1、王 岩,网络内容安全技术,课程内容,信息内容安全概述,什么是网络内容安全?网络内容安全,是从网络管理的角度来看,对有害信息资源内容的可控性。网络内容安全是指保障网络上的信息内容不被滥用,包括内容的分级、过滤、智能归类等,网络内容安全通常包括反垃圾邮件、防病毒、内容过滤/网页过滤、内容监控预警、信息隐私保护等功能。,信息内容安全概述,网络内容安全面临哪些威胁在局域网连上互联网时,局域网内的敏感信息有可能泄露到互联网中。这种安全管理上的缺失,造成了互联网信息内容安全面临各方面的威胁。个人信息的泄漏 - 姓名、工作单位、电话号码,被出售,利用这些信息进行诈骗互联网的开放性和自主性,可使一些虚假信息被
2、随意共享到互联网中,这也带来了很多欺骗性的威胁。,信息内容安全概述,信息被非法传播,如音乐和电影的版权问题内容被植入木马病毒等从威胁的种类来看,目前互联网上信息内容安全面临的威胁主要包括:网络钓鱼和网络诈骗、恶意垃圾邮件、即时通讯威胁、间谍软件的威胁、内部的信息泄漏威胁等。,课程内容,传统技术开始无法管理互联网,传统管理技术靠IP、端口界定管理对象、逐条进行人工管理,但是IP在暴增 端口不再等于应用,写意版 宏观交流用,靠IP域名管理网站访问不再可行,全球网站有效域名数量突破1亿,亚洲网站占比42%达到4000多万,全球的网站域名和IP地址数量飞速增长。,Royal Pingdom 2011年
3、全球互联网产业发展状况报告,靠手工添加ACL? 工作量难以想象,Mission Impossible,靠端口管理应用? 应用在进化,不能把80也封掉,禁止IP、端口,变换后的IP、端口,传统的端口80443,靠IP、端口管理应用不再可行,Mission Impossible,靠IP定位人员身份? 无论在内部还是在外部都无法看清,NAT之后的地址,靠IP识别定位身份不再可行,Mission Impossible,动态地址分配,网络内容安全产品的作用,把网站基于行为后果分类,网络爬虫,网页分析云 每天更新,42种网站分类,在网用户反馈,DPI(Deep Package Inspection)深度包
4、检测:不依赖对IP五元组的检测,而是基于数据包应用层中封装的载荷中,明文传输的报文特征字,识别出流量所属的应用类型,能够有效解决应用端口跳变技术造成的IP五元组检测失效问题。 DFI(Deep Flow Inspection)深度流检测:基于流量的数据包大小、传输速率、连接时长等行为特征进行识别,不依赖于对应用特征字的检测,能够有效识别加密传输流量。 XAI (eXtensive Application Inspection):可扩展应用识别技术。XAI技术是DPI的扩展,能够利用应用的属性(metadata)获取更丰富的信息,从而进行行为识别与控制。,用特征标识出应用,600+协议库,P2P
5、下载(56) 网络视频(55) 网络音频(16),影响带宽,网络游戏(125) 即时通信(60) 网络炒股(40) 网络期货(17) 移动应用(27) 微博(2),影响效率,办公OA(31) HTTP(47) 远程管理(16) 安全更新(7) 安全(11) 网上银行(13),日常办公,代理隧道(8) 木马传输(6),影响安全,传统应用(17) 网络层协议(7) 网管协议(30) 安全协议(11) 文件共享(10),网络基础,技术版 深入交流用,准确的识别了各种协议,才能进行后续管理,用特征标识出应用,用特征标识出应用,600多种互联网应用,每两周更新一次,从各种传输途径抽取内容,FTP,文字
6、文件类型 文件名 文件内容,可记录传输内容 可建立5000多个关键字进行匹配告警,动态关联用户信息和IP地址,设备提供认证,10.1.1.110.2.2.210.3.3.310.4.4.4155.5.5.5155.6.6.6155.7.7.7155.8.8.8,第三方联动认证,透明监控登录信息,主动探测用户信息,建立用户名称 与IP地址关联,最后将用这样的方式管理互联网,游戏,财经,病毒,色情,政治,赌博,购物,合同,领导,疆独,地震,专利,待遇,。,阻断,放行,流控,审计,报警,人员,应用,网站,内容,管理 动作,课程内容,10G 吞吐硬件基础架构,人机界面,配置翻译,审计 引擎,控制 引擎
7、,路由交换 引擎,流控 引擎,加速 引擎,多维的策略(4W+H),网络 引擎,网络安全产品体系架构,用户管理,身份识别,终端准入,行为管理,用户访问控制,应用访问控制,网页访问控制,传输内容控制,流量管理,带宽限制,带宽平均,带宽借用,流量限额,时长限额,行为分析,审计日志,风险告警,统计报表,智能报告,产品功能模块,用户管理,身份识别,技术版 深入交流用,本地认证,第三方联动认证,透明识别,微软ADSUN LDAPNOVELL EDOPEN LDAPRADIUS SMTP城市热点H3C CAMS开放标准接口,WEB 认证客户端本地认证LDAP认证邮件账号认证,IP识别二层MAC识别三层MAC
8、识别 微软AD域HTTP PORTALHTTPS PORTALSMTPPOP3PPPOE,混合 使用,动态关联用户身份和IP,实现身份明确,合法上网,主动探测,AD账号计算机名称MAC地址,身份识别,本地认证方式,身份识别,第三方联动认证方式,身份识别,用户填写认证 信息给认证系统,监听认证过程身份和IP信息关联用户身份和IP 后续行为实现身份标识,透明识别方式,认证系统返 回认证结果,身份识别,主动探测方式,不合规禁止,合规放行,终端准入,识别终端全面的系统信息,确保上网终端合规安全,操作系统补丁,杀毒软件,办公软件,非标准软件,病毒木马,个性化脚本,终端准入,合规放行,工作方式,不合规禁止
9、访问 但可访问提供缺陷修复的站点,用户管理,身份识别,终端准入,行为管理,用户访问控制,应用访问控制,网页访问控制,传输内容控制,流量管理,带宽限制,带宽平均,带宽借用,流量限额,时长限额,行为分析,审计日志,风险告警,统计报表,智能报告,产品功能模块,用户访问控制,用户识别模块标识后的用户信息,放行,阻断,免管理,写意版 宏观交流用,让允许应用通过、禁止不允许的应用,应用访问控制,应用访问控制,数据包,包分析引擎,DPI:收集特征信息 DFI:收集统计信息 XAI:收集属性信息收集连接间关联,将收集的信息与数据库已知信息比对,将对应连接标识成软件名称,根据策略 合规放行 违规禁止,10101
10、1 100101,数据包,000101 011101,内置库 600+,应用 分析云中心,未知更新,快速更新,处理过程,写意版 宏观交流用,让允许网站分类通过、禁止不允许的网站分类,网页访问控制,网页访问控制,数据包,URL分析引擎,提取URL信息,将收集的信息与数据库已知信息比对,将连接标识为网页分类,根据策略 合规放行 违规禁止,101011 100101,数据包,000101 011101,内置库 2300万+,网康网页 分析云,未知请求,快速更新,处理过程,传输内容控制审计,数据包,内容提取引擎,提取传输内容,用非线性策略匹配,快速将所有关键字与内容匹配,根据策略 合规放行 违规禁止
11、审计记录,101011 100101,数据包,000101 011101,自定义关键字库 5000+,用户管理,身份识别,终端准入,行为管理,用户访问控制,应用访问控制,网页访问控制,传输内容控制,流量管理,带宽限制,带宽平均,带宽借用,流量限额,时长限额,行为分析,审计日志,风险告警,统计报表,智能报告,产品功能模块,流量管理,写意版 宏观交流用,限制无关应用带宽、保障核心应用带宽,充分利用带宽资源,IP Traffic,Internet,固定用户,无线用户,大流量控制,关键业务保障,空闲资源可被其他通道借用,在保障的前提下最大化利用资源,9:00 -12:00,13:00 -18:00,2
12、4小时,IP Traffic,强行压缩 空闲借用 时长限制 流量限额,IP Traffic,强行保障,每个用户资源动态平均,流量管理,管理前,管理后,带宽被合理的分配利用,流量管理,用户管理,身份识别,终端准入,行为管理,用户访问控制,应用访问控制,网页访问控制,传输内容控制,流量管理,带宽限制,带宽平均,带宽借用,流量限额,时长限额,行为分析,审计日志,风险告警,统计报表,智能报告,产品功能模块,写意版 宏观交流用,流量分析,写意版 宏观交流用,网站分析,风险告警,实时报警、快速发现网络潜在行为隐患,及时制止。避免严重后果,镜像旁路,出口路由器替换,可识别网络中的各种网络行为并审计 但控制效
13、果有限(可对TCP应用进行Reset,UDP控制无效),可识别网络中各种网络行为,并审计 可控制管理网络中各种网络行为,可替换出口NAT设备,提供NAT功能 可识别网络中各种行为并审计 可控制管理网络中各种行为,简单的部署,快速带来改变,直路串联,课程内容,数据获取,协议分析,应用数据还原,内容分析与过滤,网络信息内容的获取原理,数据获取网络环境下的数据获取 (推荐Linux下的Tcpdump)从网络收集数据,是后续进行分析的基础,网络信息的获取有主动获取和被动获取两种。主动获取 - 直接从站点中采集或下载数据,网络爬虫被动获取 - 网卡监听,将网卡直接连接到网络的特定部位进行数据获取,这样,
14、网卡监听设备接收所有流经它的数据包,网络信息内容的获取原理,数据获取用户级数据包捕获机制将数据包按照网卡、设备驱动层、数据链路层、网络层、传输层、应用层的顺序依次向上传输。包捕获机制就是在数据链路层额外增加一个对于数据包的过滤、缓冲内存,将数据包送到应用程序进行分析,网络信息内容的获取原理,协议分析协议分析,就是利用目前互联网协议的规范性,将捕获到数据包进行逐层协议和分析,根据协议分析的用途,将分析结果进行协议异常比较或者显示。目前的协议分析技术,分为无状态分析与有状态分析。无状态分析,是指对于每一个数据包来根据系统中内置的规则集来进行检查,如数据包的端口信息等。有状态分析,在分析时会提取与连
15、接有关的状态信息,保持这些信息并与其他数据包关联,如以TCP连接来说,协议的三次握手状态,网络信息内容的获取原理,网络信息内容的获取原理,应用数据还原与内容审计应用数据还原,也称为协议还原技术,是对协议分析技术的一种升级,它在对底层协议进行解析的基础上,主要对于应用层的协议进行分析,并且不止是针对某一个数据包,而主要针对由某些数据包组成的应用层会话,将整个会话过程以一种比较清晰的方式显现出来。过程:协议分析 - 数据包重组 - 应用层会话分析 - 会话还原,网络信息内容的获取原理,应用数据还原与内容审计数据包重组 : 把会话中包含的数据包片段提取出来,并进行重组、排序。会话还原: 还原和显示某
16、一个会话的具体内容例:打开浏览器,访问这个动作,通过应用数据还原技术,可以得出这个URL,还可以得出百度返回的这个页面的信息内容,网络信息内容的获取原理,网络信息内容审计技术内容审计技术,是从网络数据包中提取出内容,从而对与信息内容进行监控与监管 的技术。内容审计目前主要主要应用领域在于:对于邮件信息的审计、对于上网外发信息(如发帖内容的审计)、对于聊天信息的审计等等,网络信息内容的获取原理,网络信息内容审计技术 - 邮件审计,网络信息内容的获取原理,从中我们可以看到,由于网络中的信息以明文方式传输,使得我们的信息暴露,内容审计技术,如应用得当,可以做为网络管理的有效工具,如被黑客等非法分子应用,则可作为信息窃取的工具。 加密信息为信息保护的有效途径,但是目前针对加密信息,同样存在中间人攻击技术,可以对于加密信息进行拦截并获取内容,网络信息内容的获取原理,END感谢,
