深信服行为管理操作文档-11.0-最新版本剖析.ppt

2、建立上网策略“上班时间限制策略”并关联给组。上班时间拒绝P2P和迅雷等多线程下载，玩游戏，炒股，QQ和拒绝访问不良网站。下班时间不限制 3、应用控制上网策略效果 查看support用户当前的上网策略 已关联了上班时间限制策略 support用户打开新闻门户网站，如提示被拒绝。 support用户无法登录QQ 上网策略配置_上网权限策略：端口控制 端口控制和应用控制都是控制用户的网络行为，区别在于识别方式不一样，应用控制根据每种应用的特征识别并控制，应用特征有可能是变化的，有独立团队维护。而端口控制只根据端口和协议识别应用并控制，只能识别端口和协议不变化的应用（如dns，smtp,pop3等）。而目前互联网多数端口和协议是动态的，所以实际场景，端口控制应用范围小，基本使用应用控制满足客户需求。端口控制配置和应用控制类似，这里不再举例 上网策略配置_上网权限策略：web关键字过滤 举例：客户需求用户support全天拒绝外发含有“法伦功”关键字的贴子/邮件/微薄同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容 1、定义关键字“法伦功” 2、新建上网权限策略“web关键字过滤”并关联给组“渠道认证测试组” 3、web关键字过滤效果 通过baidu等搜索引擎搜索含有“法伦功”关键字的内容，提示被拒绝 baidu贴吧发布含有“法伦功”的贴子，发贴失败。注意发贴被设备拦截不会有拦截提示 上网策略配置_上网权限策略：文件类型过滤 文件类型过滤可以根据指定的文件类型限制上传及下载。注意仅对http上传下载以及ftp上传下载有效，其它软件下载（如迅雷）通过文件类型控制无效，可以封堵相关软件。文件类型过滤请自行安排实验，这里不再举例。 上网策略配置_上网权限策略：邮件过滤 邮件过滤适用smtp及smtps协议发送邮件过滤，一般是邮件客户端发送邮件。可以根据发件地址，收件地址，邮件标题或正文件中含有的关键字，邮件附件内容，邮件附件个数及邮件大小等条件进行过滤。 举例：客户需求不允许向163邮箱发送邮件，或邮件正文或标题中含有“娱乐”关键字的也不允许发送 1、新建邮件过滤上网策略，并与用户/组关联 2、确保设备本身能够上网 3、PC配置邮件客户端发送邮件，此案例使用foxmail邮件客户端测试 （1）向163邮箱发送邮件测试，邮件发送失败，被设备拦截下来，数据中心也有被拦截的日志记录 4、邮件过滤效果 注意 1、邮件过滤功能是通过邮件过滤程序代理实现的，所以必须要设备本身能够上网，邮件过滤才会生效。如果设备本身无法上网，启用邮件过滤后，正常的邮件也无法发送出去。 2、邮件过滤针对stmp及smtps发送邮件有效，对webmail发送邮件过滤可以使用前面介绍的web关键字过滤实现。 3、邮件过滤对smtp加密发送邮件过滤也是生效的，即对smtps发送邮件过滤生效。配置有所不同，如需了解，请参考“SANGFOR_ACSG_11.0_2016年度渠道高级认证培训_上网策略.ppt” 需求：客户公司外网托管有自己的WEB服务器，访问方式 现用户要求内网所有用户未认证之前就能访问到公司服务器，如何实现？ 解决方案：认证策略高级选项可实现此需求 上网策略配置_认证之前访问需求 实现方案： 1、设置认证策略，配置认证范围、认证方式，认证后处理—高级选项勾选认证前使用此组权限此处我们选择根组。 说明：强制对所有HTTP访问进行认证不勾选，那么只有被策略拒绝的HTTP 访问才需要认证 2、新增上网策略，放通sangfor服务器的应用，其它应用都拒绝。如果内置规则库不包含客户应用，可以自定义应用，自定义url放通。 3、将上网策略关联给根组。 测试效果 1、用户未认证通过之前可以打开页面 2、用户打开其它类型的页面会弹认证界面 上网策略配置：上网审计策略 设备可以记录具体用户的上网日志，时长及流量，便于管理员分析，进一步优化网络和人员，同时为故障事后追踪提供数据支撑（如可以追踪是谁发布了恶意言论）。设备审计用户上网日志，需要事先给用户关联上网审计策略。配置如下： 1、新建上网审计策略，启用应用审计及上网流量与时长审计，并与用户/组关联 2、上网审计策略效果 审计下来的上网日志，流量及时长日志，记录在数据中心 注意 开启上网审计策略，默认审计用户所有日志，上网流量及时长。在外企，审计用户的上网内容可能是违法事件，但客户又有日志分析需要，所以希望能做到只审计用户行为，不审计具体内容（如发贴内容，发邮件内容均不审计，但审计用了哪个邮件服务器及哪个贴吧等）。 这里提供了一种解决方案，上网审计策略受序列号控制，默认激活审计内容，如有只审计行为的需求，可以通过序列号控制，只激活行为审计。关于序列号控制上网审计，更多请参考“SANGFOR_ACSG_v11.0_2016