1 上網(wǎng)行為管理產(chǎn)品簡介

       近年來, 隨著客戶的高級需求、特別是高端客戶需求的不斷涌現(xiàn) , 推動了高級上網(wǎng)行為管理產(chǎn)品開始融合終端安全檢測、局域網(wǎng)準入控制、內(nèi)網(wǎng)訪問流量控制等功能。上網(wǎng)行為管理產(chǎn)品明確了身份認證、權限控制、流量管理、內(nèi)容過濾、應用行為記錄、數(shù)據(jù)分析、安全防護等基礎功能 , 實現(xiàn)幫助客戶實現(xiàn)內(nèi)網(wǎng)統(tǒng)一身份認證, 有效規(guī)避違規(guī)行為帶來的法律與輿論風險。

2 上網(wǎng)行為管理產(chǎn)品的關鍵技術

2.1 識別技術

       識別是管理的基礎, 識別能力是評判一款上網(wǎng)行為管理產(chǎn)品專業(yè)度的重要標準。業(yè)內(nèi)優(yōu)秀的上網(wǎng)行為管理產(chǎn)品識別率普遍可以達到 85% ～ 90% 甚至更高。

       (1 )用戶識別。用戶身份識別是實施管理的依據(jù) , 主流上網(wǎng)行為管理產(chǎn)品所支持的用戶識別技術包括本地認證、第三方認實施管的用戶識別技術包括本地認證、第三方認證、多因素認證、軟件免認證、硬件免認證、單點登錄技術、強制認證、臨時用戶、用戶自注冊等。
 

       （2 )終端安全識別。終端識別技術包括終端硬件識別和終端安全狀況識別等。終端安全知識包括進程、注冊表、操作系統(tǒng)與補丁、殺毒軟件與病毒庫升級、多網(wǎng)卡狀態(tài)、應用程序檢測等。

       ( 3 )應用識別。上網(wǎng)行為管理產(chǎn)品的主流識別技術有兩種:①DPI,也稱“深度數(shù)據(jù)包檢測”, 即基于數(shù)據(jù)包組成內(nèi)容特征的應用識別;②DFI,也稱“深度流特征檢測”,是在應用特征的統(tǒng)計學規(guī)律基礎上的行為識別, 是具有智能特性的識別技術。

       (4)智能識別

       ①HTTPS 非法網(wǎng)站識別:HTTPS   被廣泛應用于通訊安全, 大量釣魚、掛馬網(wǎng)站也使用 HTTPS加密 , 而傳統(tǒng)安全產(chǎn)品無法對HTTPS加密過的釣魚、掛馬網(wǎng)站進行識別,導致安全管理上存在嚴重漏洞。為解決此問題,上網(wǎng)行為管理產(chǎn)品提供了相應的SSL加密網(wǎng)站的甄別技術 , 將 HTTPS 類型非法網(wǎng)站排除在訪問對象之外。

       ②網(wǎng)頁智能識別:2009年“互聯(lián)網(wǎng)網(wǎng)頁數(shù)量達到 3 3 6 億個 , 年增長率超過 1 0 0 %”(CNNIC),靠人工手動分類的方式已遠遠跟不上網(wǎng)頁的增長速度, 加上大量的私人博客和社交網(wǎng)頁并未被傳統(tǒng)的 U R L 庫收歸 , 導致即使這些網(wǎng)頁存在問題也很難被發(fā)現(xiàn)。為此, 上網(wǎng)行為管理廠商提供基于關鍵字、網(wǎng)頁分類特征的識別技術, 將人工分類的技巧“ 傳授 ”給 產(chǎn)品, 讓產(chǎn)品“ 學習 ”之后 , 將新訪問的不在庫中的網(wǎng)頁自動分類入庫。

       (5)威脅識別。來自網(wǎng)絡的安全威脅,如: 帶毒、掛馬的網(wǎng)頁/ 郵件、黑客入侵、可信好友發(fā)來的潛在威脅的鏈接、終端中毒發(fā)起攻擊、異常外發(fā)流量、異常端口掃描行為等, 帶來了許多管理和安全問題。威脅識別技術能及時發(fā)現(xiàn)、封鎖、統(tǒng)計異常流量和異常終端, 提前規(guī)避風險。

       3.2 流控技術

       “基于TCP窗口整形的流控技術”和“基于隊列的流控技術 ”是 目前專業(yè)流控產(chǎn)品采用的較多兩種技術。

       (1) 基于 TCP 窗口整形的流控技術。這種技術的優(yōu)勢在于 : 可以對上網(wǎng)流量的控制非常精確 , 例如控制流量在幾百 K, 它的誤差甚至會控制在幾個字節(jié)。不足是如果控制流量比較大 , 比如說幾百 M 或幾個 G, 那么TCP窗口整形的效果就不那么好了。

       (2)基于隊列的流控技術。它的策略的核心是建立很多管道(pipe),不同的對象對應不同的管道 , 然后通過調(diào)整不同管道的大小, 讓不同的對象有序通過。比如要限制P2P 為 10M,就可以定義一個10M 大小的管道 , 然后指定對象是 P 2 P 協(xié)議 , 那么通過 DPI識別出來的P2P 協(xié)議就被分到這個管端安全識別 管道里了。

       終端定義的對象可以是協(xié)議, 也可以是 IP地址、主機、網(wǎng)段、服務等。針對TCP窗口整形技術不能很好的整形大流量的缺點 ,隊列技術采用公平排隊, 按優(yōu)先級區(qū)分的方法, 實現(xiàn)了對大流量的較好控制。

       4 上網(wǎng)行為管理產(chǎn)品的基本功能

       (1)身份認證。上網(wǎng)行為管理可以為組織提供多種身份認證方式 , 如 :web 認證,與常見的第三方服務器結合認證(AD、LDAP 、RADUIS 、Proxy 、POP3 等 ),IP/MAC綁定認證等 ,更高級的還有 key認證、硬件認證等。

       (2)權限控制。提供基于時間、應用、用戶( 基本元素) 的上網(wǎng)權限控制。權限控制功能幫助組織建立與組織文化、業(yè)務職能、用戶職權相匹配的上網(wǎng)權限管理體系, 防止越權訪問, 防范法律和泄密風險。

       (3)流量管理。提供基于時間、應用、用戶組/ 用戶、上下行帶寬( 基本元素) 的流量控制, 幫助用戶限制與業(yè)務無關應用的帶寬占用情況, 保障核心用戶、核心業(yè)務的帶寬需求。

       (4)應用行為記錄。提供上網(wǎng)行為記錄、數(shù)據(jù)挖掘、日志定位功能, 一方面幫助組織提供滿足主管部門要求的上網(wǎng)行為記錄 , 避免安全事故發(fā)生后無據(jù)可查的情況, 另一方面幫助組織進行業(yè)務分析, 了解網(wǎng)絡利用情況。

       (5)安全防護。主流的專業(yè)上網(wǎng)行為管理產(chǎn)品都是硬件產(chǎn)品, 作為管理產(chǎn)品其具有對網(wǎng)絡威脅的識別和防御技術, 一方面對網(wǎng)絡威脅的防御(如防止 DOS  攻擊、防ARP  欺騙)能保護產(chǎn)品本身的穩(wěn)定安全,進而保障網(wǎng)絡可靠性 ; 另一方面識別并攔截網(wǎng)絡中的異常流量 , 可以避免威脅擴散而給組織造成不良影響。

       5 總結

       上網(wǎng)行為管理把網(wǎng)絡建設帶到了一個新的高度, 人們不在一味關注網(wǎng)絡的帶寬、延時、吞吐率, 而是將越來越多的關注投入到用戶行為的分析中去。只有有效的分析用戶行為并加以引導, 保證關鍵應用, 才能建立一個有序的網(wǎng)絡環(huán)境。