深信服社区»版块 安全类 行为管理AC AC的SSL识别似乎失效了

AC的SSL识别似乎失效了

查看数: 4086 | 评论数: 8 | 收藏 1
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2018-6-1 15:11

正文摘要:

配置上网权限策略控制web关键字搜索,勾选SSL识别并添加需要识别的域名。但是似乎SSL识别失效了,安装证书后依然能够搜索,并且之前勾选SSL识别会导致https网页访问报错,现在并不报错。未加密网站可以正常过滤关键 ...

回复

好心情能长寿 发表于 2018-8-12 22:27
学习一下
Nevermore 发表于 2018-8-12 21:31
围观学习一下
◇◆□乱拳打死老司机□◆◇ 发表于 2018-6-12 17:05
您好,您的问题是否已经解决呢。
1、Webmail、webbbs等网络应用采用SSL加密方式访问的时候,主要是使用安全证书来实现身份校验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制
2、当内网PC端发起SSL连接请求的时候,设备会以代理服务器的身份,去代理SSL客户端发出访问请求给SSL服务器,并以SSL客户端的身份跟SSL服务器完成交互后,AC再以SSL服务器的身份回应内网PC的SSL访问请求
3、在这整个过程中,设备既作为内网pc的SSL服务端存在,同时也作为外网SSL服务器的客户端存在。所以,SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的,而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的,而并非来自于真实的SSL服务器
Brin 发表于 2018-6-5 17:00
找到解决办法了,原来是自定义中加了百度应用影响了SSL识别。
feeling 发表于 2018-6-2 22:10
这个功能不好用
Brin 发表于 2018-6-1 15:45
发现这个配置可以做到屏蔽含关键字的加密web邮件,但还是屏蔽不了百度搜索结果……
zhb 发表于 2018-6-1 15:26

因为开启【ssl内容识别】后,设备会伪装公网服务器和PC进行证书协商,然后设备和公网服务器进行证书协商,但是ac设备的证书并不在浏览器的受信任的根证书里面,所以需要导入设备的证书之后,网页才能正常访问

1、11.x及之后的版本,如果设备启用了SSL内容识别:

       网桥部署,则不需要设备可以上网,只要内网的pc可以上网就行;

       路由部署,需要电脑上网所走的WAN口可以上网;

       6.x及之前的版本,则需要保障设备可以上网


2、可以手动安装根证书,证书下载的位置,【上网策略】-【上网权限策略】-【SSL内容识别】-【点击下载SSL识别根证书】

      也可以通过设备推送下发根证书,【用户认证与管理】-【认证高级选项】-【安装SSL识别根证书】,针对于内网需要安装的用户启用之后,用户打开网页的时候,就会提示安装,安装成功之后,才可以上网,建议先针对于个别电脑启用,因为没有安装成功,则无法上网

建议参考链接:点击这里

你过来哇 发表于 2018-6-1 15:19
1、看下在线用户是否有用户,如果有,点开用户名看下有匹配到关键字过滤这个策略的么
2、看下用户的地址是否有添加到全局排除了