|
这是一个老生常谈的问题,某些用户对访问互联网有着很严格的要求;例如:项目遇到的一个典型客户,要求局域网用户只允许访问163邮箱(禁止访问其他任何网址、应用等);
对于用户这个需求是很简单的,解决方案如下: A、自定义URL,在【对象定义】---【url分类库】里面新增URL分类,并在URL里面输入需要放通的网站,此处支持通配符(例如:*.163.com); B、新增一条“拒绝上网”的策略; 新增上网权限策略,在展开的应用库里面-找到自定义网址,并同时选中DNS放通; C、将策略关联用户即可;
按照此解决方案配置好后,经常会出现这样那样的问题,如有的用户就是不能打开该网页或者页面图片加载不全、“邮箱帐号登录”处一直在加载中;
针对这个问题也有比较成熟的解决方案:
方案一:通过抓包工具wireshark进行抓包,记录下host的URL,后在AC设备对象定义里面 添加这些host的URL;
图片引用“woshishui 发表的AC 自定义网址放通固定的URL”! 方案二:AC有功能:【自动放行网页中包含的外部域名资源】,勾选这个选项,就不用像你上面把所有的host全部加入某个自定义URL组了。11.0版本在【策略管理】->【策略高级选项】->【策略控制选项】下面,非11.0版本在【系统配置】->【高级配置】->【URL过滤】下面。
但最近遇到一个新问题,设备上架运行有一年多了,而且策略并没有调试更改;接到客户电话,说是设备无法正常访问163邮箱了,就是出现刚才上面提到的故障页面显示不全以及“邮箱帐号登录”处一直在加载中;
这是由于什么问题引起的呢,能够确认两点:
1、客户确定没有对上网行为管理进行任何操作;
2、6月28号,小编和客户对系统查看时候,确认163邮箱是可以正常访问;
先进行故障排除;通过“上网故障排除”工具,开启直通并打开163邮箱,然后在查看日志:
发现“应用名称-SSL”的动作是应用服务控制丢包;针对这个故障,在之前做的上网权限策略(放行163)-应用,搜索SSL ,并对“网络协议-SSL”进行勾选放行-然后下发配置;PS:把直通关闭。 问题分析:既然之前设备运行检查是正常运行,而且用户并没有对策略进行调整,为什么会突然出现访问不了的问题呢?不知道小伙伴们发现163邮箱的登陆界面发生了小的变化:
除了163邮箱访问的网址不一样(mail.163.com、email.163.com)不一样外,在下方还有一个区别就是“是否使用SSL登陆”;如果小编没有记错的话,之前(至少6月28日之前)通过mail.163.com的访问163邮箱的话,“SSL安全登录”是可选的;也就是说用户在登录163邮箱的话可以非加密或加密方式;
或许网易考虑勒索病毒(2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。)或许是其他安全问题,对邮箱登陆方式强制使用了SSL登陆方式。
各位小伙伴可以可以注意一下是不是你的项目中也有这样的问题!经典案例参考:
| | | | 【资料大合集】AC配置指导索引帖 -某公司_AC_v11-CONF-07-08_如何放通特定的网站或者应用 | | | | | | 如何实现只允许访问某个URL和只让特定的邮箱收发邮件 | | | | |
SSL是SecuritySocketLayer的缩写,技术上称为安全套接字,可以简称为加密通讯协议。
当选择“SSL安全登录”后登录网站,用户名和密码会首先加密,然后通过SSL连接在 Internet 上传送,没有人能够读取或访问到您利用该连接传送的数据。使用SSL可以对通讯(包括E-mail)内容进行高强度的加密,从而可以有效防止黑客盗取您的用户名、密码和通讯内容,保证了邮箱的安全性。
为了更安全的保证个人隐私,建议如果没有特殊情况,尽量选择该项登录。
一般说来,在网上进行交易时,需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。随着电子商务的盛行,数位签章的颁发机构 CA (如GlobalSign)中心将为电子商务的发展提供可靠的安全保障。网站使用数字签名之后,即可实现 SSL安全登录。 | 
发表于 2017-7-11 11:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-7-14 16:02
