• 0x0 WHY-为什么要用上网行为管理
• 0x1 WHAT-什么是上网行为管理
  • 0x1.1 部署模式的区别
• 0x2 HOW-如何实现对上网行为的管理
  • 0x2.1 身份认证技术
  • 0x2.2 网页过滤技术
  • 0x2.3 应用控制技术
  • 0x2.4 内容审计技术

0x0 WHY-为什么要用上网行为管理

    上网行为管理是用来管控内网用户上网行为的一台设备，因为内网用户上网行为监管难，用户不合法的操作可能会对公司内网造成威胁     公司员工上班期间进行使用P2P应用造成带宽滥用，使公司核心业务无法得到保证；公司员工上班期间想外部发送公司内部机密文件造成信息泄露；工作期间访问娱乐网站，炒股，购物；工作期间进行发表不良言论，传播违法信息；     为了避免以上威胁，使用上网行为管理对用户的上网行为进行管控

0x1 WHAT-什么是上网行为管理

    上网行为管理是用来管理内网用户上网行为的一台设备，常用的功能有：身份认证、行为审计、URL过滤、应用控制、流量管控     常用的部署模式有：路由部署、旁路部署、网桥部署

0x1.1 部署模式的区别

• 路由模式：充当路由器的功能，对拓扑改变较大，需要上网行为管理支持路由、NAT、DHCP功能
  • 适用于用户需要使用新的上网行为管理设备来代替旧的出口路由器
• 网桥模式：连接在内网路由器后面，对拓扑改变较小，需要开启二层交换功能，如果需要充当为三层交换机，则需要开启路由功能
  • 适用于用户需要使用上网行为管理，但又不想对拓扑造成太大的改变
• 旁路模式：实现审计功能，完全不需要改变网络拓扑，将上网行为管理部署在核心交换机的镜像口，对整个局域网的数据做审计
  • 适用于用户想要审计内网上网行为，但完全不想改变拓扑

0x2 HOW-如何实现对上网行为的管理

0x2.1 身份认证技术

• 背景：防止非法用户私接、对用户身份做绑定
• 原理：重定向技术
  • 上网行为拦截内网用户发出的HTTP请求包，并伪造成服务器向用户发出location字段为上网行为管理认证界面的HTTP响应包，重定向到上网行为管理的认证界面，只有通过认证才能正常上网
• 分类：
  • 本地认证：用户名密码存储在上网行为管理认证
  • 远端认证：用户名密码存储在远端服务器上（AAA服务器）

0x2.2 网页过滤技术

• 背景：禁止用户访问不合法的网站（娱乐、炒股、购物、可能存在危险的网站）
• 原理：伪造服务器+关键字识别
• 分类：
  • 基于http协议的网页：通过识别出http请求报文中的host字段中携带的域名，判断与URL规则库是否匹配，如果不允许访问，就会伪造为服务器向用户发送重定向报文，重定向到上网行为管理的禁止访问界面
  • 基于https协议的网页：通过识别出ssl握手协议中的client hello包中的server name字段中携带的域名信息，判断是否与URP规则库匹配，如果不允许访问，就会伪造成服务器向用户发送RST置位的TCP报文断开连接

0x2.3 应用控制技术

• 背景：防止用户使用QQ进行聊天，使用迅雷下载电影
• 原理：深度包检测+深度流检测，阻止违规应用的流量
• 分类：
  • 传统基于五元组：识别能力弱
  • 深度行为检测
    • 深度包检测
      1. 基于特征字：不同的应用有自己的协议，不同的协议有自己的特征；适用于让电脑上网，不让手机上网
      2. 基于应用层网关ALG：应用的数据流和控制流是分离的，先识别控制流，再从控制流中识别出应用的业务流；适用于检测视频流量
      3. 基于行为检测；对终端已经进行的行为或者正在进行的行为进行分析，判断出用户使用的应用流量；适用于检测主机是否遭受控制
    • 深度行为检测
      1. 基于流量行为的检测：将流量的行为特征与上网行为管理建立的数据模型进行比对，从而判断出应用类型；RTP和P2P流量的字节大小不同
• 区别：
  • 深度包检测：检测能力更加精细，维护起来更加困难，无法识别加密的数据
  • 深度流检测：检测能力较为笼统，维护起来方便，可以识别加密的数据

0x2.4 内容审计技术

• 背景：为了保证上网行为的不可否认性，以及网络安全法的要求，内网的上网记录必须要有日志
• 原理：记录内网上网数据包
• 分类
  • 邮件审计：抓取邮件数据包，获取其中内容
  • SSL密文审计：上网行为管理充当SSL代理向客户端建立SSL握手
  • WEB关键字审计：
  • IM聊天信息审计：通过在客户端按装插件，读取用户聊天信息存储文件，再发送给上网行为管理设备