访问权限策略模块对用户访问权限进行管理,管理员可以根据内网用户的权限分配情况,设置不同的访问权限策略。访问权限策略包括访问权限策略和SSL解密策略。
访问权限策略包括应用控制、SaaS管理、邮件过滤和QQ号白名单。应用控制包括[应用控制]、[端口控制]、[代理控制]、[Web关键字过滤]、[Web文件类型过滤]、[SaaS高级选项]。
表17访问权限功能说明
| 操作 |
功能说明 |
| 应用控制 |
设备中有针对各种常见网络应用设置的应用规则库和针对访问网站的URL分类库的规则,实现对网络应用的权限控制和对访问各类网站的权限控制。 |
| 端口控制 |
是通过对数据包的IP地址、协议号、端口号进行检测,从而实现对上网数据的控制,您可以在[系统管理/对象定义/ IP组]中设置需要控制目标IP组,在[对象定义/网络服务]中设置需要控制的目标协议或端口,端口控制正是引用这些对象,实现的上网数据控制。 |
| 代理控制 |
包括是否允许HTTP代理、SOCK代理的选项,是否使用防共享上网检测等。您可以通过这些选项,来设置内网用户是否可以使用HTTP代理、SOCK代理和防共享上网检测等。选项[不允许在HTTP,SSL协议的标准端口上使用其它协议]用于防止一些应用程序使用标准的HTTP端口(TCP 80)和SSL端口(TCP 443)来传输自己的数据,从而逃避设备的限制。 |
| Web关键字 过滤 |
包括[搜索引擎搜索词]和[HTTP上传],其中前者是对在搜索引擎上搜索的关键字进行过滤或告警,后者是对通过HTTP协议上传的关键字进行过滤或告警,引用的关键字是[系统管理/对象定义/关键字组]中定义的关键字。 注意:两者的设置都是针对所有HTTP网站的,这里无法对指定的URL进行关键字的过滤或告警。 |
| Web文件类型过滤 |
可以设置通过HTTP协议和FTP协议上传和下载的文件类型过滤。 引用的文件类型是[系统管理/对象定义/文件类型组]中定义的文件类型。 |
| SaaS高级选项 |
SaaS高级选项配置包括Google、Youtube、Office365、Bing Search、Facebook、Dropbox等设置。上述功能需要开启SSL解密策略才能支持。 |
| QQ号白名单 |
对指定的QQ号进行放通,封堵其它QQ号码;支持PC和移动QQ应用。 |
| 邮件过滤 |
用于对内网客户端通过SMTP协议发送的邮件进行过滤,过滤的条件可以设置收发邮件地址,邮件标题和正文的关键字等。 |
入网用户和访问权限策略在设备上都是独立的元素,需要将它们关联起来访问策略才会起作用。查看设备的用户和给特定的用户添加权限策略的方法如下描述。
点击策略列表中的一条策略,在[策略设置/适用对象]中,可以看到策略可关联的上网对象,如下图。
对象包括四种类型:用户、位置、终端类型和目标区域。
用户:指用户的类型,包含所有用户、本地用户、用户属性组、源IP。
位置:通过不同的IP段、无线网络或VLAN三种方式划分不同的位置。
终端类型:指识别的类型:移动终端、PC、IOT终端、医疗设备。
:
IOT终端和医疗设备适用于避免哑终端暴露在外网的风险并针对其做访问权限策略防止外联的场景。
目标区域:指访问的目标IP范围。
其中用户类型的分类有:本地用户、域用户、域安全组、域属性、用户属性、源IP。
• 本地用户:是指同步到本地、认证策略添加到本地、本地创建的用户,这些用户可以直接在“本地用户”下进行选择。
• 域用户:中会以OU组的组织方式,列出已配置的所有LDAP服务器,可以在这里对OU或域用户进行选择。
• 域安全组:以OU组的组织方式,列出已配置的所有LDAP服务器,但是这里只能选择安全组,不能选择域用户以及OU组。
• 域属性:LDAP服务器上符合指定属性的用户。
• 源IP:内网用户的源IP范围。
在域属性页面,点击<新增>定义属性条件,一条规则可以设置最多5个条件,多个条件之间是“与”的关系。
“用户属性组”指符合指定属性的用户。在用户属性组页面,点击<新增>,定义属性条件,一条规则可以设置最多5个条件,多个条件之间是与的关系。
:
1.用户类型下的本地用户、域用户、域安全组、域属性、用户属性组、源IP。它们的关系是“或”关系,而非“与”关系。例如选择了某个本地用户A以后,再选择某个域用户B,则策略是对本地用户A和域用户B都生效的。
2.这四种类型中,如果某个类型没有进行选择,那么这个类型将不会作为过滤条件,例如位置不进行配置,那么位置这个类型将不再作为条件过滤。
3.如果某条策略四种类型都没有进行配置,则这条策略是一条空策略,这条空策略只有策略内容,不关联任何用户,也不会对任何用户生效。
在用户管理中添加访问权限策略
步骤1.进入[准入控制/用户管理/本地组/用户]管理页面,在组织结构中选择需要添加策略的用户组如“A4厂区”。
步骤2.在右边[组织成员及权限策略设置]页面中点击<策略列表>。
步骤3.点击<添加策略>,选择需要关联的权限策略“摄像头访问权限控制”,勾选[递归应用到子组]表示添加的策略同时关联给子组,不勾选则表示当前子组不会添加该策略,但当前组的直属用户以及后续新增子组默认会添加该策略。设置完成后点击<确定>。
步骤4.返回策略列表页面,查看用户组关联的策略列表。[应用于全部用户及子组用户]用于显示该策略是否被所有子组用户及直属用户引用。
步骤1.在[准入控制/用户管理/本地组/用户],查看本地用户、域用户策略配置的情况。
步骤2.点击用户组右边的<策略列表>,显示用户组关联的所有访问权限控制策略名称。
步骤3.点击<查看该组的策略结果集>,显示该组所有策略合并后的结果,如下图所示。
步骤4.[全网监控/入网用户管理]页面提供查看在线用户的访问权限策略的功能。
步骤5.点击需要查看上网策略的用户名,即可看到该用户匹配的上网策略。
:
1.[准入控制/用户管理/本地组/用户]页面查看用户访问权限策略页面不会显示位置和终端的策略。
2.[系统管理/在线用户管理]页面查看的在线用户的访问权限策略,显示的是当前用户,当前位置,当前使用终端匹配的访问权限策略。
当用户/用户组同时关联了多条策略时,策略的匹配是有顺序的。访问权限策略中各种类型的策略按照匹配规则可以分两类:一类是支持多策略叠加的,此类策略从第一条往下逐条匹配,直至匹配到最后一条;另一类是不支持多策略叠加的,即设置会以第一条生效的为准,不会往下匹配。
支持多策略叠加的包括:应用控制、端口控制、准入策略。访问权限策略的匹配顺序如下图所示。其他策略均不支持叠加,这些无法叠加的策略以第一条生效的策略为准,即终端匹配到第一条策略后就会停止,不会继续匹配其他同类型策略。
步骤1.在[安全防护/应用访问控制/访问权限策略访问权限策略],点击<新增>选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.点击<策略设置>,根据需要设置相应的上网权限策略,在访问权限策略设置控制类型,访问权限策可选项包括:应用控制、SSL管理、邮件过滤。可参考访问权限策略分类配置指导。
步骤4.点击<适用对象>,此处选中的用户/位置/终端类型/目标区域将全部匹配此上网策略设置的权限。
步骤5.点击<高级配置>,设置包括策略过期日期设置、同级别管理员查看编辑权限设置、允许低级别管理员查看。
其中:
• 策略过期日期设置:是设置该策略的生效期。如果设置为[永不过期],则策略将永久有效。如果设置[过期时期],比如选择日期为2015-06-01,则表示此策略在2015-06-01之后过期,成为无效策略。
• 同级别管理员查看编辑权限设置:有两种权限可以选择[允许查看]和[允许编辑]。此处的“同级别管理员”指的是在[系统管理/系统配置/管理员账户]中属于同一角色的管理员,如果勾选[允许查看],则同级别管理员可以查看此策略,而不能进行修改。如果勾选[允许编辑],则同级别管理员默认拥有[允许查看]权限,并且可以对此策略进行修改。
• 允许低级管理员查看:勾选此项,则低级管理员可查看此策略,权限只限于查看,不能修改策略。“低级管理员”指的是在[系统管理/系统配置/管理员账户]中设置的角色级别低于建立此策略的管理员级别的管理员。
步骤6.设置完成,点击<提交>,完成访问权限策略配置。
步骤7.当适用范围的用户去访问网上购物网站时会被拒绝。
访问权限策略配置的类型有应用控制、端口控制、代理控制、Web关键字过滤、Web文件类型过滤、SaaS高级选项、邮件过滤、QQ号白名单等策略的配置,管理员配置过程可参考新增访问权限策略配置。
应用控制
应用控制策略是通过针对各种常见的网络应用设置的应用规则库和网站的URL分类库,实现网络应用的控制和对访问各类网站的控制。
应用控制的检测方式有两种:
• 对数据包的内容进行检测,从而实现控制某些应用的目的。针对各种已经识别或者未被识别应用服务控制,如对淘宝网站、P2P应用、QQ、邮件等,设置相对应的控制策略。
• 对访问网站的行为进行过滤,包括HTTP URL过滤、HTTPS URL网站过滤及HTTP上传过滤。
接下来介绍以下两种场景配置指导:应用类型控制和网站指定URL进行控制。详细配置可参考新增访问权限策略章节。
针对应用类型进行控制
步骤1.在[安全防护/应用访问控制/访问权限策略访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.点击<策略设置>,勾选应用控制,进入应用控制编辑页面,点击<添加>按钮并弹出选择适用的应用框页面。
步骤4.勾选需要控制的应用,动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。
步骤5.如果需要修改已设置的应用控制策略。勾选需要修改的应用,可以点击<移除>来删除掉该策略。点击<允许>可以把策略动作改为允许。点击<拒绝>则把策略动作改为拒绝。点击<上移>和<下移>,则可以把策略的序号进行调整。在进行策略规则匹配的时候,序号靠前的策略优先被匹配到。
步骤6.如果此策略中您只需要做应用控制,则点击<提交>按钮完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
针对指定的URL进行控制
HTTPS URL过滤是对使用HTTPS协议访问的网站进行过滤。例如拒绝内网用户访问加密网站https:/mail.google.com/。
步骤1.因为URL分类库中默认没有一个URL组是专门对应https:/mail.google.com/的,所以在设置规则之前,需要先建一个URL组,将https:/mail.google.com/添加进去。
步骤2.进入[系统管理/对象定义/URL分类库]页面,点击<新增>按钮,进入URL组设置页面,输入URL组名称、URL组描述以及URL。由于HTTPS URL也支持通配符,所以URL设置成:*.google.com。
步骤3.在[安全防护/应用访问控制/访问权限策略访问权限策略],新增一条访问权限策略,点击<策略设置>,勾选应用控制,进入应用控制编辑页面。
步骤4.点击<添加>按钮,弹出选择适用应用框。找到“访问网站”这一类别,找到上一步中自定义的URL组“gmail”。动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。
:
因为用HTTPS协议访问安全网站时,数据是加密的,设备无法检测到URL,但因为一般安全网站的URL和SSL证书中的“颁发给”相同,所以设备通过检测SSL证书中的“颁发给”获取到访问安全网站的URL。注意:因为以上检测方式的特点,您如果要自定义一个HTTPS网站的URL,请根据此网站的证书中“颁发给”字段设置URL。
端口控制
端口控制是针对数据包的目标IP、端口、时间段等进行控制的一种方法。当管理员需要对某个IP或者IP组的端口进行策略控制时,可配置端口控制进行实现。设备对其他未设置的网络服务默认是允许访问的。
操作步骤
步骤1.在[安全防护/应用访问控制/访问权限策略访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.点击<策略设置>,勾选端口控制,进入端口控制编辑页面,点击<添加>按钮,添加规则。
步骤4.添加目标IP组,点击下拉框,在下拉列表中选择对应的IP组。如果不存在需要的IP组,可以点击下拉框最下方的[新增IP组]选项进行添加。设置好相关IP组信息后,点击<提交>,完成IP组设置。
步骤5.添加服务名,点击下拉框,在下拉列表中可以选择的服务有:All_Protocol、DNS、HTTPS、 SMTP、 POP3、 LDAP 、FTP等 。如果不存在需要的服务,可以点击下拉框最下方的[新增网络服务]选项进行添加。设置好相关网络服务信息后,点击<提交>,完成网络服务设置。
步骤6.返回到之前的配置界面,设置动作为拒绝,动作生效时间为上班时间,点击<确定>。完成此策略的设置。
步骤7.如果需要修改已设置的端口控制策略。勾选需要修改的网络服务,可以点击<移除>来删除掉该策略。点击<允许>可以把策略动作改为允许。点击<拒绝>则把策略动作改为拒绝。点击<上移>和<下移>,则可以把策略的序号进行调整。在进行策略规则匹配的时候,序号靠前的策略会先被匹配到。
步骤8.如果此策略中您只需要做端口控制,则点击<提交>按钮完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
步骤9.选择适用对象和配置高级设置,点击<提交>完成配置。
步骤10.当用户去访问百度网页会被拒绝,打开CMD命令,查看访问网站的端口会出现连接失败。
代理控制
针对使用HTTP代理,SOCK代理和在HTTP协议与SSL协议标准端口使用其他协议的行为进行控制。
勾选[不允许使用外部HTTP代理],则内网用户使用外网HTTP代理服务器方式上网时将被设备拒绝。
勾选[不允许使用外部Sock4/5代理],则内网用户使用SOCK代理方式上网的行为将被设备拒绝。
勾选[不允许在HTTP,SSL协议的标准端口使用其他协议],则对于那些已知/未知的软件通过常用知名端口(TCP80、TCP443)来通讯,但是通讯的内容是其私有协议格式时,这些通讯信息将被设备拒绝。
SSL解密策略的作用是对使用SSL安全协议连接的应用,包括加密后的网站、webmail、web-bbs、 POP3、IMCP、SNMP等进行内容审计识别,网上银行、在线支付等金融相关的网站除外。
两种解密方式:SSL中间人解密和准入客户端代理解密。选择准入客户端代理解密需要配置准入策略才能生效。
表18解密方式的区别说明表
|
|
中间人代理解密 |
准入客户端代理解密 |
| 要求 |
无PC系统要求、需要安装证书 |
windows系统的用户、需安装客户端、需要安装证书 |
| 推送方式 |
1.AD域、桌管软件、准入客户端推送安装证书,用户无感知 2.未安装证书用户,访问网页时触发重定向到证书安装页面,引导下载证书安装工具 |
1.准入客户端静默安装,用户没有感知 2.AD域、桌管软件、准入客户端推送安装证书,用户无感知 3.未安装证书用户,访问网页时触发重定向到证书安装页面,引导下载安装工具 |
| 优点 |
无需安装客户端,无PC系统要求 |
无需消耗SIG性能,审计内容更加丰富 |
| 注意 |
基于网页分类解密需要消耗更多CPU资源,建议自定义域名进行解密,以减少过多流量解密造成对性能下降。 有全解密需求可以使用带硬件加速卡的硬件型号设备,硬件加速卡解密性能相比软件解密性能提升一倍,具体型号可以联系深信服各区域办事处或深信服渠道合作伙伴进行了解。 |
|
表19SSL内容识别注意事项说明表
| 通用 |
HTTPS解密功能配置在自定义填写域名列表的情况下,域名列表中不支持IP地址。 |
| HTTPS解密功能在使用的时候需要在终端上安装设备证书到受信任的根证书颁发机构。 |
|
| HTTPS解密不支持QUIC协议。建议勾选“解密审计时,拒绝QUIC协议”。 |
|
| HTTPS解密功能与SSL VPN的Easy connect协议存在冲突,在开启了HTTPS解密功能的情况下,终端上如果需要使用Easy connect通过SSL VPN访问总部资源,需要在SIG设备的SSL全局解密的排除列表中排除掉SSL VPN服务器地址,否则会出现连接中断问题。 |
|
| 该功能需要开通[多功能项授权/SSL内容识别授权]。 |
|
| 当SSL中间人解密和准入客户端代理解密同时配置时,策略列表从上往下匹配,仅匹配到的第一条生效。 |
|
| 若终端为虚拟机,不建议使用准入客户端代理解密,可使用SSL中间人解密。 |
|
| 客户端 |
当开启需要PC安装准入客户端,目前只支持Windows系统(XP系统不支持)。Mac系统和Linux系统可使用SSL中间人进行解密。 |
| 代理客户端默认只对443端口进行解密。 |
|
| 客户端的证书和SSL内容识别的证书是不同的证书。 |
|
| 中间人解密 |
HTTPS解密支持设备本身做代理的场景,但是只支持HTTPS代理、不支持SOCKS代理,客户端解密方案不支持在代理场景使用。 |
| 存在证书双向校验的场景下,不能使用HTTPS解密功能,否则会存在客户端校验失败导致连接出错问题。 |
|
| 如果终端的DNS请求数据不经过设备或者终端访问的HTTPS网站是直接以IP地址进行访问的,则不支持HTTPS解密功能。 |
操作步骤
步骤1.在[安全防护/应用访问控制/访问权限策略访问权限策略],点击新增<SSL解密策略>,点击启用该策略。
步骤2.填写策略名称、描述信息,策略名称是唯一的必填项,描述信息非必填项。
步骤3.解密方式可根据实际情况选择SSL中间人解密或者准入客户端代理解密。使用说明参考解密方式区别说明表。
步骤4.定义解密范围,勾选<加密web应用内容识别>,可选全部或者自定义两种方式进行配置,web应用仅支持识别使用443端口。
步骤5.选择自定义内容识别时,点击
可根据需求对SaaS应用或网页分类进行勾选。
步骤6.勾选“解密审计时,拒绝QUIC协议”,SSL解密不对QUIC协议的域名生效。
步骤7.点击<全局解密排除>,配置不需要做SSL内容识别的IP、域名、进程。三者是相与的关系,可灵活搭配使用。
步骤8.当需要识别邮件的25、465、143、993、587端口的内容时,需要开启邮件内容识别。
步骤9.[点击下载SSL识别根证书],将下载的根证书安装到电脑上面,消除由于启用SSL内容识别带来的浏览器安全告警。如果在AD域环境下需要消除浏览器的安全告警,点击[AD域环境下解除终端浏览器告警的方法],详细内容参考文档中的配置步骤。
步骤10.设置完成后,点击<提交>按钮,完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
:
1.SSL内容识别对网上银行、在线支付等金融相关无效。为防止敏感金融信息被审计到,设备中对此类信息做了屏蔽。
2.https场景要配置SSL内容识别。
以模板新增策略:用已经做好的策略或系统内置的策略作为模板来新增一个策略。
新增的策略设置默认和模板是相同的,方便新增相同和相似的上网策略。设备内置的模板如下图所示。
比如当以[降低网络安全风险]为模板,新增一个策略。则新增的策略,会把模板策略的所有设置拷贝过来。您可以修改策略名称、描述信息、策略设置、适用组和用户、高级配置。
:
策略的高级配置中如果没有勾选[允许低级别管理员查看],低级别管理员登录控制台后,无法以此策略做模板新增策略。
在[安全防护/应用访问控制/访问权限策略访问权限策略],管理员可对访问权限策略对终端插件检查规则和流量行为检查规则进行删除操作、批量编辑、导入/导出等操作,组合规则仅支持删除和编辑操作。
表20访问权限策略管理说明
| 操作 |
功能说明 |
| 删除 |
在访问权限策略页面,选定一条策略,勾选需要删除,点击删除,设备会弹出一个操作确认框,点击<是>,则删除选中的规则。 |
| 编辑 |
在访问权限策略页面,点击检查规则名称,设备会弹出检策略的编辑页面,修改访问权限策略,根据需求进行修改。 |
| 批量编辑 |
批量编辑多条策略时只能统一编辑策略的[适用组和用户]选项,当您需要对某些用户组或者用户统一关联多条策略时可以使用此功能以方便操作。 |
| 导入/导出 |
用于把已经做好的策略导出做一个备份。在需要的时候把策略导入到系统中。如果有多台相同版本的设备,需要做相同的策略,也可以把做好的策略导入到另外的设备中,避免重复配置策略。 |
| 移动策略 |
用于调整策略对象的顺序,因为策略的执行是有先后顺序的,策略是由上往下执行的,通过上移或者下移策略来调整策略对象的优先级。 |
| 启用/禁用 |
启用表示策略为可用状态,调用该策略,策略里面所有设置的规则都会生效。 禁用表示策略为不可用状态,调用该策略,策略里面所有设置的规则都不生效。 |
建议使用Chrome浏览器访问!
