SANGFOR-AC-2011年度渠道初级认证培训04-组织结构与上网策略管理-201108.ppt

SANGFORAC组织结构与上网策略 组织结构和上网策略功能介绍 上网策略典型应用案例及配置 深信服公司简介 上网策略匹配规则 练练手 SANGFORAC 组织结构和上网策略功能介绍 组织结构组织结构即为用户和用户组的所属层级关系 SANGFORAC提供树形的组织结构 通过树形用户结构管理 符合企业的人员结构划分 同时又可以对相同的上网策略进行继承 上网策略介绍上网策略是对用户的上网行为进行控制 提醒 审计 控制用户使用网络资源的权限 对用户使用网络资源情况进行提醒 对用户访问网络的行为进行审计 从而构建一个可管理 可视化的网络环境 简单而言 上网策略就是要实现让网络管理者能够控制用户能做什么 知道用户正在做什么 以及用户做了什么的功能 上网策略分类 上网权限策略 主要控制用户能够使用网络资源的权限 能做什么 包括应用控制 WEB过滤 SSL管理 邮件过滤功能上网审计策略 审计用户上网行为 做了什么 包括应用审计 外发文件告警 流量与上网时长审计 网页内容审计上网安全策略 防止用户使用不安全的网络资源 包括危险行为识别 ActiveX插件过滤和脚本过滤 AC将上网策略分为六大类 分别如下 上网策略分类 终端提醒策略 提醒用户不恰当使用网络资源的情况 包括上网时长提醒 上网流量提醒 公告页面 流量配额与时长控制策略 限制用户能使用网络资源的流量和时长 包括流量配额 上网时长控制 并发连接数控制 准入策略 终端用户满足特定条件准许使用网络资源 审计加密的IM软件的聊天内容 组织外线路检测 组织结构与上网策略的关联 策略与用户 组的关联 1 可以在策略中选用户 组 方便一条策略需要关联给多个用户 组的设置 组织结构与上网策略的关联 2 可以在用户 组中选策略 实现不同类型策略的任意组合 上网策略典型应用场景及配置 上网策略典型应用场景 上网策略配置 上网策略典型应用场景及配置 某公司网络中充斥着各种流量 上班时间P2P下载导致致使办公应用很慢 员工上班时间炒股 QQ MSN聊天 玩游戏使得办公效率不高 公司决策层希望实现上班时间能封堵所有员工的P2P和迅雷等多线程下载 玩游戏和炒股 其余部门的人员不准上班时间使用QQ和MSN 只有技术支持和销售部门才能使用QQ和MSN聊天 但是要审计聊天内容 下班时间所有的应用都能允许使用 另外所有人的上网行为需要被审计 上网策略典型应用场景及配置 我们先来分析下客户的需求 技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具下载 玩游戏和炒股 所有上网行为需要被审计 包括QQ和MSN的聊天内容 其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载 玩游戏和炒股 QQ MSN聊天 所有上网行为需要被审计 上网策略典型应用场景及配置 配置思路 在AC的用户组织结构中建立两个用户组 技术支持和销售部门组 默认组 也可以按照公司部门结构分别建立多个用户组 根据策略的情况 最少要建立两个用户组 具体配置在SANGFORAC2011年度渠道初级认证培训03 基础认证技术中介绍 这里不再累述 新建两条上网权限策略 技术支持和销售部门上网权限 上班时间封堵P2P和迅雷等多线程下载工具下载 玩游戏和炒股 关联技术支持和销售部门组 其他员工上网权限 上班时间封堵P2P和迅雷等多线程下载工具下载 玩游戏和炒股 QQ MSN 关联默认组 上网策略典型应用场景及配置 配置思路 新建一条上网审计策略 开启所有的应用行为的应用审计 关联 技术支持和销售部门组 和 默认组 4 新建一条准入策略 开启IM监控 关联 技术支持和销售部门组 上网权限策略配置 1 新建两条上网权限策略 定义规则名称 t 需要封堵的应用 完成后 点确定 选择规则生效的时间 配置完成 点击提交 上网权限策略配置 1 新建两条上网权限策略 需要限制的应用 选择生效时间 配置完成 点击提交 上网审计策略设置 2 新建一条上网审计策略 开启所有的应用行为的应用审计 关联技术支持和销售部门组和默认组 勾选需要审计的上网行为 全选代表审计所有的上网行为 配置完成 点击提交 准入策略设置 3 新建一条准入策略 开启IM监控 关联技术支持和销售部门组 配置完成 点击提交 2020 1 27 18 动动脑如果用户 组关联了多条上网策略 这些策略之间是怎么工作的呢 上网策略匹配规则 1 不同类型的策略匹配顺序 和控制台界面的排列顺序一致 2 相同类型策略的匹配顺序 由上往下匹配的原则 说明 a 如果一个组关联了多条不同模块的策略 只要有一个模块拒绝 则拒绝 b 如果一个组关联了多条相同模块的策略 则按从上往下匹配的原则 匹配第一条策略的动作 上网权限策略匹配规则 若用户 组关联多条上网权限策略 策略的匹配顺序如下 策略匹配规则案例一 1 某用户关联如下两条上网策略 请问这个用户是否能发送邮件到公网呢 首先匹配 端口控制 策略 此时SMTP服务是拒绝的 所以不允许发送邮件 策略匹配规则案例二 2 某用户关联如下两条上网策略 请问这个用户的应用使用情况会怎样呢 此用户不能访问游戏和股票交易 其他应用都允许使用 默认动作是允许 禁止内网用户通过代理服务器上网 如果内网用户通过代理服务器上网 则可以部分程度上绕过AC的管控 且不能真实记录每个用户的上网行为 AC设备有如下方式可以禁止内网用户通过代理服务器上网 1 如果AC部署在代理客户端和服务器之间 则可通过上网权限策略的代理控制功能 禁止内网用户通过HTTP代理和SOCKS代理上网 禁止内网用户通过代理服务器上网 2 通过准入规则 拒绝代理客户端的进程运行 手动设置或者导入禁止代理软件的准入规则 并关联准入规则给用户或用户组 禁止内网用户通过代理服务器上网 3 为了防止内网用户通过小路由器NAT代理上网的方式 也可以采取第二种准入规则检测的办法 路由器上无法安装准入客户端 将导致下面的电脑均无法上网 如果内网用户通过双网卡的电脑共享上网或者其他代理服务器在AC设备LAN口下的情况 则只能通过设备的防代理检测功能来封堵 详细介绍请查看PPT SANGFORSG2011年度渠道初级认证培训09 上网代理部分 ZHY ppt 组织外线路检测功能 应用场景 1 内网用户出于某些目的 不通过统一内部指定的出口上网 而私自接入其他外网线路 而这些上网行为是不受组织监视和管控的 组织管理者往往希望能主动发现这类行为 以及时避免不可管控带来的泄密等风险 例 企业认为网关10 251 251 1才是合法网关 通过其余的网关上网都是不允许的 当PC通过网关193 168 1 1上网后 管理者希望能够发现这样的私接外网线路上网行为 193 168 1 1 10 251 251 1 gw10 251 251 1 ip110 251 251 252ip2193 168 1 252gw193 168 1 1 组织外线路检测 一 配置思路 1 配置一条准入策略 启用组织外上网线路检测2 将该策略关联给内网用户或组 省略配置 组织外线路检测 配置如图 填入合法的网关地址 若勾选 PC离线后走非10 251 251 1的网关上网 也做记录 组织外线路检测 效果检验 将该策略关联给PC10 251 251 252 若这时PC将网关改为193 168 1 1 管理员可通过数据中心的准入系统查看PC私接外网线路上网的行为 如图 说明 本案例中 如果pc将网关指向193 168 1 1 并去掉IP10 251 251 252 只留下193 168 1 252 此时PC与AC失去连接 若这种情况也需要继续检测 则需要勾选 与AC失去连接后继续检测 准入客户端将会继续检测非法网关线路 当下次PC和AC重新连接后上报给AC 组织外线路检测 注意事项 1 AC检测到外网线路后只记录 不拒绝 且准入客户端不会有提示信息 效果检查可以到数据中心查看 只有第一次检测出违规 或者上一次检测出合法而本次检测为非法 才会记录日志 2 若PC不安装或卸载了准入客户端 则不受AC监控 可通过其它网关直接上网 且AC上也没有相应的日志 3 只检查网关是否合法 不检查外网连接类型 卸载准入客户端不需要解控 练练手 某公司购买了SANGFORAC来进行上网行为的管理 希望能配置实现如下功能 所有员工上班时间不允许访问色情和赌博类网站所有员工允许QQ和MSN聊天 但不允许通过QQ和MSN传文件 对于持续使用QQ和MSN聊天超过一小时的员工 给予一个页面进行提醒 统计所有员工的上网时长和各种应用的流量领导的上网行为不做任何控制和审计