深信服上網(wǎng)行為管理-上網(wǎng)策略介紹

1、深信服上網(wǎng)行為管理上網(wǎng)策略介紹培訓(xùn)內(nèi)容培訓(xùn)目標SSL內(nèi)容識別1、掌握SSL內(nèi)容識別能識別的協(xié)議類型2、掌握SSL內(nèi)容識別配置，并能根據(jù)實際場景配置達到效果。郵件延遲審計1、了解郵件延遲審計應(yīng)用場景2、掌握郵件延遲審計配置，并能根據(jù)實際場景配置達到效果。網(wǎng)頁內(nèi)容審計1、了解網(wǎng)頁內(nèi)容審計配置流量配額1、了解流量配額配置上網(wǎng)時長控制并發(fā)連接數(shù)控制1、了解上網(wǎng)時長控制配置1、了解并發(fā)連接數(shù)控制配置代理控制1、了解代理控制應(yīng)用場景及配置SSL內(nèi)容識別應(yīng)用背景互聯(lián)網(wǎng)越來越多論壇，web郵箱等均采用了加密，傳統(tǒng)的審計設(shè)備無法做到對加密內(nèi)容的審計。AC 的SSL內(nèi)容識別功能完美支持審計加密內(nèi)容，并且支持過濾加

2、密郵件。協(xié)議 端口加密方式 審計過濾是否需要啟用內(nèi)容識別HTTPS443SSLYY是POP3-SSL995SSLYN是POP3110非加密YN否SMTP-SSL465SSLYY是SMTP-TLS25TLSYY是SMTP25非加密YY否IMAP143非加密YN否IMAP-TLS143TLSYN是IMAP-SSL993SSLYN是AC支持審計及過濾的加密協(xié)議配置步驟舉例：用戶名為support，IP地址為08的用戶使用加密發(fā)送郵件（如QQ郵箱加密發(fā)送郵件），需要審計下來。1、因為上網(wǎng)策略都需要關(guān)聯(lián)給用戶/組等適用對象，且終端在通過認證時才會匹配上關(guān)聯(lián)的策略。所以先要建立用戶/組適用對象及認證策略，

3、并且用戶要通過AC認證。這里假設(shè)用戶support, IP地址為 08已通過設(shè)備認證。用戶support位于渠道認證測試組，且已通過設(shè)備認證2、需要先確認多功能序列號已激活SSL內(nèi)容識別，默認是激活的。如下圖。3、建立上網(wǎng)權(quán)限策略啟用SSL內(nèi)容識別，并和用戶support關(guān)聯(lián)https協(xié)議加密識別加密網(wǎng)站域名在域名列表中才會識別，填寫，支持通配，也可以寫成web加密內(nèi)容識別后的動作，可以審計，關(guān)鍵字過濾客戶端加密發(fā)送接收郵件識別（如smtps/pop3s）默認識別加密客戶端所有發(fā)送接收郵件，如果有例外情況，在這里排除服務(wù)器地址識別后的動作，要以審計或郵件過濾。設(shè)置是否開啟識別加密接收郵件內(nèi)容4

4、、新建上網(wǎng)審計策略，啟用郵件審計，并和用戶support關(guān)聯(lián)5、效果驗證QQ郵箱發(fā)送郵件默認是非加密的，進入如下設(shè)置QQ郵箱全程https加密，如下圖。確認QQ郵箱全程https加密之后，測試PC登錄QQ郵箱，發(fā)送測試郵件，如下圖。啟用ssl內(nèi)容識別后，打開https網(wǎng)站，首先彈出證書告警對話框，如果要消除此對話框，可以從設(shè)備下載證書安裝到PC上安裝在測試PC上下載此證書安裝數(shù)據(jù)中心記錄下來用戶support發(fā)送的測試郵件注意1、SSL內(nèi)容識別是通過設(shè)備程序代理實現(xiàn)的，所以需要確保設(shè)備本身可以上網(wǎng)SSL內(nèi)容識別才生效。2、SSL內(nèi)容識別，需PC解析被識別網(wǎng)站域名的流量經(jīng)過設(shè)備，所以現(xiàn)場測試時，

5、建議將電腦的DNS地址配置成公網(wǎng)地址。郵件延遲審計應(yīng)用背景郵件延遲審計指內(nèi)網(wǎng)發(fā)送郵件經(jīng)過設(shè)備時，設(shè)備先攔截下來，然后由管理員審核后再發(fā)出去，客戶防止郵件外發(fā)泄密時會有此需求。此功能適用于smtp發(fā)送郵件延遲審計，一般是郵件客戶端發(fā)送郵件?？梢愿鶕?jù)郵件地址，郵件附件個數(shù)，郵件附件大小，郵件標題或正文內(nèi)容等進行延延審計。舉例：客戶需求向163郵箱發(fā)送郵件需要延遲審計，或郵件正文或標題中含有“iloveyou”關(guān)鍵字的也需要延遲審計1、新建郵件延遲審計策略并和用戶關(guān)聯(lián)，如下圖配置步驟填寫審核人郵箱，當有郵件需要延遲審計時，設(shè)備發(fā)送郵件到審核人郵箱，以便及時提醒審核人。注意，需要設(shè)置告警事件才能發(fā)送提

6、醒郵件2、設(shè)置郵件延遲審計選項，如下圖3、新建上網(wǎng)審計策略，勾選郵件審計并和用戶關(guān)聯(lián)（可以不設(shè)置審計策略，不影響郵件的延遲審計測試，為了方便查看郵件的發(fā)送內(nèi)容這里開啟審計策略。）4、效果驗證配置foxmail郵件客戶端如下圖，并向163發(fā)一封郵件測試。注意1、郵件延遲審計是通過設(shè)備程序代理實現(xiàn)的，所以需要確保設(shè)備本身可以上網(wǎng)郵件延遲審計才生效。2、郵件延遲審計只針對smtp發(fā)送郵件，且端口為標準端口tcp 25才生效，其它均無效。代理控制應(yīng)用背景互聯(lián)網(wǎng)提供web在線代理，翻墻工具很多，內(nèi)網(wǎng)電腦通過外網(wǎng)代理上網(wǎng)很容易繞過設(shè)備控制。代理控制功能，可以做到內(nèi)網(wǎng)電腦通過外網(wǎng)web在線代理，翻墻工具等代

7、理上網(wǎng)舉例：客戶需求封堵內(nèi)網(wǎng)所有用戶通過外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)，以便繞過管控1、新建上網(wǎng)權(quán)限策略，啟用代理控制并關(guān)聯(lián)給用戶，如下圖配置步驟2、按照上面配置后，內(nèi)網(wǎng)用戶便無法通過外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)。網(wǎng)頁內(nèi)容審計網(wǎng)頁內(nèi)容審計指設(shè)備可以記錄用戶訪問網(wǎng)頁所有內(nèi)容，生成網(wǎng)頁快照。網(wǎng)頁內(nèi)容審計策略比較耗性能，默認不開啟，除非客戶有此需求，否則也不建議開啟。舉例：客戶需求記錄內(nèi)網(wǎng)所有用戶訪問所有網(wǎng)站內(nèi)容。建立上網(wǎng)審計策略，啟用網(wǎng)頁內(nèi)容審計并關(guān)聯(lián)給所有用戶，如下圖所示。效果驗證：測試電腦訪問,數(shù)據(jù)中心記錄訪問網(wǎng)站內(nèi)容，并生成快照，如下圖流量配額流量配額可以控制每個用戶每天或

8、每月可以使用多少流量，超過任一限制都上不了網(wǎng)。舉例：限制內(nèi)網(wǎng)用戶每天600M流量，每個月6G流量，超過則無法上網(wǎng)。建立流量配額與時長控制策略并與用戶關(guān)聯(lián)。終端用戶使用的流量如果超過了配額，則打開網(wǎng)頁提示如下，提示頁面可以自定義上網(wǎng)時長控制上網(wǎng)時長控制可以控制用戶在指定時間內(nèi)（如上班時間）最長可以上網(wǎng)的時間，超過控制時間，則無法上網(wǎng)舉例：限制內(nèi)網(wǎng)用戶上班時間只能上網(wǎng)30分鐘，超過則無法上網(wǎng)。建立流量配額與時長控制策略并與用戶關(guān)聯(lián)。定義排除列表，排除非人為產(chǎn)生的上網(wǎng)時長，如軟件更新，殺毒更新等應(yīng)該排除，不記入上網(wǎng)時間終端用戶上網(wǎng)時長如果超過了限制，則打開網(wǎng)頁提示如下，提示頁面可以自定義并發(fā)連接數(shù)控制并發(fā)連接數(shù)控制可以控制用戶經(jīng)過設(shè)備的連接數(shù)在限定范圍內(nèi)，超過限制，則異常（如網(wǎng)頁打不開）舉例：限制內(nèi)網(wǎng)用戶并發(fā)連接數(shù)不能超過500。建立流量配額與時長控制策略并與用戶關(guān)聯(lián)。終端用戶連接數(shù)如果超過限制，則異常（如網(wǎng)頁打不開），不會給終端彈提示頁面。注意：連接數(shù)控制不區(qū)分具體應(yīng)用，可能會導(dǎo)致打不開網(wǎng)頁。所以實際場景中，建議不要使用此功能，如有連接數(shù)控制需求的，建議使用流控，也能達到預(yù)期效果。練練手本章PPT在介紹SSL內(nèi)容識別時，只介紹了web加密郵件審計，你結(jié)合本節(jié)所學(xué)