1 上网行为管理产品简介
近年来, 随着客户的高级需求、特别是高端客户需求的不断涌现 , 推动了高级上网行为管理产品开始融合终端安全检测、局域网准入控制、内网访问流量控制等功能。上网行为管理产品明确了身份认证、权限控制、流量管理、内容过滤、应用行为记录、数据分析、安全防护等基础功能 , 实现帮助客户实现内网统一身份认证, 有效规避违规行为带来的法律与舆论风险。
2 上网行为管理产品的关键技术
2.1 识别技术
识别是管理的基础, 识别能力是评判一款上网行为管理产品专业度的重要标准。业内优秀的上网行为管理产品识别率普遍可以达到 85% ~ 90% 甚至更高。
(1 )用户识别。用户身份识别是实施管理的依据 , 主流上网行为管理产品所支持的用户识别技术包括本地认证、第三方认实施管的用户识别技术包括本地认证、第三方认证、多因素认证、软件免认证、硬件免认证、单点登录技术、强制认证、临时用户、用户自注册等。
(2 )终端安全识别。终端识别技术包括终端硬件识别和终端安全状况识别等。终端安全知识包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等。
( 3 )应用识别。上网行为管理产品的主流识别技术有两种:①DPI,也称“深度数据包检测”, 即基于数据包组成内容特征的应用识别;②DFI,也称“深度流特征检测”,是在应用特征的统计学规律基础上的行为识别, 是具有智能特性的识别技术。
(4)智能识别
①HTTPS 非法网站识别:HTTPS 被广泛应用于通讯安全, 大量钓鱼、挂马网站也使用 HTTPS加密 , 而传统安全产品无法对HTTPS加密过的钓鱼、挂马网站进行识别,导致安全管理上存在严重漏洞。为解决此问题,上网行为管理产品提供了相应的SSL加密网站的甄别技术 , 将 HTTPS 类型非法网站排除在访问对象之外。
②网页智能识别:2009年“互联网网页数量达到 3 3 6 亿个 , 年增长率超过 1 0 0 %”(CNNIC),靠人工手动分类的方式已远远跟不上网页的增长速度, 加上大量的私人博客和社交网页并未被传统的 U R L 库收归 , 导致即使这些网页存在问题也很难被发现。为此, 上网行为管理厂商提供基于关键字、网页分类特征的识别技术, 将人工分类的技巧“ 传授 ”给 产品, 让产品“ 学习 ”之后 , 将新访问的不在库中的网页自动分类入库。
(5)威胁识别。来自网络的安全威胁,如: 带毒、挂马的网页/ 邮件、黑客入侵、可信好友发来的潜在威胁的链接、终端中毒发起攻击、异常外发流量、异常端口扫描行为等, 带来了许多管理和安全问题。威胁识别技术能及时发现、封锁、统计异常流量和异常终端, 提前规避风险。
3.2 流控技术
“基于TCP窗口整形的流控技术”和“基于队列的流控技术 ”是 目前专业流控产品采用的较多两种技术。
(1) 基于 TCP 窗口整形的流控技术。这种技术的优势在于 : 可以对上网流量的控制非常精确 , 例如控制流量在几百 K, 它的误差甚至会控制在几个字节。不足是如果控制流量比较大 , 比如说几百 M 或几个 G, 那么TCP窗口整形的效果就不那么好了。
(2)基于队列的流控技术。它的策略的核心是建立很多管道(pipe),不同的对象对应不同的管道 , 然后通过调整不同管道的大小, 让不同的对象有序通过。比如要限制P2P 为 10M,就可以定义一个10M 大小的管道 , 然后指定对象是 P 2 P 协议 , 那么通过 DPI识别出来的P2P 协议就被分到这个管端安全识别 管道里了。
终端定义的对象可以是协议, 也可以是 IP地址、主机、网段、服务等。针对TCP窗口整形技术不能很好的整形大流量的缺点 ,队列技术采用公平排队, 按优先级区分的方法, 实现了对大流量的较好控制。
4 上网行为管理产品的基本功能
(1)身份认证。上网行为管理可以为组织提供多种身份认证方式 , 如 :web 认证,与常见的第三方服务器结合认证(AD、LDAP 、RADUIS 、Proxy 、POP3 等 ),IP/MAC绑定认证等 ,更高级的还有 key认证、硬件认证等。
(2)权限控制。提供基于时间、应用、用户( 基本元素) 的上网权限控制。权限控制功能帮助组织建立与组织文化、业务职能、用户职权相匹配的上网权限管理体系, 防止越权访问, 防范法律和泄密风险。
(3)流量管理。提供基于时间、应用、用户组/ 用户、上下行带宽( 基本元素) 的流量控制, 帮助用户限制与业务无关应用的带宽占用情况, 保障核心用户、核心业务的带宽需求。
(4)应用行为记录。提供上网行为记录、数据挖掘、日志定位功能, 一方面帮助组织提供满足主管部门要求的上网行为记录 , 避免安全事故发生后无据可查的情况, 另一方面帮助组织进行业务分析, 了解网络利用情况。
(5)安全防护。主流的专业上网行为管理产品都是硬件产品, 作为管理产品其具有对网络威胁的识别和防御技术, 一方面对网络威胁的防御(如防止 DOS 攻击、防ARP 欺骗)能保护产品本身的稳定安全,进而保障网络可靠性 ; 另一方面识别并拦截网络中的异常流量 , 可以避免威胁扩散而给组织造成不良影响。
5 总结
上网行为管理把网络建设带到了一个新的高度, 人们不在一味关注网络的带宽、延时、吞吐率, 而是将越来越多的关注投入到用户行为的分析中去。只有有效的分析用户行为并加以引导, 保证关键应用, 才能建立一个有序的网络环境。
