深信服上網(wǎng)行為管理-上網(wǎng)策略介紹

1、深信服上網(wǎng)行為管理上網(wǎng)策略介紹培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SSL內(nèi)容識(shí)別1、掌握SSL內(nèi)容識(shí)別能識(shí)別的協(xié)議類型2、掌握SSL內(nèi)容識(shí)別配置，并能根據(jù)實(shí)際場(chǎng)景配置達(dá)到效果。郵件延遲審計(jì)1、了解郵件延遲審計(jì)應(yīng)用場(chǎng)景2、掌握郵件延遲審計(jì)配置，并能根據(jù)實(shí)際場(chǎng)景配置達(dá)到效果。網(wǎng)頁(yè)內(nèi)容審計(jì)1、了解網(wǎng)頁(yè)內(nèi)容審計(jì)配置流量配額1、了解流量配額配置上網(wǎng)時(shí)長(zhǎng)控制并發(fā)連接數(shù)控制1、了解上網(wǎng)時(shí)長(zhǎng)控制配置1、了解并發(fā)連接數(shù)控制配置代理控制1、了解代理控制應(yīng)用場(chǎng)景及配置SSL內(nèi)容識(shí)別應(yīng)用背景互聯(lián)網(wǎng)越來(lái)越多論壇，web郵箱等均采用了加密，傳統(tǒng)的審計(jì)設(shè)備無(wú)法做到對(duì)加密內(nèi)容的審計(jì)。AC 的SSL內(nèi)容識(shí)別功能完美支持審計(jì)加密內(nèi)容，并且支持過(guò)濾加

2、密郵件。協(xié)議 端口加密方式 審計(jì)過(guò)濾是否需要啟用內(nèi)容識(shí)別HTTPS443SSLYY是POP3-SSL995SSLYN是POP3110非加密YN否SMTP-SSL465SSLYY是SMTP-TLS25TLSYY是SMTP25非加密YY否IMAP143非加密YN否IMAP-TLS143TLSYN是IMAP-SSL993SSLYN是AC支持審計(jì)及過(guò)濾的加密協(xié)議配置步驟舉例：用戶名為support，IP地址為08的用戶使用加密發(fā)送郵件（如QQ郵箱加密發(fā)送郵件），需要審計(jì)下來(lái)。1、因?yàn)樯暇W(wǎng)策略都需要關(guān)聯(lián)給用戶/組等適用對(duì)象，且終端在通過(guò)認(rèn)證時(shí)才會(huì)匹配上關(guān)聯(lián)的策略。所以先要建立用戶/組適用對(duì)象及認(rèn)證策略，

3、并且用戶要通過(guò)AC認(rèn)證。這里假設(shè)用戶support, IP地址為 08已通過(guò)設(shè)備認(rèn)證。用戶support位于渠道認(rèn)證測(cè)試組，且已通過(guò)設(shè)備認(rèn)證2、需要先確認(rèn)多功能序列號(hào)已激活SSL內(nèi)容識(shí)別，默認(rèn)是激活的。如下圖。3、建立上網(wǎng)權(quán)限策略啟用SSL內(nèi)容識(shí)別，并和用戶support關(guān)聯(lián)https協(xié)議加密識(shí)別加密網(wǎng)站域名在域名列表中才會(huì)識(shí)別，填寫，支持通配，也可以寫成web加密內(nèi)容識(shí)別后的動(dòng)作，可以審計(jì)，關(guān)鍵字過(guò)濾客戶端加密發(fā)送接收郵件識(shí)別（如smtps/pop3s）默認(rèn)識(shí)別加密客戶端所有發(fā)送接收郵件，如果有例外情況，在這里排除服務(wù)器地址識(shí)別后的動(dòng)作，要以審計(jì)或郵件過(guò)濾。設(shè)置是否開啟識(shí)別加密接收郵件內(nèi)容4

4、、新建上網(wǎng)審計(jì)策略，啟用郵件審計(jì)，并和用戶support關(guān)聯(lián)5、效果驗(yàn)證QQ郵箱發(fā)送郵件默認(rèn)是非加密的，進(jìn)入如下設(shè)置QQ郵箱全程https加密，如下圖。確認(rèn)QQ郵箱全程https加密之后，測(cè)試PC登錄QQ郵箱，發(fā)送測(cè)試郵件，如下圖。啟用ssl內(nèi)容識(shí)別后，打開https網(wǎng)站，首先彈出證書告警對(duì)話框，如果要消除此對(duì)話框，可以從設(shè)備下載證書安裝到PC上安裝在測(cè)試PC上下載此證書安裝數(shù)據(jù)中心記錄下來(lái)用戶support發(fā)送的測(cè)試郵件注意1、SSL內(nèi)容識(shí)別是通過(guò)設(shè)備程序代理實(shí)現(xiàn)的，所以需要確保設(shè)備本身可以上網(wǎng)SSL內(nèi)容識(shí)別才生效。2、SSL內(nèi)容識(shí)別，需PC解析被識(shí)別網(wǎng)站域名的流量經(jīng)過(guò)設(shè)備，所以現(xiàn)場(chǎng)測(cè)試時(shí)，

5、建議將電腦的DNS地址配置成公網(wǎng)地址。郵件延遲審計(jì)應(yīng)用背景郵件延遲審計(jì)指內(nèi)網(wǎng)發(fā)送郵件經(jīng)過(guò)設(shè)備時(shí)，設(shè)備先攔截下來(lái)，然后由管理員審核后再發(fā)出去，客戶防止郵件外發(fā)泄密時(shí)會(huì)有此需求。此功能適用于smtp發(fā)送郵件延遲審計(jì)，一般是郵件客戶端發(fā)送郵件?？梢愿鶕?jù)郵件地址，郵件附件個(gè)數(shù)，郵件附件大小，郵件標(biāo)題或正文內(nèi)容等進(jìn)行延延審計(jì)。舉例：客戶需求向163郵箱發(fā)送郵件需要延遲審計(jì)，或郵件正文或標(biāo)題中含有“iloveyou”關(guān)鍵字的也需要延遲審計(jì)1、新建郵件延遲審計(jì)策略并和用戶關(guān)聯(lián)，如下圖配置步驟填寫審核人郵箱，當(dāng)有郵件需要延遲審計(jì)時(shí)，設(shè)備發(fā)送郵件到審核人郵箱，以便及時(shí)提醒審核人。注意，需要設(shè)置告警事件才能發(fā)送提

6、醒郵件2、設(shè)置郵件延遲審計(jì)選項(xiàng)，如下圖3、新建上網(wǎng)審計(jì)策略，勾選郵件審計(jì)并和用戶關(guān)聯(lián)（可以不設(shè)置審計(jì)策略，不影響郵件的延遲審計(jì)測(cè)試，為了方便查看郵件的發(fā)送內(nèi)容這里開啟審計(jì)策略。）4、效果驗(yàn)證配置foxmail郵件客戶端如下圖，并向163發(fā)一封郵件測(cè)試。注意1、郵件延遲審計(jì)是通過(guò)設(shè)備程序代理實(shí)現(xiàn)的，所以需要確保設(shè)備本身可以上網(wǎng)郵件延遲審計(jì)才生效。2、郵件延遲審計(jì)只針對(duì)smtp發(fā)送郵件，且端口為標(biāo)準(zhǔn)端口tcp 25才生效，其它均無(wú)效。代理控制應(yīng)用背景互聯(lián)網(wǎng)提供web在線代理，翻墻工具很多，內(nèi)網(wǎng)電腦通過(guò)外網(wǎng)代理上網(wǎng)很容易繞過(guò)設(shè)備控制。代理控制功能，可以做到內(nèi)網(wǎng)電腦通過(guò)外網(wǎng)web在線代理，翻墻工具等代

7、理上網(wǎng)舉例：客戶需求封堵內(nèi)網(wǎng)所有用戶通過(guò)外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)，以便繞過(guò)管控1、新建上網(wǎng)權(quán)限策略，啟用代理控制并關(guān)聯(lián)給用戶，如下圖配置步驟2、按照上面配置后，內(nèi)網(wǎng)用戶便無(wú)法通過(guò)外網(wǎng)web在線代理，翻墻工具等代理上網(wǎng)。網(wǎng)頁(yè)內(nèi)容審計(jì)網(wǎng)頁(yè)內(nèi)容審計(jì)指設(shè)備可以記錄用戶訪問(wèn)網(wǎng)頁(yè)所有內(nèi)容，生成網(wǎng)頁(yè)快照。網(wǎng)頁(yè)內(nèi)容審計(jì)策略比較耗性能，默認(rèn)不開啟，除非客戶有此需求，否則也不建議開啟。舉例：客戶需求記錄內(nèi)網(wǎng)所有用戶訪問(wèn)所有網(wǎng)站內(nèi)容。建立上網(wǎng)審計(jì)策略，啟用網(wǎng)頁(yè)內(nèi)容審計(jì)并關(guān)聯(lián)給所有用戶，如下圖所示。效果驗(yàn)證：測(cè)試電腦訪問(wèn),數(shù)據(jù)中心記錄訪問(wèn)網(wǎng)站內(nèi)容，并生成快照，如下圖流量配額流量配額可以控制每個(gè)用戶每天或

8、每月可以使用多少流量，超過(guò)任一限制都上不了網(wǎng)。舉例：限制內(nèi)網(wǎng)用戶每天600M流量，每個(gè)月6G流量，超過(guò)則無(wú)法上網(wǎng)。建立流量配額與時(shí)長(zhǎng)控制策略并與用戶關(guān)聯(lián)。終端用戶使用的流量如果超過(guò)了配額，則打開網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義上網(wǎng)時(shí)長(zhǎng)控制上網(wǎng)時(shí)長(zhǎng)控制可以控制用戶在指定時(shí)間內(nèi)（如上班時(shí)間）最長(zhǎng)可以上網(wǎng)的時(shí)間，超過(guò)控制時(shí)間，則無(wú)法上網(wǎng)舉例：限制內(nèi)網(wǎng)用戶上班時(shí)間只能上網(wǎng)30分鐘，超過(guò)則無(wú)法上網(wǎng)。建立流量配額與時(shí)長(zhǎng)控制策略并與用戶關(guān)聯(lián)。定義排除列表，排除非人為產(chǎn)生的上網(wǎng)時(shí)長(zhǎng)，如軟件更新，殺毒更新等應(yīng)該排除，不記入上網(wǎng)時(shí)間終端用戶上網(wǎng)時(shí)長(zhǎng)如果超過(guò)了限制，則打開網(wǎng)頁(yè)提示如下，提示頁(yè)面可以自定義并發(fā)連接數(shù)控制并發(fā)連接數(shù)控制可以控制用戶經(jīng)過(guò)設(shè)備的連接數(shù)在限定范圍內(nèi)，超過(guò)限制，則異常（如網(wǎng)頁(yè)打不開）舉例：限制內(nèi)網(wǎng)用戶并發(fā)連接數(shù)不能超過(guò)500。建立流量配額與時(shí)長(zhǎng)控制策略并與用戶關(guān)聯(lián)。終端用戶連接數(shù)如果超過(guò)限制，則異常（如網(wǎng)頁(yè)打不開），不會(huì)給終端彈提示頁(yè)面。注意：連接數(shù)控制不區(qū)分具體應(yīng)用，可能會(huì)導(dǎo)致打不開網(wǎng)頁(yè)。所以實(shí)際場(chǎng)景中，建議不要使用此功能，如有連接數(shù)控制需求的，建議使用流控，也能達(dá)到預(yù)期效果。練練手本章PPT在介紹SSL內(nèi)容識(shí)別時(shí)，只介紹了web加密郵件審計(jì)，你結(jié)合本節(jié)所學(xué)