【2022争霸赛*干货满满】深信服防火墙AF设备，限制内网部分用户上网，但可发邮件

深信服防火墙AF设备，限制内网部分用户，例如10.0.1.8只允许发邮件，禁止上网；

最初思路：

1、在原有内网所有地址10.0.1.0/24上网（放行策略和SNAT配置）上，新增2条策略

2、配置允许内网用户10.0.1.8/24访问公网，应用选择邮件

3、配置禁止内网用户10.0.1.8/24访问公网的策略；

4、调整策略顺序  2 ----3------1 ，3条策略开启后，内网10.0.1.0/24除10.0.1.8外均正常访问外网，10.0.1.8无法访问外网，但可发邮件；

然而并没有什么用，因为AF的库没有AC那么全，无法精准匹配

跟进处理：

【报错1】：

10.0.1.8收取邮件提示，不知道这样的主机

【报错2】：

后来无奈联系400处理，经查询得知因为邮箱需要解析，所以要放行DNS，增加放行漏洞对应的DNA和mDNS后，依旧出现报错，10.0.1.8无法发送邮件

再后来得知，因为邮箱使用了SSL加密端口，所以需要放行SSL（注意：网络协议的SSL和SSL数据都得放）

最终策略调整如下，

虽然说10.0.1.8断网后，依旧能够发邮件，但是对于部分SSL加密的数据（如百度网页等），依旧无法限制，只能粗略的进行管控；

最后由于采购预算的限制，只能处理到这个程度，客户也就接受了；

另：如果资源充足，可通过增加AC来进行精准匹配；

专家点评：感谢楼主分享，文章介绍了利用AF应用控制策略实现用户上网管控的需求，整体介绍清晰，期待更多优秀的分享！

每天学习一点，每天进步一点。

感谢楼主无私奉献，学习一下

感谢楼主带来分享，待楼主带来更多分享

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

感谢分享有助于学习！！！

感谢分享

感谢楼主无私奉献，学习一下