用户认证技术和应用控制技术总结

一、用户认证需求背景

在网络架构中，不同区域的上网需求存在差异。例如办公区、IT 部与公共上网区的网络访问规则各不相同，其中公共上网区对安全性和可追溯性要求更高 —— 用户首次上网时需提交用户名和密码，系统会将提交信息与本地或第三方服务器数据比对，认证通过后才可接入网络。这种认证方式适用于对认证要求严格、需要记录具体账号上网日志，或需与现有第三方服务器结合认证的场景，能有效确保网络行为可跟踪，保障网络使用的规范性与安全性。

二、HTTP 协议基础解析

HTTP（超文本传输协议）是实现超文本在网络中传输的核心应用层协议，其工作原理和报文结构是理解网络交互的基础。

1. 核心定义与 URL 结构

超文本是包含超链接和多媒体元素标记的文本，通过 URL（统一资源定位符）彼此链接形成网页。URL 由协议、主机和端口（默认 80）、文件名及路径构成，例如http://www.qq.com:80/news/index.html清晰标识了资源的位置和访问方式。而 HTTP 协议则按照 URL 指示，将超文本文档从 Web 服务器传输到浏览器，实现超链接功能。

2. 工作原理：请求 / 响应交互模型

用户访问网站的过程遵循严格的交互流程，以访问http://www.qq.com/index.html为例：

• 步骤 1：分析 URL：浏览器解析 URL 中的协议、主机等信息。
• 步骤 2：DNS 解析：浏览器向 DNS 服务器请求解析主机域名（如www.qq.com），获取对应的 IP 地址（如 59.37.96.63 等）。
• 步骤 3：建立 TCP 连接：通过三次握手，浏览器与服务器在 80 端口建立 TCP 连接。
• 步骤 4：发送请求：浏览器向服务器发送 GET 请求，获取目标文档（如 index.html）。
• 步骤 5：接收响应：服务器返回 HTTP 响应，将文档内容发送给浏览器。
• 步骤 6：释放连接：数据交互完成后，通过四次挥手断开 TCP 连接，浏览器展示文档内容。

3. 关键组成：请求方法、状态码与头部字段

• 请求方法：定义对资源的操作，常见的有 GET（请求读取网页）、POST（提交数据）、HEAD（请求网页首部）等，不同方法适用于不同的交互场景。
• 响应状态码：用 3 位数字表示请求处理结果，分为五类：1xx（通知信息，如 100 表示服务器处理中）、2xx（成功，如 200 表示请求成功）、3xx（重定向，如 301 表示页面位置变更）、4xx（客户错误，如 404 表示页面未找到）、5xx（服务器错误，如 500 表示服务器内部错误）。
• 头部字段：包含请求或响应的元数据。请求头如 User-Agent（浏览器信息）、Host（服务器域名）、Cookie（会话信息）；响应头如 Server（服务器信息）、Content-Type（内容类型）、Set-Cookie（设置客户端 Cookie）等，这些字段保障了 HTTP 通信的准确性和可控性。

三、密码认证实战详解

密码认证是公共上网区常用的安全机制，其流程、配置和问题排查都有明确规范。

1. 认证数据流过程

以访问www.qq.com为例，密码认证的数据流如下：

1. PC 完成域名 DNS 解析，获取服务器 IP。
2. 与解析出的服务器地址发起 TCP 三次握手，建立连接。
3. PC 向服务器发送 GET 请求，请求主页。
4. AC（认证设备）拦截请求，伪装成服务器返回 HTTP 302 重定向响应，要求 PC 访问 AC 的认证界面（如http://10.1.3.4:80/ac_portal/proxy.html）。
5. PC 自动重定向到认证界面，用户输入正确账号密码后登录成功。

2. 配置思路

• 新建用户组：在【用户认证与管理】中新增 “公共区” 用户组。
• 添加用户：设置本地用户及密码。
• 配置认证策略：选择密码认证方式。
• 高级设置：在【认证高级选项】中勾选 “未认证或被冻结时允许访问 DNS 服务”，确保认证前 DNS 解析正常。

3. 效果展示与问题排查

• 效果：用户打开网站时自动重定向到认证界面，输入账号密码后，在【在线用户管理】中可查看用户上线状态。
• 排查方法：若认证页面无法弹出，需检查：网桥虚拟地址是否与内网冲突、AC 下接设备是否有限制、是否启用 DNS 访问权限、HTTPS 网站是否开启重定向设置、上网策略和防火墙是否允许 HTTP（80 端口）和 DNS（53 端口）通信。

四、用户与用户组管理

合理的用户与用户组管理是保障认证秩序的基础，涉及组织结构、用户配置、搜索与注销等功能。

1. 组织结构

采用树形结构管理用户和组，符合企业人员层级划分，支持策略继承。一个用户归属一个直属父组，通过【组 / 用户】模块可查看、新增、删除用户或组信息。

2. 用户与组的添加

• 手动添加：可新建单个或多个组（组名用英文逗号分隔），设置用户登录名、密码、所属组等属性。
• 批量导入：用户和组数量较多时，通过 CSV 表格一次性导入设备。
• 自动添加：认证方式为 “不需要认证” 或单点登录时，可通过认证策略自动录入新用户。

3. 用户属性与绑定

• 登录限制：设置 “限制在以下地址范围内登录”，指定账号仅能在特定 IP 或 MAC 地址的终端登录。
• 终端绑定：支持 IP/MAC 绑定，绑定后终端仅允许该账号登录，可配置免认证及有效期（如永不过期）。

4. 搜索与注销

• 高级搜索：可按用户名、IP 范围、MAC 地址、账号过期时间等条件精准查找用户。
• 注销方式：包括在【在线用户管理】中强制注销、设置无流量时自动注销、每天定时强制注销、认证页面关闭时自动注销、MAC 变动时自动注销等，满足不同场景的管理需求。

一、应用特征识别技术：从传统到深度的进化

应用识别是控制的基础，随着网络应用的多样化，识别技术也从简单的特征匹配发展到深度检测。

传统行为检测：基于五元组的基础识别

传统网络设备通过数据包的五元组（源 IP、目的 IP、源端口、目的端口、协议）识别应用。例如，QQ 聊天基于 UDP 协议和 8000 端口传输数据，通过拦截该端口的 UDP 数据包，即可实现对 QQ 的基础封堵。这种方法简单直接，但仅能处理链路层、网络层和传输层的特征，无法应对应用层的复杂需求。

深度行为检测：突破层的限制

当传统方法无法满足精细管控需求时，深度行为检测技术应运而生。它能深入应用层分析数据，主要包括两种核心技术：

深度包检测（DPI）：解析应用层内容

DPI 不仅检测基础五元组，更通过分析应用层数据识别特征。其核心分类包括：

• 特征字匹配：通过应用协议中的特定字符串或字段识别应用。例如，手机与 PC 的 HTTP 请求可通过 User-Agent 字段区分，手机端会包含 “iPhone”“Android” 等标识。
• 应用层网关（ALG）：针对控制流与数据流分离的应用（如 VoIP 视频），先解析控制信令（如 H.245 协议），再识别后续数据流，实现精准管控。
• 行为模式识别：通过分析用户行为特征识别应用，例如垃圾邮件可通过 “一小时发送上万封邮件” 的行为模式区分于普通邮件。

深度流检测（DFI）：基于流量行为的识别

DFI 不依赖数据包内容，而是通过流量的行为特征（如平均包长、连接速率、会话保持时间等）建立模型。例如，RTP 流（语音传输）平均包长通常为 130-220 字节，连接速率较低；而 P2P 流包长多在 450 字节以上，速率更高。DFI 尤其适用于加密流量，因为加密不会改变流量的行为特征。

二、HTTP 识别控制：基于 URL 的精准管控

HTTP 作为明文传输协议，其识别与控制相对直接，核心在于对 URL 的精准捕捉与拦截。

识别原理：从 GET 请求中提取 URL

终端访问 HTTP 网站时，会在 DNS 解析和三次握手后发送 GET 请求，其中的 Host 字段包含具体 URL（如www.youku.com）。通过抓取该字段，即可识别用户访问的网站类型。

控制方法：重定向与断开连接

对需封堵的 HTTP 网站，设备会伪装成服务器向终端发送 302 状态码的重定向数据包，将请求导向拒绝页面（如http://10.1.3.40/disable/disable.htm），同时发送 RST 包断开原连接，实现 “访问即拦截” 的效果。

典型场景：上班时间禁止视频网站

针对 IT 部上班时间禁止访问视频网站的需求，可在应用控制策略中勾选 “在线影音及下载” 类别，生效时间设为上班时段，适用对象指定 IT 部。终端访问视频网站时会被直接拦截并跳转至拒绝页面，同时后台记录访问日志。

三、HTTPS 识别控制：加密流量的管控方案

HTTPS 基于 SSL/TLS 加密传输，传统内容解析方法失效，需通过握手阶段的特征实现管控。

识别原理：从 Client Hello 中提取域名

HTTPS 建立连接时，终端会发送 Client Hello 报文，其中的 Server_Name 字段包含访问的域名（如www.baidu.com）。通过提取该字段，可识别加密流量对应的网站。

控制方法：直接断开连接

由于 HTTPS 全程加密，无法像 HTTP 那样发送重定向页面，因此设备通过发送 RST 包直接断开终端与服务器的 TCP 连接，使访问请求失败，表现为 “连接已重置”。

典型场景：公共区域禁止特定网站

对公共上网区禁止访问淘宝等网站的需求，可在策略中勾选 “搜索引擎” 或对应 Web 应用类别，适用对象设为公共上网区。终端访问时会因连接被强制断开而无法加载页面，后台同步记录拦截日志。

排查要点

若 HTTPS 封堵失效，可从以下方面排查：URL 库是否更新、网站是否在识别库中、策略配置是否正确、用户是否被全局排除，或通过抓包确认 Server_Name 字段是否准确。

四、自定义应用识别：应对特殊场景的补充方案

内置规则库难以覆盖所有应用，自定义识别成为精准管控的重要补充。

自定义应用：基于特征的灵活配置

在 “对象定义 - 自定义应用” 中，可通过数据包方向、协议、目标端口、IP 或域名等特征定义应用。例如，若某小众应用使用 TCP 端口 8080 传输数据，可指定 “协议 = TCP + 目标端口 = 8080” 的规则，实现对该应用的单独管控。需注意特征需精确，避免误拦截其他应用。

自定义 URL：关键字匹配管控

在 “URL 分类库” 中，可通过域名关键字自定义规则。例如，要封堵所有购物网站，可添加 “taobao.com”“jd.com” 等关键字，实现对同类网站的批量管控。

五、策略配置与排查：保障管控效果的关键

无论采用哪种技术，策略的正确配置与及时排查是确保效果的核心。

通用配置思路

1. 新增上网权限策略，勾选目标应用类别（如 IM、在线影音），设置生效时间和动作（拒绝 / 允许）；
2. 指定适用对象（如办公区、IT 部），关联用户或区域；
3. 配置审计策略，记录访问行为以便追溯。

常见策略排查方向

• 上网权限策略：检查设备部署模式（旁路模式仅支持 TCP 应用控制）、用户是否在线、规则库是否最新、策略优先级是否正确；
• 审计策略：确认审计选项是否勾选、适用对象是否匹配、SSL 内容识别是否开启；
• 准入策略：检查是否开启直通、终端是否支持准入系统、规则动作是否正确配置。

总结