《SANGFOR_AC_ALL_独立放通网站案例分析文档.pdf》由会员分享,可在线阅读,更多相关《SANGFOR_AC_ALL_独立放通网站案例分析文档.pdf(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 深信服科技深信服科技 提升带宽价值提升带宽价值 SANGFOR_AC 独立放通网站案例分析文档 深信服深信服电子电子科技有限公司科技有限公司 2012 年年 08 月月 17 日日 一、一、案例案例需需求求.2 二、常见配置二、常见配置.2 三、三、原因原因分析分析.4 深信服科技深信服科技 提升带宽价值提升带宽价值 四、解决方案四、解决方案.4 精确放通方法一.4 精确放通方法二.6 模糊放通方法一.9 模糊放通方法二.11 一、一、案例案例需求需求 某客户要求只允许访问公司网站 。其他网站则禁止访问。二、二、常见常见配置配置 将客户的需求转换为 AC 设备的实际配置。即需要配置一条【WE
2、B 过滤】-【HTTP URL过滤】。配置思路,首先放通 这个网站的链接。然后在加一条拒绝所有网站的规则。这时客户发现,AC 设备本身并没有 的 URL 分类。这种情况下,AC 设备提供了自定义 URL 的功能。客户需要在【对象定义】-【URL 分类库】里面自己定义一个URL 分类,将 的链接加到该分类中,并在规则中放通。配置如下:深信服科技深信服科技 提升带宽价值提升带宽价值 配置完成,关联了策略给内网用户成功。这时客户测试发现,两个需求,拒绝其他所有网站是满足了,但是放通 存在问题,打开该网站,部分页面元素没有正常显示,出现页面缺失的情况。深信服科技深信服科技 提升带宽价值提升带宽价值 三
3、、原因分析原因分析 通过使用第三方工具 HTTPWATCH 分析(该工具深信服公司不提供,请自行网上搜索,安装使用说明请参考渠道文档“SANGFOR_常用第三方工具使用帮助”)由该工具发现,访问 公司主页时,该网页包含外部链接,会同时去请求访问。如果单单放通 就会导致以上问题,页面显示不全。四、解决方案四、解决方案 根据上文的问题得出的原因分析,采用的解决方案:放通客户要求的网站的外部链接,以保证客户网站显示正常的效果,以下提供 4 种方法,包含 2 种精确放通方法和 2 种模糊放通方法,如果没有严格要求的情况下,建议使用模糊放通如果没有严格要求的情况下,建议使用模糊放通。精确放通精确放通方法
4、方法一一 使用 HTTPWATCH 工具抓取该网页包含的所有链接进行放通即可。深信服科技深信服科技 提升带宽价值提升带宽价值 将 HTTPWATCH 抓取的内容输出为 CSV 的 EXCEL 文档格式。在输出内容中,只需关注 URL 一栏,将所有 URL 复制出来,为符合 URL 填写方式,需要先将 http:/的前缀去除 变成如下效果:深信服科技深信服科技 提升带宽价值提升带宽价值 粘帖到设备控制台【对象定义】-【URL 分类库】自定义的 URL 分类中 精确放通精确放通方法方法二二 在手头无 HTTPWATCH 工具情况下,提供另外一种工具替代,众所周知的下载工具:迅雷(该工具深信服公司不
5、提供,请自行网上搜索)。以下案例使用迅雷版本 7.2.8.3574 为例。首先保证使用的电脑安装有迅雷下载工具,其次保证迅雷对浏览器的关联状态完整。打开 ie 浏览器,输入需要放通的 URL 地址。右键点击鼠标,如下:深信服科技深信服科技 提升带宽价值提升带宽价值 假如 IE 浏览器右键没有看到【使用迅雷下载全部链接】选项,可以使用迅雷自带的修复功能。深信服科技深信服科技 提升带宽价值提升带宽价值 注意注意:此处必须手动选择【使用相同配置】以及把【立即下载】改为【手动下载】这样在下载列表里,就会出现所有网页链接下载,同时处于暂停下载状态,将下载列表导出即可。可以得到一个后缀为.downlist
6、 的文件。将该文件使用文本格式打开。对于有 https 链接的 url 还需要再进行一次替换 深信服科技深信服科技 提升带宽价值提升带宽价值 将取到的 URL 复制粘帖即可。之后步骤如方法 1,此处不再复述。注:两种方法达到的效果相同。但测试比较过程中,可能会发现,使用方法注:两种方法达到的效果相同。但测试比较过程中,可能会发现,使用方法 2 得到的链接得到的链接数比方法数比方法 1 的还多。是否方法的还多。是否方法 1 不够精确呢?不够精确呢?对于设备识别而言,方法 1 和 2 达到的效果是一致的。方法 2 获取到的链接比方法 1 多,原因在于迅雷是对整个网页源代码进行分析,提取出所有的链接
7、。而方法 1 中 httpwatch 是将电脑发出的一次 HTTP GET 操作,作为一个 URL 显示。也就是说存在一次 GET 操作获取到的内容里面可能包含了几个网页链接的代码,以 HTTP GET 一次 为例,迅雷下载网页所有链接中,网页内容可能就会有如下代码 http:/ http:/ http:/ httpwatch 只显示一个 URL http:/ 这次 GET 的内容可能就包含了以上代码。对于设备而已,其识别过滤方法只对一次 HTTP GET 进行识别过滤。因此方法 1 及方法 2 达到的效果是一致,并不影响。另外测试过程中,发现迅雷分析网页代码时对于主域名 没有取到,而是htt
8、p:/ 带 session id 的方式显示,这点需要把该字段自动去除,或者手动再加上主域名的 url 放通。模糊放通方法模糊放通方法一一 之前已经讲解了精确放通一个网站链接的方法,但是对于某些网站,其链接元素名称或下级目录名称经常会改变。这种情况下,如果使用精确放通方法,就要求客户经常性的去获取网页所有链接,并修改设备 URL 定义类,比较繁琐。这种情况下建议客户使用模糊放通方法。设备 4.0 以上版本提供一个 URL 放通功能,“自动放行网页中包含的外部域名资源”深信服科技深信服科技 提升带宽价值提升带宽价值 该种方法的原理是利用 HTTP 访问协议中的 Referer 字段,以进行相应外
9、部链接的放通。以 访问为例。在打开该链接后,会进行相应外部链接的访问。这时候从 主页去访问其他链接,会在 Referer 字段中填入 http:/ 的内容。使用 HTTPWATCH 工具分析如图:该字段表明,这是一个 http:/ 中包含的外部链接的请求访问。这种情况下,如果自定义分类中只放通 ,勾上自动放通外部域名资源后,设备检查网站访问的 Referer 字段,发现该字段的域名属于放通的 URL,则会自动将该外部链接的访问放通。深信服科技深信服科技 提升带宽价值提升带宽价值 模糊放通方法模糊放通方法二二 另外一种的模糊放通的方法是基于一个网站域名变化的可能性较低,采用直接放通网页所有链接的主域名,而忽略其下级目录或子域名。获取某网页所有链接的方法可以直接参考以上两种精确放通方法。在获取所有链接后,进行人工筛选,举例:对于以上链接,直接忽略域名斜杠后面带的子目录。汇总可得如下链接:深信服科技深信服科技 提升带宽价值提升带宽价值 sites- 对于某些汇总后的链接需要进行修改,比如,sites- 在获取的所有链接中可能存在 sites- 这个时候可以考虑把两者汇总为* 则通过该方法,我们最终得到的链接为 * 将其填入即可。