应用控制技术与内容审计技术
一、应用控制技术概述
1.1 应用特征识别技术
应用控制技术主要基于深度行为检测技术,包括深度包检测(DPI)和深度流检测(DFI)两种核心技术。这些技术能够超越传统行为检测仅分析链路层、网络层和传输层的能力,实现对应用层数据的精细识别和控制。
传统行为检测仅能识别数据包的五元组(源IP、目的IP、源端口、目的端口、协议),而深度行为检测技术可以识别精细的数据包应用和行为,识别经过伪装的数据包。
1.2 深度行为检测技术优势
深度行为检测技术具有以下优点:
可视化全网
流量精细化管理
减少或延迟带宽投入,降低网络运营成本
及时发现和抑制异常流量
透视全网服务质量,保障关键业务质量
丰富的QoS提供能力
二、深度包检测技术(DPI)
2.1 基于"特征字"的检测技术
该技术通过检测业务流中特定数据报文中的特征信息来确定业务流承载的应用和内容。例如:
通过HTTP协议中的User-Agent字段区分手机和PC数据
通过QQ协议的OICQ特征识别QQ应用
2.2 基于应用层网关的检测技术(ALG)
用于控制流和数据流分离的应用,如VoIP视频协议。需要先识别控制流,根据协议解析控制流,从中识别出相应的业务流。
2.3 基于行为模式的检测技术
通过对终端已实施行为的分析判断用户动作,如垃圾邮件行为模式识别。
三、深度流检测技术(DFI)
基于流量行为的应用识别技术,通过分析会话连接流的包长、连接速率、传输字节量、包间隔等信息与流量模型对比,实现应用类型鉴别。
四、HTTP/HTTPS识别控制技术
4.1 HTTP识别控制
通过GET请求中的Host字段识别访问的网站URL
封堵方式:发送302重定向包和RST包
4.2 HTTPS识别控制
通过Client hello报文中的Server_Name字段识别访问的HTTPS网站
封堵方式:直接发送RST包断开连接
五、自定义应用识别
当内置规则库无法识别不常见应用时,可通过自定义应用功能实现识别和控制:
自定义准入规则:定义运行特定进程才允许上网
自定义应用:封堵或审计精准应用
自定义URL:封堵或审计精准URL
自定义关键字:用于关键字过滤或审计
六、内容审计技术
6.1 审计架构
满足《网络安全法》要求,实现:
监测、记录并保留日志(不少于六个月)
数据分类、备份和加密
事后追溯、优化权限策略
6.2 日志中心功能
日志查询:所有行为查询、访问网站查询、即时聊天日志查询等
统计分析:流量分析、时长分析、用户行为分析等
报表中心:自动生成精美图表,可订阅发送至邮箱
6.3 外发邮件审计
明文外发邮件可直接审计内容
加密邮件需配合SSL内容识别技术
6.4 SSL内容解密技术
通过中间人代理方式解密HTTPS流量,实现对加密内容的审计。需要:
激活SSL内容识别功能
配置需要识别的网站URL
终端信任设备证书
6.5 WEB关键字过滤
禁止通过搜索引擎搜索特定关键字
拒绝外发含有关键字的贴子/邮件/微博
禁止上传特定类型文件(如ppt、doc)
6.6 IM聊天内容审计
QQ客户端聊天内容通过准入插件从本地数据库读取
需要每台电脑安装准入插件
不支持非Windows设备(如手机)
七、AAA服务器技术
7.1 AAA框架
包含认证(Authentication)、授权(Authorization)、计费(Accounting)三大功能,支持多种服务的安全保证。
7.2 RADIUS协议
分布式交互协议,客户端/服务器结构
基于UDP传输(1812、1813端口)
使用TLV结构,易于扩展
7.3 TACACS+协议
增强的安全协议
与RADIUS的主要区别在于协议结构和交互流程
主要用于设备登录认证授权