AC上网行为管理之内容审计技术

一、SSL内容解密技术(12.0.44大部分只能被记录)

深信服提供两种SSL解密技术用于对https行为进行解密：中间人解密和准入插件解密

1、新增组

2、添加认证

3、SSL内容识别

（1）需要先确认多功能序列号已激活SSL内容识别，默认是激活的

（2）启用SSL内容识别，选择【解密方式】和【解密范围】

也可以手动下发证书

4、添加审计策略

5、WEB关键字过滤

6、IM聊天内容审计

AC如何审计QQ聊天内容？

如果需要审计QQ聊天内容，就需要每台电脑都安装准入插件。通过插件方式，在客户端电脑自动找到QQ聊天内容缓存到本地的数据库中，然后AC每隔10S在客户端的数据库读取聊天内容，写入到AC的日志中心。

二、准入插件解密

1、准入插件解密技术原理

（1）主机安装 AC 准入插件（可同时做终 端安全检查）。

（2）准入插件通过解析浏览器内核函数，提取 HTTPS 会话主密钥。

（3）会话主密钥通过前向加密技术传输到 AC，实现 https 内容识别。

2、准入策略排查思路

（1） 检查是否开启直通，全局地址排除

（2）终端是否支持准入系统（只有window PC支持准入系统）

（3）准入策略关联的用户是否在线，适用终端和区域是否正确

三、SSL解密技术原理

（1）端口61111是PC和AC传输ssl key的专用端口，可以通过这个端口的抓包来确定PC端的准入程序是 否正常工作了，是否能够获取到KEY，但是这里是SSL封装的，详细的key看不到的。

（2）抓端口443的数据包，确认用户的数据包是经过设备的。

（3）抓端口808的数据包，和SSL中间人代理一样，准入解密最终下发给驱动跑逻辑的明文包也是808端 口的，可以通过抓包确认是否已经有解密数据。

四、审计策略排查思路

1、检查【策略管理】-【上网审计策略】-勾选【应用审计】，并且选择了对应的需要审计的内容

2、检查【上网审计策略】-【使用对象】是否正常匹配，可以在【在线用户管理】找到相应用户，查看用户匹配 的策略是否有上网审计策略

3、对于https的网站或者加密邮件，是否有开启【策略管理】-【上网策略】-【SSL内容识别】并加入相关网址并匹配对应用户

4、检查【系统配置】-【全局排除地址】是否将用户全局排除

5、在数据中心里面，查询的时间是否正确