深信服上网行为管理-上网策略介绍

1、深信服上网行为管理上网策略介绍培训内容培训目标SSL内容识别1、掌握SSL内容识别能识别的协议类型2、掌握SSL内容识别配置，并能根据实际场景配置达到效果。邮件延迟审计1、了解邮件延迟审计应用场景2、掌握邮件延迟审计配置，并能根据实际场景配置达到效果。网页内容审计1、了解网页内容审计配置流量配额1、了解流量配额配置上网时长控制并发连接数控制1、了解上网时长控制配置1、了解并发连接数控制配置代理控制1、了解代理控制应用场景及配置SSL内容识别应用背景互联网越来越多论坛，web邮箱等均采用了加密，传统的审计设备无法做到对加密内容的审计。AC 的SSL内容识别功能完美支持审计加密内容，并且支持过滤加

2、密邮件。协议 端口加密方式 审计过滤是否需要启用内容识别HTTPS443SSLYY是POP3-SSL995SSLYN是POP3110非加密YN否SMTP-SSL465SSLYY是SMTP-TLS25TLSYY是SMTP25非加密YY否IMAP143非加密YN否IMAP-TLS143TLSYN是IMAP-SSL993SSLYN是AC支持审计及过滤的加密协议配置步骤举例：用户名为support，IP地址为08的用户使用加密发送邮件（如QQ邮箱加密发送邮件），需要审计下来。1、因为上网策略都需要关联给用户/组等适用对象，且终端在通过认证时才会匹配上关联的策略。所以先要建立用户/组适用对象及认证策略，

3、并且用户要通过AC认证。这里假设用户support, IP地址为 08已通过设备认证。用户support位于渠道认证测试组，且已通过设备认证2、需要先确认多功能序列号已激活SSL内容识别，默认是激活的。如下图。3、建立上网权限策略启用SSL内容识别，并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别，填写，支持通配，也可以写成web加密内容识别后的动作，可以审计，关键字过滤客户端加密发送接收邮件识别（如smtps/pop3s）默认识别加密客户端所有发送接收邮件，如果有例外情况，在这里排除服务器地址识别后的动作，要以审计或邮件过滤。设置是否开启识别加密接收邮件内容4

4、、新建上网审计策略，启用邮件审计，并和用户support关联5、效果验证QQ邮箱发送邮件默认是非加密的，进入如下设置QQ邮箱全程https加密，如下图。确认QQ邮箱全程https加密之后，测试PC登录QQ邮箱，发送测试邮件，如下图。启用ssl内容识别后，打开https网站，首先弹出证书告警对话框，如果要消除此对话框，可以从设备下载证书安装到PC上安装在测试PC上下载此证书安装数据中心记录下来用户support发送的测试邮件注意1、SSL内容识别是通过设备程序代理实现的，所以需要确保设备本身可以上网SSL内容识别才生效。2、SSL内容识别，需PC解析被识别网站域名的流量经过设备，所以现场测试时，

5、建议将电脑的DNS地址配置成公网地址。邮件延迟审计应用背景邮件延迟审计指内网发送邮件经过设备时，设备先拦截下来，然后由管理员审核后再发出去，客户防止邮件外发泄密时会有此需求。此功能适用于smtp发送邮件延迟审计，一般是邮件客户端发送邮件。可以根据邮件地址，邮件附件个数，邮件附件大小，邮件标题或正文内容等进行延延审计。举例：客户需求向163邮箱发送邮件需要延迟审计，或邮件正文或标题中含有“iloveyou”关键字的也需要延迟审计1、新建邮件延迟审计策略并和用户关联，如下图配置步骤填写审核人邮箱，当有邮件需要延迟审计时，设备发送邮件到审核人邮箱，以便及时提醒审核人。注意，需要设置告警事件才能发送提

6、醒邮件2、设置邮件延迟审计选项，如下图3、新建上网审计策略，勾选邮件审计并和用户关联（可以不设置审计策略，不影响邮件的延迟审计测试，为了方便查看邮件的发送内容这里开启审计策略。）4、效果验证配置foxmail邮件客户端如下图，并向163发一封邮件测试。注意1、邮件延迟审计是通过设备程序代理实现的，所以需要确保设备本身可以上网邮件延迟审计才生效。2、邮件延迟审计只针对smtp发送邮件，且端口为标准端口tcp 25才生效，其它均无效。代理控制应用背景互联网提供web在线代理，翻墙工具很多，内网电脑通过外网代理上网很容易绕过设备控制。代理控制功能，可以做到内网电脑通过外网web在线代理，翻墙工具等代

7、理上网举例：客户需求封堵内网所有用户通过外网web在线代理，翻墙工具等代理上网，以便绕过管控1、新建上网权限策略，启用代理控制并关联给用户，如下图配置步骤2、按照上面配置后，内网用户便无法通过外网web在线代理，翻墙工具等代理上网。网页内容审计网页内容审计指设备可以记录用户访问网页所有内容，生成网页快照。网页内容审计策略比较耗性能，默认不开启，除非客户有此需求，否则也不建议开启。举例：客户需求记录内网所有用户访问所有网站内容。建立上网审计策略，启用网页内容审计并关联给所有用户，如下图所示。效果验证：测试电脑访问,数据中心记录访问网站内容，并生成快照，如下图流量配额流量配额可以控制每个用户每天或

8、每月可以使用多少流量，超过任一限制都上不了网。举例：限制内网用户每天600M流量，每个月6G流量，超过则无法上网。建立流量配额与时长控制策略并与用户关联。终端用户使用的流量如果超过了配额，则打开网页提示如下，提示页面可以自定义上网时长控制上网时长控制可以控制用户在指定时间内（如上班时间）最长可以上网的时间，超过控制时间，则无法上网举例：限制内网用户上班时间只能上网30分钟，超过则无法上网。建立流量配额与时长控制策略并与用户关联。定义排除列表，排除非人为产生的上网时长，如软件更新，杀毒更新等应该排除，不记入上网时间终端用户上网时长如果超过了限制，则打开网页提示如下，提示页面可以自定义并发连接数控制并发连接数控制可以控制用户经过设备的连接数在限定范围内，超过限制，则异常（如网页打不开）举例：限制内网用户并发连接数不能超过500。建立流量配额与时长控制策略并与用户关联。终端用户连接数如果超过限制，则异常（如网页打不开），不会给终端弹提示页面。注意：连接数控制不区分具体应用，可能会导致打不开网页。所以实际场景中，建议不要使用此功能，如有连接数控制需求的，建议使用流控，也能达到预期效果。练练手本章PPT在介绍SSL内容识别时，只介绍了web加密邮件审计，你结合本节所学