AC自定义应用实现单独放开某个网站或应用一例

      就从今天早上说起吧。作为一个整天忙的要死几乎不得闲、公司领导却以为整天无所事事的挨踢工程师，我刚坐到工位上不久，就收到一条即时消息，说有个学习类网站视频播放不了。

      好吧，我知道你播不了视频，因为公司规定禁止上网看视频，AC上早就做了限制。可是公司也有另外的规定，如果是学习类，尤其是与工作有关的学习网站，需要对全员放开。这些网站都有哪些呢？谁也给不了一个完整的目录，只好碰到一个开放一个。下面就说一下具体如何开放类似这样一个网站或应用吧。

       首先要搞清楚他访问的是一个什么网站或应用。在这里需要指出的是，不要以为他告诉你一个网站你把那个网站的域名或是ip开通就可以了，绝大多数情况下并不是这么简单。例如本案例中，zjsjxjy.jianshe99.com这个网站连接的视频往往存放在另外的地方，这个存放位置很可能与这个网站隔着十万八千里，他只是引用了一个连接而已。那如何搞清楚到底用户访问的是哪个地址和端口呢？——设置并开启上网故障排除功能，通过观察被拒绝的日志来具体确定。

导航到，系统管理-系统诊断-上网故障排除

点击“设置并开启”，填入用户PC的ip地址，并开启。如图：

      这时候你就可以告诉用户，再次登录那个看不了视频的网站，继续试图收看视频。过了一会用户说：“还是不行啊！”。当然不行，我什么都没操作你要是行了还要我干嘛？呵呵。“稍等一会，我再调一下”。让用户觉得你是在为他不停的忙碌。嘿嘿。

现在可以点一下上网故障排除列表上面的刷新按钮了，得到如下的日志记录：

这里面太多了，哪些有用？既然他说看不了视频，那我就找与视频有关的吧。

于是我找到了上图中标出的那些信息：

大一点的网站视频来源一般会是一个ip段：比如这里就是27.152.181.234-240。如果一次看不全，可以让用户多登陆点击几个视频文件，看看是不是来自不同的ip来源。这时你就可以记录下来这些ip了。这些就是待开放的ip。当然，如果你想更具体地限制所用的端口号（也就是具体的应用），那就把端口号也记录下来吧。比如这里的1935端口。1935是干啥的呢？我也不知道，问一下度娘吧，顺便学习一下，知识就是这么积累的：

继续干正事，导航至：对象定义-自定义应用，记得选中“用户自定义规则优先”哦。点击新增：

新增一条自定义应用，把你刚才记录的ip地址填进去，如果想更具体的限制，可以添加相应的端口号或范围。当然你也可以添加域名。点提交。如图：

提交后，在你对应的用户所应用的“上网策略”的应用规则库中就会多出一条自定义的规则选项。你就可以选择它，并设置允许了。如图：

经过这些操作之后，你就可以再次让用户试一下了。就等着用户说谢谢你吧。嘿嘿

至此，问题解决。是不是也挺波澜壮阔的啊啊啊啊啊啊~

当然你也可以把ip地址做全局排除，那样也能达到目的，但是不能审计，我一般不用。

非常赞的一篇分享！

这个问题其实遇到的挺多的，就像楼主说的这样，不要以为你放通了客户给你的域名就OK了~~很赞很赞！

给楼主点赞

这个必须打赏、点赞！！！

已赞，已赏~

看楼主写得排查过程，清晰明了，对AC、SG、AF的用户来说，这种问题可能会经常遇到，以后再也不怕无从下手了！
非常棒的一篇分享，感谢楼主带来的干货！

好的分享就应该赞+打赏

非常实用的分享

对这个用户开启审计，在日志中心里看好像更方便一点