1、上網(wǎng)策略培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SSL內(nèi)容識(shí)別1、掌握SSL內(nèi)容識(shí)別能識(shí)別的協(xié)議類(lèi)型2、掌握SSL內(nèi)容識(shí)別配置，并能根據(jù)實(shí)際場(chǎng)景配置達(dá)到效果用戶限額策略網(wǎng)頁(yè)內(nèi)容審計(jì)1、了解網(wǎng)頁(yè)內(nèi)容審計(jì)配置代理控制1、了解代理控制應(yīng)用場(chǎng)景及配置1、了解用戶限額策略的使用場(chǎng)景2、了解用戶限額策略的配置此章節(jié)我們將學(xué)習(xí)到的上網(wǎng)策略有SSL內(nèi)容識(shí)別，代理控制，網(wǎng)頁(yè)內(nèi)容審計(jì)，用戶限額策略。其中我們需要重點(diǎn)掌握的是SSL內(nèi)容識(shí)別。SSL內(nèi)容識(shí)別應(yīng)用背景互聯(lián)網(wǎng)越來(lái)越多論壇，web郵箱等均采用了加密，傳統(tǒng)的審計(jì)設(shè)備無(wú)法做到對(duì)加密內(nèi)容的審計(jì)。AC 的SSL內(nèi)容識(shí)別功能完美支持審計(jì)加密內(nèi)容，并且支持過(guò)濾加密郵件。協(xié)議 端口加密方式 審計(jì)

2、過(guò)濾是否需要啟用內(nèi)容識(shí)別HTTPS443SSLYY是POP3-SSL995SSLYN是POP3110非加密YN否SMTP-SSL465SSLYY是SMTP-TLS25TLSYY是SMTP25非加密YY否IMAP143非加密YN否IMAP-TLS143TLSYN是IMAP-SSL993SSLYN是AC支持審計(jì)及過(guò)濾的加密協(xié)議SSL內(nèi)容識(shí)別原理介紹Webmail、webbbs等網(wǎng)絡(luò)應(yīng)用采用SSL加密方式訪問(wèn)的時(shí)候，主要是使用安全證書(shū)來(lái)實(shí)現(xiàn)身份效驗(yàn)以及傳輸?shù)募用埽珹C設(shè)備通過(guò)偽造安全證書(shū)，代理客戶端的訪問(wèn)來(lái)實(shí)現(xiàn)對(duì)傳輸?shù)募用苄畔⑦M(jìn)行識(shí)別，從而達(dá)到內(nèi)容的審計(jì)，以及行為的控制。詳細(xì)過(guò)程見(jiàn)下頁(yè)P(yáng)PT圖片：當(dāng)

3、內(nèi)網(wǎng)PC端發(fā)起SSL連接請(qǐng)求的時(shí)候，設(shè)備會(huì)以代理服務(wù)器的身份，去代理SSL客戶端發(fā)出訪問(wèn)請(qǐng)求給SSL服務(wù)器，并以SSL客戶端的身份跟SSL服務(wù)器完成交互后，AC再以SSL服務(wù)器的身份回應(yīng)內(nèi)網(wǎng)PC的SSL訪問(wèn)請(qǐng)求。在這整個(gè)過(guò)程中，設(shè)備既作為內(nèi)網(wǎng)pc的SSL服務(wù)端存在，同時(shí)也作為外網(wǎng)SSL服務(wù)器的客戶端存在。所以，SSL客戶端跟AC的交互過(guò)程是采用的AC證書(shū)進(jìn)行數(shù)據(jù)加密的，而SSL服務(wù)器跟AC的交互過(guò)程是采用SSL服務(wù)器證書(shū)來(lái)進(jìn)行數(shù)據(jù)加密的。因此用戶端看到的證書(shū)是來(lái)自于AC的，而并非來(lái)自于真實(shí)的SSL服務(wù)器。SSL內(nèi)容識(shí)別原理介紹配置步驟舉例：用戶名為support，IP地址為192.200.20

4、0.108的用戶使用加密發(fā)送郵件（如QQ郵箱加密發(fā)送郵件），需要審計(jì)下來(lái)。1、因?yàn)樯暇W(wǎng)策略都需要關(guān)聯(lián)給用戶/組等適用對(duì)象，且終端在通過(guò)認(rèn)證時(shí)才會(huì)匹配上關(guān)聯(lián)的策略。所以先要建立用戶/組適用對(duì)象及認(rèn)證策略，并且用戶要通過(guò)AC認(rèn)證。這里假設(shè)用戶support, IP地址為 08已通過(guò)設(shè)備認(rèn)證。用戶support位于渠道認(rèn)證測(cè)試組，且已通過(guò)設(shè)備認(rèn)證2、需要先確認(rèn)多功能序列號(hào)已激活SSL內(nèi)容識(shí)別，默認(rèn)是激活的。如下圖。3、建立上網(wǎng)權(quán)限策略啟用SSL內(nèi)容識(shí)別，并和用戶support關(guān)聯(lián)https協(xié)議加密識(shí)別加密網(wǎng)站域名在域名列表中才會(huì)識(shí)別，填寫(xiě)，支持通配，也可以寫(xiě)成web加密內(nèi)容

5、識(shí)別后的動(dòng)作，可以審計(jì)，關(guān)鍵字過(guò)濾客戶端加密發(fā)送接收郵件識(shí)別（如smtps/pop3s）默認(rèn)識(shí)別加密客戶端所有發(fā)送接收郵件，如果有例外情況，在這里排除服務(wù)器地址識(shí)別后的動(dòng)作，要以審計(jì)或郵件過(guò)濾。設(shè)置是否開(kāi)啟識(shí)別加密接收郵件內(nèi)容4、新建上網(wǎng)審計(jì)策略，啟用郵件審計(jì)，并和用戶support關(guān)聯(lián)5、效果驗(yàn)證QQ郵箱發(fā)送郵件默認(rèn)是非加密的，進(jìn)入如下設(shè)置QQ郵箱全程https加密，如下圖。確認(rèn)QQ郵箱全程https加密之后，測(cè)試PC登錄QQ郵箱，發(fā)送測(cè)試郵件，如下圖。啟用ssl內(nèi)容識(shí)別后，打開(kāi)https網(wǎng)站，首先彈出證書(shū)告警對(duì)話框，如果要消除此對(duì)話框，可以從設(shè)備下載證書(shū)安裝到PC上注意1、路由模式下SSL

6、內(nèi)容識(shí)別是通過(guò)設(shè)備程序代理實(shí)現(xiàn)的，所以需要確保設(shè)備本身可以上網(wǎng)SSL內(nèi)容識(shí)別才生效。2、SSL內(nèi)容識(shí)別，需PC解析被識(shí)別網(wǎng)站域名的流量經(jīng)過(guò)設(shè)備，所以現(xiàn)場(chǎng)測(cè)試時(shí)，建議將電腦的DNS地址配置成公網(wǎng)地址。用戶限額策略流量配額可以控制每個(gè)用戶每天或每月可以使用多少流量，超過(guò)限制可以進(jìn)行提醒和處罰。處罰方式有兩種：一種是不切斷用戶上網(wǎng)，但是把用戶的上網(wǎng)流量引入一條懲罰通道進(jìn)行流量控制；一種是直接禁止用戶上網(wǎng)。 配置如下：流量配額根據(jù)客戶需求設(shè)定配額設(shè)置提醒以及處罰方式：這里設(shè)置配額達(dá)到90%時(shí)每隔一分鐘進(jìn)行頁(yè)面提醒。處罰方式選擇添加到處罰通道，此時(shí)需要去流控模塊配置相應(yīng)的處罰通道。終端用戶使用的流量如果

7、超過(guò)了配額，則打開(kāi)網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義。點(diǎn)擊繼續(xù)訪問(wèn)，用戶可以繼續(xù)上網(wǎng)行為，但是速度會(huì)受到懲罰通道的限制。時(shí)長(zhǎng)配額可以控制每個(gè)用戶每天上網(wǎng)的在線時(shí)長(zhǎng)或使用應(yīng)用的時(shí)長(zhǎng)，超過(guò)限制可以進(jìn)行提醒和處罰。處罰方式有兩種：一種是不切斷用戶上網(wǎng)，但是把用戶的上網(wǎng)流量引入一條懲罰通道進(jìn)行流量控制；一種是直接禁止用戶上網(wǎng)。 配置如下：時(shí)長(zhǎng)配額根據(jù)客戶需求選擇統(tǒng)計(jì)時(shí)間和統(tǒng)計(jì)應(yīng)用處罰方式這里也可以選擇懲罰通道和禁止上網(wǎng)，此處我們選擇禁止上網(wǎng)測(cè)試終端用戶上網(wǎng)時(shí)長(zhǎng)如果超過(guò)了限制，則打開(kāi)網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義流速限制可以控制每個(gè)用戶每天上網(wǎng)的流速，如果一定統(tǒng)計(jì)時(shí)間內(nèi)流速超過(guò)限制可以進(jìn)行提醒和處罰。處

8、罰方式有兩種：一種是不切斷用戶上網(wǎng)，但是把用戶的上網(wǎng)流量引入一條懲罰通道進(jìn)行流量控制；一種是直接禁止用戶上網(wǎng)。 配置如下：流速限制根據(jù)客戶需求選擇統(tǒng)計(jì)的應(yīng)用并設(shè)定閾值此處處罰方式也有兩種，此處測(cè)試選擇禁止上網(wǎng)終端用戶上網(wǎng)流速如果超過(guò)了限制，則打開(kāi)網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義并發(fā)連接數(shù)控制并發(fā)連接數(shù)控制主要控制單用戶的并發(fā)連接數(shù)。處罰方式有兩種：禁止上網(wǎng)，則用戶連接數(shù)超限后指定的時(shí)間內(nèi)將被凍結(jié)上網(wǎng)；禁止創(chuàng)建新的連接，這樣用戶超出限額部分的新建連接無(wú)法建立，但是已有連接不會(huì)中斷，如果現(xiàn)有連接斷開(kāi)后，依舊可以正常上網(wǎng)。終端用戶連接數(shù)如果超過(guò)限制，則異常（如網(wǎng)頁(yè)打不開(kāi)），不會(huì)給終端彈提示頁(yè)面。在A

9、C的控制臺(tái)【受懲用戶列表】會(huì)顯示凍結(jié)詳情。注意：連接數(shù)控制不區(qū)分具體應(yīng)用，可能會(huì)導(dǎo)致打不開(kāi)網(wǎng)頁(yè)。所以實(shí)際場(chǎng)景中，建議不要使用此功能，如有連接數(shù)控制需求的，建議使用流控，也能達(dá)到預(yù)期效果。在線終端限制在線終端限制用于控制單用戶上線終端的個(gè)數(shù)。處罰方式：用戶同一個(gè)賬號(hào)下終端數(shù)超過(guò)配置的限額值后，凍結(jié)該賬號(hào)上網(wǎng)10分鐘。超額終端的用戶是認(rèn)證通過(guò)馬上下線的狀態(tài)，偶爾會(huì)彈出認(rèn)證界面偶爾彈出終端超限頁(yè)面。終端用戶終端數(shù)如果超過(guò)了限制，則打開(kāi)網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義注意事項(xiàng)：流量配額中，當(dāng)日配額、月配額同時(shí)超限了，只生效1次/提示1次。沖突時(shí)，以日配額為準(zhǔn)。流量配額中每月起始日期，AC里面是一個(gè)全局

10、配置來(lái)的，即使配了多條策略，在其中一條里面修改這個(gè)配置，其他策略也會(huì)跟著改變。時(shí)長(zhǎng)配額中，“應(yīng)用時(shí)長(zhǎng)”是指用戶產(chǎn)生的應(yīng)用流量通過(guò)設(shè)備的時(shí)間的累加。 用戶同時(shí)使用3個(gè)應(yīng)用，用了5分鐘；那么應(yīng)用時(shí)長(zhǎng)也是5分鐘，而不是15分鐘。 用戶分別使用3個(gè)應(yīng)用，每個(gè)用了5分鐘；那么應(yīng)用時(shí)長(zhǎng)是15分鐘?！霸诰€時(shí)長(zhǎng)”是指用戶在線時(shí)間的累加。流量配額、時(shí)長(zhǎng)配額、流速限制、并發(fā)連接限制，這四個(gè)配額，都是基于用戶的。所以如果是公共賬號(hào)，同一個(gè)用戶名下同時(shí)有多個(gè)IP在線，則這些IP的流量都會(huì)統(tǒng)計(jì)到一個(gè)用戶名上，一起算配額。在線終端數(shù)限制中，允許每用戶同時(shí)在線的終端個(gè)數(shù)，只針對(duì)公共賬號(hào)生效。代理控制應(yīng)用背景互聯(lián)網(wǎng)提供web

11、在線代理，翻墻工具很多，內(nèi)網(wǎng)電腦通過(guò)外網(wǎng)代理上網(wǎng)很容易繞過(guò)設(shè)備控制。代理控制功能，可以做到內(nèi)網(wǎng)電腦通過(guò)外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)舉例：客戶需求封堵內(nèi)網(wǎng)所有用戶通過(guò)外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)，防止繞過(guò)管控1、新建上網(wǎng)權(quán)限策略，啟用代理控制并關(guān)聯(lián)給用戶，如下圖配置步驟2、按照上面配置后，內(nèi)網(wǎng)用戶便無(wú)法通過(guò)外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)。網(wǎng)頁(yè)內(nèi)容審計(jì)網(wǎng)頁(yè)內(nèi)容審計(jì)指設(shè)備可以記錄用戶訪問(wèn)網(wǎng)頁(yè)所有內(nèi)容，生成網(wǎng)頁(yè)快照。網(wǎng)頁(yè)內(nèi)容審計(jì)策略比較耗性能，默認(rèn)不開(kāi)啟，除非客戶有此需求，否則也不建議開(kāi)啟。舉例：客戶需求記錄內(nèi)網(wǎng)所有用戶訪問(wèn)所有網(wǎng)站內(nèi)容。建立上網(wǎng)審計(jì)策略，啟用網(wǎng)頁(yè)內(nèi)容審計(jì)并關(guān)聯(lián)給所有用戶，如下圖所示。效果驗(yàn)證：測(cè)試電腦訪問(wèn),數(shù)據(jù)中心記錄訪問(wèn)網(wǎng)站內(nèi)容，并生成快照，如下圖練練手本章PPT在介紹SSL內(nèi)容識(shí)別時(shí)，只介紹了web加密郵件審計(jì)，你結(jié)合本節(jié)所學(xué)內(nèi)容，嘗試自己動(dòng)手完成加密客戶端發(fā)送郵件審計(jì)及加密客戶端發(fā)送郵件過(guò)濾實(shí)驗(yàn)。您來(lái)試試吧！1.用戶配額中哪些策略可以調(diào)用流控懲罰通道？2.啟用SSL內(nèi)容識(shí)別會(huì)彈出證書(shū)不安全告警框，請(qǐng)問(wèn)怎樣消除此告警框？3.請(qǐng)簡(jiǎn)述https論壇發(fā)貼關(guān)鍵字過(guò)濾配置步驟問(wèn)題思考Tel