组织结构与上网策略管理-深信服上网行为管理ACPPT课件

SANGFORAC组织结构与上网策略 组织结构和上网策略功能介绍 上网策略典型应用场景及配置 深信服公司简介 上网策略匹配规则 练练手 SANGFORAC 组织结构和上网策略功能介绍 组织结构和上网策略功能介绍 组织结构组织结构即为用户和用户组的所属层级关系 SANGFORAC提供树形的组织结构 通过树形用户结构管理 符合企业的人员结构划分 同时又可以对相同的上网策略进行继承 上网策略介绍上网策略是对用户的上网行为进行控制 提醒 审计 控制用户使用网络资源的权限 对用户使用网络资源情况进行提醒 对用户访问网络的行为进行审计 从而构建一个可管理 可视化的网络环境 简单而言 上网策略就是要实现让网络管理者能够控制用户能做什么 知道用户正在做什么及用户已经做了什么的功能 上网策略分类 上网权限策略 主要控制用户能够使用网络资源的权限 能做什么 包括应用控制 WEB过滤 SSL管理和邮件过滤 上网审计策略 审计用户上网行为 做了什么 包括应用审计 外发文件告警 流量与上网时长审计和网页内容审计 注 是否开启行为和内容审计可通过序列号控制 上网安全策略 防止用户使用不安全的网络资源 包括危险行为识别 ActiveX插件过滤 恶意网页过滤和安全桌面 AC将上网策略分为六大类 分别如下 上网策略分类 终端提醒策略 当用户不恰当的使用网络资源时 对用户进行提醒 包括上网时长提醒 上网流量提醒和公告页面 流量配额与时长控制策略 限制用户能使用网络资源的流量和时长 包括流量配额 上网时长控制和并发连接数控制 准入策略 设置终端用户需满足特定的条件时 才准许使用网络资源 审计加密的IM软件的聊天内容 组织外线路检测 应用程序时长统计 组织结构与上网策略的关联 策略与用户 组的关联的方法 方法一 在策略中勾选用户 组 当一条策略需要关联给多个用户 组的时候 可在此设置 组织结构与上网策略的关联 方法二 在用户 组中选择策略 可实现不同类型策略的任意组合 上网策略典型应用场景及配置 上网策略典型应用场景及配置 上网策略典型应用场景 上网策略配置 上网策略典型应用场景及配置 某公司网络中充斥着各种流量 上班时间P2P下载导致办公应用很慢 员工上班时间炒股 QQ MSN聊天 玩游戏使得办公效率不高 公司决策层希望实现上班时间能封堵所有员工的P2P和迅雷等多线程下载 玩游戏和炒股 其余部门的人员不准上班时间使用QQ和MSN 只有技术支持和销售部门才能使用QQ和MSN聊天 但是要审计聊天内容 下班时间所有的应用都能允许使用 另外所有人的上网行为需要被审计 包括微博内容 访问网站 收发邮件等 上网策略典型应用场景及配置 我们先来分析下客户的需求 技术支持和销售部门上班时间不允许使用P2P和迅雷等多线程下载工具 玩游戏和炒股 所有上网行为需要被审计 包括QQ和MSN的聊天内容 其他公司人员上班时间不允许使用P2P和迅雷等多线程下载工具 玩游戏 炒股及QQ MSN聊天 所有上网行为需要被审计 上网策略典型应用场景及配置 配置思路 在AC的用户组织结构中建立两个用户组 技术支持和销售部门组 默认组 也可以按照公司部门结构分别建立多个用户组 根据策略的情况 最少要建立两个用户组 用户及用户组的配置请参考 基础认证技术 培训PPT 这里不再赘述 新建两条上网权限策略 技术支持和销售部门上网权限 上班时间封堵P2P和迅雷等多线程下载工具 玩游戏和炒股 关联技术支持和销售部门组 其他员工上网权限 上班时间封堵P2P和迅雷等多线程下载工具下载 玩游戏 炒股 QQ MSN 关联默认组 上网策略典型应用场景及配置 配置思路 新建一条上网审计策略 开启所有行为的应用审计 关联 技术支持和销售部门组 和 默认组 4 新建一条准入策略 开启IM监控 关联 技术支持和销售部门组 上网权限策略配置 1 新建两条上网权限策略 技术支持和销售部门上网权限 定义规则名称 t 需要封堵的应用 完成后 点确定 选择规则生效的时间 配置完成 点击提交 上网权限策略配置 1 新建两条上网权限策略 其它员工上网权限 需要限制的应用 选择生效时间 配置完成 点击提交 上网审计策略设置 2 新建一条上网审计策略 开启所有的应用行为的应用审计 关联技术支持和销售部门组和默认组 勾选需要审计的上网行为 全选代表审计所有的上网行为 配置完成 点击提交 准入策略设置 3 新建一条准入策略 开启IM监控 关联技术支持和销售部门组 配置完成 点击提交 上网策略典型应用场景及配置 配置完成后 在策略列表中将显示上面配置的三条上网策略及关联的用户 组等信息 如下图 动动脑如果用户 组关联了多条上网策略 这些策略之间是怎么工作的呢 上网策略匹配规则 1 不同类型的策略匹配顺序 和控制台界面的排列顺序一致 2 相同类型策略的匹配顺序 按由上往下匹配的原则 说明 a 如果一个组关联了多条不同模块的策略 只要有一个模块拒绝 则拒绝 b 如果一个组关联了多条相同模块的策略 则按从上往下匹配的原则 匹配第一条策略的动作 上网权限策略匹配规则 若用户 组关联多条上网权限策略 策略的匹配顺序如下 策略匹配规则案例一 1 某用户关联如下两条上网策略 请问这个用户是否能发送邮件到公网呢 按策略匹配原则 该用户会匹配不同模块中的两条策略 只要有一条拒绝 则拒绝 本例中 第一条策略SMTP服务是拒绝的 所以不允许发送邮件 策略匹配规则案例二 2 某用户关联如下两条上网策略 请问这个用户的应用使用情况会怎样呢 此用户不能访问游戏和股票交易 其他应用都允许使用 默认动作是允许 调节策略的顺序 如果某用户关联了多条上网权限策略 管理员可以在上网策略配置页面调节策略的先后顺序 说明 用户策略列表中策略的先后顺序是与上网策略页面策略的先后顺序一致的 练练手 某公司购买了SANGFORAC来进行上网行为的管理 希望能配置实现如下功能 所有员工上班时间不允许访问色情和赌博类网站所有员工允许QQ和MSN聊天 但不允许通过QQ和MSN传文件 对于持续使用QQ和MSN聊天超过一小时的员工 给予一个页面进行提醒 统计所有员工的上网时长和各种应用的流量领导的上网行为不做任何控制和审计 您来试试吧 1 某客户想要用AC来监控所有QQ聊天的内容 请问应该添加什么策