說到https,不得不提http(HyperText Transfer Protocol)這個(gè)互聯(lián)網(wǎng)上用的最廣泛的網(wǎng)絡(luò)協(xié)議,其技術(shù)架構(gòu),協(xié)議功能,協(xié)議原理百度或者google都有詳細(xì)解釋。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在這個(gè)S上,SSL加密,通常理解,https就是http加入SSL加密層變成以安全為目標(biāo)的http傳輸。那么SSL是個(gè)啥呢,SSL是一個(gè)目前應(yīng)用非常廣泛的一種非對(duì)稱加密方式,也是公認(rèn)破解不了的。安全,又好用,所以才能廣泛應(yīng)用,除了http,郵件的pop3,smtp,IM通訊等等,都能用上,是個(gè)很好的加密方式。起初用https通常都是金融類網(wǎng)站用到財(cái)務(wù)交易,時(shí)光如水,歲月如歌,IT技術(shù)一日百里的飛速發(fā)展,現(xiàn)在很多門戶網(wǎng)站,企業(yè)網(wǎng)站也都逐漸使用https協(xié)議,這個(gè)也是事實(shí)的趨勢(shì)。概念就是這個(gè)概念了,那么https如何監(jiān)控管理呢?以下說明是獻(xiàn)給非專業(yè)IT技術(shù)人員,非專業(yè)碼農(nóng)的。為了大家都能明白,可能有些敘述比較幼稚和粗淺,請(qǐng)多多理解。
1.https是如何監(jiān)控管理的呢,又要從http的傳輸說起。(敘述的比較粗淺,非專業(yè)水平,就是讓大家有個(gè)概念性理解就行,太專業(yè)的詞匯扯起來(lái)也不明白就不裝腔了)為了更好的理解,先說http傳輸,將A比作客戶端,C比作網(wǎng)站端。A說我要蘋果,C就給A傳一個(gè)蘋果,這個(gè)時(shí)候可以想象成,互聯(lián)網(wǎng)上無(wú)數(shù)的蘋果在裸奔。
所以市面上專業(yè)帶審計(jì)功能上網(wǎng)行為管理軟件,硬件都能記錄到HTTP的網(wǎng)頁(yè)瀏覽鏈接,域名,標(biāo)題。如果連這點(diǎn)都做不到,或者就是記錄一個(gè)簡(jiǎn)單的域名,那么這款產(chǎn)品和專業(yè)上網(wǎng)審計(jì)就不搭邊了,很多路由號(hào)稱也有上網(wǎng)審計(jì)功能,扯呼。路由是路由芯片來(lái)的,幾乎沒法對(duì)上網(wǎng)做審計(jì)。
2.下面就要解釋https的傳輸了,如果說http傳輸是裸奔的蘋果,那么https的傳輸則是被鎖起來(lái)的蘋果在奔跑,解鎖的只要網(wǎng)站端和用戶端了。這個(gè)時(shí)候互聯(lián)網(wǎng)上飄著很多鎖,但是鎖里面的是蘋果還是橘子不知道,也沒法解出來(lái),這個(gè)鎖就是SSL不對(duì)稱加密,直接解是解不了的。
3.https解不了,不代表沒有辦法哦,有個(gè)專業(yè)技術(shù)“中間人技術(shù)”原理,源碼都有公開,但是做的好壞,也看各家技術(shù)上專研的態(tài)度以及愿意用多少時(shí)間和成本放在技術(shù)上了。看圖解釋,(這個(gè)中間人是兩面派,在客戶端面前扮演網(wǎng)絡(luò)端,在網(wǎng)絡(luò)端面前扮演客戶端,把網(wǎng)絡(luò)端和客戶端加密的傳輸?shù)奶O果自己也加密傳輸給對(duì)方獲取對(duì)方的密鑰從而解析到解密的數(shù)據(jù))中間人技術(shù)用在HTTPS監(jiān)控上的不如用在SSL加密上的普遍,到底記錄了員工的網(wǎng)頁(yè)瀏覽也只是追蹤了員工上網(wǎng)痕跡分析他們工作動(dòng)態(tài),信息安全上,一般用在郵件監(jiān)控方面,所以擁有HTTPS監(jiān)控的方案的產(chǎn)品,客戶端郵件基本都能監(jiān)控到。中間人技術(shù)不是什么高深技術(shù),但是一定是一個(gè)專業(yè)技術(shù)。
4.實(shí)際應(yīng)用:那么在實(shí)際應(yīng)用中,什么樣的產(chǎn)品才有有這樣的專業(yè)技術(shù)用來(lái)全方位網(wǎng)絡(luò)管理?首先,所有的路由都不可以,中間人技術(shù)比較耗資源,路由架構(gòu)以及路由芯片承載不了,在高端,在大牌,在怎么說是上網(wǎng)行為管理的路由,都沒有哦。有的都是硬件防火墻,網(wǎng)關(guān),x86架構(gòu)專業(yè)工控機(jī),PC,或者服務(wù)器系列才可。
中間人技術(shù)一般用在兩個(gè)方面比較多,局域網(wǎng)網(wǎng)絡(luò)監(jiān)控以及專業(yè)的硬件防火墻,專業(yè)硬件防火墻用中間人技術(shù),一般都是用來(lái)殺毒的。局域網(wǎng)網(wǎng)絡(luò)監(jiān)控用來(lái)監(jiān)控HTTPS瀏覽,以及SSL加密郵件的記錄。有兩種非常典型的實(shí)際應(yīng)用,兩個(gè)恰恰側(cè)重點(diǎn)偏的不一樣。Unangel 第二代防火墻,側(cè)重防火墻和過濾,中間人技術(shù)應(yīng)用在殺毒和過濾上。WSG上網(wǎng)行為管理網(wǎng)關(guān),側(cè)重上網(wǎng)行為管理和內(nèi)容審計(jì),中間人技術(shù)應(yīng)用在內(nèi)容審計(jì)以及過濾上。
a,untangel:第二代防火墻,專業(yè)防火墻加網(wǎng)絡(luò)管理 側(cè)重防火墻以及應(yīng)用網(wǎng)站過濾。價(jià)格牛產(chǎn)品牛,系統(tǒng)開放,有條件可以試試,網(wǎng)站介紹,他們號(hào)稱開源,不過估計(jì)瞎扯淡了。
b.WSG上網(wǎng)行為管理網(wǎng)關(guān),基本防火墻加網(wǎng)絡(luò)管理 側(cè)重上網(wǎng)行為記錄,以及應(yīng)用過濾網(wǎng)站過濾,中間技術(shù)用在用在SSL郵件監(jiān)控以及HTTPS網(wǎng)站監(jiān)控上,內(nèi)容過濾。親民產(chǎn)品,系統(tǒng)開放有技術(shù)條件用戶都可以測(cè)試使用。
