SANGFOR_AC_v10_XXXX年度渠道高级认证培训06_上网策略.pptVIP

培训内容 培训目标 SSL内容识别 1、掌握SSL内容识别能识别的协议类型 2、掌握SSL内容识别配置，并能根据实际场景配置达到效果 用户限额策略 网页内容审计 1、了解网页内容审计配置 代理控制 1、了解代理控制应用场景及配置 1、了解用户限额策略的使用场景 2、了解用户限额策略的配置 此章节我们将学习到的上网策略有SSL内容识别，代理控制，网页内容审计，用户限额策略。其中我们需要重点掌握的是SSL内容识别。 SSL内容识别 应用背景 互联网越来越多论坛，web邮箱等均采用了加密，传统的审计设备无法做到对加密内容的审计。AC 的SSL内容识别功能完美支持审计加密内容，并且支持过滤加密邮件。 协议 端口 加密方式 审计 过滤 是否需要启用ｓｓｌ内容识别 HTTPS 443 SSL Y Y 是 POP3-SSL 995 SSL Y N 是 POP3 110 非加密 Y N 否 SMTP-SSL 465 SSL Y Y 是 SMTP-TLS 25 TLS Y Y 是 SMTP 25 非加密 Y Y 否 IMAP 143 非加密 Y N 否 IMAP-TLS 143 TLS Y N 是 IMAP-SSL 993 SSL Y N 是 AC支持审计及过滤的加密协议 SSL内容识别原理介绍 Webmail、webbbs等网络应用采用SSL加密方式访问的时候，主要是使用安全证书来实现身份效验以及传输的加密，AC设备通过伪造安全证书，代理客户端的访问来实现对传输的加密信息进行识别，从而达到内容的审计，以及行为的控制。 详细过程见下页PPT图片：当内网PC端发起SSL连接请求的时候，设备会以代理服务器的身份，去代理SSL客户端发出访问请求给SSL服务器，并以SSL客户端的身份跟SSL服务器完成交互后，AC再以SSL服务器的身份回应内网PC的SSL访问请求。 在这整个过程中，设备既作为内网pc的SSL服务端存在，同时也作为外网SSL服务器的客户端存在。所以，SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的，而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的，而并非来自于真实的SSL服务器。 SSL内容识别原理介绍 配置步骤 举例：用户名为support，IP地址为08的用户使用加密发送邮件（如QQ邮箱加密发送邮件），需要审计下来。 1、因为上网策略都需要关联给用户/组等适用对象，且终端在通过认证时才会匹配上关联的策略。所以先要建立用户/组适用对象及认证策略，并且用户要通过AC认证。这里假设用户support, IP地址为 08已通过设备认证。 用户support位于渠道认证测试组，且已通过设备认证 2、需要先确认多功能序列号已激活SSL内容识别，默认是激活的。如下图。 3、建立上网权限策略启用SSL内容识别，并和用户support关联 https协议加密识别 加密网站域名在域名列表中才会识别，填写，支持通配，也可以写成 web加密内容识别后的动作，可以审计，关键字过滤 客户端加密发送接收邮件识别（如smtps/pop3s） 默认识别加密客户端所有发送接收邮件，如果有例外情况，在这里排除服务器地址 识别后的动作，要以审计或邮件过滤。设置是否开启识别加密接收邮件内容 4、新建上网审计策略，启用邮件审计，并和用户support关联 5、效果验证 QQ邮箱发送邮件默认是非加密的，进入如下设置QQ邮箱全程https加密，如下图。 确认QQ邮箱全程https加密之后，测试PC登录QQ邮箱，发送测试邮件，如下图。 启用ssl内容识别后，打开https网站，首先弹出证书告警对话框，如果要消除此对话框，可以从设备下载证书安装到PC上 注意 1、路由模式下SSL内容识别是通过设备程序代理实现的，所以需要确保设备本身可以上网SSL内容识别才生效。 2、SSL内容识别，需PC解析被识别网站域名的流量经过设备，所以现场测试时，建议将电脑的DNS地址配置成公网地址。 用户限额策略 流量配额可以控制每个用户每天或每月可以使用多少流量，超过限制可以进行提醒和处罚。 处罚方式有两种：一种是不切断用户上网，但是把用户的上网流量引入一条惩罚通道进行流量控制；一种是直接禁止用户上网。 配置如下： 流量配额 根据客户需求设定配额 设置提醒以及处罚方式： 这里设置配额达到90%时每隔一分钟进行页面提醒。处罚方式选择添加到处罚通道，此时需要去流控模块配置相应的处罚通道。 终端用户使用的流量如果超过了配额，则打开网页提示如下，提示页面可以自定义。点击继续访问，用户可以继续上网行为，但是速度会受到惩罚通道的限制。 时长配额可以控制每个用户每天上网的在线时长或使用应用的时长，超过限制可以进行提醒和处罚。 处罚方式有两种：一