SANGFOR_AC_v11.0_2016年度渠道高级认证培训06_上网策略

上网策略,1、了解用户限额策略的使用场景2、了解用户限额策略的配置,此章节我们将学习到的上网策略有SSL内容识别，代理控制，网页内容审计，用户限额策略。其中我们需要重点掌握的是SSL内容识别。,SSL内容识别,应用背景,互联网越来越多论坛，web邮箱等均采用了加密，传统的审计设备无法做到对加密内容的审计。AC的SSL内容识别功能完美支持审计加密内容，并且支持过滤加密邮件。,AC支持审计及过滤的加密协议,SSL内容识别原理介绍,Webmail、webbbs等网络应用采用SSL加密方式访问的时候，主要是使用安全证书来实现身份效验以及传输的加密，AC设备通过伪造安全证书，代理客户端的访问来实现对传输的加密信息进行识别，从而达到内容的审计，以及行为的控制。详细过程见下页PPT图片：当内网PC端发起SSL连接请求的时候，设备会以代理服务器的身份，去代理SSL客户端发出访问请求给SSL服务器，并以SSL客户端的身份跟SSL服务器完成交互后，AC再以SSL服务器的身份回应内网PC的SSL访问请求。在这整个过程中，设备既作为内网pc的SSL服务端存在，同时也作为外网SSL服务器的客户端存在。所以，SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的，而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的，而并非来自于真实的SSL服务器。,SSL内容识别原理介绍,配置步骤,举例：用户名为support，IP地址为08的用户使用加密发送邮件（如QQ邮箱加密发送邮件），需要审计下来。,1、因为上网策略都需要关联给用户/组等适用对象，且终端在通过认证时才会匹配上关联的策略。所以先要建立用户/组适用对象及认证策略，并且用户要通过AC认证。这里假设用户support,IP地址为08已通过设备认证。,用户support位于渠道认证测试组，且已通过设备认证,2、需要先确认多功能序列号已激活SSL内容识别，默认是激活的。如下图。,3、建立上网权限策略启用SSL内容识别，并和用户support关联,加密网站域名在域名列表中才会识别，填写，支持通配，也可以写成,web加密内容识别后的动作，可以审计，关键字过滤,默认识别加密客户端所有发送接收邮件，如果有例外情况，在这里排除服务器地址,识别后的动作，要以审计或邮件过滤。设置是否开启识别加密接收邮件内容,4、新建上网审计策略，启用邮件审计，并和用户support关联,5、效果验证,QQ邮箱发送邮件默认是非加密的，进入如下设置QQ邮箱全程https加密，如下图。,确认QQ邮箱全程https加密之后，测试PC登录QQ邮箱，发送测试邮件，如下图。,启用ssl内容识别后，打开https网站，首先弹出证书告警对话框，如果要消除此对话框，可以从设备下载证书安装到PC上,注意,1、路由模式下SSL内容识别是通过设备程序代理实现的，所以需要确保设备本身可以上网SSL内容识别才生效。2、SSL内容识别，需PC解析被识别网站域名的流量经过设备，所以现场测试时，建议将电脑的DNS地址配置成公网地址。,用户限额策略,流量配额可以控制每个用户每天或每月可以使用多少流量，超过限制可以进行提醒和处罚。处罚方式有两种：一种是不切断用户上网，但是把用户的上网流量引入一条惩罚通道进行流量控制；一种是直接禁止用户上网。配置如下：,流量配额,根据客户需求设定配额,设置提醒以及处罚方式：这里设置配额达到90%时每隔一分钟进行页面提醒。处罚方式选择添加到处罚通道，此时需要去流控模块配置相应的处罚通道。,终端用户使用的流量如果超过了配额，则打开网页提示如下，提示页面可以自定义。点击继续访问，用户可以继续上网行为，但是速度会受到惩罚通道的限制。,时长配额可以控制每个用户每天上网的在线时长或使用应用的时长，超过限制可以进行提醒和处罚。处罚方式有两种：一种是不切断用户上网，但是把用户的上网流量引入一条惩罚通道进行流量控制；一种是直接禁止用户上网。配置如下：,时长配额,根据客户需求选择统计时间和统计应用,处罚方式这里也可以选择惩罚通道和禁止上网，此处我们选择禁止上网测试,终端用户上网时长如果超过了限制，则打开网页提示如下，提示页面可以自定义,流速限制可以控制每个用户每天上网的流速，如果一定统计时间内流速超过限制可以进行提醒和处罚。处罚方式有两种：一种是不切断用户上网，但是把用户的上网流量引入一条惩罚通道进行流量控制；一种是直接禁止用户上网。配置如下：,流速限制,根据客户需求选择统计的应用并设定阈值,此处处罚方式也有两种，此处测试选择禁止上网,终端用户上网流速如果超过了限制，则打开网页提示如下，提示页面可以自定义,并发连接数控制,并发连接数控制主要控制单用户的并发连接数。处罚方式有两种：禁止上网，则用户连接数超限后指定的时间内将被冻结上网；禁止创建新的连接，这样用户超出限额部分的新建连接无法建立，但是已有连接不会中断，如果现有连接断开后，依旧可以正常上网。,终端用户连接数如果超过限制，则异常（如网页打不开），不会给终端弹提示页面。在AC的控制台【受惩用户列表】会显示冻结详情。注意：连接数控制不区分具体应用，可能会导致打不开网页。所以实际场景中，建议不要使用此功能，如有连接数控制需求的，建议使用流控，也能达到预期效果。,在线终端限制,在线终端限制用于控制单用户上线终端的个数。处罚方式：用户同一个账号下终端数超过配置的限额值后，冻结该账号上网10分钟。超额终端的用户是认证通过马上下线的状态，偶尔会弹出认证界面偶尔弹出终端超限页面。,终端用户终端数如果超过了限制，则打开网页提示如下，提示页面可以自定义,注意事项：,流量配额中，当日配额、月配额同时超限了，只生效1次/提示1次。冲突时，以日配额为准。流量配额中每月起始日期，AC里面是一个全局配置来的，即使配了多条策略，在其中一条里面修改这个配置，其他策略也会跟着改变。时长配额中，“应用时长”是指用户产生的应用流量通过设备的时间的累加。用户同时使用3个应用，用了5分钟；那么应用时长也是5分钟，而不是15分钟。用户分别使用3个应用，每个用了5分钟；那么应用时长是15分钟。“在线时长”是指用户在线时间的累加。流量配额、时长配额、流速限制、并发连接限制，这四个配额，都是基于用户的。所以如果是公共账号，同一个用户名下同时有多个IP在线，则这些IP的流量都会统计到一个用户名上，一起算配额。在线终端数限制中，允许每用户同时在线的终端个数，只针对公共账号生效。,代理控制,应用背景,互联网提供web在线代理，翻墙工具很多，内网电脑通过外网代理上网很容易绕过设备控制。代理控制功能，可以做到内网电脑通过外网web在线代理，翻墙工具等代理上网,举例：客户需求封堵内网所有用户通过外网web在线代理，翻墙工具等代理上网，防止绕过管控,1、新建上网权限策略，启用代理控制并关联给用户，如下图,配置步骤,2、按照上面配置后，内网用户便无法通过外网web在线代理，翻墙工具等代理上网。,网页内容审计,网页内容审计指设备可以记录用户访问网页所有内容，生成网页快照。网页内容审计策略比较耗性能，默认不开启，除非客户有此需求，否则也不建议开启。,举例：客户需求记录内网所有用户访问所有网站内容。建立上网审计策略，启用网页内容审计并关联给所有用户，如下图所示。,效果验证：测试电脑访问,数据中心记录访问网站内容，并生成快照，如下图,练练手,本章PPT在介绍SSL内容识别时，只介绍了web加密邮件审计，你结