FAQ(针对SSL内容识别生效的数据) 1、 SSL数据包被设备代理后,策略路由和多线路选路还生效吗? 答:生效。SSL数据包在被代理到本机之前就经过了【多线路选路】模块,而SSL数据包的目标IP地址是外网的IP地址,所以到了【多线路选路】模块会匹配相应的路由规则并标记从哪条线路出去。
2、 如果内网用户是通过代理上网的(包括设备自身做代理上网),SSL内容识别还生效吗? 答:通过设备wan口方向的代理服务器上网数据包的方向是LAN到WAN的方向,且设备在识别出代理数据后会撤销掉数据包上代理的标记,并把数据交给后续的模块处理,所以SSL内容识别生效。 如果使用SG2.1设备的HTTP/SOCK5代理上网,SSL内容识别也是生效的。虽然数据包的方向是LAN到本机的,但是SG2.1设备对此做了特殊处理,使设备自身代理环境下SSL内容识别继续生效。
3、 临时用户和没用通过认证的用户,SSL内容识别对他们生效吗? 答:如果临时用户所属的组有启用SSL内容识别,那么对临时用户是生效的。 对于没有通过认证的用户,SSL内容识别不生效。
4、 启用SSL内容识别后,邮件代理、上网加速对于SSL数据还生效吗? 答:不生效。SSL数据包进入PREROUTING链后首先经过【SSL代理驱动】模块被重定向到应用层,应用层解密数据后会给数据包打上nfmark=4的标记,说明数据已经是解密过了。之后数据重新进入PREROUTING链,经过【SSL代理驱动】模块时会因为检查出数据包有nfmark=4而被放行,同样到了【邮件代理重定向】模块和【上网加速驱动】模块,也会因为检查出数据包有nfmark=4而被放行,没有再次重定向到备机,因而邮件代理、上网加速都不会生效了。 |