三、应用控制技术
1/4、应用特征识别技术:
1.场景需求
(1)全天禁用QQ应用的使用,可以用传统的行为检测(ACL),根据五元组(源、目ip,源、目端口,协议)来进行过滤。
(2)全天禁用QQ应用的某一账号上网,应用用户字段在应用层OICQ协议的DATA字段,需要用深度行为检测技术(其中的基于"特征字"的检测技术)。
2.深度行为检测技术
(1)基于包检测(DPI):
基于"特征字"的检测技术(DPI)。检测应用层的某一字段,如:可以在HTTP的User-Agent字段区分手机和电脑。
基于应用网关的检测技术(ALG)。应用网关先识别出控制流,根据协议,对控制流就行解析,从协议中识别出相应的业务流。
基于行为模式的检测技术。对终端已经实施的行为的分析,例子一小时发一万封邮件的垃圾邮件行为模式识别。
(2)基于流检测(DFI):
基于包与基于流的深度检测对比:DFI仅对流量行为分析,只能对应用类型进行笼统分类,如
深度行为检测优点:1.可视化全网 2.流量精细化管理 3.减少或延迟带宽投入,降低网络运营运营成本 4.及时发现和抑制异常流量 5.渗透全网服务质量,保障关键业务质量 6.丰富的QoS提供能力
2/4、HTTP识别控制技术:
场景需求:上班时间不允许访问视频网站。分析:http报文中,URL的域名(host)字段;封堵http,需要先放通三次握手。
http网页识别,终端设备通过DNS解析域名后,跟服务器三次握手完,发给get请求 (get请求数据包中的host字段,是访问网页的具体url),Ac设备会伪装成服务器向终端发一个状态码302的数据包(重定向),数据包中的内容是告知终端访问的网站服务器是拒绝访问的,再通过RST断开连接。
3/4、HTTPS识别控制技术。
https的tcp端口443,https是基于ssl安全套阶层的超文本传输协议(SSL也称TLS)。
ssl原理:对数据加密,对身份认证。
1、概念:
非对称密钥生成对称密钥,对称密钥对计算机的计算开销小。
私钥生成公钥,私钥解密公钥;私钥自己保管,用公钥进行传输。
公钥防黑客篡改:加证书。证书由可信结构(CA)颁发,证书包括身份信息、公钥(由CA私钥生成)。数字证书认证技术原理:
2、ssl原理:
客服端,Client hello报文:携带客服端的SSL版本号(协商双方最高版本),加密套件列表(身份认证方式、加密方式,校验方式,密钥过期时间),压缩算法列表(可无),客服端随机数(计算对称密钥之一),传送给服务器。
服务器, (1)server hello报文:选择版本,确定加密套件、压缩算法,计算sessionid,以及随机数发给客服端;(2)Server Certificate将证书发给客服端,证书包含服务器公钥;(3)ssl如果是双向认证的,服务器发送Client Certtificate Requst索要证书;(4)Server hello done服务器通知客服端握手信息结束。
客服端收到证书,验证是否过期,并将服务器公钥缓存。(1)发client Certificate报文:客服端发送自己的证书;(2)client Key Exchang报文:i. 若为RSA加密,客服端生成一个48为随机数作为预主密钥(pre-master),用服务器公钥加密;ii. 若DH算法产生预主密钥:非对称密钥生成对称密钥。生成公、私钥,交换公钥,用自己的私钥与对方的公钥生成对称密钥(Secret_key_x),Secret_key_x对对称加密算法进行加密,服务器再用Secret_key_x解密。key的传递--DH算法:
Certificate verify这个消息中要包含一个签名,签名里头内容就是从 client hello 开始到目前为止所有握手消息(不包括本消息)的摘要,然后用客户端的私钥加密。
Chang Cipher Sipher报文改变加密约定消息。
Finished Message报文,的 SSL表示 协商成功结束。
3、HTTP网站与HTTPS网站封堵
HTTPS整个过程都是加密的,在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的,从而无法实现重定向到拒绝界面
相同点:
⚫ 封堵对象的获取:都是通过获取服务器的标 识进行封堵HTTP和HTTPS 网站
⚫ 封行为堵:都是发送 RST包来断开PC和服务器 的TCP连接
不同点:
⚫ 封堵对象的获取:针对HTTP是获取三次握手 后的GET****请求包中的HOST****字段来识别服务器;针 对HTTPS是在四次握手的第一阶段,获取客户机 发送Client hello****包中的Servername****字段来识别服 务器
⚫ **封行为堵:**针对HTTP是先发送重定向包,再发 送RST;针对HTTPS是直接发送RST结束TCP连接 不发重定向包
4/4、自定义应用方法
上网行为管理已经内置规则库已经覆盖常见的应用和网站,并已半个月为周期的持续更新,但难免有部分不常见的应用和网站没有更新。在这种环境下面**,只要我们提供应用的特征或者url就可以通过自定义****进行识别和控制。**
在【对象定义】-【自定义应用】可以对应用的数据包方向、协议、目标端 口、目标ip、匹配的目标域名识别,只要能确定应用的这些特征,我们就可以 识别和控制这些应用。
在【对象定义】-【URL分类库】可以自定义URL,如下图所示,支持匹配 URL和域名关键字。
四、内容审计技术
1、 内容审计需求背景
**明确责任人:**制定内部安全管理制度和操作规程,落实安全保护责任
**监测、记录并保留日志:**采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于六个月;
**采取防范保护措施:**防范计算机病毒和网络攻击、网络侵入等
**数据分类、备份和加密:**数据分类、重要数据备份和加密等措施
**其他法律义务:**法律、行政法规规定的其他义务
2、上网行为审计技术
**日志查询:**查询模块,提供给管理员进行日志查询的功能,包含所有行为查询、访问 网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询,能够追 查到各种违反组织规定的行为。
3、外发邮件审计技术
4、SSL内容解密技术
1、需要先确认多功能序列号已激活SSL内容识别,默认是激活的
2、配置SSL内容识别,填写需要被识别的网站url
5、WEB关键字过滤技术
(1)"web"关键字过滤只能针对网页版邮箱过滤
(2)如果网站是https的,需要开启SSL内容识别,并且添加对应的URL
(3)禁止上传ppt、doc、这些类型文件通过"web文件类型过滤"来实现
6、IM聊天内容审计技术
QQ客户端聊天内容在网络上是通过OICQ协议传输的,内容是加密的,这种数据业
界都没有办法解密。
SANGFOR通过插件方式,在客户端电脑自动找到QQ聊天内容缓存到本地的数据库
中,然后AC每隔10s在客户端的数据库读取聊天内容,写入到AC的日志中心。