1、上網策略培訓內容培訓目標SSL內容識別1、掌握SSL內容識別能識別的協議類型2、掌握SSL內容識別配置，并能根據實際場景配置達到效果用戶限額策略網頁內容審計1、了解網頁內容審計配置代理控制1、了解代理控制應用場景及配置1、了解用戶限額策略的使用場景2、了解用戶限額策略的配置此章節我們將學習到的上網策略有SSL內容識別，代理控制，網頁內容審計，用戶限額策略。其中我們需要重點掌握的是SSL內容識別。SSL內容識別應用背景互聯網越來越多論壇，web郵箱等均采用了加密，傳統的審計設備無法做到對加密內容的審計。AC 的SSL內容識別功能完美支持審計加密內容，并且支持過濾加密郵件。AC支持審計及過濾的加密

2、協議SSL內容識別原理介紹Webmail、webbbs等網絡應用采用SSL加密方式訪問的時候，主要是使用安全證書來實現身份效驗以及傳輸的加密，AC設備通過偽造安全證書，代理客戶端的訪問來實現對傳輸的加密信息進行識別，從而達到內容的審計，以及行為的控制。詳細過程見下頁PPT圖片：當內網PC端發起SSL連接請求的時候，設備會以代理服務器的身份，去代理SSL客戶端發出訪問請求給SSL服務器，并以SSL客戶端的身份跟SSL服務器完成交互后，AC再以SSL服務器的身份回應內網PC的SSL訪問請求。在這整個過程中，設備既作為內網pc的SSL服務端存在，同時也作為外網SSL服務器的客戶端存在。所以，SSL客

3、戶端跟AC的交互過程是采用的AC證書進行數據加密的，而SSL服務器跟AC的交互過程是采用SSL服務器證書來進行數據加密的。因此用戶端看到的證書是來自于AC的，而并非來自于真實的SSL服務器。SSL內容識別原理介紹配置步驟舉例：用戶名為support，IP地址為08的用戶使用加密發送郵件（如QQ郵箱加密發送郵件），需要審計下來。1、因為上網策略都需要關聯給用戶/組等適用對象，且終端在通過認證時才會匹配上關聯的策略。所以先要建立用戶/組適用對象及認證策略，并且用戶要通過AC認證。這里假設用戶support, IP地址為 08已通過設備認證。用戶s

4、upport位于渠道認證測試組，且已通過設備認證2、需要先確認多功能序列號已激活SSL內容識別，默認是激活的。如下圖。3、建立上網權限策略啟用SSL內容識別，并和用戶support關聯https協議加密識別加密網站域名在域名列表中才會識別，填寫，支持通配，也可以寫成web加密內容識別后的動作，可以審計，關鍵字過濾客戶端加密發送接收郵件識別（如smtps/pop3s）默認識別加密客戶端所有發送接收郵件，如果有例外情況，在這里排除服務器地址識別后的動作，要以審計或郵件過濾。設置是否開啟識別加密接收郵件內容4、新建上網審計策略，啟用郵件審計，并和用戶support關聯5、效果驗證QQ郵箱發送郵件默認

5、是非加密的，進入如下設置QQ郵箱全程https加密，如下圖。確認QQ郵箱全程https加密之后，測試PC登錄QQ郵箱，發送測試郵件，如下圖。啟用ssl內容識別后，打開https網站，首先彈出證書告警對話框，如果要消除此對話框，可以從設備下載證書安裝到PC上注意1、路由模式下SSL內容識別是通過設備程序代理實現的，所以需要確保設備本身可以上網SSL內容識別才生效。2、SSL內容識別，需PC解析被識別網站域名的流量經過設備，所以現場測試時，建議將電腦的DNS地址配置成公網地址。用戶限額策略流量配額可以控制每個用戶每天或每月可以使用多少流量，超過限制可以進行提醒和處罰。處罰方式有兩種：一種是不切斷用

6、戶上網，但是把用戶的上網流量引入一條懲罰通道進行流量控制；一種是直接禁止用戶上網。 配置如下：流量配額根據客戶需求設定配額設置提醒以及處罰方式：這里設置配額達到90%時每隔一分鐘進行頁面提醒。處罰方式選擇添加到處罰通道，此時需要去流控模塊配置相應的處罰通道。終端用戶使用的流量如果超過了配額，則打開網頁提示如下，提示頁面可以自定義。點擊繼續訪問，用戶可以繼續上網行為，但是速度會受到懲罰通道的限制。時長配額可以控制每個用戶每天上網的在線時長或使用應用的時長，超過限制可以進行提醒和處罰。處罰方式有兩種：一種是不切斷用戶上網，但是把用戶的上網流量引入一條懲罰通道進行流量控制；一種是直接禁止用戶上網。

7、配置如下：時長配額根據客戶需求選擇統計時間和統計應用處罰方式這里也可以選擇懲罰通道和禁止上網，此處我們選擇禁止上網測試終端用戶上網時長如果超過了限制，則打開網頁提示如下，提示頁面可以自定義流速限制可以控制每個用戶每天上網的流速，如果一定統計時間內流速超過限制可以進行提醒和處罰。處罰方式有兩種：一種是不切斷用戶上網，但是把用戶的上網流量引入一條懲罰通道進行流量控制；一種是直接禁止用戶上網。 配置如下：流速限制根據客戶需求選擇統計的應用并設定閾值此處處罰方式也有兩種，此處測試選擇禁止上網終端用戶上網流速如果超過了限制，則打開網頁提示如下，提示頁面可以自定義并發連接數控制并發連接數控制主要控制單用戶

8、的并發連接數。處罰方式有兩種：禁止上網，則用戶連接數超限后指定的時間內將被凍結上網；禁止創建新的連接，這樣用戶超出限額部分的新建連接無法建立，但是已有連接不會中斷，如果現有連接斷開后，依舊可以正常上網。終端用戶連接數如果超過限制，則異常（如網頁打不開），不會給終端彈提示頁面。在AC的控制臺【受懲用戶列表】會顯示凍結詳情。注意：連接數控制不區分具體應用，可能會導致打不開網頁。所以實際場景中，建議不要使用此功能，如有連接數控制需求的，建議使用流控，也能達到預期效果。在線終端限制在線終端限制用于控制單用戶上線終端的個數。處罰方式：用戶同一個賬號下終端數超過配置的限額值后，凍結該賬號上網10分鐘。超額

9、終端的用戶是認證通過馬上下線的狀態，偶爾會彈出認證界面偶爾彈出終端超限頁面。終端用戶終端數如果超過了限制，則打開網頁提示如下，提示頁面可以自定義注意事項： 流量配額中，當日配額、月配額同時超限了，只生效1次/提示1次。沖突時，以日配額為準。 流量配額中每月起始日期，AC里面是一個全局配置來的，即使配了多條策略，在其中一條里面修改這個配置，其他策略也會跟著改變。 時長配額中，“應用時長”是指用戶產生的應用流量通過設備的時間的累加。 用戶同時使用3個應用，用了5分鐘；那么應用時長也是5分鐘，而不是15分鐘。 用戶分別使用3個應用，每個用了5分鐘；那么應用時長是15分鐘?！霸诰€時長”是指用戶在線時間

10、的累加。 流量配額、時長配額、流速限制、并發連接限制，這四個配額，都是基于用戶的。所以如果是公共賬號，同一個用戶名下同時有多個IP在線，則這些IP的流量都會統計到一個用戶名上，一起算配額。 在線終端數限制中，允許每用戶同時在線的終端個數，只針對公共賬號生效。代理控制應用背景互聯網提供web在線代理，翻墻工具很多，內網電腦通過外網代理上網很容易繞過設備控制。代理控制功能，可以做到內網電腦通過外網web在線代理，翻墻工具等代理上網舉例：客戶需求封堵內網所有用戶通過外網web在線代理，翻墻工具等代理上網，防止繞過管控1、新建上網權限策略，啟用代理控制并關聯給用戶，如下圖配置步驟2、按照上面配置后，內網用戶便無法通過外網web在線代理，翻墻工具等代理上網。網頁內容審計網頁內容審計指設備可以記錄用戶訪問網頁所有內容，生成網頁快照。網頁內容審計策略比較耗性能，默認不開啟，除非客戶有此需求，否則也不建議開啟。舉例：客戶需求記錄內網所有用戶訪問所有網站內容。建立上網審計策略，啟用網頁內容審計并關聯給所有用戶，如下圖所示。效果驗證：測試電腦訪問,數據中心記錄訪問網站內容，并生成快照，如下圖練練手本章PPT在介紹SSL內容識別時，