和随机数
- 阶段3（密钥交换）：客户端发送预主密钥，双方生成会话密钥
- 阶段4（加密通信）：通过Change Cipher Spec通知启用加密，验证握手完整性
恶意代码加密与筛选
- 代理功能：通过SSL代理解密流量，可检测加密传输的恶意代码
- 技术实现：AC设备同时修改两端证书，建立独立SSL连接进行内容审查
- 应用场景：曾用于拦截HTTPS网站下载的病毒代码（如ha tc网站案例）
SSL代理功能的应用
- 工作原理：终端与AC建立SSL连接，AC再与服务器建立独立SSL连接
- 安全影响：导致终端证书显示为AC设备证书，可能触发浏览器安全警告
- 管理要求：需在企业内网部署受信任的CA证书以避免证书告警

12）思考总结

HTTPS网站封堵排查方法
- 排查步骤：
  - 检查URL库是否为最新版本
  - 确认目标网站在应用识别库或URL规则库中
  - 验证策略配置是否正确
  - 检查策略适用用户是否在线
  - 确认用户不在全局排除地址中
  - 开启直通抓包分析ServerName是否正确对应目标网站

13）思考总结

HTTP与HTTPS封堵对比
- 相同点：
  - 都通过获取服务器标识进行封堵
  - 最终都通过发送RST包断开TCP连接
- 不同点：
  - 识别方式：
    - HTTP：从三次握手后的GET请求包中获取Host字段
    - HTTPS：从Client hello包的ServerName字段获取
  - 阻断方式：
    - HTTP：先发送重定向包再发送RST
    - HTTPS：直接发送RST断开连接
- 技术原理：
  - HTTPS在SSL协议层阻断，无法伪造响应内容
  - HTTP可在应用层构造拒绝访问页面

14）自定义应用方法

自定义应用背景
- 应用场景：
  - 内部专用应用（如企业自研系统）
  - 规则库更新周期内新出现的应用/网站
  - 小众应用未被规则库收录的情况
- 更新机制：
  - 内置规则库每半个月定期更新
  - 可能遗漏小众应用和新兴网站
自定义应用实现
- 配置要素：
  - 数据包方向（LAN-WAN/WAN-LAN）
  - 协议类型（TCP/UDP等）
  - 目标端口（单个或范围）
  - 目标IP（单个或范围）
  - 匹配域名
- 注意事项：
  - 特征需尽可能精确，避免过度匹配
  - 仅配置端口80会导致所有HTTP流量被识别
URL自定义方法
- 配置要点：
  - 直接输入域名，无需添加http(s)://
  - 可使用*作为通配符
  - 单条URL长度不超过40字节
  - 总URL条数不超过6万条
- 典型应用：
  - 封堵特定新闻门户
  - 限制成人内容网站
  - 管控视频流媒体站点

15）对象自定义总结

自定义类型
- 主要方式：
  - 准入规则（基于进程控制）
  - 自定义应用（精准封堵/审计）
  - 自定义URL（特定网站管控）
  - 自定义关键字（内容过滤）
- 应用特点：
  - 覆盖99.99%常见应用外的0.01%特殊情况
  - 对内部专有系统特别有效
  - 配置需要精确匹配特征
准入策略排查
- 排查要点：
  - 检查直通和全局地址排除设置
  - 确认终端支持准入系统（仅Windows PC）
  - 验证策略关联用户及适用区域
  - 检查自定义规则条件和执行动作
- 技术限制：
  - 不支持非Windows设备
  - 需要终端安装特定客户端

5. 应用控制技术总结

1）行为检测分类

传统行为检测：检测2-4层数据，采用针对特定应用的一刀切控制方式
深度行为检测：实现应用层精细化控制，例如允许/禁止特定账号上网

2）深度检测技术

深度包检测(DPI)：
- 基于特征检测：通过协议特征字段识别应用
- 基于应用网关：通过代理方式解析应用内容
- 基于行为模式：分析流量行为特征进行识别
HTTP过滤：通过识别超文本传输协议中的关键字字段实现过滤
HTTPS过滤：通过解析SSL证书中的server字段实现网站过滤

3）自定义过滤机制

规则库缺失处理：当遇到未收录的应用或URL时，需要管理员手动配置自定义过滤规则

4）上网行为管理功能

核心功能：
- 访问控制：对用户访问内容进行限制
- 行为审计：记录用户上网行为日志
实现方式：通过内容审计技术实现行为记录和分析

二、内容审计技术

1. 网络安全法要求

责任人制度：必须明确网络安全责任人，政府部门和国企特别重视"出事找人"的追责机制
日志管理：要求监测、记录并保留网络日志不少于6个月，通过日志分析提取报错/警告信息
防护措施：
- 制定内部安全管理制度和操作规程
- 采取数据分类、重要数据备份和加密措施
- 防范计算机病毒、网络攻击和网络入侵
法律兜底：需履行其他法律、行政法规规定的网络安全义务

2. 上网行为审计架构

审计本质：记录"哪个账号在什么设备、什么时间访问了哪些服务及操作内容"
合规价值：实现事后追溯、优化权限策略等管理目标
审计范围：
- 用户账号（包括虚拟账号）
- 网站访问记录
- 搜索关键字
- 邮件收发
- 论坛发帖/微博
- IM聊天内容

1）日志查询

存储方式：
- 本地存储（设备内置空间）
- 远程服务器存储（应对大规模网络日志）
查询维度：
- 用户行为查询（账号/手机号/微信ID等）
- 网站访问记录
- 文件审计（上传/下载）
- 即时通讯内容
- 邮件收发记录
- 论坛/BBS活动
- 安全事件日志
- 管理员操作日志
查询特点：支持类似百度搜索的"数据下钻"查询，条件组合灵活

2）统计分析

报表功能：
- 自动生成流量分析、用户行为分析等统计报表
- 支持导出为多种格式（含PDF）
- 减轻网管月度/季度汇报工作量
审计技术分类：
- 普通软件审计（未加密数据）
- HTTP流量审计（明文传输）
- 特殊协议审计：
  - 网页邮箱（HTTPS协议）
  - 客户端邮箱（SMTP/POP3协议）

3. 外发邮件审计技术

1）内容审计需求背景

审计对象：主要针对HTTP协议的网页内容，包括：
- Web BBS论坛发帖内容
- 外发的Web Mail邮件内容及附件
- 通过网页上传的文本和附件（图片、视频等）
策略配置：
- 需在AC设备中新增策略并启用
- 可针对不同用户设置不同审计规则
- 支持对微博、FTP、TELNET等多种网络应用的内容审计

2）外发邮件审计原理

SSL解密技术原理
- 明文审计：
  - 原理：直接解析邮件数据包中的明文内容
  - 字段：包含from/to/cc/bcc字段、邮件标题、正文和附件
  - 特点：不同邮箱服务商（如163、QQ邮箱）的数据包格式存在差异
- 加密审计：
  - 限制：无法直接审计HTTPS加密内容
  - 解决方案：采用SSL中间人代理技术
    - AC设备伪造证书（如深信服AC设备使用厂家证书）
    - 终端可能提示证书警告，需手动添加信任
    - 企业内网通常批量安装根证书避免告警
- 例题:HTTPS被代理判断
  - 判断方法：
    - 数据包长度差异：
      - 正常转发时内外网数据包长度应一致（如66字节）
      - 代理会导致数据包长度变化（如变为74字节）
    - 证书颁发者：
      - 被代理时证书颁发者显示为AC设备厂商（如深信服）
      - 原始证书被替换为代理证书
  - 安全提示：
    - 企业网络中被代理时所有HTTPS内容均可被审计
    - 需注意工作电脑可能安装了企业根证书
配置SSL内容识别
- 配置要点：
  - 域名列表：需逐行添加待识别的邮箱网站（不支持通配符*）
    - 常见邮箱域名：mail.qq.com、gmail.com、mail.google.com等
    - 微信网页版域名：wx.qq.com、wx2.qq.com
  - 证书管理：
    - 需下载并安装SSL识别根证书
    - AD域环境下可批量解除浏览器告警
- 注意事项：
  - 仅对443端口的HTTPS流量生效
  - 邮件客户端需单独配置邮件过滤策略
效果展示
- 审计能力：
  - 可完整捕获网页版邮箱的：
    - 收件人/发件人信息
    - 邮件主题和正文内容
    - 附件信息（文件名、类型）
- 限制：
  - 客户端邮件（如Outlook）需通过邮件过滤策略审计
  - 即时通讯软件（微信/QQ）的内容需单独配置审计策略

4. 需求背景

1）QQ和微信数据传输的加密方式

协议特性：QQ客户端聊天内容通过OICQ协议传输，数据采用程序内置加密方式，业界普遍无法解密
审计困境：企业若需审计员工QQ聊天记录，无法通过传统网络抓包方式实现

2）加密方式写在程序中的特点

固定加密机制：不同于浏览器需要TLS协商，QQ/微信等APP直接将加密算法写入客户端程序
免协商特性：因固定连接特定服务器，无需像浏览器访问不同网站时进行加密方式协商

3）中间人代理解密的不可行性

技术限制：无法通过中间人代理方式解密，因加密过程不依赖协商机制
逆向风险：逆向分析通讯加密方式将面临法律风险，企业安全团队会立即采取法律行动

4）逆向加密方式的难度与后果

技术门槛：腾讯安全团队专业防护，逆向工程成功概率极低
法律后果：成功逆向者可能收到企业高薪邀约（P7级以上职位）或法律诉讼

5）本地读取聊天记录的建议

替代方案：直接从客户端本地数据库读取缓存内容，规避网络层加密问题
实施前提：需获得终端设备访问权限，适用于企业统一配发设备场景

5. 实现方式

1）SANGFOR的QQ聊天内容审计方式

插件机制：通过准入插件自动定位客户端本地QQ聊天数据库
采集周期：AC设备每10秒读取一次客户端数据并写入日志中心
部署要求：需在所有被审计终端安装准入插件

2）准入策略的配置与下发

策略配置：
- 导航路径：上网策略→准入策略→QQ审计
- 关键参数：IM聊天内容监控设置为全天生效
管理方式：可通过AC统一策略批量下发安装

3）不同的公司电脑政策

设备管理：
- 公司配发设备：强制安装审计插件
- 私人设备：通常不强制要求（法律合规考虑）
报销政策：部分企业提供设备购置补贴，但多附带服务年限条款

4）AC5内容审计技术简介

系统限制：当前仅支持Windows PC端安装
非Windows处理：手机/平板等设备需通过特殊策略放行上网

5）准入程序的支持系统与安装

多平台适配：
- 开发不同版本（Windows/Linux/Android/iOS）
- 各平台需从对应官方渠道获取安装包
强制实施：未安装准入客户端的设备将受限网络访问

三、AAA服务器技术

1. 课程目标

掌握内容：
- AAA认证架构
- RADIUS和TACACS+认证原理
- 相关配置命令

2. AAA基础概念

核心功能：
- 认证(Authentication)：验证用户身份
- 授权(Authorization)：下发访问权限
- 计费(Accounting)：记录使用情况
实现方式：
- 可使用远程服务器或本地交换机作为认证服务器
- 支持多种服务认证：FTP、Telnet、PPP链路等

3. AAA协议类型

常见协议：
- RADIUS（远程认证拨号系统）
- TACACS+（终端访问控制器访问控制系统）
优势特点：
- 用户管理便捷（服务器端集中管理）
- 适用性广泛（支持多种网络服务）

4. 授权等级说明

用户等级：
- 华为设备示例：0-15共16个等级
- 0级最低，15级最高
计费方式：
- 流量计费（如手机流量）
- 时长计费（如宽带包月）

5. RADIUS协议详解

协议特性：
- 分布式交互协议
- 客户端/服务器架构
- 基于UDP协议
端口分配：
- 1812端口：认证和授权
- 1813端口：计费
报文结构：
- 采用TLV（类型-长度-值）结构
- 类似IPv6的可扩展包头设计
报文类型：
- Code字段决定：
  - 1/2/3：认证报文（请求/通过/拒绝）
  - 4/5：计费报文

6. 协议对比说明

标准协议优势：
- 跨厂商兼容（华为/思科/华三等设备互通）
- 包含四大安全要素：
  - 数据加解密
  - 完整性校验
  - 身份认证
  - 防重放攻击

7. 上网行为管理之身份认证实验

1）AAA服务器登录配置

统一认证凭据：所有用户登录AAA服务器使用相同的用户名和密码，用户名为"acsadmin"，密码为"zhongyuan"
登录流程：输入统一凭据后进入Cisco Secure ACS系统，该系统提供访问控制管理功能

2）RADIUS协议配置

通信接口：指定10.1.1.2作为上网行为管理与AAA服务器通信的接口IP
加密设置：
- 使用国际标准协议RADIUS进行认证
- 通信加密密钥设置为"1234"
- 端口号使用默认的1812
设备类型：在Network Device Groups中可配置不同网络设备类型和位置

3）认证选项配置

协议选择：可选择TACACS+或RADIUS协议进行认证
RADIUS参数：
- 共享密钥(Shared Secret)设置为"123456"
- CoA端口(Change of Authorization Port)使用1700
- 启用KeyWrap加密功能

4）用户认证创建

用户存储：在"Users and Identity Stores > Internal Identity Stores > Users"中创建上网认证所需的用户名和密码
网络资源：可配置网络设备组(Network Device Groups)和位置(Location)进行分类管理
IP认证：支持单IP(IP Address)或IP范围(IP Range)的认证方式
监控报告：系统提供监控和报告(Monitoring and Reports)功能用于审计

8. 设备间协议认证

认证方式：设备间的协议认证大多采用本地认证方式
应用场景：
- VRRP协议支持认证
- OSPF路由器之间支持认证
实现特点：
- 在本地接口或区域直接配置密码即可
- 不推荐使用远程服务器认证（过于浪费资源）
用户登录方式对比：
- 本地认证：在设备本地设置用户名密码（如Telnet/SSH登录路由器交换机）
- RADIUS认证：通过远程认证服务器进行认证

9. VPN的SSL移动接入方案

协议组成：
- SSL握手协议
- SSL修改密文协议
- SSL记录协议
认证授权方式：
- 本地认证授权
- RADIUS认证
- CA证书认证
加密工作原理：
- 客户端A向服务器B发送连接请求
- B生成公私钥对，私钥自存，公钥发送给A
- A用B的公钥加密信息发送给B
- B用私钥解密信息（只有B能解密）
- 反向通信同理使用A的公钥加密
应用特点：
- 主要用于上网行为管理产品（如联软等厂商方案）
- 是上网行为管理系统的升级版解决方