SANGFOR_AC_v11.0_2016年度渠道初级认证培训07_组织结构与上网策略

组织结构和internet政策，组织结构介绍，internet政策介绍，公司介绍，说服公司介绍，internet政策配置，internet政策匹配规则，SANGFORACSG，组织结构介绍，组织结构介绍，组织结构与用户SANGFORAC提供树型组织结构，可以通过树型用户结构管理，同时提供相同的internet策略。一个用户有直接父组。在本章中，您将学习添加、编辑、移动和删除用户和组等操作。组织结构简介，用户属性-自定义属性，客户公司有男员工、女员工，现在男员工和女员工分布在其他部门。现在领导者应该分别控制公司男职员和女职员吗？组织结构简介、根据用户定义的属性不同的internet策略和流控制策略、用户-高级属性简介将登录限制在以下地址范围内：帐户只能登录到设置了地址范围的终端，其他帐户也可以登录到这些地址。组织结构简介、用户-高级属性简介、组织结构简介、终端绑定(用户绑定):绑定地址只能登录到此帐户；用户可以同时绑定多个未授权的终端；组织结构简介、手动添加用户和组一次新建用户或组；一次新建组；或添加多个组时用逗号分隔名称dev如果用户和组过多，您还可以将用户和组格式设置为CSV表，以便一次性导入设备。通过验证策略自动添加用户如果只能添加用户而不需要验证，则可以通过单点登录或验证策略自动添加新用户。组织结构简介，以及批量编辑用户和组。如果一次编辑多个用户或组，则可以使用批量编辑功能。以选择要编辑的对象、组织结构简介，以及搜索用户和组的功能。网络政策介绍、网络政策介绍、网络政策介绍是控制、通知、感谢用户的网络行为。控制使用网络资源的用户的权限。提前通知用户网络资源的使用情况。审核用户访问网络的行为，以创建可管理和可视化的网络环境。简而言之，互联网策略是让网络管理员知道用户可以做什么，用户在做什么，用户在做什么。internet策略分类、internet策略分为以下五类：internet策略分类、internet权限策略：主要控制用户使用网络资源的权限(可以做的事)。这包括应用程序控制、SSL管理、QQ白名单和邮件筛选。internet审计政策：审计应用、外部文件警报、流量和internet时间审计、web内容审计等用户的internet行为(执行)。本章的PPT包括以下内容：internet策略分类、用户配额策略：允许用户使用网络资源的流量和时间限制、流量配额、internet时间控制和并发连接数控制、在线终端限制。终端提醒策略：当用户使用网络资源不当时，向用户发送通知。包括网络时间通知、网络流量通知和布告栏页面。访问政策：终端是否满足公司规定的互联网条件，通过检测批准网络资源的使用。感谢加密IM软件(如QQ/skype)的聊天内容。外部线路测试配置；应用程序时间统计信息。internet策略与用户(本地用户、域用户、域安全组、域属性)、位置和终端类型、策略指定的对象网络行为由策略控制，internet策略与对象相关联，internet策略与域用户、域安全组或域属性相关联，必须先设置域服务器，如下图所示。在实际方案中，internet策略更多地用于域用户或域安全组。internet策略与对象相关联；如果是AD域，则配置“默认配置”。同步配置和高级选项与域安全组(包括IP地址和无线网络名称和VLAN)相关联；internet策略与域用户或域OU相关联；internet策略与域安全组相关联。正如一个用户在会议室和办公室对互联网权限的要求不同一样，互联网策略可以与对象相关联，而互联网策略可以与终端类型相关联，包括移动终端、PC、多个终端(多个IP同时具有计算机和移动终端方案)。可以解决同一用户的不同终端类型具有不同的internet权限的问题。internet策略和对象连接、本地用户、域用户、域安全组、域属性和源IP之间的“或”关系。用户、位置、终端类型之间的“和关系、internet策略与对象相关联，internet策略与对象相关联，如上所述，您可以在internet策略中选择对象并与之相关联，也可以选择要与用户或组相关联的策略。internet策略和对象连接、internet策略配置、internet策略配置、在此部分中，将应用程序控制、端口控制、web关键字过滤、web文件类型过滤、邮件过滤、在线终端限制、应用程序审核、流量到internet时间审核、公告页和访问策略、internet策略配置：在线策略连接到用户/组等相应目标首先，必须设置用户/组限定词和身份验证策略，并且用户必须获得交流认证。此处假定IP地址为08的用户support已通过设备认证，并根据名为support的用户对下面介绍的web访问策略进行了测试。用户支持位于渠道认证测试组，设备认证，internet策略配置_ internet权限策略：应用程序控制，例如客户要求的用户支持工作时间P2P和实验室等多线程下载拒绝访问游戏、股票、QQ和坏网站，工作时间全部。配置定义工作时间计划：1，2，设置internet策略“工作时间限制”策略，以链接到组。拒绝工作时间P2P和辛德勒等多线程下载，拒绝玩游戏，炒股，拒绝访问QQ和不良网站。下班时间没有限制，、3、应用internet策略控制效果，support用户拒绝消息等，打开新闻门户。support用户无法登录QQ。internet策略配置_ internet权限策略：端口控制、端口控制和应用程序控制都是对用户网络行为的控制。区别在于识别方法不同。应用程序控制可以根据每个应用程序的特征识别和控制，应用程序特征可以更改，并且具有独立的团队维护。端口控制仅识别应用和控制(取决于端口和协议)，仅识别端口和协议保持不变的应用程序(例如DNS、smtp、pop3等)。目前，大多数internet端口和协议是动态的，因此在实际方案中，端口控制复盖范围较小，基本上使用应用控制来满足客户的需要。端口控制配置类似于应用控制，不再是示例。internet策略配置_ internet权限策略：web关键字筛选，例如，客户需求用户支持全天拒绝发送包含“farron任务”关键字的帖子/邮件/贫乏。还通过搜索引擎定义包含关键字“farron操作”的内容搜索，1，关键字“Falun操作”。2、连接到新的internet权限策略“web关键字筛选”和“通道认证测试组”3、通过web关键字筛选效果、百度等搜索引擎搜索包含关键字“Falun任务”的内容、拒绝提示、发布包含Baidu帖子“Falun任务”的帖子，以便发布没有被警告设备阻止发布的拦截。配置internet策略_ internet权限策略：文件类型筛选、文件类型筛选可以根据指定的文件类型限制上载和下载。注意：仅适用于http上载下载和FTP上载下载，其他软件下载(如thunder)通过文件类型控制无效，可能会阻止相关软件。请亲自实验文件类型过滤。我不能再举例了。，配置internet策略_ internet权限策略：邮件筛选，邮件筛选为SMTP和smtps协议筛选邮件，通常从邮件客户端发送邮件。可以按发件人地址、收件人地址、邮件主题或正数文件中包含的关键字、邮件附件内容、邮件附件数和邮件大小等进行筛选。例如：客户要求将邮件发送到163邮箱，不发送邮件正文或主题中包含“娱乐”关键字的邮件，1，新邮件过滤internet策略，与用户/组关联，2，验证设备本身是否可以访问internet，3，PC使用邮件客户端测试，foxmail邮件客户端测试(1)114、具有邮件筛选效果，1、通过邮件筛选代理实现邮件筛选功能，因此设备本身必须能够访问internet才能应用邮件筛选。如果设备本身无法访问internet，则启用邮件过滤也不能发送正常的邮件。2、邮件过滤对SMTP和smtps发送邮件有效，webmail发送邮件过滤可以使用上述web关键字过滤实现。3、邮件过滤也适用于SMTP加密发送邮件过滤。也就是说，这也适用于smtps发送邮件筛选。取决于配置。有关详细信息，请参阅“SANGFOR_ACSG_11.0_2016渠道高级认证培训_ internet策略。PPT“，”要求：客户外部网托管自己的web服务器，访问方法当前用户必须能够访问公司服务器，直到intranet上的所有用户都经过身份验证。如何？解决方案：通过认证策略高级选项实现此要求。internet策略配置_验证前访问要求，实施方案：1，验证策略设置，验证范围配置，验证方法，验证后处理-“高级选项”“验证前此组权限”在此处选择根组。说明：“强制验证所有HTTP访问。如果未选中，则只有策略拒绝的HTTP访问需要身份验证，2、通过sangfor服务器应用程序添加新的internet策略，其他应用程序将被拒绝。如果内置规则库不包括客户应用，则可以自定义应用程序以传递自定义URL。将internet策略连接到、3和根组。测试效果，1，用户可以在未经授权之前打开页面，2，用户打开其他类型的页面后，验证界面，配置internet策略：internet审计策略，设备可以记录特定用户的internet日志、时间和流量，简化管理员分析，进一步优化网络，同时提供故障后跟踪的数据支持(例如装置审计用户的internet日志，必须事先将internet审计策略连接到用户。配置：1、启用新的internet审核策略、应用程序审核和internet流量和时间审核，并与用户/组相关联；2、internet审核策略效果；审核的internet日志；流量及时长的日志；在数据中心记录；注意；打开internet审核策略；默认审核用户所有日志；internet流量及时长。在国外，审计用户的网络内容可能是违法的，但客户需要进行日志分析，因此希望只审计用户的行为，不要审计具体内容(例如，不审计发布的内容、发送的信息内容，但是审计了哪个邮件服务器和哪个帖子等)。此处提供了internet审计策略由序列号控制并且默认启用审计内容的解决方案。也就是说，如果仅需要审计行为，则可以按序列号控制，仅启用动作审计。有关序列号控制的internet审计的详细信息，请参阅“SANGFOR_ACSG_v11.0_2016通道基本认证培训12_ systems management.ppt”。允许每个用户同时在线终端数，允许输入范围在1-65535之间，仅对公共帐户有效，超出终端用户通过认证后立即脱机，偶尔弹出认证界面会显示终端溢出页面。internet策略配置_用户配额_在线终端限制，internet策略配置_终端提醒策略：提醒页，客户希望intranet用户每天第一次打开网页，自动转到公司通知页，及时推送通知信息。此要求是：“sangfor _ acsg _ v111.0 _ 2016渠道基本认证培训05_基本认证。在“PPT”一章中介绍密码认证时，通过“转到认证成功定制页面”实现了此功能，但此功能仅适用于密码认证，如果不需要认证，则无效，发布页面方法适用于所有认证的用户，因此不需要认证，可以通过公告板页面实现。设置终端提示策略并将其与用户/组相关联后，用户首次打开网页时，将进入定义的通知页面，internet策略配置“访问策略”、“访问策略”通常适用于以下两种情况1:检测终端计算机是否符合流程、操作系统、注册表等组织安全要求，如果不符合，将阻止对加密IM聊天内容(如internet 2、QQ和SKYPE)进行审核。在这种情况下，设备将通过终端推安装插件检测计算机，通过插件检测PC合规性，审核加密的IM聊天内容，然后将其上传到交流设备。如果终端计算机上未安装此插件，则无法访问internet。例如，客户必须确定intranet计算机上是否安装了防病毒软件(防病毒软件流程是kav.exe)，如果未安装，则必须阻止internet连接。QQ聊天内容和传输文件内容也谢谢。配置包括：1、访问规则定义“防病毒检测”、审计加密IM聊天内容、内置规则，无需进一步定义。2、用户/组的访问策略关联、3、访问策略效果、首次打开网页、弹出插件安装提示、安装插件。否则，每次打开网页时都会出现此提示。如果在插件安装完成后计算机运行并未运行kav.exe防病毒程序，则图中显示违反规则、无法连接internet、3、访问策略效果(续)、客户端运行防病毒软件kav.exe。此时，计算机可以查看上网、QQ聊天和传输文件登录、聊天内容和传输文件内容的审计情况，如下图所示。1，访问系统仅支持在windowspc上安装，如果启用了对非windowspc的访问，则无法安装访问客户端插件或访问internet。如果为整个网络用户启用了访问策略，则内部网络需要非windows PC(如手机和平板电脑)，并且AC可以通过以下访问故障诊断进行访问：2，访问系统操作需要以下端口：tcp886、tcp82、udp667、tcp817、udp999。验证计算机客户端和交流设备之间的上述端口是否为分发的3。默认情况下，AC仅支持QQ和skype4、QQ传输文件或文件夹审核，不支持QQ接收文件或文件夹5、QQ联机或脱机传输文件或文件夹审核。如果有连接了多个internet策略的用户/组，则这些策略如何工作？internet策略匹配规则、internet策略匹配规则、1、不同类型的策略匹配顺序：控制台界面排序顺序、自上而下匹配、2、相同类型的策略匹配顺序：自上而下匹配原则。说明：a .如果一个组与多个不同模块的策略相关联，则拒绝一个模块将被拒绝。b .如果