猿创征文|HCIE-Security Day61:应用行为控制技术
背景
员工通过网页不受控地对外发布,传播违规信息,影响公司形象甚至带来法律风险
员工上传公司敏感信息到internet,导致公司机密泄露
应用行为控制常用于企业内部对内网用户的上网(HTTP)行为、FTP行为和IM行为进行管理。
在企业内部通常需要对内网用户的HTTP行为和FTP行为进行管理,不同的用户使用HTTP和FTP访问网络资源需要不同的权限,同一用户在不同的时间段具有的权限往往也不同。FW的应用行为控制能够很好的满足上述需求,还可以对IM行为进行控制
FW作为企业的出口网关部署在内网出口处,通过在FW上配置应用行为控制功能,当内网用户访问外网时,能够有效管理内网用户的HTTP行为、FTP行为和IM行为。
在FW上创建多个应用行为控制配置文件,每个应用行为控制配置文件用来控制用户具有不同的HTTP、FTP和IM权限。然后通过在安全策略里面引用应用行为控制配置文件、用户和时间段(工作时间、非工作时间)等对象,可以达到对内网用户的HTTP行为、FTP行为和IM行为差异化、精细化管理的目的。
处理流程
应用识别:识别当前流量的应用类型
协议解码器:解析协议应用层的信息
应用行为分析:分析根据不同字段内容识别具体应用行为
策略查找:判断当前流量进行的处理动作
响应动作:放行或者阻断
| 行为类型 | 控制项 | 说明 | 动作 |
| HTTP行为 | POST操作 | HTTP POST一般用于通过网页向服务器发送信息,例如论坛发帖、表单提交、用户名/密码登录。 | 允许/禁止 |
| 浏览网页 | 采用浏览器进行网页浏览。 | ||
| 代理上网 | 代理上网是指用户使用代理服务器访问特定网站,使用该功能时FW需部署在内网用户和代理服务器之间。 | ||
| 文件上传 | - | ||
| 文件下载 | - | ||
| POST操作的内容大小(告警/阻断阈值) | 当允许HTTP POST操作时,可以配置告警阈值a和阻断阈值b,对POST操作的内容大小进行控制。 | 告警/阻断 | |
| 文件上传大小(告警/阻断阈值) | 当允许文件上传操作时,可以配置告警阈值a和阻断阈值b,对上传的文件大小进行控制。 | ||
| 文件下载大小(告警/阻断阈值) | 当允许文件下载操作时,可以配置告警阈值a和阻断阈值b,对下载的文件大小进行控制。 HTTP文件下载控制项用来控制采用HTTP协议进行文件下载的操作,如在文件下载页面选择专用的下载工具(如BT、电驴等)进行下载,将无法对下载工具进行控制。 | ||
| FTP行为 | 文件上传 | - | 允许/禁止 |
| 文件下载 | - | ||
| 文件删除 | - | ||
| 文件上传大小(告警/阻断阈值) | 当允许文件上传操作时,可以配置告警阈值a和阻断阈值b,对上传的文件大小进行控制。 | 告警/阻断 | |
| 文件下载大小(告警/阻断阈值) | 当允许文件下载操作时,可以配置告警阈值a和阻断阈值b,对下载的文件大小进行控制。 | ||
| IM行为 | QQ登录 | 可配置QQ账号的黑白名单以及缺省动作,来对QQ登录行为进行控制。 黑白名单和缺省动作的优先级关系为:白名单> 黑名单> 缺省动作。 | 允许/禁止 |
典型场景
http应用行为控制
允许用户浏览网页,但是不允许传输文件
允许用户浏览网页,但是不允许外发内容
禁止用户使用http代理
控制post外发内容控制(包括内容大小控制)
上传、下载文件控制(包括文件大小控制)
ftp应用行为控制
允许用户访问外部的ftp服务器,但是只允许下载,不允许上传文件
上传下载文件控制(包括文件大小控制)
删除文件控制
相关文章
- Python 在运维中应用有多重要
- 生成对抗网络发展及其主要工程应用综述
- 如何在 Docker 中设置 Go 并部署应用
- 【快应用】如何实现小程序转快应用之间跳转
- 《Redis实战》一第2章 使用Redis构建Web应用
- 《iOS 8应用开发入门经典(第6版)》——第1章,第1.7节问与答
- 精准化测试专业平台Paw:苹果APP应用代码质量的守护者
- 如何应用Font Awesome矢量字体图标
- 浅析redis setIfAbsent的用法及在分布式锁上的应用及同步锁的缺陷
- 栅格系统pull和push的应用
- Andrdoid适当的执行行为拦截的应用----从底部C截距
- C语言应用--数据类型定制一定义和引用
- 一分钟让你快速了解红外气体传感器作用,特性及应用
- Md5扩展攻击的原理和应用