高级选项设置包括策略控制选项、SSL证书设置、SSL证书分发、上网时长排除应用列表、SSL解决全局排除、分时访问设置。
策略控制选项用于设置设备在进行URL过滤权限控制策略的匹配时,是否禁止直接以IP地址访问网站排除URL库中已包括该IP地址,是否自动放行网页中包含的外部域名资源和是否关闭禁止访问页面,是否开启https重定向功能,点击<提交>后才能生效。
禁止直接以IP地址形式访问网站,除非URL库中已包含该IP地址:勾选此选项后将禁止内网用户通过IP地址的形式去访问网站,如果该IP地址已经在URL库中被收录了,则不受此勾选的限制。
自动放行网页中包含的外部域名资源:用户访问网页的时候,这些页面中包含的外部域名资源(如广告、外部图片等)可能因为URL类型与主域名不一致,被策略拒绝,导致页面显示不完整。在这种情况下,勾选此选项可以在页面的主域名允许被访问的前提下,自动放行此页面中包含的外部域名资源,保证页面显示的完整性。
关闭禁止访问页面:如果关闭禁止访问页面,用户访问被禁止的网站或发表带有关键字的内容将不会显示禁止访问重定向页面。
开启HTTPS重定向:勾选开启HTTPS重定向功能,HTTPS流量被[访问权限策略/应用控制]拒绝时,能够显示重定向页面。
当设备开启SSL内容识别功能,终端浏览器会警告HTTPS网站证书无法验证,在终端电脑上导入证书可以解除告警。设备不仅支持导入深信服设备内置的根证书还支持自定义证书导入。如果需要下载SSL识别根证书,可直接在点击<点击下载SSL识别根证书>进行根证书分发到终端设备。
1.使用系统内置根证书
[应用访问控制/策略高级选项/SSL证书设置]勾选使用系统内置根证书,点击<提交>。
2.使用自定义根证书
[应用访问控制/策略高级选项/SSL证书设置]勾选使用自定义根证书。点击<去设置>按钮,进行自定义根证书配置,可选择三种自定义根证书的方式:生成新根证书、导入包含密钥的根证书、导入密钥独立的证书。
生成新根证书:需要填写的信息包括国家、省份、城市、公司、部门、颁发给、E-mail、密钥长度、证书编码、加密算法、有效期时间设置。
导入包含密钥的根证书:需要填写证书文件和加密密码。
导入密钥独立的证书:需要填写证书文件、私钥文件、加密密码。
返回配置界面后,提示“已设置自定义根证书,点击提交证书将会生效”,进行进一步确认。
点击<提交>,再确认,防止误操作,为终端带来麻烦。
确认<是>后,SSL证书设置界面提示证书状态“已生效”。
SSL证书分发功能需要安装根证书,可勾选<要求安装根证书>功能,对于未安装根证书的终端,将会重定向到证书安装页面,安装后用户才能正常上网。
(1)某单位的电脑是已经加入域控,然后通过域控组策略下发安装根证书。
(2)没有加入域控的电脑,推荐使用设备的[行为管理/高级选项/SSL证书分发]功能。
SSL证书实现原理:
• 每个终端上存在标记,是否需要检查根证书,是否已经通过检查。
• 如果需要检查且未通过检查,则会重定向到 。
• http:/x.x.x.x/httpscert/https.htm?vlanid=xxx&url=xxxxxx&signver=xxxx,进行根证书检查,通过判断能否加载出checkcert.js判断是否安装了根证书。
• 如果通过检查则会发http:/x.x.x.x/httpscert/handler,跳回本来访问的页面,比如百度。
• 如果检查不通过则会发http:/x.x.x.x/httpscert/handler_failed,然后访问http:/x.x.x.x/httpscert/index.html根证书下载页面。
• 如果切换根证书,则会把新的根证书md5下发,然后用户有流量过来的时候,就会把全局的根证书md5与用户本来的根证书md5做比较,如果不一样则会把通过检查的终端进行标记,重新进行SSL证书分发。
• 手动安装证书方式在PC端下载安装文件后,双击安装即可。
主备、多机情况下,所有根证书都同步。
BBC策略模板内置的根证书不会自动下发给各个分支SIG的内置根证书,如需要下发需要手动导入。
只支持一级CA的根证书导入,不支持非一级CA证书及证书链功能。
认证策略为密码认证,终端访问任何域名都会先跳转到web认证界面,对于从未安装过设备根证书的浏览器,第一次认证通过后会跳转到证书安装界面,不会跳转到“认证跳转后”设置的页面;第二次认证时时如果已安装证书才会跳转到“认证跳转后”设置页面。
如果认证策略设置的是不需要认证或单点登录,此时终端上网可能并没有打开过网页就通过了设备认证,SIG无法通过网页的重定向检查页面得知终端是否有安装过设备证书从而无法给终端推送证书安装页面、给终端用户打上终端证书检查通过的标记或放行标记;此时建议终端打开“安装SSL识别根证书”适用域名所填写的网页列表,通常打开常用的网页就能命中。
认证策略是不需要认证或单点登录时,为了提高终端用户打开网页重定向到根证书安装或检查页面的成功率也可以勾选“对80端口的HTTP请求强制重定向到证书安装页面”,但是如果终端用户上网时没有打开网页,此时如果终端后台程序有使用80端口通信那么一些应用会受到影响,所以最好建议每次上网前要打开一次网页。
上网时长排除应用列表可以排除不需要统计的应用
• 内置列表:设备内置了一些如软件后台更新的应用流量,用户可以启用或者禁用这些内置软件列表。
• 自定义列表:用户自定义需要排除统计和控制的应用。点击<选择应用>,选择需要排除的应用。如果列出的列表中,没有需要排除的应用,可以先到[对象定义/自定义应用]页面定义好需要排除的应用,然后再通过这里选择该应用进行排除。
• 排除端口:填写公网应用的目标端口,对该端口不进行时长审计和控制。
SSL解密全局排除支持内置排除地址和自定义排除地址两种方式。
1.内置排除列表不能禁用和删除。
2.排除列表使用域名前缀方式进行排除,不支持通配符。
3.排除列表中的域名不会进行SSL内容解密。
4.域名排除列表需要能够正常进行DNS解析,才能正确进行排除。
分时访问应用客户多网络场景,比如政务网和互联网,不能同时访问,需要实现访问互联网时无法访问政务网,访问政务网时不能访问互联网,用户可以自主进行网络切换,实现分时上网功能。
开启该功能需要勾选启用分时访问。
• 分时访问方式:web分时访问方式时用户访问到自定义网络触发切换,这时浏览器会重定向到切换页面;准入认证客户端分时访问方式时,用户可通过认证助手选择网络后直接关联策略。
• 拥有分时访问权限的用户:用来设置哪些用户具有分时访问的权限,可以选择所有用户或者自定义用户。
• 网络划分:主要用来设置不同的网络,需要自定义网络的名称、描述、IP地址或者URL,内置互联网是除了自定义网络之外的IP或者URL。
建议使用Chrome浏览器访问!
