1、AC/SG路由、网桥支持审计加密内容以及加密客户端邮箱内容;SG单臂模式部署支持审计加密内容,不支持审计加密客户端邮箱内容
2、AC12.0.26之前版本:AC/SG旁路部署不支持审计加密内容以及加密客户端邮箱内容
3、从标准版本AC12.0.26开始,AC/SG旁路部署支持审计加密内容以及加密客户端邮箱内容
注意:
1、12.0.26之前版本:审计加密内容需要启用SSL内容识别,并添加域名到加密WEB内容识别域名列表中
2、12.0.26及之后版本:非旁路部署模式下,审计加密内容可以通过启用SSL内容识别,并添加域名到加密WEB内容识别域名列表中实现;或者是通过启用准入插件解密HTTPs实现
3、12.0.26及之后版本,AC/SG旁路部署,需要审计加密内容,只能通过启用准入插件解密HTTPs功能实现
也就是说ac旁挂的话版本必须是12.0.26及之后的版本,并且ssl解密策略只能选准入插件解密才能审计到https流量
AC SSL证书怎么安装
https访问采用ssl加密方式访问的时候,主要是使用安全证书来实现身份效验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制
由于终端不信任AC的根证书导致终端访问https的网站会弹出证书告警,想要消除告警管理员必须把AC根证书分发给每个终端来安装
注意:
1、https重定向和SSL内容识别都会导致https网站被设备代理导致告警,部分网站会导致代理之后无法访问,必须要导入根证书到电脑受信任的根证书颁发机构列表
2、设备的根证书默认名字是VeriSign Class 1 Extended Validation CA,可以看网站的服务器证书颁发者是否是AC的根证书来确定https请求是否被设备代理,也可以打开浏览器受信任根证书列表是否已经导入设备根证书
3、AC12.0.23及以上版本在【上网策略】-【策略高级选项】-【SSL证书设置】可以自定义根证书,详细配置方法参考连接:点击这里
下载和导入根证书方法一:
配置上网策略,在【策略管理】-【上网策略】-【上网权限策略】-【ssl内容识别】策略下面有个【点击下载ssl内容识别根证书】,下载安装即可,也可以通过AD域推送导入,可以下载《AD域环境下解除终端浏览器告警的方法》指导文档进行操作
注意:安装的证书存储位置需要设置为受信任的根证书颁发机构
![]()
下载和导入根证书方法二:
1、【用户认证与管理】-【认证高级选项】-【安装SSL识别根证书】勾选“要求安装根证书”
![]()
2、AC会根据设置的域名及适用范围定向重定向提示终端安装根证书及下载界面
3、终端下载并运行根证书程序,根证书安装成功此时需要关闭浏览器让证书安装生效,也可以将证书导入程序通过AD域推送安装
4、重新打开浏览器,查看浏览器证书发现设备根证书在“受信任的根证书颁发机构”即可
![]()
更多配置文档建议参考:点击这里
注意: 启用要求安装证书功能之后, 适用范围内未安装证书的终端访问适用域名会重定向到安装证书页面, 安装证书之后才能正常上网
要想审计https邮件,流程大致为:审计策略勾选相应邮箱应用,新增ssl解密策略根据实际情况选择解密方式,没有解密卡的设备不推荐使用全局解密,对设备负担很大,最后根据所选ssl解密方式,选择性安装证书或者插件
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-2 21:18
技术员2级 
