应用控制技术、内容审计技术、AAA服务器技术
一、应用控制技术
1. 传统检测vs深度行为检测
传统检测特点:
工作层级:主要针对OSI二三四层
实现方式:通过识别协议报文并根据策略进行转发/拒绝
典型应用:如禁止使用QQ等特定业务
深度行为检测特点:
新增功能:增加了内容检测能力
技术分类:
深度包检测(DPI)
深度流检测(DFI)
精细控制:可实现如"仅允许特定账户登录"等高精度控制
2. HTTP过滤
实现基础:属于深度包检测中的基于特征码检测技术
控制方式:
关键字识别:通过识别数据包中的多个关键字实现控制
主机头识别:可对特定网站做定制化识别
典型应用:
禁止移动端上网
限制特定网站访问
3. 传输过程的数据安全性
1)数据加密与解密技术
防护目标:防止数据被截获
实现手段:采用加密/解密技术
实际案例:如HTTPS、VPN等传输加密技术
2)完整性校验
防护目标:防止数据被篡改
实现原理:通过校验机制确保数据在传输过程中未被修改
3)双方身份认证
防护目标:确认通信双方身份真实性
实现方式:使用数字证书进行身份验证
类比说明:类似于"身份证"的验证机制
4)防止重放攻击
攻击原理:攻击者无需解密数据,只需复制并重发有效数据包
典型案例:银行转账被重复执行
防护措施:
数据包添加序列号
实施二次认证机制(如短信验证)
SSL/TLS握手过程中的随机数交换
四阶段握手流程:
Client Hello:携带SSL版本号、加密套件列表等
Server Hello:确定加密参数并返回随机数
证书交换与验证
密钥交换与加密参数启用
注:笔记中已根据课程内容完整保留了所有关键技术要点、实际案例和防护措施说明,并按照康奈尔笔记法进行了结构化整理。图片插入位置与相关知识点严格对应,确保笔记的完整性和可读性。
4. HTTPS原理
1)例题:HTTPS握手过程
Client Hello报文内容
基于TCP的特性:SSL/TLS协议都基于TCP,在发生报文前必须先完成三次握手
关键字段组成:
版本信息:包含TLS协议版本号(如TLSv1.2/TLSv1.3)
PSK密钥交换模式:预共享密钥的交换方式
加密套件列表:包含客户端支持的所有加密算法组合(如AES、RSA等)
密钥共享扩展:用于密钥交换的参数
随机数:用于生成会话密钥的重要参数
Server Name指示:明确告知服务器要访问的域名(如microsoft.com)
加密算法详解
对称加密算法:
AES算法:支持128/256位密钥长度,如AES_128_GCM、AES_256_GCM
密钥长度原则:位数越长越安全(256位比128位更安全)
完整性校验算法:
哈希算法:SHA_256、SHA_384等
校验原理:同样遵循位数越长越安全原则
身份认证方式:
RSA证书认证:用于验证服务器身份
商密标准:商业/国家机密级加密可达1024位密钥长度
实际应用考量:
普通网站(如QQ官网)通常采用256位加密
高安全需求场景才会使用更复杂的加密方式
2)例题:HTTPS握手过程分析
密钥交换过程
交换模式:
DH/DHE:Diffie-Hellman密钥交换协议
随机数交换:客户端和服务器交换随机数用于生成会话密钥
保留字段:报文中存在多个标记为"unknown"或"reserved"的字段
Server Hello响应
与Client Hello的区别:
加密套件选择:服务器从客户端提供的列表中选择一个最优套件
会话ID:服务器生成的唯一会话标识符
随机数:服务器生成的随机数,与客户端随机数共同生成密钥
密钥交换报文:
包含选定的加密套件(如TLS_AES_256_GCM_SHA384)
携带密钥交换参数
可能包含证书链用于身份验证
3)客户端密钥交换
预主密钥生成:客户端产生48位随机数作为pre-master(预主密钥),该密钥是后续会话密钥的基础
加密传输机制:当采用RSA加密时,客户端使用服务器公钥对预主密钥进行加密后传输(如字幕所述:"预主密钥是被加密的")
服务器处理:服务器端收到加密的预主密钥后,使用私钥解密并缓存该密钥(字幕强调:"服务器端缓存预主密钥")
密钥交换的加密细节
加密验证:通过Wireshark抓包可见,Client Key Exchange报文内容显示为加密状态(字幕确认:"看到这是个什么消息,看到没?加密的握手消息")
密钥长度确认:明确使用48位密钥(字幕多次强调:"就是这个48位的一种密钥")
RSA加密过程:客户端在client hello和server hello阶段已获取服务器公钥(字幕提问:"是不是已经把那个公钥发过去了?")
密钥交换后的流程
后续认证阶段:密钥交换完成后仅需进行最终认证(字幕说明:"交换完了之后,最终最终就只需要做一个认证就行了")
加密参数启用:通过Change Cipher Spec协议通知对方开始使用协商的加密参数
应用数据传输:认证通过后进入Application Data阶段,所有通信内容均被加密(字幕提到查看application data报文)
技术要点总结
核心功能:实现客户端与服务器之间的安全密钥传递
随机性要求:预主密钥必须是强随机数(字幕强调:"48位随机数")
前向安全性:即使长期密钥泄露,也不会危及本次会话安全
加密强度:采用服务器公钥加密确保传输安全(字幕确认:"这个预主密钥是被加密的")
4)客户端证书验证
签名生成过程:从ClientHello开始到当前所有握手消息(不包括本消息)的摘要,用客户端私钥加密生成签名
验证机制:服务器使用Client Certificate消息中的客户端公钥解密验证,确认客户端真实性
加密特性:加密后的签名内容不可读,仅显示为一串数字序列(如:0000000000000001534c914d8d8adb1c73d94da5aa511563)
简化握手流程
重复访问优化:访问已建立过连接的网站时,握手流程简化为ClientHello + 密钥交换两步
报文对比:相比完整握手省略了ServerHello等步骤,如Wireshark捕获的202.89.233.100通信案例
加密数据分析
数据特征:应用层数据加密后显示为十六进制串(如:ff 7f 35 00 00 17 03 03 00 5e...)
解密难度:无密钥情况下无法解析具体内容,仅能观察到传输层TCP/TLS协议头信息
握手过程实例
典型交互:
TCP三次握手建立连接
ServerHello + Certificate(427字节)
Client Key Exchange(212字节)
应用数据交换(153/476字节)
New Session Ticket(396字节)
Hello Retry机制
触发条件:服务器要求重新协商参数时发送153字节的Hello Retry Request
变更通知:包含Change Cipher Spec消息用于更新加密约定
典型场景:当客户端支持的加密套件与服务器要求不匹配时发生
5)改变加密约定消息
改变加密约定消息的定义与目的
协议特性: 该消息仅包含一个值为1的字节,是与握手协议同级别的独立协议
核心功能: 通知通信对方后续消息将采用新协商的加密套件和密钥
密钥更新机制: 在网络中使用数字密钥时间越长安全性越低,定期更新可提升安全性
改变加密约定消息的发送时机
触发条件:
密钥使用周期到期(通常半小时至一小时)
任一方检测到密钥可能被破解
重协商过程: 与初始握手类似,需重新交换随机数并生成新的主密钥
本地计算: 客户端会将客户端随机数、服务端随机数和预主密钥组合生成主密钥,并导出MAC密钥和写密钥
改变加密约定消息在HTTPS握手中的位置
初始握手阶段: 位于Client Finished Message之后,作为加密通信开始的标志
会话恢复阶段: 在简化握手过程中可能仅包含Client Hello和Change Cipher Spec
密钥更新阶段: 作为独立消息通知对方启用新加密参数
实例分析:改变加密约定消息的传输过程
常见场景:
首次访问:完整12步握手流程
重复访问:可能简化为Client Hello → Change Cipher Spec → Finished三步
会话恢复机制: 服务器保存客户端会话信息时,可跳过证书验证等步骤
异常处理: 出现Hello Retry Request表示需要重新协商参数
6)证书层次结构
有效期特征: 通常为1年(示例中2024/12/2至2025/12/2)
公钥稳定性: 证书和公钥不会频繁变更,保障会话恢复可行性
颁发机构层级: 包含颁发者(DigiCert)和持有者(Tencent)的双重身份验证
指纹算法: 现代证书普遍采用SHA-256哈希算法生成指纹
7)证书字段
证书有效期与更新
有效期机制:证书/公钥通常一年有效,到期后需要重新颁发
更新方式:服务器和客户端只需更新各自记录,无需重新建立完整连接
密钥更新:直接发送改变加密的消息并重新计算必要参数即可传输数据
加密消息与数据传输
协商流程:无论是完整SSL还是简化三次握手,始终由客户端先发送Client Hello报文
架构特性:基于客户端-服务器架构的协议,必须由客户端先触发才能改变加密消息
HTTPS原理与握手协议
Change Cipher Spec:
属于独立协议,与握手协议同级
消息内容为单个值为1的字节
作用:通知对方后续通信将采用新协商的加密套件和密钥
加密触发:必须由客户端先发送Hello消息触发加密流程变更
数据加密与传输安全
加密特征:SSL协商成功后,所有传输数据均为加密状态
管理限制:
无法从加密数据中区分GET/PUT等HTTP方法
无法直接解析加密内容进行过滤
CDN影响:大型网站使用CDN会导致服务器IP不固定,增加管理难度
CDN与内容分发网络
双重功能:
降低服务器负载:将请求分发到本地服务器
增强安全性:隐藏真实服务器IP地址
动态特性:用户可能访问不同地区的CDN节点(如长沙→南京)
管理难点:无法通过收集所有CDN IP地址进行过滤,操作复杂且危险
SSL/TLS协议与数据加密
初始报文:客户端首个包为Client Hello,此时尚未加密
关键字段:Server Name字段标识客户端要访问的具体域名
检测原理:深度包检测(DPI)可通过分析未加密的Hello包进行过滤
HTTP报文与重定向
阻断机制:
检测到违规访问时,伪装服务器发送重定向报文
重定向至禁止访问页面
最终由ISP断开连接
协议层级:阻断操作发生在HTTP层而非SSL层
8)HTTPS协议结构
证书交换过程:服务器在SSL握手第二阶段将自己的证书发送给客户端,证书包含服务器身份信息和公钥。客户端会验证证书有效期并缓存服务器公钥。
协议独立性:HTTP和SSL是两个独立的协议,SSL先协商加密通道,再在该通道中传输HTTP数据。类似DNS和HTTP的关系,可以单独使用SSL(如SSL VPN)。
9)SSL协议结构
四层协议组成:
握手协议:首次建立安全连接时协商加密参数
修改密文协议:密钥过期后重新协商密钥
报警协议:通信异常时通知对方终止或重建连接
记录协议:负责传输数据的加密记录
工作流程:先通过握手建立安全连接,期间可修改密钥,发现问题通过报警协议处理,所有传输数据由记录协议封装。
10)握手协议细节
预主密钥生成:客户端产生48位随机数作为pre-master,用服务器公钥加密后发送
证书验证:客户端发送包含签名的Certificate verify消息,签名内容是从Client hello开始的所有握手消息摘要
访问控制机制:当发现禁止访问的域名时,直接终止握手过程并发送TCP RST断开连接,不返回具体错误页面
11)HTTPS控制工作原理
工作机制:
终端发送Client hello报文后,设备识别网站并伪装服务器发送RST包(IP.ID为
0×58260 \times 58260×5826
)断开连接
与HTTP的区别:
HTTPS全程加密,未做SSL中间人劫持时无法伪造数据包
HTTP可重定向到拒绝界面,HTTPS只能直接断开连接
技术细节:
通过Client hello报文中的ServerName字段识别目标网站
直接发送RST包终止TCP连接,不发送重定向页面
封堵机制:终端发送Client hello报文后,识别目标网站并伪装服务器发送RST包(IP.ID为0×5826)强制断开连接
关键步骤:通过TCP重置攻击实现访问控制,无需解密HTTPS流量
HTTPS与HTTP封堵的区别
加密特性:HTTPS全程加密,未做SSL中间人劫持时无法伪造具体数据包
控制差异:HTTP可实现重定向到拒绝界面,HTTPS只能断开连接
技术限制:HTTPS封堵仅能阻断连接,无法像HTTP那样修改响应内容
SSL中间人劫持
实现条件:需要AC设备同时伪装服务器(对客户端)和客户端(对服务器)
证书问题:终端证书与真实服务器不匹配,浏览器会显示AC设备提供的证书
典型场景:内网SSL劫持时,所有网站证书均显示为AC设备证书
证书查看与中间人识别
验证方法:检查证书颁发者信息,正常应显示网站所有者(如Microsoft)
劫持特征:若显示AC设备厂商名称,则存在中间人劫持
注意点:未开启SSL代理时,证书显示原网站信息(如访问bing.com显示Microsoft证书)
HTTPS原理与四阶段握手
阶段1(Client Hello):携带SSL版本号、加密套件列表、客户端随机数
阶段2(Server Hello):服务器确定加密参数,发送证书和随机数
阶段3(密钥交换):客户端发送预主密钥,双方生成会话密钥
阶段4(加密通信):通过Change Cipher Spec通知启用加密,验证握手完整性
恶意代码加密与筛选
代理功能:通过SSL代理解密流量,可检测加密传输的恶意代码
技术实现:AC设备同时修改两端证书,建立独立SSL连接进行内容审查
应用场景:曾用于拦截HTTPS网站下载的病毒代码(如ha tc网站案例)
SSL代理功能的应用
工作原理:终端与AC建立SSL连接,AC再与服务器建立独立SSL连接
安全影响:导致终端证书显示为AC设备证书,可能触发浏览器安全警告
管理要求:需在企业内网部署受信任的CA证书以避免证书告警
12)思考总结
HTTPS网站封堵排查方法
排查步骤:
检查URL库是否为最新版本
确认目标网站在应用识别库或URL规则库中
验证策略配置是否正确
检查策略适用用户是否在线
确认用户不在全局排除地址中
开启直通抓包分析ServerName是否正确对应目标网站
13)思考总结
HTTP与HTTPS封堵对比
相同点:
都通过获取服务器标识进行封堵
最终都通过发送RST包断开TCP连接
不同点:
识别方式:
HTTP:从三次握手后的GET请求包中获取Host字段
HTTPS:从Client hello包的ServerName字段获取
阻断方式:
HTTP:先发送重定向包再发送RST
HTTPS:直接发送RST断开连接
技术原理:
HTTPS在SSL协议层阻断,无法伪造响应内容
HTTP可在应用层构造拒绝访问页面
14)自定义应用方法
自定义应用背景
应用场景:
内部专用应用(如企业自研系统)
规则库更新周期内新出现的应用/网站
小众应用未被规则库收录的情况
更新机制:
内置规则库每半个月定期更新
可能遗漏小众应用和新兴网站
自定义应用实现
配置要素:
数据包方向(LAN-WAN/WAN-LAN)
协议类型(TCP/UDP等)
目标端口(单个或范围)
目标IP(单个或范围)
匹配域名
注意事项:
特征需尽可能精确,避免过度匹配
仅配置端口80会导致所有HTTP流量被识别
URL自定义方法
配置要点:
直接输入域名,无需添加http(s)://
可使用*作为通配符
单条URL长度不超过40字节
总URL条数不超过6万条
典型应用:
封堵特定新闻门户
限制成人内容网站
管控视频流媒体站点
15)对象自定义总结
自定义类型
主要方式:
准入规则(基于进程控制)
自定义应用(精准封堵/审计)
自定义URL(特定网站管控)
自定义关键字(内容过滤)
应用特点:
覆盖99.99%常见应用外的0.01%特殊情况
对内部专有系统特别有效
配置需要精确匹配特征
准入策略排查
排查要点:
检查直通和全局地址排除设置
确认终端支持准入系统(仅Windows PC)
验证策略关联用户及适用区域
检查自定义规则条件和执行动作
技术限制:
不支持非Windows设备
需要终端安装特定客户端
5. 应用控制技术总结
1)行为检测分类
传统行为检测:检测2-4层数据,采用针对特定应用的一刀切控制方式
深度行为检测:实现应用层精细化控制,例如允许/禁止特定账号上网
2)深度检测技术
深度包检测(DPI):
基于特征检测:通过协议特征字段识别应用
基于应用网关:通过代理方式解析应用内容
基于行为模式:分析流量行为特征进行识别
HTTP过滤:通过识别超文本传输协议中的关键字字段实现过滤
HTTPS过滤:通过解析SSL证书中的server字段实现网站过滤
3)自定义过滤机制
规则库缺失处理:当遇到未收录的应用或URL时,需要管理员手动配置自定义过滤规则
4)上网行为管理功能
核心功能:
访问控制:对用户访问内容进行限制
行为审计:记录用户上网行为日志
实现方式:通过内容审计技术实现行为记录和分析
二、内容审计技术
1. 网络安全法要求
责任人制度:必须明确网络安全责任人,政府部门和国企特别重视"出事找人"的追责机制
日志管理:要求监测、记录并保留网络日志不少于6个月,通过日志分析提取报错/警告信息
防护措施:
制定内部安全管理制度和操作规程
采取数据分类、重要数据备份和加密措施
防范计算机病毒、网络攻击和网络入侵
法律兜底:需履行其他法律、行政法规规定的网络安全义务
2. 上网行为审计架构
审计本质:记录"哪个账号在什么设备、什么时间访问了哪些服务及操作内容"
合规价值:实现事后追溯、优化权限策略等管理目标
审计范围:
用户账号(包括虚拟账号)
网站访问记录
搜索关键字
邮件收发
论坛发帖/微博
IM聊天内容
1)日志查询
存储方式:
本地存储(设备内置空间)
远程服务器存储(应对大规模网络日志)
查询维度:
用户行为查询(账号/手机号/微信ID等)
网站访问记录
文件审计(上传/下载)
即时通讯内容
邮件收发记录
论坛/BBS活动
安全事件日志
管理员操作日志
查询特点:支持类似百度搜索的"数据下钻"查询,条件组合灵活
2)统计分析
报表功能:
自动生成流量分析、用户行为分析等统计报表
支持导出为多种格式(含PDF)
减轻网管月度/季度汇报工作量
审计技术分类:
普通软件审计(未加密数据)
HTTP流量审计(明文传输)
特殊协议审计:
网页邮箱(HTTPS协议)
客户端邮箱(SMTP/POP3协议)
3. 外发邮件审计技术
1)内容审计需求背景
审计对象:主要针对HTTP协议的网页内容,包括:
Web BBS论坛发帖内容
外发的Web Mail邮件内容及附件
通过网页上传的文本和附件(图片、视频等)
策略配置:
需在AC设备中新增策略并启用
可针对不同用户设置不同审计规则
支持对微博、FTP、TELNET等多种网络应用的内容审计
2)外发邮件审计原理
SSL解密技术原理
明文审计:
原理:直接解析邮件数据包中的明文内容
字段:包含from/to/cc/bcc字段、邮件标题、正文和附件
特点:不同邮箱服务商(如163、QQ邮箱)的数据包格式存在差异
加密审计:
限制:无法直接审计HTTPS加密内容
解决方案:采用SSL中间人代理技术
AC设备伪造证书(如深信服AC设备使用厂家证书)
终端可能提示证书警告,需手动添加信任
企业内网通常批量安装根证书避免告警
例题:HTTPS被代理判断
判断方法:
数据包长度差异:
正常转发时内外网数据包长度应一致(如66字节)
代理会导致数据包长度变化(如变为74字节)
证书颁发者:
被代理时证书颁发者显示为AC设备厂商(如深信服)
原始证书被替换为代理证书
安全提示:
企业网络中被代理时所有HTTPS内容均可被审计
需注意工作电脑可能安装了企业根证书
配置SSL内容识别
配置要点:
域名列表:需逐行添加待识别的邮箱网站(不支持通配符*)
常见邮箱域名:mail.qq.com、gmail.com、mail.google.com等
微信网页版域名:wx.qq.com、wx2.qq.com
证书管理:
需下载并安装SSL识别根证书
AD域环境下可批量解除浏览器告警
注意事项:
仅对443端口的HTTPS流量生效
邮件客户端需单独配置邮件过滤策略
效果展示
审计能力:
可完整捕获网页版邮箱的:
收件人/发件人信息
邮件主题和正文内容
附件信息(文件名、类型)
限制:
客户端邮件(如Outlook)需通过邮件过滤策略审计
即时通讯软件(微信/QQ)的内容需单独配置审计策略
4. 需求背景
1)QQ和微信数据传输的加密方式
协议特性:QQ客户端聊天内容通过OICQ协议传输,数据采用程序内置加密方式,业界普遍无法解密
审计困境:企业若需审计员工QQ聊天记录,无法通过传统网络抓包方式实现
2)加密方式写在程序中的特点
固定加密机制:不同于浏览器需要TLS协商,QQ/微信等APP直接将加密算法写入客户端程序
免协商特性:因固定连接特定服务器,无需像浏览器访问不同网站时进行加密方式协商
3)中间人代理解密的不可行性
技术限制:无法通过中间人代理方式解密,因加密过程不依赖协商机制
逆向风险:逆向分析通讯加密方式将面临法律风险,企业安全团队会立即采取法律行动
4)逆向加密方式的难度与后果
技术门槛:腾讯安全团队专业防护,逆向工程成功概率极低
法律后果:成功逆向者可能收到企业高薪邀约(P7级以上职位)或法律诉讼
5)本地读取聊天记录的建议
替代方案:直接从客户端本地数据库读取缓存内容,规避网络层加密问题
实施前提:需获得终端设备访问权限,适用于企业统一配发设备场景
5. 实现方式
1)SANGFOR的QQ聊天内容审计方式
插件机制:通过准入插件自动定位客户端本地QQ聊天数据库
采集周期:AC设备每10秒读取一次客户端数据并写入日志中心
部署要求:需在所有被审计终端安装准入插件
2)准入策略的配置与下发
策略配置:
导航路径:上网策略→准入策略→QQ审计
关键参数:IM聊天内容监控设置为全天生效
管理方式:可通过AC统一策略批量下发安装
3)不同的公司电脑政策
设备管理:
公司配发设备:强制安装审计插件
私人设备:通常不强制要求(法律合规考虑)
报销政策:部分企业提供设备购置补贴,但多附带服务年限条款
4)AC5内容审计技术简介
系统限制:当前仅支持Windows PC端安装
非Windows处理:手机/平板等设备需通过特殊策略放行上网
5)准入程序的支持系统与安装
多平台适配:
开发不同版本(Windows/Linux/Android/iOS)
各平台需从对应官方渠道获取安装包
强制实施:未安装准入客户端的设备将受限网络访问
三、AAA服务器技术
1. 课程目标
掌握内容:
AAA认证架构
RADIUS和TACACS+认证原理
相关配置命令
2. AAA基础概念
核心功能:
认证(Authentication):验证用户身份
授权(Authorization):下发访问权限
计费(Accounting):记录使用情况
实现方式:
可使用远程服务器或本地交换机作为认证服务器
支持多种服务认证:FTP、Telnet、PPP链路等
3. AAA协议类型
常见协议:
RADIUS(远程认证拨号系统)
TACACS+(终端访问控制器访问控制系统)
优势特点:
用户管理便捷(服务器端集中管理)
适用性广泛(支持多种网络服务)
4. 授权等级说明
用户等级:
华为设备示例:0-15共16个等级
0级最低,15级最高
计费方式:
流量计费(如手机流量)
时长计费(如宽带包月)
5. RADIUS协议详解
协议特性:
分布式交互协议
客户端/服务器架构
基于UDP协议
端口分配:
1812端口:认证和授权
1813端口:计费
报文结构:
采用TLV(类型-长度-值)结构
类似IPv6的可扩展包头设计
报文类型:
Code字段决定:
1/2/3:认证报文(请求/通过/拒绝)
4/5:计费报文
6. 协议对比说明
标准协议优势:
跨厂商兼容(华为/思科/华三等设备互通)
包含四大安全要素:
数据加解密
完整性校验
身份认证
防重放攻击
7. 上网行为管理之身份认证实验
1)AAA服务器登录配置
统一认证凭据:所有用户登录AAA服务器使用相同的用户名和密码,用户名为"acsadmin",密码为"zhongyuan"
登录流程:输入统一凭据后进入Cisco Secure ACS系统,该系统提供访问控制管理功能
2)RADIUS协议配置
通信接口:指定10.1.1.2作为上网行为管理与AAA服务器通信的接口IP
加密设置:
使用国际标准协议RADIUS进行认证
通信加密密钥设置为"1234"
端口号使用默认的1812
设备类型:在Network Device Groups中可配置不同网络设备类型和位置
3)认证选项配置
协议选择:可选择TACACS+或RADIUS协议进行认证
RADIUS参数:
共享密钥(Shared Secret)设置为"123456"
CoA端口(Change of Authorization Port)使用1700
启用KeyWrap加密功能
4)用户认证创建
用户存储:在"Users and Identity Stores > Internal Identity Stores > Users"中创建上网认证所需的用户名和密码
网络资源:可配置网络设备组(Network Device Groups)和位置(Location)进行分类管理
IP认证:支持单IP(IP Address)或IP范围(IP Range)的认证方式
监控报告:系统提供监控和报告(Monitoring and Reports)功能用于审计
8. 设备间协议认证
认证方式:设备间的协议认证大多采用本地认证方式
应用场景:
VRRP协议支持认证
OSPF路由器之间支持认证
实现特点:
在本地接口或区域直接配置密码即可
不推荐使用远程服务器认证(过于浪费资源)
用户登录方式对比:
本地认证:在设备本地设置用户名密码(如Telnet/SSH登录路由器交换机)
RADIUS认证:通过远程认证服务器进行认证
9. VPN的SSL移动接入方案
协议组成:
SSL握手协议
SSL修改密文协议
SSL记录协议
认证授权方式:
本地认证授权
RADIUS认证
CA证书认证
加密工作原理:
客户端A向服务器B发送连接请求
B生成公私钥对,私钥自存,公钥发送给A
A用B的公钥加密信息发送给B
B用私钥解密信息(只有B能解密)
反向通信同理使用A的公钥加密
应用特点:
主要用于上网行为管理产品(如联软等厂商方案)
是上网行为管理系统的升级版解决方