深信服社区»版块 安全类 行为管理AC 设置了禁止上传策略但还是能正常上传

设置了禁止上传策略但还是能正常上传

查看数: 2322 | 评论数: 23 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
帖子模式
    组图打开中,请稍候......
新手449571
发布时间: 2024-10-10 11:37

正文摘要:

本帖最后由 新手449571 于 2024-10-10 11:38 编辑 QQ微信可以正常阻止上传发送文件,但是邮箱网盘等还是能正常上传文件,是为什么呢,我需要让这个组的用户禁止上传任何文件 ...

回复

dhf 发表于 2024-10-28 10:36
1、若需要拒绝的网页或邮箱是https加密的,需要启用SSL内容识别功能。
2、网盘可以在“应用控制”中加入“网络存储”的选项
枫凌 发表于 2024-10-23 09:40
可以去日志里看一下这个用户情况
赵安 发表于 2024-10-20 09:39
技术知识本乏味,互动交流应有味,文理综合为了让大家收获更多知识与欢乐
季白岁杪 发表于 2024-10-17 20:28
1、若需要拒绝的网页或邮箱是https加密的,需要启用SSL内容识别功能。
2、网盘可以在“应用控制”中加入“网络存储”的选项
婷姐小球球 发表于 2024-10-12 09:20


1、查看策略配置是否正确;用户流量是否经过AC设备;如设备是旁路模式,确认流量是否有双向镜像;另外旁路模式仅针对tcp应用有封堵功能。
2、应用识别库/URL库是否最新,是否有自定义应用;规则库是否包含客户所需放通/拒绝的应用;相应规则是否是启用状态;是否有全局排除或直通等
规则库路径:【系统管理】-【系统配置】-【规则库升级】
3、部分应用要封堵是有要求的,譬如要启用SSL内容识别,要特定版本才支持等。如钉钉_传文件需要设备12.0.14以上版本,且开启ssl内容识别功能并添加相应域名,如下图
SSL内容识别配置路径:【行为管理】-【访问权限策略】-【SSL解密策略】
4、看策略有没有正确关联给用户:在在线用户里根据终端的IP地址搜索用户,看用户的策略结果集
5、如果策略没有关联上用户,需要仔细检查策略适用的时间组,测试适用的目标区域,终端类型,位置等是否匹配
6、在线用户列表里面过滤用户的IP,看用户是否以正确的身份上线(如果内网有NAT环境,注意NAT后的IP是否上线)
如终端有多个网卡,需确认URL访问流量走哪个网卡(建议征得客户同意后,禁用其他网卡,只使用一个网卡验证)
如网卡同时启用了ipv4和ipv6,需确认URL访问流量走ipv4,还是走ipv6(建议征得客户同意后,禁用ipv4或禁用ipv6验证)

7、利用“Microsoft Network Monitor”软件抓包分析,PC上的数据包和AC内外网口抓的数据包对比,检查用户流量是否双向经过设备或流量是否发送给了代理SG,AC如何抓包参考如下链接:
https://support.sangfor.com.cn/c ... mp;category_id=9454
通过wireshark统计功能可以确定对应的流量是否双向经过设备
8、在应用流量排名/用户流量排名看用户产生的流量设备识别到是什么应用。
     网页类应用须清空浏览器缓存或打开浏览器开发者工者,勾选禁用缓存选项再测,如下图
chrome浏览器
9、在连接监控里根据IP地址过滤,确认匹配到的应用名称是什么,方向是不是LAN->WAN
【全网监控】-【流量状态】-【连接监控】
10、利用权限策略故障排除功能,定位连接匹配到是什么应用。使用此方法建议同时在PC上抓包,确认程序通讯的目的IP地址。然后根据IP地址在权限策略故障排查页面查询
11、在数据中心根据目标IP地址查询是否有拒绝日志并找到对应的应用进行放通
12、检查全局排除是否放通。全局排除地址里可以写IP地址、IP地址段、域名,需要一一确认源目IP地址是否会匹配到全局排除,若匹配到全局排除,默认会放通该IP的全部流量。
13、检查数据直通是否开启:确认源目IP地址是否匹配到数据直通IP地址范围而被放通
真男人 发表于 2024-10-11 10:47

1、查看策略配置是否正确;用户流量是否经过AC设备;如设备是旁路模式,确认流量是否有双向镜像;另外旁路模式仅针对tcp应用有封堵功能。
2、应用识别库/URL库是否最新,是否有自定义应用;规则库是否包含客户所需放通/拒绝的应用;相应规则是否是启用状态;是否有全局排除或直通等
规则库路径:【系统管理】-【系统配置】-【规则库升级】
3、部分应用要封堵是有要求的,譬如要启用SSL内容识别,要特定版本才支持等。如钉钉_传文件需要设备12.0.14以上版本,且开启ssl内容识别功能并添加相应域名,如下图
SSL内容识别配置路径:【行为管理】-【访问权限策略】-【SSL解密策略】
4、看策略有没有正确关联给用户:在在线用户里根据终端的IP地址搜索用户,看用户的策略结果集
5、如果策略没有关联上用户,需要仔细检查策略适用的时间组,测试适用的目标区域,终端类型,位置等是否匹配
6、在线用户列表里面过滤用户的IP,看用户是否以正确的身份上线(如果内网有NAT环境,注意NAT后的IP是否上线)
如终端有多个网卡,需确认URL访问流量走哪个网卡(建议征得客户同意后,禁用其他网卡,只使用一个网卡验证)
如网卡同时启用了ipv4和ipv6,需确认URL访问流量走ipv4,还是走ipv6(建议征得客户同意后,禁用ipv4或禁用ipv6验证)

7、利用“Microsoft Network Monitor”软件抓包分析,PC上的数据包和AC内外网口抓的数据包对比,检查用户流量是否双向经过设备或流量是否发送给了代理SG,AC如何抓包参考如下链接:
https://support.sangfor.com.cn/c ... mp;category_id=9454
通过wireshark统计功能可以确定对应的流量是否双向经过设备
8、在应用流量排名/用户流量排名看用户产生的流量设备识别到是什么应用。
     网页类应用须清空浏览器缓存或打开浏览器开发者工者,勾选禁用缓存选项再测,如下图
chrome浏览器
9、在连接监控里根据IP地址过滤,确认匹配到的应用名称是什么,方向是不是LAN->WAN
【全网监控】-【流量状态】-【连接监控】
10、利用权限策略故障排除功能,定位连接匹配到是什么应用。使用此方法建议同时在PC上抓包,确认程序通讯的目的IP地址。然后根据IP地址在权限策略故障排查页面查询
11、在数据中心根据目标IP地址查询是否有拒绝日志并找到对应的应用进行放通
12、检查全局排除是否放通。全局排除地址里可以写IP地址、IP地址段、域名,需要一一确认源目IP地址是否会匹配到全局排除,若匹配到全局排除,默认会放通该IP的全部流量。
13、检查数据直通是否开启:确认源目IP地址是否匹配到数据直通IP地址范围而被放通
talent 发表于 2024-10-11 10:21

1、查看策略配置是否正确;用户流量是否经过AC设备;如设备是旁路模式,确认流量是否有双向镜像;另外旁路模式仅针对tcp应用有封堵功能。
2、应用识别库/URL库是否最新,是否有自定义应用;规则库是否包含客户所需放通/拒绝的应用;相应规则是否是启用状态;是否有全局排除或直通等
规则库路径:【系统管理】-【系统配置】-【规则库升级】
3、部分应用要封堵是有要求的,譬如要启用SSL内容识别,要特定版本才支持等。如钉钉_传文件需要设备12.0.14以上版本,且开启ssl内容识别功能并添加相应域名,如下图
SSL内容识别配置路径:【行为管理】-【访问权限策略】-【SSL解密策略】
4、看策略有没有正确关联给用户:在在线用户里根据终端的IP地址搜索用户,看用户的策略结果集
5、如果策略没有关联上用户,需要仔细检查策略适用的时间组,测试适用的目标区域,终端类型,位置等是否匹配
6、在线用户列表里面过滤用户的IP,看用户是否以正确的身份上线(如果内网有NAT环境,注意NAT后的IP是否上线)
如终端有多个网卡,需确认URL访问流量走哪个网卡(建议征得客户同意后,禁用其他网卡,只使用一个网卡验证)
如网卡同时启用了ipv4和ipv6,需确认URL访问流量走ipv4,还是走ipv6(建议征得客户同意后,禁用ipv4或禁用ipv6验证)

7、利用“Microsoft Network Monitor”软件抓包分析,PC上的数据包和AC内外网口抓的数据包对比,检查用户流量是否双向经过设备或流量是否发送给了代理SG,AC如何抓包参考如下链接:
https://support.sangfor.com.cn/c ... mp;category_id=9454
通过wireshark统计功能可以确定对应的流量是否双向经过设备
8、在应用流量排名/用户流量排名看用户产生的流量设备识别到是什么应用。
     网页类应用须清空浏览器缓存或打开浏览器开发者工者,勾选禁用缓存选项再测,如下图
chrome浏览器
9、在连接监控里根据IP地址过滤,确认匹配到的应用名称是什么,方向是不是LAN->WAN
【全网监控】-【流量状态】-【连接监控】
10、利用权限策略故障排除功能,定位连接匹配到是什么应用。使用此方法建议同时在PC上抓包,确认程序通讯的目的IP地址。然后根据IP地址在权限策略故障排查页面查询
11、在数据中心根据目标IP地址查询是否有拒绝日志并找到对应的应用进行放通
12、检查全局排除是否放通。全局排除地址里可以写IP地址、IP地址段、域名,需要一一确认源目IP地址是否会匹配到全局排除,若匹配到全局排除,默认会放通该IP的全部流量。
13、检查数据直通是否开启:确认源目IP地址是否匹配到数据直通IP地址范围而被放通
xhb 发表于 2024-10-11 10:10
流量是否经过设备呢?
新手078326 发表于 2024-10-11 10:05
1、查看策略配置是否正确;用户流量是否经过AC设备;如设备是旁路模式,确认流量是否有双向镜像;另外旁路模式仅针对tcp应用有封堵功能。
2、应用识别库/URL库是否最新,是否有自定义应用;规则库是否包含客户所需放通/拒绝的应用;相应规则是否是启用状态;是否有全局排除或直通等
规则库路径:【系统管理】-【系统配置】-【规则库升级】
3、部分应用要封堵是有要求的,譬如要启用SSL内容识别,要特定版本才支持等。如钉钉_传文件需要设备12.0.14以上版本,且开启ssl内容识别功能并添加相应域名,如下图
SSL内容识别配置路径:【行为管理】-【访问权限策略】-【SSL解密策略】
4、看策略有没有正确关联给用户:在在线用户里根据终端的IP地址搜索用户,看用户的策略结果集
5、如果策略没有关联上用户,需要仔细检查策略适用的时间组,测试适用的目标区域,终端类型,位置等是否匹配
6、在线用户列表里面过滤用户的IP,看用户是否以正确的身份上线(如果内网有NAT环境,注意NAT后的IP是否上线)
如终端有多个网卡,需确认URL访问流量走哪个网卡(建议征得客户同意后,禁用其他网卡,只使用一个网卡验证)
如网卡同时启用了ipv4和ipv6,需确认URL访问流量走ipv4,还是走ipv6(建议征得客户同意后,禁用ipv4或禁用ipv6验证)

7、利用“Microsoft Network Monitor”软件抓包分析,PC上的数据包和AC内外网口抓的数据包对比,检查用户流量是否双向经过设备或流量是否发送给了代理SG,AC如何抓包参考如下链接:
https://support.sangfor.com.cn/c ... mp;category_id=9454
通过wireshark统计功能可以确定对应的流量是否双向经过设备
8、在应用流量排名/用户流量排名看用户产生的流量设备识别到是什么应用。
     网页类应用须清空浏览器缓存或打开浏览器开发者工者,勾选禁用缓存选项再测,如下图
chrome浏览器
9、在连接监控里根据IP地址过滤,确认匹配到的应用名称是什么,方向是不是LAN->WAN
【全网监控】-【流量状态】-【连接监控】
10、利用权限策略故障排除功能,定位连接匹配到是什么应用。使用此方法建议同时在PC上抓包,确认程序通讯的目的IP地址。然后根据IP地址在权限策略故障排查页面查询
11、在数据中心根据目标IP地址查询是否有拒绝日志并找到对应的应用进行放通
12、检查全局排除是否放通。全局排除地址里可以写IP地址、IP地址段、域名,需要一一确认源目IP地址是否会匹配到全局排除,若匹配到全局排除,默认会放通该IP的全部流量。
13、检查数据直通是否开启:确认源目IP地址是否匹配到数据直通IP地址范围而被放通