应用识别及权限控制模块.ppt

应用识别及权限控制模块 Contents Contents 讲解方法 实现原理 处理流程 实际操作 Q A 数据流程图 应用识别 基础识别模块 代理数据识别 HTTP Socket 4/5 ISA 数据方向识别 LAN - WAN WAN - LAN 应用识别模块 应用识别规则设置 新增识别规则 1. 规则基本信息 定义规则的名称和分类---“应用类型/应用名称” 2. 数据包类型 定义数据包的协议、方向和端口 3. 数据包长度匹配 定义数据包的长度匹配规则 4. 数据包内容匹配 定义数据包的内容匹配规则 应用识别规则设置 启用/禁用识别规则 启用的规则 启用的规则显示为蓝色。 规则启用后，应用识别才能正常工作。 禁用的规则 禁用的规则显示为灰色。 规则禁用后，应用识别无法工作。 某些基础识别规则无法禁用。 应用识别规则设置 导入/导出识别规则 规则导入 导入相应的规则配置文件。 规则配置文件必须严格按照格式。 规则导出 内置规则无法导出。 自定义规则可导出为规则配置文件。 规则搜索 支持模糊查询，不支持组合查询 规则的优先级 系统内置规则优先 数据先匹配系统内置规则，再匹配自定义规则。 用户自定义规则优先 数据先匹配自定义规则，再匹配系统内置规则。 系统内置规则 例子：OpenSSH 协议类型：TCP 方向：WAN到LAN 长度：20-1500 内容：匹配 SSH- 匹配 -OpenSSH_ 单包识别 还是刚才的例子－SSH 协议类型：TCP 方向：WAN到LAN 长度：20-1500 内容：匹配 SSH- 匹配 -OpenSSH_ 同一连接中，连续识别10包 如果10包内识别，则识别成功。 如果10包内仍未识别，则认为是未知类型。 多包识别 多包识别 需要识别多包特征才能确定其应用类型 如：SMTP FTP SMTP识别 同一连接中多种应用 应用之间有依赖关系 FTP登陆和FTP传文件 FTP传文件依赖于FTP登陆，在识别FTP登陆后，不能遗漏对FTP传文件的识别。 应用之间没有依赖关系 HTTP上传和HTTP下载 同一连接中可能先出现GET，再出现POST，这种情况就对每一包都要进行识别。 关联连接识别 非标准端口应用，其关联的数据连接的识别 FTP, Netmeeting, SIP, PPTP FTP 1.7的处理方式 关联连接识别 FTP 1.8的处理方式 邮件内容的识别 从SMTP和POP3包中提取信息 发件人收件人 标题 内容 邮件内容的识别 从SMTP和POP3包中提取信息 附件信息 URL的识别 从HTTP Get包中提取信息 提取的URL查找对应的URL组 文件类型的识别 从HTTP和FTP包中提取信息 HTTP Get HTTP Post FTP Get Put IM行为的识别 MSN登陆 MSN消息 MSN传文件 应用识别的结果 应用类型 如：IM，FTP，游戏，HTTP…… 具体应用 如：QQ，FTP上传，联众游戏，HTTP Get/Post…… 邮件 如：邮件标题，内容，附件 URL 如：具体的URL，所属的URL组 文件名和文件类型 如：具体的文件名，文件类型，所属的文件类型组 IM行为 如：MSN的聊天内容，Yahoo通的聊天内容，传文件等 应用控制＋网络控制 服务控制 应用服务控制 上网权限必须以应用识别为基础。 封堵规则可以设置为某种应用类型，如IM；也可以设置为某种具体应用，如MSN。 规则是按先后顺序匹配。 Q：设置两条封堵规则： IM-MSN---允许 IM-所有---拒绝 是否可以登陆MSN？如果两条规则的顺序换一下呢？ 网络服务控制 通过匹配数据包的协议+端口来做控制 允许使用HTTP，Socket代理 配合高级配置-代理服务器设置使用。 允许在HTTP协议和SSL协议标准端口使用其他协议 防止用户使用外网代理上网。 如：设置QQ通过HTTP代理进行登陆。 控制日志和droplist 例：拒绝IM-MSN，全天 1. 登陆MSN---被拒绝了，无法登陆。 2. 查看droplist 3. 查看数据中心-网络监控日志 WAN-LAN WAN - LAN的数据 进行应用识别 不做应用控制 网页过滤 网页过滤 文件类型过滤 文件类型过滤 HTTP上传/下载 原理 应用识别模块从HTTP的去包或者回包中提取文件类型。 去包中提取 URL中含有文件名 48/down/fgcn_102.zip 文件类型过滤 回包中提取 U