深信服社区-专业、开放、共享

只看该作者 · 发表于 2026-4-18 11:33

默认情况下企业安全设备仅能获取加密流量中的元数据（如域名、IP、端口），无法直接查看具体内容。要内容审计，需要配合解密才能实现

只看该作者 · 发表于 2026-4-19 22:42

详细说明可咨询400官方专业解答。

只看该作者 · 发表于 2026-4-20 09:48

深信服AC/SG上网行为管理支持对HTTPS网站的访问内容进行审计，可以看到具体访问内容（网页标题和网页内容），但需要满足配置前提并完成相关配置[1]。
核心配置前提

要审计HTTPS加密网站内容，必须开启SSL内容识别（SSL解密）功能，并且在用户终端安装设备根证书[1][3]。
完整配置步骤（按版本区分）
1. 配置SSL解密策略（开启SSL内容识别）

根据您的AC版本，选择对应配置路径：

上网行为管理12.0.120 / 全网行为管理13.0.102-13.0.120版本：进入【行为管理】-【SSL解密策略】，点击新增策略[1]
上网行为管理12.0.47-12.0.80 / 全网行为管理13.0.4-13.0.80版本：进入【行为管理】-【访问权限策略】，新增【SSL解密策略】[1]
AC11.0-12.0.46版本：进入【策略管理】-【上网策略】-【上网权限策略】，新增「SSL内容识别」规则[1]

完成策略基础配置：

选择解密方式：SSL中间人解密或准入客户端解密[1]
启用加密WEB应用内容识别：建议选择「自定义」并仅添加需要审计的网站域名（选择全部会大幅消耗设备性能）[1]
适用对象：选择需要审计的对应用户/用户组[1]
下载根证书：在SSL内容识别模块中下载设备根证书，需要将该根证书安装到用户PC并添加为受信任的根证书[1]

SSL内容识别配置示例[1]
2. 配置网页内容审计策略

根据您的AC版本，选择对应配置路径：

上网行为管理12.0.120 / 全网行为管理13.0.102-13.0.120版本：进入【行为审计】-【上网审计策略】，新增「上网审计策略」-找到【网页内容审计】，勾选【审计网页标题及网页内容】[1]
上网行为管理12.0.47-12.0.80 / 全网行为管理13.0.4-13.0.80版本：进入【行为审计】-【互联网审计策略】，新增「互联网审计策略」-找到【网页内容审计】，勾选【审计网页标题及网页内容】[1]
AC11.0-12.0.46版本：进入【策略管理】-【上网策略】-新增【上网审计策略】-找到【网页内容审计】，勾选【审计网页标题及网页内容】[1]
AC1.3-6.1R1版本：进入【用户与策略管理】-【上网策略】-新增【上网审计策略】-找到【网页内容审计】，勾选【审计网页标题及网页内容】[1]

只看该作者 · 发表于 2026-4-21 09:34

需要开启ssl解密比较麻烦

只看该作者 · 发表于 2026-4-22 14:07

配置操作步骤
Step 1：激活 SSL 内容识别许可
确认多功能序列号已激活 SSL 内容识别（一般默认已激活，可在授权页面查看）。
Step 2：启用 SSL 解密策略
路径：策略管理 → 上网策略 → SSL 内容识别（新增SSL解密策略）
选择解密方式：中间人解密或准入插件解密
设置解密范围：全局或指定用户/组/部门
Step 3：下发根证书（中间人解密时必须）
在 SSL 内容识别模块下载 AC 根证书
通过 AD 域策略推送或手动安装到终端，添加为"受信任的根证书"
Step 4：添加审计策略
路径：策略管理 → 上网审计策略
勾选【应用审计】
选择需要审计的内容类型（网页内容、关键字、邮件、IM等）
Step 5：验证审计效果
路径：数据中心 → 上网记录
查看是否有 HTTPS 明文内容记录。

只看该作者 · 发表于 2026-4-22 16:28

首先是需要证书，上网行为管理才能解密呢

只看该作者 · 发表于 2026-4-23 10:52

1. 开启SSL解密策略
必须先开启SSL内容识别才能审计HTTPS内容，不同版本配置路径不同：
上网行为管理12.0.120 / 全网行为管理13.0.102-13.0.120：在【行为管理】-【SSL解密策略】新增策略
上网行为管理12.0.47-12.0.80 / 全网行为管理13.0.4-13.0.80：在【行为管理】-【访问权限策略】新增【SSL解密策略】
AC11.0-12.0.46：在【策略管理】-【上网策略】-【上网权限策略】新增【SSL内容识别】
AC1.3-6.1R1：在【用户与策略管理】-【上网策略】-新增【上网审计策略】-【网页内容审计】勾选对应选项
在SSL内容识别策略中完成配置：
选择对应解密方式：SSL中间人解密或准入客户端解密
勾选「启用加密WEB应用内容识别」，建议选择自定义模式并添加需要审计的网站域名（不建议选择全部，会消耗较多设备性能）
选择策略适用的对应用户/用户组
2. 配置网页内容审计策略
开启解密后，需要配置审计策略开启网页内容审计：

上网行为管理12.0.120 / 全网行为管理13.0.102-13.0.120：在【行为审计】-【上网审计策略】-新增【上网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】
上网行为管理12.0.47-12.0.80 / 全网行为管理13.0.4-13.0.80：在【行为审计】-【互联网审计策略】-新增【互联网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】
AC11.0-12.0.46：在【策略管理】-【上网策略】-新增【上网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】
3. 终端证书配置
用户终端电脑需要安装设备的根证书（证书下载位置在SSL内容识别配置模块中），并将证书添加为受信任的根证书颁发机构，否则无法完成SSL解密

只看该作者 · 发表于 2026-4-30 15:46

AC/SG审计加密网页内容配置步骤如下：

AC/SG审计加密网页内容配置步骤如下：

1、审计https的加密网站是一定需要开启【SSL内容识别】功能；

以标准版本AC 13.0.120版本为例：在【行为管理】-【SSL解密策略】新增策略；（适用版本区间：上网行为管理12.0.120，全网行为管理13.0.102-13.0.120）

以标准版本AC 13.0.80版本为例：在【行为管理】-【访问权限策略】新增【SSL解密策略】；（适用版本区间：上网行为管理12.0.47-12.0.80，全网行为管理13.0.4-13.0.80）

以标准版本AC 12.0.46版本为例：在【策略管理】-【上网策略】-【上网权限策略】新增【SSL内容识别】；（适用版本区间：AC11.0-12.0.46）

2、SSL内容识别中选择对应解密方式为SSL中间人解密或准入客户端解密

3、启用加密WEB应用内容识别选择自定义将对应网站的域名添加进去，（不建议选择全部消耗性能很大）；适用对象选择对应用户即可；

4、配置网页内容审计策略；

以标准版本AC 13.0.120版本为例：在【行为审计】-【上网审计策略】-新增【上网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】；（适用版本区间：上网行为管理12.0.120，全网行为管理13.0.102-13.0.120）

以标准版本AC 13.0.80版本为例：在【行为审计】-【互联网审计策略】-新增【互联网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】；（适用版本区间：上网行为管理12.0.47-12.0.80，全网行为管理13.0.4-13.0.80）

以标准版本AC 12.0.46版本为例：在【策略管理】-【上网策略】-新增【上网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】；（适用版本区间：AC11.0-12.0.46）

以标准版本AC 6.1R1版本为例：在【用户与策略管理】-【上网策略】-新增【上网审计策略】-【网页内容审计】勾选【审计网页标题及网页内容】；（适用版本区间：AC1.3-6.1R1）

5、用户端的pc上面需要安装好设备的根证书（证书下载的位置在：SSL内容识别模块中），将这个证书添加为受信任的根证书；更多配置详情请参考：https://support.sangfor.com.cn/p ... ;category_id=239825

只看该作者 · 发表于 2026-5-8 14:27

这种涉及到解密的过程，怕是不好搞吧，而且解密所有HTTPS，你的机器性能不一定能顶得住

只看该作者 · 发表于 2026-5-8 17:08

可以，但是需要开启解密功能

签到天王

疑问解答

高级渠道认证

初级渠道认证

年度之星

优秀创作者

精华分享

建议牛人

转盘

任务

商城

勋章

成长计划

本版版主

本版热帖

本版达人