深信服AC组织结构与上网策略管理（38页)ppt课件

1、SANGFOR AC 组织构造与上网战略培训内容培训目标SANGFOR AC 组织结构介绍1. 掌握符合用户管理的组织结构的设计思路及设置方法SANGFOR AC 上网策略配置1.掌握上网策略的设置方法2.掌握如何将上网策略与用户/组进行关联3.掌握用户/组关联多条上网策略时的匹配顺序 组织构造和上网战略功能引见上网战略典型运用场景及配置深服气公司简介上网战略匹配规那么练练手SANGFOR AC组织构造和上网战略功能引见组织构造和上网战略功能引见 组织构造 组织构造即为用户和用户组的所属层级关系。SANGFOR AC 提供树形的组织构造，经过树形用户构造管理，符合企业的人员构造划分，同时又可以

2、对一样的上网战略进展承继。上网战略引见 上网战略是对用户的上网行为进展控制、提示、审计。控制用户运用网络资源的权限；对用户运用网络资源情况进展提示；对用户访问网络的行为进展审计，从而构建一个可管理、可视化的网络环境。 简单而言，上网战略就是要实现让网络管理者可以控制用户能做什么，知道用户正在做什么及用户曾经做了什么的功能。上网战略分类 上网权限战略： 主要控制用户可以运用网络资源的权限能做什么，包括应 用控制、WEB过滤、SSL管理和邮件过滤。 上网审计战略： 审计用户上网行为做了什么，包括运用审计、外发文件告警、流量与上网时长审计和网页内容审计。(注：能否开启行为和内容审计可经过序列号控制

3、上网平安战略： 防止用户运用不平安的网络资源，包括危险行为识别、ActiveX插件过滤、恶意网页过滤和平安桌面。AC将上网战略分为六大类，分别如下：上网战略分类 终端提示战略： 当用户不恰当的运用网络资源时，对用户进展提示，包括上网时长提示、上网流量提示和公告页面。 流量配额与时长控制战略： 限制用户能运用网络资源的流量和时长，包括流量配额，、上网时长控制和并发衔接数控制。 准入战略： 设置终端用户需满足特定的条件时，才准许运用网络资源；审计加密的IM软件的聊天内容；组织外线路检测；运用程序时长统计。 组织构造与上网战略的关联战略与用户/组的关联的方法：方法一、在战略中勾选用户/组。当一条战略

4、需求关联给多个用户/组的时候，可在此设置。组织构造与上网战略的关联方法二、在用户/组中选择战略。可实现不同类型战略的恣意组合。上网战略典型运用场景及配置上网战略典型运用场景及配置上网战略典型运用场景上网战略配置上网战略典型运用场景及配置某公司网络中充斥着各种流量，上班时间P2P下载导致办公运用很慢，员工上班时间炒股，/MSN聊天，玩游戏使得办公效率不高。公司决策层希望实现上班时间能封堵一切员工的P2P和迅雷等多线程下载，玩游戏和炒股，其他部门的人员不准上班时间运用QQ和MSN，只需技术支持和销售部门才干运用QQ和MSN聊天，但是要审计聊天内容，下班时间一切的运用都能允许运用，另外一切人的上网行

5、为需求被审计，包括微博内容，访问网站，收发邮件等。上网战略典型运用场景及配置我们先来分析下客户的需求：技术支持和销售部门上班时间不允许运用P2P和迅雷等多线程下载工具，玩游戏和炒股，一切上网行为需求被审计，包括QQ和MSN的聊天内容。其他公司人员上班时间不允许运用P2P和迅雷等多线程下载工具，玩游戏、炒股及QQ/MSN聊天，一切上网行为需求被审计上网战略典型运用场景及配置配置思绪：在AC的用户组织构造中建立两个用户组：技术支持和销售部门组，默许组。 也可以按照公司部门构造分别建立多个用户组，根据战略的情况，最少要建立两个用户组。用户及用户组的配置请参考培训PPT，这里不再赘述。新建两条上网权限

6、战略： 技术支持和销售部门上网权限：上班时间封堵P2P和迅雷等多线程下 载工具，玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载、玩游戏、 炒股、/MSN。 关联默许组。上网战略典型运用场景及配置配置思绪： 新建一条上网审计战略：开启一切行为的运用审计。关联“技术 支持和 销售部门组和“默许组4. 新建一条准入战略： 开启IM监控。 关联“技术支持和销售部门组。上网权限战略配置1. 新建两条上网权限战略-技术支持和销售部门上网权限 定义规那么称号t需求封堵的运用，完成后，点确定选择规那么生效的时间配置完成，点击提交上网权限战略配置 1.

7、新建两条上网权限战略-其它员工上网权限需求限制的运用选择生效时间配置完成，点击提交上网审计战略设置2、新建一条上网审计战略，开启一切的运用行为的运用审计，关联技术支持和销售部门组和默许组。勾选需求审计的上网行为，全选代表审计一切的上网行为配置完成，点击提交准入战略设置 3、新建一条准入战略，开启IM监控，关联技术支持和销售部门组。配置完成，点击提交上网战略典型运用场景及配置 配置完成后，在战略列表中将显示上面配置 的三条上网战略及关联的用户/组等信息，如以下图： 动动脑 假设用户/组关联了多条上网战略，这些战略之间是怎样任务的呢？上网战略匹配规那么1、不同类型的战略匹配顺序: 和控制台界面的陈

8、列顺序一致2、一样类型战略的匹配顺序：按由上往下匹配的原那么。阐明：a. 假设一个组关联了多条不同模块的战略，只需有一个模块回绝，那么回绝。b. 假设一个组关联了多条一样模块的战略，那么按从上往下匹配的原那么，匹配第一条战略的动作。上网权限战略匹配规那么假设用户/组关联多条上网权限战略，战略的匹配顺序如下：战略匹配规那么案例一 1. 某用户关联如下两条上网战略，请问这个用户能否能发送邮件到公网呢？按战略匹配原那么，该用户会匹配不同模块中的两条战略，只需有一条回绝，那么回绝。本例中，第一条战略SMTP效力是回绝的，所以不允许发送邮件。战略匹配规那么案例二 2. 某用户关联如下两条上网战略，请问这

9、个用户的运用运用情况会怎样呢？此用户不能访问游戏和股票买卖，其他运用都允许运用默许动作是允许制止内网用户经过代理效力器上网制止内网用户经过代理效力器上网 假设内网用户经过代理效力器上网，那么可以部分程度上绕过AC的管控，且不能真实记录每个用户的上网行为，那么该如何处理呢？ AC设备有如下方式可以制止内网用户经过代理效力器上网： 1. 假设AC部署在代理客户端和效力器之间，那么可经过上网权限战略的代理控制功能，制止内网用户经过HTTP代理和SOCKS代理上网。如以下图：制止内网用户经过代理效力器上网 2. 经过准入规那么，回绝代理客户端的进程运转。对象设置中禁用代理软件的规那么在准入战略中选择禁

10、用代理软件的规那么并关联给用户/组。制止内网用户经过代理效力器上网 3. 为了防止内网用户经过小路由器NAT代理上网的方式，也可以采取第二种准入规那么检测的方法，路由器上无法安装准入客户端，将导致下面的电脑均无法上网。 假设内网用户经过双网卡的电脑共享上网或者其他代理效力器在AC设备LAN口下的情况，那么只能经过设备的防代理检测功能来封堵，详细引见请查看PPT。组织外线路检测组织外线路检测功能 运用场景：内网用户出于某些目的，不经过内部一致指定的出口上网，而私自接入其他外网线路，而这些上网行为是不受组织监视和管控的，组织管理者希望能自动发现这类行为，以便及时防止不可管控带来的泄密等风险。例：企

11、业以为网关才是合法网关，经过其他的网关上网都是不允许的，当PC经过网关上网后，管理者希望可以发现这样的私接外网线路上网行为。组织外线路检测 一、配置思绪： 1、配置 一条准入战略，启用组织外上网线路检测 2、将该战略关联给内网用户或组(省略配置组织外线路检测二、配置如图：填入合法的网关地址假设勾选，PC离线后走非的网关上网，也做记录组织外线路检测 三、效果检验：将该战略关联给PC 52，假设这时PC将网关改为，管理员可经过数据中心的准入系统查看PC私接外网线路上网的行为，如图：阐明：本案例中，假设pc将网关指向，并去掉IP 52，只留下52，此时PC与AC失去衔接，假设这种情况也需求继续检测，

12、那么需求勾选“与AC失去衔接后继续检测，准入客户端将会继续检测非法网关线路，当下次PC和AC重新衔接后上报给AC。组织外线路检测 本卷须知：1. AC检测到外网线路后只记录、不回绝，且准入客户端不会有提示信息，效果检查可以到数据中心查看；只需第一次检测出违规、或者上一次检测出合法而本次检测为非法，才会记录日志。2. 假设PC不安装或卸载了准入客户端，那么不受AC监控，可经过其它网关直接上网，且AC上也没有相应的日志。3. 组织外线路检测只检查网关能否合法，不检查外网衔接类型；卸载准入客户端不需求解控。练练手某公司购买了SANGFOR AC来进展上网行为的管理，希望能配置实现如下功能：一切员工上班时间不允许访问色情和赌博类网站一切员工允许QQ和MSN聊天，但不允许经过QQ和MSN传文件，对于继续运用QQ和MSN聊天超越一小时的员工，给予一个页面进展提示。统计一切员工的上网时长和