AC的应用控制
0x0 AC的应用控制
- 应用控制是指通过AC对用户访问的应用控制
0x1 WHY-为什么需要应用控制
- 可以通过应用控制,限制用户能使用的应用程序,从而尽可能的对用户进行剥削,实现资本积累
0x2 HOW-如何实现应用控制
-
传统检测原理:通过数据包的五元组(源目IP,源目端口,协议)来识别应用并进行转发、接收、处理
-
深度行为检测:对应用层的字段进行检测
- 深度包检测技术(DPI):在五元组的基础上增加了应用层分析
- 基于“特征字”的检测技术:不同应用依赖于不同的协议,而不同的协议有自己的特征,特定的端口、字符串、比特流。
- 适用情况:只允许电脑上网、不允许手机上网
- 如何实现:通过HTTP协议中的user-Agent字段
- 基于应用层网关的检测技术(ALG):控制流和数据流分离时,数据流没有特征。应用层网关需要识别出控制流,根据协议对控制流进行解析。
- 基于行为模式的检测技术:对终端已经实施的行为分析,判断出用户正在进行的动作或者即将事实的动作。
- 适用情况:用户一个小时发一万封邮件
- 基于“特征字”的检测技术:不同应用依赖于不同的协议,而不同的协议有自己的特征,特定的端口、字符串、比特流。
- 深度流检测(DFI):采用基于流量行为的应用识别技术,不同的应用会话连接或数据流上的状态不同。基于流的行为特征,将建立的应用数据流和数据流模型进行对比,判断流的应用类型或业务。
- 深度包检测技术(DPI):在五元组的基础上增加了应用层分析
-
HTTP识别控制技术:通过识别GEI请求中的host字段拉识别url来判断是否访问某些网站,拦截后,伪装成网站服务器向PC发送302的数据包。
-
HTTPS识别控制技术
- 原理:PC跟网站服务器三次握手完成后,PC开始发Client hello报文(SSL握手的第一阶段),在此报文中的server_name字段包含所访问的域名,上网行为管理提取Server_Name字段来识 别https的网站。
- 如何实现:对HTTPS网站封堵,终端设备在发送Client hello报文后,我们识别到该网站, 然后同http封堵一样,伪装网站服务器给终端设备发送RST包
- 补充 HTTPS的原理:HTTPS是HTTP的安全版,使用443端口,S指的是SSL协议。
