本帖最后由 清风慕竹 于 2020-7-25 13:10 编辑
一、问题描述
2020年6月30日xx集团分支反馈通过二级代理SG能够访问百度、新浪等网站,如下图所示,可能会带来不安全问题。
二、问题原因分析 通过查看相关的日志可以确认https类型的可以进行访问,http类型的拒绝,如下图所示:
得出相关的结论与https识别机制有关,https可以访问,http就会被拒绝,查看客户设备是否勾选了SSL协议。 三、实施思路 (1)策略放通邮政需要访问的URL网站
(2)策略拒绝所有访问网站
(3)策略放通SSL协议
(4)拒绝所有应用
注:正常按照这个思路解决SSL协议这个情况没有问题,但是旧版本的SSL协议实在有点挫,还有一种思路就是可以使用防火墙的控制策略模块,一对一精确匹配解决这个问题,但是需要有相关的定制,这个可以给400打电话,询问使用的相关背景。
|