日志中心显示放通SSL数据导致某些https网站控制不住

一、 问题描述

客户处策略部署情况：

针对一些用户只做了两条策略，第一条策略包含了一个自定义URL，此自定义URL命名为app图文中心，包含内容如下所示：

                       

第一条策略动作允许，第二条策略默认拒绝所有。

客户需求：实现用户只能访问第一条策略允许的网站，如果第一条策略匹配不上，则全部拒绝。

二、 告警信息/故障现象

第一条策略没有允许的网站，用户还是可以访问，日志中心显示动作为记录，没有拒绝。且应用名称被识别为IT相关，但客户确实在允许的策略中没有勾选IT相关。

日志中心记录如下所示：

三、 处理排查过程

1. 检查策略配置，正确；

2. 检查测试用户的策略结果集，策略有正确关联给用户；

3. 检查应用识别规则库为最新状态，建议将测试用户的策略移除，进行重新匹配，测试无果，依然可以看到异常的匹配，也证明了流量是经过AC设备的。

4. 将限制不住的URL放在规则库里进行查找，发现规则库中是有此应用的，且规则库启用正常

5. 查看用户有勾选自动放行网页中所包含的外部域名资源

于是将此勾选取消：

               

进行测试后，依然识别异常，可以访问没有允许的网站

6、使用AC的故障排障工具检查，全部正常

7、到时候可以联系400协助查看一下，发现第一条策略中有显式放通SSL数据，第二条策略中有显式拒绝SSL数据：

四、 故障分析结论

AC11.8V2以上版本会从client hello中取url，识别为SSL协议和取得URL类型是在同一个包。

针对之前不允许访问的URL“init.itunes.apple.com”与“configuration.apple.com”，放通SSL协议，相当于整个SSL数据被放通，则此两个URL表现为控制不住。

五、 解决方案

取消勾选两条策略中相关的SSL数据，即不拒绝，不允许。再进行测试，发现成功了，不允许访问的网站现在无法访问了，达到了客户的需求。

六、 建议与总结

针对于放通或者拒绝特定的域名和URL，不要在策略中显式的放通SSL协议，11.8V2版本以上会从client hello中取url，识别为SSL协议和取得URL类型是在同一个包，如果放通SSL协议，会表现为https网站控制不了。对于11.8V2以下的版本也建议不要显式的放通SSL协议。

如果在策略中显式的拒绝了相关SSL协议，就会出现第一条需要放通的相关https网站访问不了。因为同样会从client hello中取url，识别为SSL协议和取得URL类型是在同一个包。如果443端口都被拒绝，则允许访问的URL也就访问不了了。

感谢楼主的分享，楼主针对上网权限策略设置把SSL协议做了显性的放通和拒绝导致网页打不开的问题做了个比较详细的介绍，先是从日志中心上看到相关日志以及到发现策略配置有误定位到问题所在，整篇文章思路较为清晰，期待楼主后续带来更多有价值的分享

感谢分享，学习一下~

感谢分享，学习一下~

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！

很详细，学习了，感谢分享！

一起学习 一起学习！

感谢分享，有助于工作和学习

每日打卡，积累知识，沉淀技术！

坚持打卡，坚持签到，感谢楼主的分享