一、定义
控制与管理用户对互联网的使用的一个硬件平台。
二、需求背景(为什么需要上网行为管理)
主要是了满足相关的法律法规的要求，解决上网难监管，宽带滥用，网络违法，安全威胁以及信息泄露等问题。
三、部署方式
1.路由模式：功能最齐全，但是会改变原有的网络环境。
2.透明模式：无法实现路由功能，其他功能不受限制，对网络环境改变不大。
3.旁路模式：功能最受限制，除行为记录外，实现的功能类似IDS，但是它不会改变现有的网络环境，不会影响数据包的转发速度，不会造成单点故障，同时也不能实现身份认证，对URL过滤和应用控制能力较弱。

四、功能
上网行为管理的功能主要有身份认证，URL过滤，应用控制，带宽管理，行为审计。
五、身份认证
认证过程如下：
1.用户先对域名进行DNS解析；
2.用户对解析出来的服务器地址进行TCP三次握手；
3.用户向服务器发送GET/POST请求；
4.上网行为管理拦截用户发送的请求，且伪装成服务器向用户发送重定向报文（302），将用户重定向至认证页面，重定向页面的地址放在重定向报文中的Location字段里。
5.用户需使用合法的账号密码登陆成功才能上网；
6.同时上网行为管理会记录成功登录用户的IP地址和MAC地址、上网时长等等信息；

认证类型有本地认证和AAA服务器认证。

• 本地认证就是上网行为管理自身消耗资源来存储账号密码，用户进行身份认证的时候也会消耗上网行为管理的资源。
• AAA服务器认证就是将用户名和密码存储在单独的AAA服务器上，不浪费上网行为管理的资源，用户进行身份认证的时候，只需要等待AAA服务器反馈的结果。
  六、URL过滤
  URL过滤又分为HTTP和HTTPS，以及自定义URL过滤。
  HTTP：
  URL获取：上网行为管理检测用户GET请求内的host字段，进行URL过滤。
  封堵行为：上网行为管理伪造成目标服务器向用户发送重定向报文，提示用户目标不可访问，然后发送TCP RST报文断开用户与服务器的TCP连接。

HTTPS：
URL获取：用户跟网站服务器进行TCP三次握手之后，在SSL协议的第一阶段，用户会向服务器发送Client hello报文，该报文中的Sever name字段等同于HTTP中用户GET请求的host字段，上网行为管理通过该字段来进行URL过滤。
封堵行为：直接发送TCP RST报文断开用户与服务器的TCP连接，不发重定向报文提示。

自定义的URL过滤：对URL库中，没有的URL，可以自定义添加需要过滤的URL。
七、应用控制
应用控制主要是通过深度行为检测技术来实现，其中深度行为检测技术又分为深度包检测技术和深度流检测技术。
深度包检测技术（DPI）：对数据包的数据内容进行分析，判断应用类型。

深度流检测技术：基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。

如图：可以通过检测数据流的平均包长、下载时长等区分应用类型。
备注：DFI仅对流量行为进行分析，所以只能对应用类型进行笼统分类。
八、带宽管理
带宽管理就是对带宽的合理使用，即规定什么应用可以使用多少带宽。
九、行为审计
行为审计主要有内容审计扩展，SSL解密，OICQ解密。
内容免审计：
免审计Key：带有免审计Key的主机的行为不受上网行为管理记录。
数据中心Key： 有数据中心Key的主机才能查看上网行为管理的记录日志。

SSL解密（SSL中间人代理）：客户端使用HTTPS与外界通信时，上网行为管理会伪造成客户端的目的服务器与客户端之间形成一对**，因此上网行为管理可以解密客户端发送的内容，在确保内容无异常后，上网行为管理会与客户端目的服务器通信形成另一对**，将原来解密后的客户端的数据包重新加密后转发至目的服务器，代理客户端与目的服务器通信。

OICQ解密：通过安装插件在客户端本地的数据库中读取QQ的聊天记录，并写入到上网行为管理的日志中心。