SANGFOR_AC_v11.0_2016年度渠道高级认证培训06_上网策略.ppt

1、了解internet策略、1、用户配额策略使用方案2、了解用户配额策略配置、本章将学习的internet策略包括识别SSL内容、控制代理、审核web内容、用户配额策略。这里我们要重点把握的是SSL内容识别。SSL内容识别、应用背景、internet论坛、web邮箱等都采用加密，因此现有审核设备无法审核加密的内容。AC的SSL内容识别功能完全支持加密内容审核和加密邮件筛选。AC支持审计和过滤加密协议、SSL内容识别原则简介、Webmail、webbbs等网络应用程序使用SSL加密访问时，主要使用安全证书验证身份和加密传输、AC设备伪造安全证书、标识通过代理客户端访问传输的加密信息以实现内容审计和

2、行为的详细步骤，请参阅下页PPT图。在intranet PC端启动SSL连接请求时，设备将SSL客户端的访问请求代理到SSL服务器，作为SSL客户端完成与SSL服务器的交互，然后AC返回到SSL服务器，响应来自intranet PC的SSL访问请求。在此过程中，设备既作为内部网PC上的SSL服务器端存在，又作为外部网SSL服务器的客户端存在。因此，SSL客户端和AC之间的交互过程是用于数据加密的AC证书，SSL服务器和AC之间的交互过程使用SSL服务器证书进行数据加密。因此，客户端看到的证书来自AC，而不是实际的SSL服务器。SSL内容识别原则简介、配置阶段(例如，用户名为support、IP

3、地址为08的用户使用加密邮件(例如，QQ邮箱加密邮件)时需要审核。1，因为网络政策都必须连接到用户/组等相关对象，终端在认证时必须符合相关政策。因此，必须首先设置用户/组目标和身份验证策略，并且用户必须获得AC授权。此处假定用户support，IP地址08已通过设备认证。用户支持位于通道认证测试组中，并通过了设备认证。2、必须先确保多功能序列号启用了SSL内容识别。默认情况下处于活动状态。下图。3，设置internet权限策略SSL内容识别和用户支持，请输入QQ邮箱完整https加密设置，如下图所示。验证、和QQ邮箱的完整https加密，然后

4、测试PC登录QQ邮箱并发送测试邮件，如下图所示。启用识别SSL内容后，打开https网站，首先弹出证书警告对话框。要删除此对话框，您可以从设备下载证书并将其安装到PC上。1、在路由模式下，SSL内容识别通过设备程序代理进行，因此设备本身必须能够识别互联网SSL内容才能应用。2、SSL内容识别、PC必须确认已识别站点域名的流量通过设备，因此建议在现场测试中将计算机的DNS地址配置为公共网络地址。用户配额策略、流量配额可以控制每个用户每天或每月可用的流量量，如果超过限制，将受到通知和处罚。处罚的方法有两种：一种是不阻止用户的互联网，而是将用户的网络流量引入惩罚渠道，进行流量控制。一是禁止用户直接访

5、问互联网。配置：流量配额，根据客户要求设置配额，设置警报和处罚方法：当配额达到90%时，每分钟通知一页。处罚方法选择将添加到处罚渠道，此时必须删除流量控制模块，配置适当的处罚渠道。最终用户使用的流量超过配额时，打开网页的提示如下：可以自定义提示页面。点击继续访问，用户可以继续上网行为，但速度会受到惩罚渠道的限制。(莎士比亚、哈姆雷特、互联网、互联网、互联网、互联网、互联网、互联网、互联网)、时间配额可以控制每个用户每天上网的在线时间或应用程序的使用时间，超过限制的话，将会受到通知和处罚。处罚的方法有两种：一种是不阻止用户的互联网，而是将用户的网络流量引入惩罚渠道，进行流量控制。一是禁止用户直接

6、访问互联网。包括：时间定额、根据客户要求选择统计时间和统计应用程序、处罚方式也可以选择处罚渠道和禁止互联网。在这里，我们禁止网络测试，如果最终用户上网时间超过限制，可以按如下方式打开网页进行自定义。速度限制可以控制每个用户每天上网的速度。在一定的统计时间内，如果流速超过限制，可能会受到通知和处罚。处罚的方法有两种：一种是不阻止用户的互联网，而是将用户的网络流量引入惩罚渠道，进行流量控制。一是禁止用户直接访问互联网。配置如下：速度限制、基于客户要求选择统计的应用和阈值设置，此处有两种处罚方法。此处选择禁止互联网，如果最终用户互联网流量超过限制，则打开网页，如下所示：可自定义、并发连接控制、并发连

7、接控制主控制单个用户的并发连接数。处罚方法有两种：禁止网络，超过用户连接数后，在指定时间内网络连接冻结。禁止创建新连接，使用户无法建立超出限制的新连接，但现有连接不会断开，现有连接断开后仍可以正常连接到internet。当最终用户连接数超过限制时，将引发异常(例如，无法打开网页)，从而不提供终端弹出通知页面。AC的控制台“要处罚的用户列表”中将显示董洁详细信息。附注：连接控制不区分特定应用程式，可能无法开启网页。因此，建议您不要在真实场景中使用此功能。如果有连接控制要求，建议使用流控制。您可以获得想要的结果。在线终端限制，在线终端限制用于控制单用户在线终端的数量。处罚方法：用户在同一帐户中终端

8、数量超过配置的限额后，冻结该帐户10分钟。超额终端用户在认证通过后立即离线，认证界面偶尔弹出，终端溢出页面偶尔弹出。当最终用户终端数超过限制时，打开网页的提示如下：通知页面可以自定义。注：流量配额中，当天配额、月配额同时超出，仅应用一次/提示一次。冲突时以每日配额为准。在流量分配中，每月的开始日期，AC内部是全局配置，即使有多个策略，在一个位置修改此配置也会更改其他策略。在时间分配中，“应用时间”是指用户生成的应用程序流量通过设备的时间累积。用户同时使用3个应用程序5分钟。那么应用时间也不是15分钟，而是5分钟。用户使用3个应用程序，每个应用程序5分钟。那么应用时间是15分钟。“在线时间”是指

9、在线时间的累积。通信量配额、时间配额、速度限制和并发连接限制等四种配额都是基于用户的。因此，如果是公共帐户，在同一用户名下多个IP同时联机的情况下，这些IP的通信量将聚合到一个用户名以计算配额。在线终端数量限制中，允许每个用户同时在线的终端数量仅适用于公共帐户。代理控制、应用背景、互联网提供web在线代理，墙翻转工具多，内部网计算机通过外部网络代理可以轻松地绕过设备控制。代理控制功能允许内部网计算机通过外部网web在线代理、墙翻转工具等访问互联网。例如，阻止客户要求内部网所有用户都可以通过外部网web在线代理、墙翻转工具等访问互联网。避免绕过限制。1、新的internet权限策略、代理控制激活和用户连接(下图、配置步骤、2)、web内容审核、web内容审核是指设备可以记录用户访问web页面的所有内容并生成web页面快照。web内容审核策略的性能比较低，默认情况下不会打开，除非客户有此要求，否则建议不要打开。例如：记录客户要求内部网的所有用户都可以访问所有网站内容。启用web内容审核并设置可连接到所有用户的internet审核策略，如下图所示。效果验证：测试计算机访问、数据中心记录访问站点内容、快照(下图、练习者、本章PPT在介绍识别SSL内容时仅介绍了web加密邮件审核)。结合本节所学的