安全合规：AC（上网行为安全）--中

三、应用控制技术

1/4、应用特征识别技术：

1.场景需求

（1）全天禁用QQ应用的使用，可以用传统的行为检测（ACL），根据五元组（源、目ip，源、目端口，协议）来进行过滤。

（2）全天禁用QQ应用的某一账号上网，应用用户字段在应用层OICQ协议的DATA字段，需要用深度行为检测技术（其中的基于“特征字”的检测技术）。

2.深度行为检测技术

（1）基于包检测（DPI）：

        基于“特征字”的检测技术(DPI)。检测应用层的某一字段，如：可以在HTTP的User-Agent字段区分手机和电脑。

        基于应用网关的检测技术（ALG)。应用网关先识别出控制流，根据协议，对控制流就行解析，从协议中识别出相应的业务流。

       基于行为模式的检测技术。对终端已经实施的行为的分析，例子一小时发一万封邮件的垃圾邮件行为模式识别。

（2）基于流检测（DFI)：

基于包与基于流的深度检测对比：DFI仅对流量行为分析，只能对应用类型进行笼统分类，如

深度行为检测优点：1.可视化全网 2.流量精细化管理 3.减少或延迟带宽投入，降低网络运营运营成本 4.及时发现和抑制异常流量 5.渗透全网服务质量，保障关键业务质量 6.丰富的QoS提供能力

2/4、HTTP识别控制技术：

场景需求：上班时间不允许访问视频网站。分析：http报文中，URL的域名（host）字段；封堵http,需要先放通三次握手。

http网页识别，终端设备通过DNS解析域名后，跟服务器三次握手完，发给get请求 (get请求数据包中的host字段，是访问网页的具体url),Ac设备会伪装成服务器向终端发一个状态码302的数据包（重定向），数据包中的内容是告知终端访问的网站服务器是拒绝访问的，再通过RST断开连接。

3/4、HTTPS识别控制技术。

https的tcp端口443，https是基于ssl安全套阶层的超文本传输协议(SSL也称TLS)。

ssl原理：对数据加密，对身份认证。

1、概念：

              非对称密钥生成对称密钥，对称密钥对计算机的计算开销小。

              私钥生成公钥，私钥解密公钥；私钥自己保管，用公钥进行传输。

              公钥防黑客篡改：加证书。证书由可信结构（CA）颁发，证书包括身份信息、公钥（由CA私钥生成）。数字证书认证技术原理：

  2、ssl原理：

             客服端，Client hello报文：携带客服端的SSL版本号（协商双方最高版本），加密套件列表（身份认证方式、加密方式，校验方式，密钥过期时间），压缩算法列表（可无），客服端随机数（计算对称密钥之一），传送给服务器。

           服务器， （1）server hello报文：选择版本，确定加密套件、压缩算法，计算sessionid,以及随机数发给客服端；（2）Server Certificate将证书发给客服端，证书包含服务器公钥；（3）ssl如果是双向认证的，服务器发送Client Certtificate Requst索要证书；(4)Server hello done服务器通知客服端握手信息结束。

          客服端收到证书，验证是否过期，并将服务器公钥缓存。(1)发client Certificate报文：客服端发送自己的证书；(2)client Key Exchang报文：i. 若为RSA加密，客服端生成一个48为随机数作为预主密钥（pre-master），用服务器公钥加密；ii. 若DH算法产生预主密钥：非对称密钥生成对称密钥。生成公、私钥，交换公钥，用自己的私钥与对方的公钥生成对称密钥(Secret_key_x)，Secret_key_x对对称加密算法进行加密，服务器再用Secret_key_x解密。key的传递--DH算法：

           Certificate verify这个消息中要包含一个签名，签名里头内容就是从 client hello 开始到目前为止所有握手消息（不包括本消息）的摘要，然后用客户端的私钥加密。

           Chang Cipher Sipher报文改变加密约定消息。

          Finished Message报文，的 SSL表示 协商成功结束。

3、HTTP网站与HTTPS网站封堵

        HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面