年销售渠道认证组织结构与上网策略管理培训教材

1、SANGFOR AC 组织构造与上网战略培训内容培训目标SANGFOR AC 组织结构介绍1. 掌握符合客户管理的组织结构的设计思路SANGFOR AC 上网策略配置1.掌握符合客户需求的上网策略的设置方法2.掌握多条上网策略叠加的匹配顺序SANGFOR AC 组织构造和上网战略功能引见上网战略典型运用案例及配置深服气公司简介上网战略匹配规那么练练手SANGFOR AC组织构造和上网战略功能引见 组织构造 组织构造即为用户和用户组的所属层级关系。SANGFOR AC 提供树形的组织构造，经过树形用户构造管理，符合企业的人员构造划分，同时又可以对一样的上网战略进展承继。上网战略引见 上网战略是对

2、用户的上网行为进展控制、提示、审计。控制用户运用网络资源的权限；对用户运用网络资源情况进展提示；对用户访问网络的行为进展审计，从而构建一个可管理、可视化的网络环境。 简单而言，上网战略就是要实现让网络管理者可以控制用户能做什么，知道用户正在做什么、以及用户做了什么的功能。上网战略分类 上网权限战略： 主要控制用户可以运用网络资源的权限能做什么，包括上网应 用控制，网页过滤，SSL控制，邮件过滤功能 上网审计战略： 审计用户上网行为做了什么，包括运用审计，外发文件告警，流量与上网时长统计，网页内容审计 上网平安战略： 防止用户运用不平安的网络资源，包括危险行为识别，ActiveX插件过滤和脚本过

3、滤 AC 3.0将上网战略分为六大类，分别如下：上网战略分类 终端提示战略： 提示用户不恰当运用网络资源的情况，包括上网时长提示，上网流量提示，公告页面 流量配额与时长控制战略： 限制用户能运用网络资源的流量和时长，包括流量配额， 上网时长控制，并发衔接数控制 准入战略： 终端用户满足特定条件准许运用网络资源，审计加密的IM软件的聊天内容 组织构造与上网战略的关联战略与用户/组的关联：1、可以在战略中选用户/组；方便一条战略需求关联给多个用户/组的设置组织构造与上网战略的关联2、可以在用户/组中选战略；实现不同类型战略的恣意组合上网战略典型运用场景及配置上网战略典型运用场景上网战略配置上网战略

4、典型运用场景及配置 某公司网络中充斥着各种流量，上班时间P2P下载导致致使办公运用很慢，员工上班时间炒股，/MSN聊天，玩游戏使得办公效率不高。 公司决策层希望实现上班时间能封堵一切员工的P2P和迅雷等多线程下载，玩游戏和炒股，其他部门的人员不准上班时间运用QQ和MSN，只需技术支持和销售部门才干运用QQ和MSN聊天，但是要审计聊天内容，下班时间一切的运用都能允许运用，另外一切人的上网行为需求被审计。上网战略典型运用场景及配置我们先来分析下客户的需求：技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具下载，玩游戏和炒股，一切上网行为需求被审计，包括QQ和MSN的聊天内容。其他公司人员

5、上班时间不允许P2P和迅雷等多线程下载工具下载，玩游戏和炒股，/MSN聊天，一切上网行为需求被审计上网战略典型运用场景及配置配置思绪：在AC的用户组织构造中建立两个用户组：技术支持和销售部门组，默许组。也可以按照公司部门构造分别建立多个用户组，根据战略的情况，最少要建立两个用户组详细配置在用户认证部分的PPT中引见，这里不再累述。新建两条上网权限战略： 技术支持和销售部门上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载，玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载，玩游戏和炒股，/MSN。 关联默许组。上网战略典型运用场景及配置

6、配置思绪：新建一条上网审计战略：开启一切的运用行为的运用审计。关联技术支持和销售部门组和默许组4. 新建一条准入战略： 开启IM监控。 关联技术支持和销售部门组。上网战略配置1. 新建两条上网权限战略设置战略称号选择要封堵的运用选择规那么生效的时间段上网战略配置1. 新建两条上网权限战略上网审计战略设置2、新建一条上网审计战略，开启一切的运用行为的运用审计，关联技术支持和销售部门组和默许组。准入战略设置3、新建一条准入战略，开启IM监控，关联技术支持和销售部门组。 动动脑 假设用户/组关联了多条上网战略，这些战略之间是怎样任务的呢？上网战略匹配规那么1、不同类型的战略匹配顺序: 和控制台界面不

7、同战略类型的陈列顺序一致2、一样类型战略的匹配顺序：由上往下匹配的原那么。上网权限战略匹配规那么假设用户/组关联多条上网权限战略，战略的匹配顺序如下：/ / / / 战略匹配规那么案例一1. 某用户关联如下两条上网战略，请问这个用户能否能发送邮件到公网呢？ 首先匹配“端口控制战略，此时SMTP效力是回绝的，所以不允许发送邮件。战略匹配规那么案例二2. 某用户关联如下两条上网战略，请问这个用户的运用运用情况会怎样呢？此用户不能访问游戏和股票买卖，其他运用都允许运用默许动作是允许制止内网用户经过代理效力器上网 假设内网用户经过代理效力器上网，那么可以部分程度上绕过AC的管控，且不能真实记录每个用户

8、的上网行为，设备有如下方式可以制止内网用户经过代理效力器上网： 1. 假设AC部署在代理客户端和效力器之间，那么可经过上网权限战略的代理控制功能，制止内网用户经过HTTP代理和SOCKS代理上网。制止内网用户经过代理效力器上网 2. 经过准入规那么，回绝代理客户端的进程运转。手动设置或者导入制止代理软件的准入规那么，并关联准入规那么给用户或用户组。制止内网用户经过代理效力器上网 3. 为了防止内网用户经过小路由器NAT代理上网的方式，可以采取第二种准入规那么检测的方法，路由器上无法安装准入客户端，将导致下面的电脑均无法上网。 假设内网用户经过双网卡的电脑共享上网或者其他代理效力器在AC设备LAN口下的情况，那么只能经过AC/SG 2.1版本的防代理检测功能来封堵，详细引见请查看PPT： SANGFOR SG 2021年度渠道初级认证培训09_上网代理部分_ZHY.ppt练练手某公司购买了SANGFOR AC来进展上网行为的管理，希望能配置实现如下功能：一切员工上班时间不允许访问色情和赌博类网站一切员工允许QQ和MSN聊天，但不允许经过QQ和MSN传文件，对于继续运用QQ和MSN聊天超越一小时的员工，给予一个页面进展提示。统计一切员工的上网时长和各种运用的流量指点的上网行为不做任何控制和