行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","HTTP代理策略")}}

HTTP代理策略

更新时间:2023-09-22

HTTP代理策略配置介绍,点击[新增/HTTP代理策略],界面如下:

启用:用来控制代理策略的开启或禁用。

名称:填写HTTP代理策略的名称。

描述:添加代理策略的描述信息。

适用对象:配置代理策略的源对象,支持源IP、本地认证用户、域用户、终端类型,默认所有适用对象。

目的域名:可以自定义选择AC设备内置域名分类,或手动指定域名地址,默认选择所有域名(指定的域名:支持标准的域名,如果填入baidu.com,那么对zhidao.baidu.commusic.baidu.com都生效,如果填入www.baidu.com表示只对这一个域名生效。单个域名长度最大支持127个字节,最大容量支持1000个)。

动作:可以选择允许或者拒绝,默认值是允许。

请求ICAP服务器组:用于配置将用户发起的请求数据发送到请求ICAP服务器组,默认选择“无”,不使用请求服务器ICAP服务器。

响应ICAP服务器组:用于配置将服务器的响应数据发送到响应ICAP服务器组,默认选择“无”,不使用响应服务器ICAP服务器。

二级代理:用于配置数据是否要进行二级代理。可以选择一个二级代理服务器或者新增一个。默认选择“无”。二级代理服务器的配置见5.4节的介绍。

代理上网IP:选择使用设备的某个IP地址代理上网。有两种选择方式:一种是绑定设备的某个接口IP地址,如果选择绑定展开后系统将设备所有接口可用IP地址列出来给用户选择,会列出WANBRDMZ口、VLAN地址、单臂口的所有IP,会自动排除链路地址和LAN口地址。另一种自动选择出口IP

请求/响应ICAP服务器组检查方式

ICAP功能模块支持请求、响应方向的检查,每个方向能同时支持使用两台ICAP服务器检查,当HTTP代理策略中存在两台“请求/响应ICAP服务器组”时,可以通过轮询、并发AND和并发OR三种检查方式。

轮询:按照列表顺序依次将数据转发到ICAP服务器组,当第一台ICAP服务器组检查结果为拒绝时,请求将会终止转发,不会继续转发给后续的ICAP服务器组,直接返回拒绝结果;ICAP服务器检查结果均为通过时,检查结果才为通过。

并发AND:将数据同时发往列表中的ICAP服务器组,并同时接收返回的结果,只要收到一台ICAP服务器的返回拒绝则认为检查结果为不通过;所有ICAP服务器均返回OK时,结果才为通过。

并发OR:将数据同时发往列表中的ICAP服务器组,并同时接收返回结果,只要收到一台ICAP服务器返回OK,则认为检查结果为通过。

最长等待时间:设置检查时最长等待时间,超过等待时间则会进行失败或放通处理。默认为检查失败。

超时动作:“视为检查失败”将超时后的检查结果视为失败;“视为检查通过”将超时后的检查结果视为通过。

供应商拒绝页面:启用供应商拒绝页面时,ICAP服务器将拒绝页面重定向到终端PC,否则默认重定向到AC拒绝页面。

邮件告警:当ICAP检查结果为失败或发生超时,将发送邮件告警,需要配置邮件通知服务器。

1.一条代理策略最多只能同时添加两个请求服务器和两个响应服务器。

2.开启数据直通代理流量不会发送到ICAP服务器。