搜索
上网策略培训内容培训目标SSL内容识别1、掌握SSL内容识别能识别的协议类型2、掌握SSL内容识别配置,并能根据实际场景配置达到效果用户限额策略网页内容审计1、了解网页内容审计配置代理控制1、了解代理控制应用场景及配置1、了解用户限额策略的使用场景2、了解用户限额策略的配置此章节我们将学习到的上网策略有SSL内容识别,代理控制,网页内容审计,用户限额策略。其中我们需要重点掌握的是SSL内容识别。SSL内容识别应用背景互联网越来越多论坛,web邮箱等均采用了加密,传统的审计设备无法做到对加密内容的审计。AC的SSL内容识别功能完美支持审计加密内容,并且支持过滤加密邮件。协议端口加密方式审计过滤是否需要启用ssl内容识别HTTPS443SSLYY是POP3-SSL995SSLYN是POP3110非加密YN否SMTP-SSL465SSLYY是SMTP-TLS25TLSYY是SMTP25非加密YY否IMAP143非加密YN否IMAP-TLS143TLSYN是IMAP-SSL993SSLYN是AC支持审计及过滤的加密协议SSL内容识别原理介绍•Webmail、webbbs等网络应用采用SSL加密方式访问的时候,主要是使用安全证书来实现身份效验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制。•详细过程见下页PPT图片:当内网PC端发起SSL连接请求的时候,设备会以代理服务器的身份,去代理SSL客户端发出访问请求给SSL服务器,并以SSL客户端的身份跟SSL服务器完成交互后,AC再以SSL服务器的身份回应内网PC的SSL访问请求。•在这整个过程中,设备既作为内网pc的SSL服务端存在,同时也作为外网SSL服务器的客户端存在。所以,SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的,而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的,而并非来自于真实的SSL服务器。SSL内容识别原理介绍配置步骤举例:用户名为support,IP地址为192.200.200.108的用户使用加密发送邮件(如QQ邮箱加密发送邮件),需要审计下来。1、因为上网策略都需要关联给用户/组等适用对象,且终端在通过认证时才会匹配上关联的策略。所以先要建立用户/组适用对象及认证策略,并且用户要通过AC认证。这里假设用户support,IP地址为192.200.200.108已通过设备认证。用户support位于渠道认证测试组,且已通过设备认证2、需要先确认多功能序列号已激活SSL内容识别,默认是激活的。如下图。3、建立上网权限策略启用SSL内容识别,并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别,填写mail.qq.com,支持通配,也可以写成qq.comweb加密内容识别后的动作,可以审计,关键字过滤客户端加密发送接收邮件识别(如smtps/pop3s)默认识别加密客户端所有发送接收邮件,如果有例外情况,在这里排除服务器地址识别后的动作,要以审计或邮件过滤。设置是否开启识别加密接收邮件内容4、新建上网审计策略,启用邮件审计,并和用户support关联5、效果验证QQ邮箱发送邮件默认是非加密的,进入如下设置QQ邮箱全程https加密,如下图。确认QQ邮箱全程https加密之后,测试PC登录QQ邮箱,发送测试邮件,如下图。启用ssl内容识别后,打开https网站,首先弹出证书告警对话框,如果要消除此对话框,可以从设备下载证书安装到PC上注意1、路由模式下SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网SSL内容识别才生效。2、SSL内容识别,需PC解析被识别网站域名的流量经过设备,所以现场测试时,建议将电脑的DNS地址配置成公网地址。用户限额策略流量配额可以控制每个用户每天或每月可以使用多少流量,超过限制可以进行提醒和处罚。处罚方式有两种:一种是不切断用户上网,但是把用户的上网流量引入一条惩罚通道进行流量控制;一种是直接禁止用户上网。配置如下:流量配额根据客户需求设定配额设置提醒以及处罚方式:这里设置配额达到90%时每隔一分钟进行页面提醒。处罚方式选择添加到处罚通道,此时需要去流控模块配置相应的处罚通道。终端用户使用的流量如果超过了配额,则打开网页提示如下,提示页面可以自定义。点击继续访问,用户可以继续上网行为,但是速度会受到惩罚通道的限制。时长配额可以控制每个用户每天上网的在线时长或使用应用的时长,超过限制可以进行提醒和处罚。处罚方式有两种:一种是不切断用户上网,但是把用户的上网流量引入一条惩罚通道进行流量控制;一种是直接禁止用户上网。配置如下:时长配额根据客户需求选择统计时间和统计应用处罚方式这里也可以选择惩罚通道和禁止上网,此处我们选择禁止上网测试终端用户上网时长如果超过了限制,则打开网页提示如下,提示页面可以自定义流速限制可以控制每个用户每天上网的流速,如果一定统计时间内流速超过限制可以进行提醒和处罚。处罚方式有两种:一种是不切断用户上网,但是把用户的上网流量引入一条惩罚通道进行流量控制;一种是直接禁止用户上网。配置如下:流速限制根据客户需求选择统计的应用并设定阈值此处处罚方式也有两种,此处测试选择禁止上网终端用户上网流速如果超过了限制,则打开网页提示如下,提示页面可以自定义并发连接数控制并发连接数控制主要控制单用户的并发连接数。处罚方式有两种:禁止上网,则用户连接数超限后指定的时间内将被冻结上网;禁止创建新的连接,这样用户超出限额部分的新建连接无法建立,但是已有连接不会中断,如果现有连接断开后,依旧可以正常上网。终端用户连接数如果超过限制,则异常(如网页打不开),不会给终端弹提示页面。在AC的控制台【受惩用户列表】会显示冻结详情。注意:连接数控制不区分具体应用,可能会导致打不开网页。所以实际场景中,建议不要使用此功能,如有连接数控制需求的,建议使用流控,也能达到预期效果。在线终端限制在线终端限制用于控制单用户上线终端的个数。处罚方式:用户同一个账号下终端数超过配置的限额值后,冻结该账号上网10分钟。超额终端的用户是认证通过马上下线的状态,偶尔会弹出认证界面偶尔弹出终端超限页面。终端用户终端数如果超过了限制,则打开网页提示如下,提示页面可以自定义注意事项:1.流量配额中,当日配额、月配额同时超限了,只生效1次/提示1次。冲突时,以日配额为准。2.流量配额中每月起始日期,AC里面是一个全局配置来的,即使配了多条策略,在其中一条里面修改这个配置,其他策略也会跟着改变。3.时长配额中,“应用时长”是指用户产生的应用流量通过设备的时间的累加。用户同时使用3个应用,用了5分钟;那么应用时长也是5分钟,而不是15分钟。用户分别使用3个应用,每个用了5分钟;那么应用时长是15分钟。“在线时长”是指用户在线时间的累加。4.流量配额、时长配额、流速限制、并发连接限制,这四个配额,都是基于用户的。所以如果是公共账号,同一个用户名下同时有多个IP在线,则这些IP的流量都会统计到一个用户名上,一起算配额。5.在线终端数限制中,允许每用户同时在线的终端个数,只针对公共账号生效。代理控制应用背景互联网提供web在线代理,翻墙工具很多,内网电脑通过外网代理上网很容易绕过设备控制。代理控制功能,可以做到内网电脑通过外网web在线代理,翻墙工具等代理上网举例:客户需求封堵内网所有用户通过外网web在线代理,翻墙工具等代理上网,防止绕过管控1、新建上网权限策略,启用代理控制并关联给用户,如下图配置步骤2、按照上面配置后,内网用户便无法通过外网web在线代理,翻墙工具等代理上网。网页内容审计网页内容审计指设备可以记录用户访问网页所有内容,生成网页快照。网页内容审计策略比较耗性能,默认不开启,除非客户有此需求,否则也不建议开启。举例:客户需求记录内网所有用户访问所有网站内容。建立上网审计策略,启用网页内容审计并关联给所有用户,如下图所示。效果验证:测试电脑访问数据中心记录访问网站内容,并生成快照,如下图练练手本章PPT在介绍SSL内容识别时,只介绍了web加密邮件审计,你结合本节所学内容,尝试自己动手完成加密客户端发送邮件审计及加密客户端发送邮件过滤实验。您来试试吧!1.用户配额中哪些策略可以调用流控惩罚通道?2.启用SSL内容识别会弹出证书不安全告警框,请问怎样消除此告警框?3.请简述https论坛发贴关键字过滤配置步骤问题思考Tel:400-630-6430Email:support@sangfor.com.cn