SANGFOR-AC-v-XXXX年度渠道高級(jí)認(rèn)證培訓(xùn)-上網(wǎng)策略

上網(wǎng)策略培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SSL內(nèi)容識(shí)別1、掌握SSL內(nèi)容識(shí)別能識(shí)別的協(xié)議類型2、掌握SSL內(nèi)容識(shí)別配置，并能根據(jù)實(shí)際場景配置達(dá)到效果用戶限額策略網(wǎng)頁內(nèi)容審計(jì)1、了解網(wǎng)頁內(nèi)容審計(jì)配置代理控制1、了解代理控制應(yīng)用場景及配置1、了解用戶限額策略的使用場景2、了解用戶限額策略的配置此章節(jié)我們將學(xué)習(xí)到的上網(wǎng)策略有SSL內(nèi)容識(shí)別，代理控制，網(wǎng)頁內(nèi)容審計(jì)，用戶限額策略。其中我們需要重點(diǎn)掌握的是SSL內(nèi)容識(shí)別。SSL內(nèi)容識(shí)別應(yīng)用背景互聯(lián)網(wǎng)越來越多論壇，web郵箱等均采用了加密，傳統(tǒng)的審計(jì)設(shè)備無法做到對(duì)加密內(nèi)容的審計(jì)。AC的SSL內(nèi)容識(shí)別功能完美支持審計(jì)加密內(nèi)容，并且支持過濾加密郵件。AC支持審計(jì)及過濾的加密協(xié)議SSL內(nèi)容識(shí)別原理介紹Webmail、webbbs等網(wǎng)絡(luò)應(yīng)用采用SSL加密方式訪問的時(shí)候，主要是使用安全證書來實(shí)現(xiàn)身份效驗(yàn)以及傳輸?shù)募用埽珹C設(shè)備通過偽造安全證書，代理客戶端的訪問來實(shí)現(xiàn)對(duì)傳輸?shù)募用苄畔⑦M(jìn)行識(shí)別，從而達(dá)到內(nèi)容的審計(jì)，以及行為的控制。詳細(xì)過程見下頁P(yáng)PT圖片：當(dāng)內(nèi)網(wǎng)PC端發(fā)起SSL連接請(qǐng)求的時(shí)候，設(shè)備會(huì)以代理服務(wù)器的身份，去代理SSL客戶端發(fā)出訪問請(qǐng)求給SSL服務(wù)器，并以SSL客戶端的身份跟SSL服務(wù)器完成交互后，AC再以SSL服務(wù)器的身份回應(yīng)內(nèi)網(wǎng)PC的SSL訪問請(qǐng)求。在這整個(gè)過程中，設(shè)備既作為內(nèi)網(wǎng)pc的SSL服務(wù)端存在，同時(shí)也作為外網(wǎng)SSL服務(wù)器的客戶端存在。所以，SSL客戶端跟AC的交互過程是采用的AC證書進(jìn)行數(shù)據(jù)加密的，而SSL服務(wù)器跟AC的交互過程是采用SSL服務(wù)器證書來進(jìn)行數(shù)據(jù)加密的。因此用戶端看到的證書是來自于AC的，而并非來自于真實(shí)的SSL服務(wù)器。SSL內(nèi)容識(shí)別原理介紹配置步驟舉例：用戶名為support，IP地址為08的用戶使用加密發(fā)送郵件（如QQ郵箱加密發(fā)送郵件），需要審計(jì)下來。1、因?yàn)樯暇W(wǎng)策略都需要關(guān)聯(lián)給用戶/組等適用對(duì)象，且終端在通過認(rèn)證時(shí)才會(huì)匹配上關(guān)聯(lián)的策略。所以先要建立用戶/組適用對(duì)象及認(rèn)證策略，并且用戶要通過AC認(rèn)證。這里假設(shè)用戶support,IP地址為08已通過設(shè)備認(rèn)證。用戶support位于渠道認(rèn)證測試組，且已通過設(shè)備認(rèn)證2、需要先確認(rèn)多功能序列號(hào)已激活SSL內(nèi)容識(shí)別，默認(rèn)是激活的。如下圖。3、建立上網(wǎng)權(quán)限策略啟用SSL內(nèi)容識(shí)別，并和用戶support關(guān)聯(lián)https協(xié)議加密識(shí)別加密網(wǎng)站域名在域名列表中才會(huì)識(shí)別，填寫，支持通配，也可以寫成web加密內(nèi)容識(shí)別后的動(dòng)作，可以審計(jì)，關(guān)鍵字過濾客戶端加密發(fā)送接收郵件識(shí)別（如smtps/pop3s）默認(rèn)識(shí)別加密客戶端所有發(fā)送接收郵件，如果有例外情況，在這里排除服務(wù)器地址識(shí)別后的動(dòng)作，要以審計(jì)或郵件過濾。設(shè)置是否開啟識(shí)別加密接收郵件內(nèi)容4、新新建上上網(wǎng)審審計(jì)策策略，，啟用用郵件件審計(jì)計(jì)，并并和用用戶support關(guān)聯(lián)聯(lián)5、效效果驗(yàn)驗(yàn)證QQ郵郵箱發(fā)發(fā)送郵郵件默默認(rèn)是是非加加密的的，進(jìn)進(jìn)入如如下設(shè)設(shè)置QQ郵郵箱全全程https加密密，如如下圖圖。確認(rèn)QQ郵郵箱全全程https加密密之后后，測測試PC登登錄QQ郵郵箱，，發(fā)送送測試試郵件件，如如下圖圖。啟用ssl內(nèi)容容識(shí)別別后，，打開開https網(wǎng)網(wǎng)站，，首先先彈出出證書書告警警對(duì)話話框，，如果果要消消除此此對(duì)話話框，，可以以從設(shè)設(shè)備下下載證證書安安裝到到PC上注意1、路路由模模式下下SSL內(nèi)內(nèi)容識(shí)識(shí)別是是通過過設(shè)備備程序序代理理實(shí)現(xiàn)現(xiàn)的，，所以以需要要確保保設(shè)備備本身身可以以上網(wǎng)網(wǎng)SSL內(nèi)內(nèi)容識(shí)識(shí)別才才生效效。2、SSL內(nèi)容容識(shí)別別，需需PC解析析被識(shí)識(shí)別網(wǎng)網(wǎng)站域域名的的流量量經(jīng)過過設(shè)備備，所所以現(xiàn)現(xiàn)場測測試時(shí)時(shí)，建建議將將電腦腦的DNS地址址配置置成公公網(wǎng)地地址。。用戶限額額策略流量配額額可以控控制每個(gè)個(gè)用戶每每天或每每月可以以使用多多少流量量，超過過限制可可以進(jìn)行行提醒和和處罰。。處罰方式式有兩種種：一種種是不切切斷用戶戶上網(wǎng)，，但是把把用戶的的上網(wǎng)流流量引入入一條懲懲罰通道道進(jìn)行流流量控制制；一種種是直接接禁止用用戶上網(wǎng)網(wǎng)。配配置如下下：流量配額額根據(jù)客戶戶需求設(shè)設(shè)定配額額設(shè)置提醒醒以及處處罰方式式：這里設(shè)置置配額達(dá)達(dá)到90%時(shí)每隔一一分鐘進(jìn)進(jìn)行頁面面提醒。。處罰方方式選擇擇添加到到處罰通通道，此此時(shí)需要要去流控控模塊配配置相應(yīng)應(yīng)的處罰罰通道。。終端用戶戶使用的的流量如如果超過過了配額額，則打打開網(wǎng)頁頁提示如如下，提提示頁面面可以自自定義。。點(diǎn)擊繼繼續(xù)訪問問，用戶戶可以繼繼續(xù)上網(wǎng)網(wǎng)行為，，但是速速度會(huì)受受到懲罰罰通道的的限制。。時(shí)長配額額可以控控制每個(gè)個(gè)用戶每每天上網(wǎng)網(wǎng)的在線線時(shí)長或或使用應(yīng)應(yīng)用的時(shí)時(shí)長，超超過限制制可以進(jìn)進(jìn)行提醒醒和處罰罰。處罰方式式有兩種種：一種種是不切切斷用戶戶上網(wǎng)，，但是把把用戶的的上網(wǎng)流流量引入入一條懲懲罰通道道進(jìn)行流流量控制制；一種種是直接接禁止用用戶上網(wǎng)網(wǎng)。配配置如下下：時(shí)長配額額根據(jù)客戶戶需求選選擇統(tǒng)計(jì)計(jì)時(shí)間和和統(tǒng)計(jì)應(yīng)應(yīng)用處罰方式式這里也也可以選選擇懲罰罰通道和和禁止上上網(wǎng)，此此處我們們選擇禁禁止上網(wǎng)網(wǎng)測試終端用戶戶上網(wǎng)時(shí)時(shí)長如果果超過了了限制，，則打開開網(wǎng)頁提提示如下下，提示示頁面可可以自定定義流速限制制可以控控制每個(gè)個(gè)用戶每每天上網(wǎng)網(wǎng)的流速速，如果果一定統(tǒng)統(tǒng)計(jì)時(shí)間間內(nèi)流速速超過限限制可以以進(jìn)行提提醒和處處罰。處罰方式式有兩種種：一種種是不切切斷用戶戶上網(wǎng)，，但是把把用戶的的上網(wǎng)流流量引入入一條懲懲罰通道道進(jìn)行流流量控制制；一種種是直接接禁止用用戶上網(wǎng)網(wǎng)。配配置如下下：流速限制制根據(jù)客戶戶需求選選擇統(tǒng)計(jì)計(jì)的應(yīng)用用并設(shè)定定閾值此處處罰罰方式也也有兩種種，此處處測試選選擇禁止止上網(wǎng)終端用戶戶上網(wǎng)流流速如果果超過了了限制，，則打開開網(wǎng)頁提提示如下下，提示示頁面可可以自定定義并發(fā)連接接數(shù)控制制并發(fā)連接接數(shù)控制制主要控控制單用用戶的并并發(fā)連接接數(shù)。處罰方式式有兩種種：禁止上網(wǎng)網(wǎng)，則用用戶連接接數(shù)超限限后指定定的時(shí)間間內(nèi)將被被凍結(jié)上上網(wǎng)；禁止創(chuàng)建建新的連連接，這這樣用戶戶超出限限額部分分的新建建連接無無法建立立，但是是已有連連接不會(huì)會(huì)中斷，，如果現(xiàn)現(xiàn)有連接接斷開后后，依舊舊可以正正常上網(wǎng)網(wǎng)。終端用戶戶連接數(shù)數(shù)如果超超過限制制，則異常（（如網(wǎng)頁頁打不開開），不不會(huì)給終終端彈提提示頁面面。在AC的控制臺(tái)臺(tái)【受懲用用戶列表表】會(huì)顯顯示凍結(jié)結(jié)詳情。。注意：連連接數(shù)控控制不區(qū)區(qū)分具體體應(yīng)用，，可能會(huì)會(huì)導(dǎo)致打打不開網(wǎng)網(wǎng)頁。所所以實(shí)際際場景中中，建議議不要使使用此功功能，如如有連接接數(shù)控制制需求的的，建議議使用流流控，也也能達(dá)到到預(yù)期效效果。在線終端端限制在線終端端限制用用于控制制單用戶戶上線終終端的個(gè)個(gè)數(shù)。處罰方式式：用戶同一一個(gè)賬號(hào)號(hào)下終端端數(shù)超過過配置的的限額值值后，凍凍結(jié)該賬賬號(hào)上網(wǎng)網(wǎng)10分鐘。超超額終端端的用戶戶是認(rèn)證證通過馬馬上下線線的狀態(tài)態(tài)，偶爾爾會(huì)彈出出認(rèn)證界界面偶爾爾彈出終終端超限限頁面。。終端用戶戶終端數(shù)數(shù)如果超超過了限限制，則則打開網(wǎng)網(wǎng)頁提示示如下，，提示頁頁面可以以自定義義注意事項(xiàng)項(xiàng)：流量配額額中，當(dāng)當(dāng)日配額額、月配配額同時(shí)時(shí)超限了了，只生生效1次/提示1次。沖突突時(shí)，以以日配額額為準(zhǔn)。。流量配額額中每月月起始日日期，AC里面是一一個(gè)全局局配置來來的，即即使配了了多條策策略，在在其中一一條里面面修改這這個(gè)配置置，其他他策略也也會(huì)跟著著改變。。時(shí)長配額額中，““應(yīng)用時(shí)時(shí)長”是是指用戶戶產(chǎn)生的的應(yīng)用流流量通過過設(shè)備的的時(shí)間的的累加。。用戶同時(shí)時(shí)使用3個(gè)應(yīng)用，，用了5分鐘；那那么應(yīng)用用時(shí)長也也是5分鐘，而而不是15分鐘。用用戶分分別使用用3個(gè)應(yīng)用，，每個(gè)用用了5分鐘；那那么應(yīng)用用時(shí)長是是15分鐘。““在線時(shí)時(shí)長”是是指用戶戶在線時(shí)時(shí)間的累累加。流量配額額、時(shí)長長配額、、流速限限制、并并發(fā)連接接限制，，這四個(gè)個(gè)配額，，都是基基于用戶戶的。所所以如果果是公共共賬號(hào)，，同一個(gè)個(gè)用戶名名下同時(shí)時(shí)有多個(gè)個(gè)IP在線，則則這些IP的流量都都會(huì)統(tǒng)計(jì)計(jì)到一個(gè)個(gè)用戶名名上，一一起算配配額。在線終端端數(shù)限制制中，允允許每用用戶同時(shí)時(shí)在線的的終端個(gè)個(gè)數(shù)，只只針對(duì)公公共賬號(hào)號(hào)生效。。代理控制制應(yīng)用背景景互聯(lián)網(wǎng)提提供web在線線代理，，翻墻工工具很多多，內(nèi)網(wǎng)網(wǎng)電腦通通過外網(wǎng)網(wǎng)代理上上網(wǎng)很容容易繞過過設(shè)備控控制。代代理控制制功能，，可以做做到內(nèi)網(wǎng)網(wǎng)電腦通通過外網(wǎng)網(wǎng)web在線代代理，翻翻墻工具具等代理理上網(wǎng)舉例：客客戶需求求封堵內(nèi)內(nèi)網(wǎng)所有有用戶通通過外網(wǎng)網(wǎng)web在在線代理理，翻墻墻工具等等代理上上網(wǎng)，防防止繞過過管控1、新建建上網(wǎng)權(quán)權(quán)限策略略，啟用用代理控控制并關(guān)關(guān)聯(lián)給用用戶，如如下圖配置步驟驟2、按照照上面配配置后，，內(nèi)網(wǎng)用用戶便無無法通過過外網(wǎng)web在在線代理理，翻墻墻工具等等代理上上網(wǎng)。網(wǎng)頁內(nèi)容容審計(jì)網(wǎng)頁內(nèi)容容審計(jì)指指設(shè)備可可以記錄錄用戶訪訪問網(wǎng)頁頁所有內(nèi)內(nèi)容，生生成網(wǎng)頁頁快照。。網(wǎng)頁內(nèi)容容審計(jì)策策略比較較耗性能能，默認(rèn)認(rèn)不開啟啟，除非非客戶有有此需求求，否則則也不建建議開啟啟。舉例：客客戶需求求記錄內(nèi)內(nèi)網(wǎng)所有有用戶訪訪問所有有網(wǎng)站內(nèi)內(nèi)容。建建立上網(wǎng)網(wǎng)審計(jì)策策略，啟啟用網(wǎng)頁頁內(nèi)容審審計(jì)并關(guān)關(guān)聯(lián)給所所有用戶戶，如下下圖所示示。練練手本章PPT在介介紹SSL內(nèi)容容識(shí)別時(shí)時(shí)，只介介紹了web加加密郵件件審計(jì)，，你結(jié)合合本節(jié)所所學(xué)內(nèi)容容，嘗試試自己動(dòng)動(dòng)手完成成加密客客戶端發(fā)發(fā)送郵件件審計(jì)及及加密客客戶端發(fā)發(fā)送郵件件過濾實(shí)實(shí)驗(yàn)。您來試試吧！1.用戶配額額中哪些些策略可可以調(diào)用用流控懲懲罰通道道？2.啟用SSL內(nèi)容容識(shí)別會(huì)會(huì)彈出證證書不安安全告警警框，請(qǐng)請(qǐng)問怎樣樣消除此此告警框框？3.請(qǐng)簡簡述https論壇發(fā)發(fā)貼關(guān)鍵鍵字過濾濾配置步步驟問題思考考Tel:400-630-6430Email:support@9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。1月月-231月月-23Wednesday,January4,202310、雨中中黃葉葉樹，，燈下下白頭頭人。。。22:24:1922:24:1922:241/4/202310:24:19PM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。1月-2322:24:1922:24Jan-2304-Jan-2312、故人江江海別，，幾度隔隔山川。。。22:24:1922:24:1922:24Wednesday,January4,202313、乍見翻疑夢夢，相悲各問問年。。1月-231月-2322:24:1922:24:19January4,202314、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。04一月月202310:24:19下下午22:24:191月-2315、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。一月月2310:24下下午午1月月-2322:24January4,202316、行動(dòng)出出成果，，工作出出財(cái)富。。。2023/1/422:24:1922:24:1904January202317、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。10:24:19下下午午10:24下下午22:24:191月-239、沒有失敗敗，只有暫暫時(shí)停止成成功！。1月-231月-23Wednesday,January4,202310、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。22:24:1922:24:1922:241/4/202310:24:19PM11、成功功就是是日復(fù)復(fù)一日日那一一點(diǎn)點(diǎn)點(diǎn)小小小努力力的積積累。。。1月-2322:24:1922:24Jan-2304-Jan-2312、世間間成事事，不不求其其絕對(duì)對(duì)圓滿滿，留留一份份不足足，可可得無無限完完美。。。22:24:1922:24:1922:24Wednesday,January4,202313、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。1月月-231月月-2322:24:1922:24:19January4,202314、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。04一一月202310:24:19下下午22:24:191月-2315、楚塞三湘湘接，荊門門九派通。。。。一月2310:24下午1月-2322:24January4,202316、少年十五五二十時(shí)，，步行奪得得胡馬騎。。。2023/1/422:24:2022:24:2004January202317、空山新雨后后，天氣晚來來秋。。10:24:20下午午10:24下下午22:24:201月-239、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。1月-231月-23Wednesday,January4,202310、閱讀讀一切切好書書如同同和過過去最最杰出出的