访问权限策略配置的类型有应用控制、端口控制、代理控制、Web关键字过滤、Web文件类型过滤、SaaS高级选项、邮件过滤、QQ号白名单等策略的配置,管理员配置过程可参考新增访问权限策略配置。
应用控制策略是通过针对各种常见的网络应用设置的应用规则库和网站的URL分类库,实现网络应用的控制和对访问各类网站的控制。
应用控制的检测方式有两种:
• 对数据包的内容进行检测,从而实现控制某些应用的目的。针对各种已经识别或者未被识别应用服务控制,如对淘宝网站、P2P应用、QQ、邮件等,设置相对应的控制策略。
• 对访问网站的行为进行过滤,包括HTTP URL过滤、HTTPS URL网站过滤及HTTP上传过滤。
接下来介绍以下两种场景配置指导:应用类型控制和网站指定URL进行控制。详细配置可参考新增访问权限策略章节。
针对应用类型进行控制
步骤1.在[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.点击<策略设置>,勾选应用控制,进入应用控制编辑页面,点击<添加>按钮并弹出选择适用的应用框页面。
步骤4.勾选需要控制的应用,动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。
步骤5.如果需要修改已设置的应用控制策略。勾选需要修改的应用,可以点击<移除>来删除掉该策略。点击<允许>可以把策略动作改为允许。点击<拒绝>则把策略动作改为拒绝。点击<上移>和<下移>,则可以把策略的序号进行调整。在进行策略规则匹配的时候,序号靠前的策略优先被匹配到。
步骤6.如果此策略中您只需要做应用控制,则点击<提交>按钮完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
针对指定的URL进行控制
HTTPS URL过滤是对使用HTTPS协议访问的网站进行过滤。例如拒绝内网用户访问加密网站https://mail.google.com/。
步骤1.因为URL分类库中默认没有一个URL组是专门对应https://mail.google.com/的,所以在设置规则之前,需要先建一个URL组,将https://mail.google.com/添加进去。
步骤2.进入[系统管理/对象定义/URL分类库]页面,点击<新增>按钮,进入URL组设置页面,输入URL组名称、URL组描述以及URL。由于HTTPS URL也支持通配符,所以URL设置成:*.google.com。
步骤3.在[行为管理/访问权限策略],新增一条访问权限策略,点击<策略设置>,勾选应用控制,进入应用控制编辑页面。
步骤4.点击<添加>按钮,弹出选择适用应用框。找到“访问网站”这一类别,找到上一步中自定义的URL组“gmail”。动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。
:
从AC12.0.42版本起,设备识别https的网站会先查client hello中的server name字段,如果没有这个字段,不再通过证书重组来获取证书中的“颁发给”作为识别依据。而是通过DNS cache功能,即终端的域名访问流量经过AC时,AC通过DNS cashe里的IP和域名的对应表来识别终端访问的域名。
端口控制是针对数据包的目标IP、端口、时间段等进行控制的一种方法。当管理员需要对某个IP或者IP组的端口进行策略控制时,可配置端口控制进行实现。设备对其他未设置的网络服务默认是允许访问的。
操作步骤
步骤1.在[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.点击<策略设置>,勾选端口控制,进入端口控制编辑页面,点击<添加>按钮,添加规则。
步骤4.添加目标IP组,点击下拉框,在下拉列表中选择对应的IP组。如果不存在需要的IP组,可以点击下拉框最下方的[新增IP组]选项进行添加。设置好相关IP组信息后,点击<提交>,完成IP组设置。
步骤5.添加服务名,点击下拉框,在下拉列表中可以选择的服务有:All_Protocol、DNS、HTTPS、 SMTP、 POP3、 LDAP 、FTP等 。如果不存在需要的服务,可以点击下拉框最下方的[新增网络服务]选项进行添加。设置好相关网络服务信息后,点击<提交>,完成网络服务设置。
步骤6.返回到之前的配置界面,设置动作为拒绝,动作生效时间为上班时间,点击<确定>。完成此策略的设置。
步骤7.如果需要修改已设置的端口控制策略。勾选需要修改的网络服务,可以点击<移除>来删除掉该策略。点击<允许>可以把策略动作改为允许。点击<拒绝>则把策略动作改为拒绝。点击<上移>和<下移>,则可以把策略的序号进行调整。在进行策略规则匹配的时候,序号靠前的策略会先被匹配到。
步骤8.如果此策略中只需要做端口控制,则点击<提交>按钮完成此策略的编辑,如果还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
步骤9.选择适用对象和配置高级设置,点击<提交>完成配置。
步骤10.当用户去访问百度网页会被拒绝,打开CMD命令,查看访问网站的端口会出现连接失败。
针对使用HTTP代理,SOCK代理和在HTTP协议与SSL协议标准端口使用其他协议的行为进行控制。
勾选[不允许使用外部HTTP代理],则内网用户使用外网HTTP代理服务器方式上网时将被设备拒绝。
勾选[不允许使用外部Sock4/5代理],则内网用户使用SOCK代理方式上网的行为将被设备拒绝。
勾选[不允许在HTTP,SSL协议的标准端口使用其他协议],则对于那些已知/未知的软件通过常用知名端口(TCP80、TCP443)来通讯,但是通讯的内容是其私有协议格式时,这些通讯信息将被设备拒绝。
Web关键字过滤功能是通过搜索引擎搜索词和HTTP上传两个部分进行过滤拒绝或告警。搜索引擎上搜索过滤关键字是通过百度、Google等搜索某些关键字。HTTP上传过滤关键字是通过HTTP协议上传关键字,如对论坛、QQ空间等发贴内容的关键字进行过滤或告警。
:
由于现在很多网站都是HTTPS协议,需要配合开启SSL解密才能识别文字和HTTP上传动作。
配置举例:设置一条全天拒绝搜索“求职”类关键字 ,允许搜索“游戏”类关键字,但是需要将搜索“游戏”类关键字的行为发告警邮件到sangfor@sangfor.com.cn,且禁止通过HTTP上传包含“深信服测试”敏感词汇关键字的数据的实例策略。
操作步骤
步骤1.在[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
勾选<关键字过滤>,右边进入搜索引擎搜索词编辑页面。点击<添加>按钮,添加一条“求职”,URL选择全部,动作拒绝;一条“游戏”,URL选择全部,动作为告警,生效时间均选择全天。
此处分别引用了关键字组和时间计划组。点击[关键字]下方的下拉按钮,选择需要处理的关键字组。
如果关键字组里没有包含需要的关键字,可以点击下拉框中的<新建关键字组>按钮,创建新的关键字组。
步骤3.选择<HTTP上传>进入编辑页面,点击<添加>按钮,进入HTTP上传添加界面。点击<添加>一条策略。点击[关键字]下方的下拉按钮,会列出关键字组列表。 新增一条敏感词汇组,关键字“深信服测试”;动作拒绝,生效时间为全天。
步骤4.点击<适用对象>,此处选中的用户/位置/终端类型/目标区域将全部匹配此上网策略设置的权限。
步骤5.点击<高级配置>,设置包括策略过期日期设置、同级别管理员查看编辑权限设置、允许低级别管理员查看;配置完成点击<提交>。
步骤6.由于当前很多网站都是使用HTTPS协议,因此需要开启解密策略才能过滤关键字信息,SSL解密策略的适用对象中需要包含过滤Web关键字过滤策略的对象,其详细配置请参考新增SSL解密策略章节。
步骤7.配置邮件告警需要设置开启Web关键字过滤告警,请到[系统管理/系统配置/告警选项/告警事件],如下图所示。
步骤8.设置告警邮件的发送邮箱服务器地址和接收邮箱,配置路径在[系统管理/系统配置/告警选项/邮件告警]。先配置收件地址邮箱,确保该邮箱能正常接收邮件。
步骤7.例如配置QQ邮箱服务器,需要在[设置/账号]找到服务器配置方式,确保SMTP已开启。根据需求点击<如何使用 Foxmail 等软件收发邮件?>去获取STMP服务器地址和端口。
步骤8.点击<生成授权码>,跳转验证码发送页面,使用绑定邮箱的手机号发送短信到指定的号码,手机上发送成功,再点击<我已发送>。
步骤9.页面弹出生成授权码。
步骤10.点击<配置发送邮件服务器>跳转到邮件服务器通知页面。填写刚才配置的邮箱地址、SMTP服务器地址、服务器端口。STMP服务器验证填写的用户名与发件邮箱一致,密码为授权码。
步骤11.点击<发送测试邮件>,输入能正常接收邮件的邮箱地址,发送成功后,页面会弹出“测试有效性成功”,说明配置的发送邮件服务器能正常发送邮件。点击<提交>邮件通知服务器配置完成。
步骤12.用户在浏览器访问含有“游戏”关键字。收件箱会收到告警邮件。
用户在浏览器访问“求职”关键字,会出现访问被拒绝的提示页面。
Web文件类型过滤功能是通过HTTP协议和FTP协议上传和下载的文件类型过滤。
:
1.其中FTP协议需要在页面勾选以下限制也适用于FTP上传和下载,如果不勾选策略仅在HTTP生效。
2.排除网站功能仅对HTTP上传和下载有效,对FTP请在[系统管理/系统配置/全局排除]中设置。
步骤1.在[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.勾选<Web文件类型过滤>,在Web文件类型过滤页面有上传和下载两种类型。
勾选[以下限制也适用于FTP上传和下载]选择,策略对FTP的上传下载起过滤作用。
步骤4.设置文件过来类型,在上传页面点击<添加>按钮,选择拒绝的文件类型。例如选择“图片”、在下载页面点击<添加>按钮,选择拒绝的文件类型,例如选择“音乐”。动作选择拒绝,生效时间选择全天。
步骤5.如果还需要单独对某些网站的上传下载文件类型不做限制,则通过添加排除网站来实现。勾选<排除网站>,点击URL分类库,选择需要排除的网站URL分类。
步骤6.设置完成后,点击<提交>按钮,完成此策略的编辑。
步骤7.当用户在浏览器上传有关图片的文件和下载音乐文件时,页面提示访问被拒绝。
邮件过滤功能用于对内网客户端通过SMTP、POP3协议发送的邮件进行过滤,过滤的条件可以设置收发邮件地址,邮件标题和正文的关键字等。
源地址过滤:是对发送邮件的发件人地址进行过滤。
• 勾选[不允许如下后缀的邮件地址发送邮件],在窗口中输入需要过滤的邮件地址,当发件人匹配了这些地址,设备将不允许此邮件发送,反之没有匹配到则放通。
• 勾选[仅允许如下后缀的邮件地址发送邮件],在窗口中输入需要放通的邮件地址,当发件人如果匹配了这些地址,设备将允许此邮件发送,反之没有匹配到则设备不允许此邮件发送。
目的地址过滤:是对发送邮件的接收人地址进行过滤。
• 勾选[不允许发送邮件到如下的邮件地址或如下后缀的邮件地址] :在窗口中输入需要过滤的邮件地址,当收件人如果匹配了这些地址,则设备将不允许此邮件发送,相反没有匹配到,则放通。
• 勾选[仅允许发送邮件到如下的邮件地址或如下后缀的邮件地址] 在窗口中输入需要放通的邮件地址,那么邮件的收件人如果匹配了这些地址,则设备将允许此邮件发送,相反没有匹配到则设备不允许此邮件发送。
• [不允许发送标题和内容中包含有如下关键字的邮件]:检测发送邮件的标题和正文内容是否存在某些关键字,如果存在则不允许发送。比如过滤邮件标题或者内容中有求职关键字的邮件,在窗口中输入求职即可。
• [不允许发送带有如下类型附件的邮件]:检测发送邮件中所带附件的文件类型,如果匹配窗口中所填的类型,则不允许发送。
高级配置:
• 勾选[不发送超过如下大小的邮件]:启用对发送邮件的大小检测,如果超过设置值,则不允许发送。
• 勾选[不发送附件超过如下个数的邮件],启用对发送邮件所带附件的个数检测,如果超过设置值,则不允许发送。
以上的设置是“或”关系,从上往下匹配,如果匹配到任意一项即执行放通或拒绝的动作,如果有冲突,以匹配到的第一条为准。
邮件过滤设置注意事项
QQ号白名单用于设置对指定的QQ号进行放通,封堵其它QQ号码登录;支持PC和移动QQ应用。如果是以手机号、邮箱作为QQ账号是需填入腾讯自动分配的数字串账号。
操作步骤
步骤1.在[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。
步骤3.访问权限策略勾选<QQ白名单>,填写允许登录的QQ号。
步骤4.设置完成后,点击<提交>按钮,完成QQ号白名单配置。
步骤5.当用户用除了白名单列表中的账号登录QQ时,会出现登录超时的情况。
建议使用Chrome浏览器访问!
