目前网络协议分析类产品火爆的很,游侠(www.youxia.org)其实在几年前就在关注这个市场,目前应该说已经做的如火如荼,但是貌似依然有很多人对这类产品认识有偏差,简单说几句:
网络协议分析类产品基本上就是三类:
从功能上来说,网络协议分析类产品基本上要做到:WHO、WHEN、WHERE、WHAT。不明白?看图就明白了:
1、
行为管理 上网行为管理大家应该不陌生了,功能上来说:按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理,现在某些厂家大力推广其“千万级”URL分类库,相当有派头。
应用场景:
游侠是某公司网络管理员,某日BOSS说:N多人上班时间炒股票、玩游戏,200人每天浪费1小时就是200小时啊!我给他们发工资,这都是我的血汗,立刻把这些干掉!于是,于是……于是我只能祭出网络行为管理产品,让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容!
上网行为管理产品的难度也就在于URL分类库,即使是上面说到的千万级(可都是中文呢!)URL分类库,也经常有问题,如某误分类等。游侠在测试某上网行为管理产品的时候,发现我的www.youxia.org是属于“生活类”网站。
典型产品:网康、深信服、瑞达时代、网际思安、金盾、绿盟、
陕西电信天御五行(本处只是随手举例,和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚,自家产品放在最后,有意者可以和游侠本人联系)
2、
流量控制 流量控制产品在企业中也是需求非常多的,特别运营商、大学、大型企业,你在10M光纤的时候,上网很卡,升级到100M,发现快了十天半月之后又是很卡!于是BOSS开始发飙:网关!你丫花老子钱,一年十几万,为何比10M的时候快了一点点?!给哥解释!神啊,最见不得BOSS发飙了……
为什么10M到100M速率上×10,但是实际用的时候只感觉×2呢?——因为10M的时候他在土豆网掘土豆卡,100M的时候不卡了,并且普清换高清了;因为以前在单位下电影只有100K,在家下电影120K,他都在家下电影,现在公司100M,所以都在公司下周了;因为……啥?为何有十天半月的“蜜月期”?因为那些电影狂人还没买来新的1TB的超大移动硬盘!
网络流量控制难点在于应用协议分析,请注意我这里说的是“应用协议”分析,而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议,而不是网络协议。并且这些都在一直变换、升级,如迅雷就有完整版、mini版、WEB迅雷等版本,都需要控制,并且会不定时更新。
典型产品:Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
3、
协议审计 这里说的协议是彻底的网络协议,如:HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢?当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制,仅要求审计。但……
大家知道,对于航空、航天、兵器、政府能纯内网而言,FTP等也是相当重要的部分,很多场景下需要对文件服务器操作进行审计,那么就需要FTP协议的审计;内网ARP病毒泛滥的时候,ARP协议审计就派上了用场!分级、等级保护等要求对邮件流向做控制,那就需要对SMTP、POP3协议做审计……
还有一些是比较偏门的,如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器,那么需要对SSH操作进行审计——什么?SSH加密?目前通过Cain就可以抓到SSH v1的内容,当然SSH v2还是比较保险的,但是如果需要操作审计,也是有办法进行审计的。另外管理员通过telnet管理交换机,也可以进行审计。
典型产品:启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
其实目前很多产品都是综合型的,有些产品覆盖了上述1、2、3的所有部分功能,有的则是术业有专攻,大家可以根据自己的需求进行选择。另外请大家谨记:记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为(注意我用的是“监控”而不是“审计”)是与我国法律相悖的。
补充一下:
有些产品现在往往只注重一个功能,衍生出了产品,如:发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品,软件产品没有分析。
版权声明:张百川(网路游侠)http://www.youxia.org
信息与网络安全从业者QQ群:53651293,可容纳500名专业网安从业者的超级QQ群欢迎您的加入!
