8.19笔记
一、应用控制技术
1.传统检测技术
- 传统检测技术主要针对网络数据包的二三四层协议进行识别
- 功能包括协议报文识别及基于策略的转发或拒绝
- 典型应用场景为禁止特定业务(如QQ)的访问控制
2.深度行为检测
检测类型 | 核心差异 |
传统检测 | 仅分析协议层特征 |
深度行为检测 | 增加内容识别功能 |
1) 深度包检测
- 技术分类:
- 基于特征库的检测技术
- 基于网关的检测技术
- 基于行为模式的检测技术
- 功能特点:可精细检测数据活动内容,实现账户级访问控制(如限制特定账户登录)
- 检测范围:能够解析业务层数据结构
2) 深度流检测
- 检测依据:数据包包头特征、连接时长、传输速率等流量特征
- 工作流程:通过特征模型匹配实现流量类型识别(如聊天/下载/视频流量)
- 控制机制:基于流量分类结果实施差异化管控
二、HTTPS原理
1.加密要求
HTTP过滤本质为深度包检测技术中的关键字匹配机制,典型应用包括:
- 移动端上网限制
- 特定网站访问控制(通过Host字段识别)
1) 防截获
传输安全基础要求:
- 防截获:通过加密技术保障数据机密性
- 防篡改:采用完整性校验机制(如哈希算法)
2) 身份认
核心安全机制:
- 数字证书用于通信双方身份验证
- 完整性校验确保数据未被篡改
3) 防重放攻击
加密传输的潜在风险:
- 重放攻击原理:攻击者复制加密数据包重复发送
- 防护措施:
- 数据包添加序列号
- 关键操作二次认证(如金融交易短信验证)
2.四阶段握手
1) Client Hello
客户端握手报文包含:
- 支持的加密套件(如AES-256、SHA-384)
- 密钥交换模式(如RSA证书认证)
- 随机数用于主密钥生成
2) Server Hell
服务器响应特征:
- 选定加密套件(从客户端提案中单选)
- 会话ID建立唯一连接标识
- 随机数参与密钥生成
- 密钥交换参数传输(如Diffie-Hellman参数)
3) 密钥交换
- 密钥交换过程主要交换48位预主密钥
- 预主密钥通过服务器公钥加密传输,具体内容不可见
- 加密握手消息包含48位预主密钥,最终完成认证即可
4) 证书验证
- 认证摘要信息通过本端私钥加密,具体内容无法解析
- 访问已认证网站时握手流程简化,可能仅包含client hello和密钥交换
- 加密业务层数据以数字串形式呈现,解密难度较高
3.加密约定变更
阶段 | 操作 | 触发条件 |
初始握手 | 完成证书验证后即可通信 | 首次建立连接 |
密钥更新 | 发送change_cipher_spec消息 | 密钥使用时间过长或安全性降低 |
重新协商 | 生成新加密参数并验证完整性 | 密钥过期或主动请求 |
- 已访问过的网站可能仅需三次报文交互(client hello、密钥变更消息、验证数据)
- 服务器保存客户端历史记录可跳过部分流程,但证书公钥有效期通常为一年
4.HTTPS拦截难点
HTTPS拦截需在SSL握手完成前实施,否则加密数据无法区分请求类型(如GET/PUT)。
1) 加密数据传输
- SSL协商成功后所有数据均为加密状态
- 上网行为管理无法解析加密内容中的具体请求
2) CDN技术影响CDN通过动态分配服务器降低负载并提升安全性
- 实际服务器IP因CDN调度可能频繁变更,无法通过固定IP拦截
- 域名解析是访问CDN的必要条件
三、WLAN文件操作
客户端首次交互报文为client hello。
四、SSL协议分析
1.SSL加密状态
未加密状态下可通过server_name字段标识目标服务器。
2.客户端服务器协商
协商对象可通过报文中的服务器信息确定,此数据可用于策略匹配。
3.深度包检测技术
深度包检测技术中基于关键字的检测方法相同,但协议存在差异。HTTP协议与当前协议不同。
五、HTTPS协议对比
SSL协议的功能相对有限,甚至在SSL的hello包阶段即可完成验证。
1.HTTP重定向机制
针对HTTP错误字段过滤后禁止访问时,ADC会伪装成服务器向客户端发送重定向报文,明确提示禁止访问页面。阻断机制通过ISP断开连接实现。
六、SSL VPN技术
1.SSL VPN原理
需明确报文所属协议是SSL还是HTTP。
2.HTTPS握手过程
- HTTP报文类型:仅包含客户端请求和服务器响应两种。
- SSL协议功能:与HTTP协议独立,先协商加密再传输HTTP数据。
- 协议分离性:SSL可独立使用,无需依赖HTTP。
七、SSL协议结构
1.SSL协议组成
SSL VPN为独立协议,与HTTP协议分离,类似DNS与HTTP的关系。
2.SSL协议内容
- 握手协议:首次建立安全连接时协商密钥。
- 密钥重新协商协议:密钥到期后重新建立。
- 告警协议:通信异常时通知对方终止或重建连接。
- 记录协议:传输数据封装与记录。
八、HTTPS控制原理
1.HTTPS封堵方法
握手阶段通过server name字段识别禁止访问域名时,直接丢弃数据包并通过ISP发送断开指令。
2.RST包断开连接
- SSL中间人劫持:AC可伪造证书拦截通信,但终端证书与服务器不匹配。
- 劫持限制:未开启中间人劫持时,仅能通过RST包强制断开连接。
九、SSL中间人劫持
1.证书验证机制
浏览器访问网站时显示的证书通常为代理设备(如AC)签发,而非原网站证书。
2.代理劫持原理
- 代理劫持功能:AC可解密加密流量并检测恶意代码。
- 证书替换:代理劫持需替换两端证书以实现数据解密。
十、上网行为审计
1.审计架构设计
未启用代理劫持时,直接断开连接;启用后可返回拒绝访问页面以提升用户体验。
2.日志查询功能
对比项 | HTTP | HTTPS |
域名获取方式 | 从请求报文获取 | 从SSL协议的server name字段获取 |
阻断行为 | 先重定向后RST断开 | 直接RST断开 |
十一、自定义应用控制
1.自定义规则配置
- 自定义规则场景:企业内部专用应用或规则库未覆盖的新应用/网站。
- 规则更新周期:通常为半个月或一周,可能存在遗漏情况。
2.URL自定义方法
- 自定义方式:通过端口、应用层特征、URL或关键字实现。
- 适用范围:90%以上应用可通过规则库匹配,少数需人工自定义。
十二、准入策略排查
1.应用控制技术
- 应用控制技术主要包含浏览器和其他应用两类控制对象
- 传统行为检测基于二到四层数据进行一刀切式控制,深度行为检测可实现应用层精细化控制(如账号级上网权限管理)
- 深度行为检测分为三类技术:基于特征的检测技术、基于应用网关的检测技术、基于行为模式的检测技术
- HTTP协议过滤通过识别超文本传输协议字段实现,HTTPS协议过滤通过识别SSL中的server字段实现
- 针对规则库未覆盖的应用和URL需管理员进行自定义过滤配置
十三、内容审计技术
1.审计法律要求
- 法律层面审计要求包含明确责任人机制和日志留存机制
- 日志分析流程需提取报警信息(如防火墙拦截病毒事件)并采取对应保护措施
- 数据管理规范要求对审计数据进行分类、备份和加密处理
2.审计架构组成
- 审计核心要素需记录账号、设备、时间、服务、操作行为及流量等完整信息链
- 日志中心功能可记录所有通过/拦截的访问行为及安全设备识别事件
- 日志存储支持本地与远程两种模式,大规模网络建议采用远程服务器存储
- 查询模块支持多维检索:可按用户、行为类型(网站访问/邮件收发/文件传输)、安全事件等条件组合查询
- 报表自动生成功能支持导出PDF等格式,便于周期汇报使用
十四、邮件审计技术
1.网页邮件审计
- 网页邮件审计对象包括论坛发帖和HTTP协议传输内容
- 明文邮件审计可直接解析报文内容,但不同邮件服务商(如163/QQ邮箱)的报文格式存在差异
- 加密邮件(HTTPS)审计需依赖SSL解密技术实现内容可见性
2.客户端邮件审计
邮件类型 | 传输协议 | 审计方式 | 技术难点 |
网页邮件 | HTTPS | 代理解密审计 | 需处理证书信任链问题 |
客户端邮件 | SMTP/POP3 | 协议解析审计 | 需适配不同邮件客户端格式 |
- 审计系统识别特征包括数据包长度异常(如内网66字节转外网64字节)及证书颁发者变更
- 终端用户可通过检查证书颁发者判断是否存在代理审计行为
- SSL代理技术原理为中间人攻击模式,安全设备需部署可信CA证书
十五、SSL解密技术
1.代理识别方法
- SSL解密技术本质为中间人代理模式,安全设备需同时模拟客户端和服务端
- 企业级代理证书通常由安全厂商预置(如深信服AC设备证书)
- 终端告警处理建议忽略证书信任提示,该机制为企业安全策略组成部分
2.数据包对比分析
对比维度 | 正常传输特征 | 代理干预特征 |
数据包长度 | 内外网传输保持恒定 | 出现字节数差异(如66→64) |
TTL值 | 符合操作系统默认值 | 呈现异常跳变 |
证书链 | 显示原始CA机构 | 颁发者为安全设备厂商 |
- 内容识别关键点在于检测协议字段和报文模式异常
- 企业网络管理建议员工应注意HTTPS代理环境下的隐私敏感操作
十六、SSL内容识别
1.识别配置方法
- 内容识别需填写被识别的网站URL,包括各类邮箱网站如QQ邮箱、Gmail等
- 配置过程需手动输入目标网站地址
2.邮件内容审计
- 开启SSL识别后可能触发证书警告,需在本地添加信任或安装SSL设备根证书
- 有效期内的根证书通常不会告警,过期证书需重新安装
- 证书伪造需私钥签名,公钥可公开下载但无法用于伪造
- 证书安全机制:证书由颁发者私钥签名,无私钥无法篡改证书内容
十七、关键字过滤
1.网页关键字过滤
- 法律禁止内容过滤包括邪教宣传等违法信息
- 企业内网禁止上传内部文件至公网
- 网页版邮箱过滤使用关键字过滤功能
2.文件类型过滤
过滤类型 | 适用场景 | 技术实现 |
客户端邮箱过滤 | 邮件协议通信 | 邮件过滤功能 |
网页邮箱过滤 | HTTP协议通信 | 网页关键字过滤 |
十八、文件类型过滤
外网文件过滤功能位于业务控制模块,需与应用控制功能区分
1.业务控制
外部环境过滤功能应归类至用户管理模块,与前端应用控制形成完整管理体系
十九、QQ聊天记录审计
1.QQ数据加密
QQ/微信采用程序内置加密,无需协商加密方式,直接与服务器建立安全连接
2.加密方式
应用程序固定加密方案与浏览器动态协商机制存在本质区别
3.逆向加密风险
逆向通讯加密将面临法律风险,企业安全团队会采取法律手段维护加密体系
二十、QQ审计实现方式
1.客户端插件
终端需安装监控软件,定期读取本地缓存文件并上传至日志中心
2.日志中心写入
- 企业设备管理策略允许安装监控程序,私人设备通常不受约束
- 多平台支持包括Windows、Android、iOS等系统的专用准入程序
- 设备报销政策与离职流程关联,不同企业存在管理差异
二十一、AC内容审计技术
1.AC功能概述
二十二、AAA服务器技术
1.认证授权计费
3A协议指实现认证、授权和计费功能的协议统称。常见实现协议包括RADIUS和TACACS+。
2.RADIUS协议
- 3A功能部署可通过远程服务器或交换机本地服务器实现,优势在于用户管理便捷性(服务器端集中操作)。
- 支持服务认证类型包括FTP、HTTP、PPP等,均可通过3A服务器统一维护账号密码。
- 认证流程验证用户名、密码及证书;授权涉及访问目录权限及用户等级(如华为ESP的66级权限体系);计费分为流量统计(如移动数据)或时长计费(如宽带套餐)。
3.TACACS+协议
- RADIUS协议为分布式交互协议,采用客户端-服务器架构,基于UDP端口:
- 1812端口处理认证与授权
- 1813端口处理计费
- 报文结构采用TLV(类型-长度-值)格式,支持功能扩展(类似IPv6包头可附加参数)。
- 报文类型由Code字段定义:1-3为认证报文(请求/通过/拒绝),4-5为计费报文。
二十三、认证方式
1.RADIUS认证
RADIUS客户端通常为交换机,认证流程中终端仅提交凭证,策略执行均由交换机完成。
2.CA认证
- RADIUS扩展性体现在TLV结构可无限追加字段(需受报文总长限制),厂商常利用此特性添加私有标识。
- 典型应用场景为PPPoE拨号认证,但权限控制较粗放(公网访问无细粒度限制)。
- TACACS+协议专精终端权限管控,特征包括:
- 认证/授权/计费全分离(与RADIUS的认证授权合并不同)
- 报文交互流程更复杂,但权限分配更精确
- 本地认证方式分为:本地认证、RADIUS认证及CA认证。
二十四、设备间协议认证
1.OSPF认证
- 认证方式包括本地认证和RADIUS认证,其中本地认证需在设备本地设置用户名密码
- 设备间协议认证主要应用于VRRP、OSPF等协议,通常采用本地接口或区域密码认证方式
- RADIUS认证适用于多种场景,包括用户接入网络认证和设备登录认证
二十五、网络准入控制
1.NAC定义
特性 | 说明 |
本质 | 网络架构而非独立设备 |
功能 | 端到端安全结构 |
组成 | 包含多种认证方式 |
3.EAD解决方案
传统网络安全防护存在局限性,主要针对边界防护而忽视内网终端安全。零信任架构通过终端安全检查与网络准入控制结合,包含三个核心组件:
- 终端设备:包括电脑、手机等接入设备
- 网络准入设备:通常为交换机等策略实施点
- 服务器系统:包含补丁、病毒查杀等安全服务
4.终端安全检查
内网终端可能存在安全隐患,如未修复漏洞或感染病毒。NAC解决方案直接从终端入手,通过以下机制提升安全性:
- 终端安全状态扫描:检查系统补丁、密码强度等
- 隔离修复机制:对不符合安全要求的终端进行隔离
- 自动更新功能:从服务器下载补丁和杀毒软件
5.NAC功能
功能模块 | 实施要点 |
身份认证 | 对接入终端进行身份验证 |
访问控制 | 基于策略限制网络访问 |
安全检查 | 扫描终端安全状态 |
系统修复 | 提供自动/手动修复选项 |
6.隔离修复机制
NAC工作流程分为三个阶段:
- 预检阶段:扫描终端安全状态,重点检查系统补丁和病毒防护 - 隔离阶段:对不安全终端实施网络访问限制
- 修复阶段:通过补丁服务器提供安全更新,强制终止危险进程