Cisco Cisco Web Security Appliance S690 User Guide
10-12
思科网络安全设备 AsyncOS 8.8 用户指南
第 10 章 创建策略以控制互联网请求
时间范围和数量配额
请注意以下有关时间和数量配额的使用情况:
•
如果 AsyncOS 在透明模式下部署,并且 HTTPS 代理已禁用,则端口 443 上没有侦听,并
且会丢弃请求。这是标准行为。如果 AsyncOS 在显示模式下部署,则可以在您的访问策略
中设置配额。
且会丢弃请求。这是标准行为。如果 AsyncOS 在显示模式下部署,则可以在您的访问策略
中设置配额。
启用 HTTPS 代理时,对请求可能执行的操作为传递、解密、丢弃或监控。总体而言,解密
策略中的配额仅适用于传递类别。
策略中的配额仅适用于传递类别。
对于传递操作,您还可以选择为隧道流量设置配额。对于解密操作,此选项不可用,因为访
问策略中配置的配额将应用至解密的流量。
问策略中配置的配额将应用至解密的流量。
•
如果“URL 过滤”(URL Filtering) 已禁用或者其功能密钥不可用,AsyncOS 将无法识别
URL 的类别,并且 “访问策略” (Access Policy) --> “URL 过滤” (URL Filtering) 页面
处于禁用状态。因此,必须存在功能密钥并且启用 “可接受使用策略” (Acceptable Use
Policies),才能配置配额。
URL 的类别,并且 “访问策略” (Access Policy) --> “URL 过滤” (URL Filtering) 页面
处于禁用状态。因此,必须存在功能密钥并且启用 “可接受使用策略” (Acceptable Use
Policies),才能配置配额。
•
许多网站 (例如 Facebook 和 Gmail)会定期自动更新。如果此类网站在一个未使用的浏览
器窗口或选项卡中处于打开状态,它将继续使用用户的时间和数量配额。
器窗口或选项卡中处于打开状态,它将继续使用用户的时间和数量配额。
•
代理重启将导致配额重置,可能允许进行比计划更多的访问。发生代理重启可能是由于配置
更改、崩溃、计算机重启等原因所致。因为管理员没有被明确告知代理重启,因此可能出现
一些混淆。
更改、崩溃、计算机重启等原因所致。因为管理员没有被明确告知代理重启,因此可能出现
一些混淆。
•
即使已启用 “为 EUN 解密” (decrypt-for-EUN) 选项,也可能无法对 HTTPS 显示您的
EUN 页面 (警告和阻止)。
EUN 页面 (警告和阻止)。
注
当多个配额应用于任意给定用户时,将始终应用限制最严格的配额。
数量配额计算
数量配额的计算如下所示:
•
HTTP 和解密的 HTTPS 流量 - HTTP 请求和响应正文计入配额限制。请求头和响应头将不
会计入限制。
会计入限制。
•
隧道流量 (包括隧道 HTTPS) - AsyncOS 将隧道流量从客户端传输到服务器,反之亦然。
隧道流量的整个数据量会计入配额限制。
隧道流量的整个数据量会计入配额限制。
•
FTP - 不会计入控制连接流量。上传和下载的文件的大小会计入配额限制。
注
仅客户端流量会计入配额限制。缓存的内容也会计入限制,因为即使从缓存提供响应,也会生成
客户端流量。
客户端流量。
时间配额计算
时间配额的计算如下所示:
•
HTTP 和解密的 HTTPS 流量 - 每个与相同 URL 类别的连接的持续时间(从形成到断开连
接),加上一分钟计入时间配额限制。如果一分钟内向同一 URL 类别发起多个请求,它们
会计为一个连续会话并且仅在此会话结束时加一分钟 (即至少一分钟 “静默”之后)。
接),加上一分钟计入时间配额限制。如果一分钟内向同一 URL 类别发起多个请求,它们
会计为一个连续会话并且仅在此会话结束时加一分钟 (即至少一分钟 “静默”之后)。
•
隧道流量 (包括隧道 HTTPS) - 隧道的实际持续时间 (从形成到断开)计入配额限制。上
述针对多个请求的计算也适用于隧道流量。
述针对多个请求的计算也适用于隧道流量。
•
FTP - FTP 控制会话的实际持续时间 (从形成到断开)计入配额限制。上述针对多个请求
的计算也适用于 FTP 流量。
的计算也适用于 FTP 流量。