AC上網行為管理：

• 看似風平浪靜的網絡中實際存在著看不見管不住的問題，帶寬濫用（帶寬不合理劃分分配），上網難管理（上網權限缺乏管理），信息泄露，網絡違法（缺乏日志記錄），安全威脅

• AC實現可視可控管理三要素：用戶和終端，應用和內容，流量。

  • 控制內部用戶的上網行為

• 應用場景：互聯網出口處單做一個上網行為的管控，也可以充當一體化網關，無效WIFI的管控管銷（推廣微信公眾號）等，有很多應用場景根據客戶需求來定，可以作認證作流控作應用控制作審計，需要監控用戶上網行為的地方都可以使用

• 解決：

  • 用戶認證：驗證上網用戶的身份，對其上網行為進行控制審計

    • 功能：IP/MAC綁定；本地用戶名-密碼認證； AAA認證,第三方服務器認證； DKEY雙因素認證； 單點登錄； 短信認證/微信認證。 終端類型識別

  • 網頁過濾：過濾非法不良網站避免法律風險；過濾惡意網頁保障安全；過濾游戲，購物等影響工作效率的網站

    • 功能：千萬級URL識別庫；URL智能識別系統； URL云共享； 自定義URL；惡意網址過濾

  • 應用控制：封堵聊天、炒股、游戲、在線視頻等應用提高員工效率；封堵郵件，防止敏感信息泄露；封堵代理、翻墻軟件，規避不當上網行為帶來的法律風險；

    • 功能：應用特征識別庫；應用管理標簽化； 精細化管控； 防代理防共享。

  • 流量管理：根據業務類型進行帶寬限制或保障，保證核心業務暢通運行；靈活分配帶寬資源，實現動態調整，提高帶寬利用率；

    • 功能：基于用戶/用戶組/應用/網站類型的流控；多級父子通道； 動態流控； P2P智能流控； 流控黑名單

  • 行為審計：記錄內網用戶的上網行為，有依可查；記錄內網安全事件，幫助管理員發現安全威脅。

    • 功能：網頁訪問審計；郵件審計； IM聊天應用審計； 外發文件審計； 微博、論壇發帖等

• 功能實現：

  • 用戶認證，可以基于用戶和用戶組來管理用戶的登陸，可以配置本地認證也可以AAA認證等等

  • URL過濾，運用HTTP識別技術就是獲取到HTTP請求時帶有的host字段來獲知用戶想要訪問的網站，以此來達到過濾網站目的

    • HTTP：三次握手后，HTTP發出請求，帶有host字段，從這里得知訪問網站

    • HTTPS：三次握手后會建立SSL加密通道，在SSL第一次握手時客戶端發出client hello報文時，會有個server name字段，從這里獲知后進行相應的過濾

  • 應用控制，采用深度內容檢測DPI和深度流檢測技術DFI即深度行為檢測技術，覆蓋應用層數據部分的檢查

    • 深度內容檢測DPI：除了五元組，增加了，基于“特征字”的檢測技術；基于應用網關的檢測技術；基于行為模式的檢測技術

      • 基于“特征字”的檢測技術：基于應用層協議的請求中某些字段來進行一個業務的承載過濾，比如HTTP請求頭中的UA字段可以判斷是手機還是電腦，這就可以對設備進行控制吧

      • 基于應用網關的檢測技術：某些應用的控制流和數據流是分離的，數據流沒有任何一個字段可以幫助我們區分業務流。這種情況下，應用層網關先識別控制流，對控制流進行解析，基于對控制流的阻斷來對這個業務進行阻斷，比如VoIP視頻控制流控制命令是通過H.245協議傳輸建立從控制流中找字段來進行過濾，而數據流是RTP協議，那么就可以對H.245這個協議進行過濾就可以實現對VoIP視頻業務的禁用了

      • 基于行為模式的檢測技術：通常用于無法根據協議判斷的業務的識別，基于用戶的行為來識別業務流，比如我1分鐘收到同一個設備發來的1000封郵件這肯定就不正常啊，這種垃圾郵件的業務流就不明顯不正常

    • 深度內容檢測DFI：基于流量行為的應用識別技術，不同的應用類型體現在會話連接或數據流上的狀態等各有不同。基于流的行為特征，通過與已建立的應用數據流的數據模型對比，判斷流的應用類型或業務。（平均包長，下載時長，流量速率，會話保持時間等等）

    • 區別各自優勢：如果數據包是經過加密傳輸的，則采用DPI方式的流控技術則不能識別其具體應用，而DFI方式的流控技術則不受影響。DFI僅對流量行為分析，但是無法判斷該流量是否采用H.323或其他協議

  • 內容審計，每個上網行為管理一定會有的就是日志中心了吧，會把用戶的所有上網行為監控下來，方便出現安全威脅后的排錯

    • 數據不加密的報文是完全可以連人帶內容都監控下來的，重要說一下加了密的報文數據如何監控下來

    • SSL內容的解密技術

      • 開啟SSL內容識別后，用戶發出SSL四次握手，其實是跟AC建立了SSL建立，AC再跟服務器建立連接，這就可以對之后所有的HTTPS數據進行解密了，可以從得到網站的CA證書上看到頒發者的區別，正常是CA機構，開啟了之后頒發者是AC。這樣就可以對所有HTTPS網頁上的傳輸內容（郵件的附件都能下載下來）都記錄下來了

    • 審計QQ聊天內容咋辦？它們通過QICQ協議加密傳輸，使用準入系統，在客戶端安裝插件將QQ聊天記錄緩存下來傳給AC

總結

以上是生活随笔為你收集整理的上网行为管理功能概述及实现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。