SINFORACv20SSL内容识别控制20091216.docVIP

SSL内容识别控制 目录 SSL内容识别控制 1 本文说明 1 SSL内容识别原理 1 SSL内容识别配置方法 2 SSL内容识别审计配置步骤 2 SSL内容识别控制的配置步骤 4 SSL内容识别功能使用注意事项 6 本文说明 AC2.0版本新增了对https、webmail、webbbs、pop3、smtp等采用SSL加密方式访问的网络服务的识别跟控制。本文主要讲述如何配置跟使用该项功能，实现对这4类服务做应用审计和行为控制。 SSL内容识别原理 Webmail、webbbs等网络应用采用SSL加密方式访问的时候，主要是使用安全证书来实现身份效验以及传输的加密，AC设备通过伪造安全证书，代理客户端的访问来实现对传输的加密信息进行识别，从而达到内容的审计，以及行为的控制。 详细过程见下图：当内网PC端发起SSL连接请求的时候，设备会以代理服务器的身份，去代理SSL客户端发出访问请求给SSL服务器，并以SSL客户端的身份跟SSL服务器完成交互后，AC再以SSL服务器的身份回应内网PC的SSL访问请求。 在这整个过程中，设备既作为内网pc的SSL服务端存在，同时也作为外网SSL服务器的客户端存在。所以，SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的，而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的，而并非来自于真实的SSL服务器。 SSL内容识别配置方法 SSL内容识别主要分为2个部分，一个是对SSL传输内容的识别审计，一个是对SSL传输内容的控制。其中控制包括了网页过滤的关键字过滤、文件类型过滤、插件过滤跟脚本过滤，以及邮件过滤、外发文件告警、危险行为识别这几种。 SSL内容识别审计配置步骤 SSL内容识别审计配置步骤： 第一步，启用SSL内容审计，如下图。 在用户上网策略中，【SSL管理】-【SSL内容识别】，勾选【启用SSL内容识别】，勾选【对SSL的传输内容进行内容审计】，接着填写需要对哪个网站做SSL内容识别的审计，写上该网站的主域名即可，如果是对smtp发送的邮件做审计，就填写上邮件服务器的域名。 注意：域名填写的时候是不支持*.*这种全匹配的格式的，同时也不支持填写ip地址。 这里需要填写了域名的对象才审计，是出于安全性的考虑，避免审计到大量的隐私信息。 第二步，开启对https、webmail、webbbs、pop3、smtp等SSL内容审计，如下图。 在用户上网策略中，【应用审计】-【应用审计选项】-【应用内容审计】，选择需要启用哪些审计项，如勾选【邮件审计】中的2项是针对pop3跟smtp服务的内容审计。其他审计项在页面上有完整描述，此处不再累述。 完成以上的配置步骤后，数据中心就可以查询到https、webmail、webbbs、pop3、smtp等网络服务所产生的相应的访问行为记录以及内容。 注意：对于SSL客户端和服务器需要采用双向认证的方式来访问的情况，如果填写了该网站的地址是会影响到用户的访问的，目前不支持这种情况的识别跟控制。 SSL内容识别控制的配置步骤 SSL内容识别支持的控制包括了对ssl网站中通过网页上传的关键字过滤、文件类型过滤、插件过滤跟脚本过滤，以及对ssl加密邮件的过滤、外发文件告警、危险行为识别这几种。 插件过滤、脚本过滤、邮件的过滤、外发文件告警、危险行为识别等控制的配置方法详见技术支持论坛中的各贴：/cn/forum/thread.php?fid=7type=3 下文以文件类型过滤和邮件过滤为例说明配置步骤。 SSL内容识别控制配置方法步骤 第一步，启用SSL内容识别的应用控制。 在用户上网策略中，【SSL管理】-【SSL内容识别】，勾选【启用SSL内容识别】，勾选【对SSL的传输内容进行应用控制】，接着填写需要对哪个网站做SSL应用控制，写上该网站的主域名即可，如果是对smtp发送的邮件做审计，就填写上邮件服务器的域名。 注意：域名填写的时候是不支持*.*这种全匹配的格式的，同时也不支持填写ip地址。 第二步，开启对https、webmail、webbbs、pop3、smtp等SSL内容审计，如下图。 在用户上网策略中，【应用审计】-【应用审计选项】-【应用内容审计】，选择需要启用哪些审计项，如勾选【邮件审计】中的2项是针对pop3跟smtp服务的内容审计。其他审计项在页面上有完整描述，此处不再累述。 第三步，开启SSL内容控制。 SSL内容识别控制-文件类型过滤 完成SSL内容识别跟审计的配置后，如果想要过滤SSL网站中禁止上传或下载指定的文件类型，需要先到【对象设置】-【文件类型组设备中】中定义文件类型，然后在用户上网策略中，启用【网页过滤】-【文件类型】，选择【上传】或【下载】，然后新增