上网记录

来自WFilter上网行为管理系统文档和指南
WFilter讨论 | 贡献2018年8月14日 (二) 14:44的版本 SSL邮件监控

跳转至: 导航搜索

1 上网记录模块

“上网记录”模块用于记录上网内容,主要包括如下功能:

  • 网页浏览记录
  • 网页粘贴记录
  • HTTPS网站监控
  • 邮件发送记录
  • 邮件接收记录
  • SSL邮件监控
  • 文件上传下载记录
  • 聊天账号记录
  • FTP/Telnet命令记录
  • IP-MAC记录

该模块支持“网桥模式”和“网关模式”两种部署模式,需要企业版License才可以安装此模块。

Wfrecorder query1.png

Wfrecorder query2.png

Wfrecorder query3.png

Wfrecorder query ftp.png

Wfrecorder query im.png

Wfrecorder query session.png

2 记录策略配置

对于同一个对象,可以多条规则同时生效。比如:

  • A策略:对整个部门,记录网页浏览。
  • B策略:对部门中的某个指定IP,启用SSL邮件监控。

那么对于该IP,网页浏览和SSL邮件监控都生效。

除了设置“应用对象”和“生效时间段”外,记录策略的详细配置描述如下。

2.1 网页内容记录

Wfrecorder setweb.jpg

  • 网页浏览记录:记录访问的web网页标题。如果是https网站,只记录域名;如需记录https网页的页面标题,请启用“HTTPS监控”。
  • 网页粘贴记录:记录通过网页发送的内容,比如论坛发帖、网页附件上传等。可以对记录内容的大小进行设置。该功能不能记录https网站的发送内容,如需记录https网页的发送内容,需要启用“HTTPS监控”。
  • 网页粘贴大小限制: 只记录最小值和最大值之间的网页粘贴内容。
  • HTTPS监控:该功能可以监控https网站的网页浏览和网页粘贴的内容。具体信息请参考:#SSL监控
  • 智能过滤Web记录:自动过滤掉非人工访问的网址。该功能由程序自动进行判断,可以有效过滤掉一些非人工访问的网站,不过不能100%过滤掉。
  • 不记录的域名:任何与配置在列表中的域名有关的内容将不被记录,支持通配符“*?”,比如:“*.qq.com”则不记录所有访问*.qq.com的web访问。


2.2 邮件内容记录

Wfrecorder sermail.jpg

  • 邮件发送记录:记录发送的邮件内容,支持SMTP、POP3、IMAP4和发送的网页邮件。如需记录SSL邮件,您需要启用“SSL邮件监控”功能。
  • 邮件接收记录:记录接收的邮件内容,支持SMTP、POP3、IMAP4。如需记录SSL邮件,您需要启用“SSL邮件监控”功能。
  • SSL邮件监控:该功能用于监控SSL加密的客户端邮件,如需监控https的网页邮件,需要启用“HTTPS监控”功能。具体信息请参考:#SSL监控

请注意:

  • 超过大小限制的邮件不会被记录。
  • 在不启用“SSL邮件监控”的情况下,只记录不加密的SMTP、POP3、IMAP4和http网页邮件。
  • “SSL邮件监控”可以拦截记录“此链接需要SSL加密”的通讯方式。具体信息请参考:#SSL监控
  • SMTP/POP3/IMAP在STARTTLS的加密机制,是不能记录的。

2.3 文件传输记录

Wfrecorder settings ftp.png

  • 支持的文件传输方式:FTP上传、FTP下载、Web上传、Web下载。
  • 对于下载文件,只记录文件名和下载地址,不记录文件内容。
  • 上传文件记录文件名,地址和文件内容。对于超过大小限制的上传文件,不记录文件内容。
  • 要记录https网站的文件上传和下载,还需要在“网页记录”中启用“https监控”。

2.4 其他

Wfrecorder settings other.png

  • 聊天账号:记录聊天软件的账号,目前只支持QQ号。
  • FTP/Telnet命令:记录FTP/Telnet的发送命令。

3 高级设置

  • 该页面可以对一些高级的选项进行设置。

Wfrecorder advanced.jpg

3.1 证书设置

  • 该证书会用于在“SSL监控”中替换服务端的原始证书,用于SSL拦截。
  • HTTPS监控启用时,客户端的浏览器会出现证书告警,您可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。
  • 如果您想生成自己的证书,可以点击“生成证书”。

3.2 系统设置

  • 开启调试模式:可以开启调试模式并查看日志文件进行调试。
  • 数据库提交:多少条记录提交一次修改。
  • 自定义Web邮箱域名:需要监控的企业Web邮箱域名。

Wfrecorder advanced2.png

4 SSL监控

SSL监控基于中间人拦截的技术,会把原来的SSL访问重定向至WFilter的SSL服务,并且把替换掉原始的SSL证书,从而实现拦截和监控。该功能虽然可以解密SSL通讯,但是存在如下不足之处:

  • 性能和速度问题:由于WFilter NGF作为中间人进行拦截,必然会造成一定的延迟。参见:SSL监控性能测试
  • 证书警告,启用https监控时,浏览器会出现证书警告(SSL邮件监控没有此问题)。

可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。步骤如下:

4.1 HTTPS监控

  • 未安装证书时,会提示证书警告,可以选择“继续浏览此网站”继续浏览,访问的内容将被记录。

Wfrecorder cert 01.png

如果需要去掉该告警信息,需要下载并导入证书,步骤如下。

  • 下载证书

Wfrecorder cert 02.png

  • 导入证书。双击ca.crt文件,点击“安装证书”,点击“下一步”,选择“将所有的证书放入下列存储”,并选择“受信任的根证书颁发机构”。

Wfrecorder cert 03.png

  • 再次访问https站点,不再出现证书告警。

Wfrecorder cert 04.png

  • 此次https访问的页面标题被记录。

Wfrecorder cert 05.png

4.2 SSL邮件监控

Wfrecorder ssl 02.png

邮件客户端配置一般有三种方式:

  • 不加密,无需启用“SSL邮件监控”即可直接记录。
  • STARTTLS,无法实现监控,即使启用了“SSL邮件监控”也不能记录。
  • SSL/TLS(此链接需要SSL加密),必须启用“SSL邮件监控”才可以记录。

以Mozilla Thunderbird为例:

Wfrecorder ssl 01.png

请注意:如需记录https网站的web邮件,您需要对此网站启用“HTTPS监控”。

4.3 注意事项

  • 有些客户端(比如网银客户端)会对证书进行校验,可以把目的IP或者域名加到“不记录的域名列表”中来绕开。
  • 财务对https网站的安全要求比较高,建议不要对财务的IP开启https监控。

5 相关链接

取自“http://wiki.imfirewall.com/index.php?title=Wfquery&oldid=1103