渠道初级认证培训07_组织结构与上网策略课件.ppt

2、新建上网权限策略“web关键字过滤”并关联给组“渠道认证测试组” 3、web关键字过滤效果 查看support用户当前的上网策略 已关联了web关键字过滤上网策略 通过baidu等搜索引擎搜索含有“法伦功”关键字的内容，提示被拒绝 baidu贴吧发布含有“法伦功”的贴子，发贴失败。注意发贴被设备拦截不会有拦截提示 数据中心记录用户发贴及搜索被拦截的日志 上网策略配置_上网权限策略：文件类型过滤 文件类型过滤可以根据指定的文件类型限制上传及下载。注意仅对http上传下载以及ftp上传下载有效，其它软件下载（如迅雷）通过文件类型控制无效，可以封堵相关软件。文件类型过滤请自行安排实验，这里不再举例。 上网策略配置_上网权限策略：邮件过滤 邮件过滤适用smtp及smtps协议发送邮件过滤，一般是邮件客户端发送邮件。可以根据发件地址，收件地址，邮件标题或正文件中含有的关键字，邮件附件内容，邮件附件个数及邮件大小等条件进行过滤。 举例：客户需求不允许向163邮箱发送邮件，或邮件正文或标题中含有“娱乐”关键字的也不允许发送 1、新建邮件过滤上网策略，并与用户/组关联 2、确保设备本身能够上网 3、PC配置邮件客户端发送邮件，此案例使用foxmail邮件客户端测试 （1）向163邮箱发送邮件测试，邮件发送失败，被设备拦截下来，数据中心也有被拦截的日志记录 4、邮件过滤效果 （2）发送一封邮件，邮件主题中有“娱乐”关键字的邮件，被设备拦截下来 注意 1、邮件过滤功能是通过邮件过滤程序代理实现的，所以必须要设备本身能够上网，邮件过滤才会生效。如果设备本身无法上网，启用邮件过滤后，正常的邮件也无法发送出去。 2、邮件过滤针对stmp及smtps发送邮件有效，对webmail发送邮件过滤可以使用前面介绍的web关键字过滤实现。 3、邮件过滤对smtp加密发送邮件过滤也是生效的，即对smtps发送邮件过滤生效。配置有所不同，如需了解，请参考“SANGFOR_ACSG_v6.0_2015年度渠道高级认证培训06_上网策略.ppt” 上网策略配置：上网审计策略 设备可以记录具体用户的上网日志，时长及流量，便于管理员分析，进一步优化网络和人员，同时为故障事后追踪提供数据支撑（如可以追踪是谁发布了恶意言论）。设备审计用户上网日志，需要事先给用户关联上网审计策略。配置如下： 1、新建上网审计策略，启用应用审计及上网流量与时长审计，并与用户/组关联 此项不建议勾选，启用后日志量大，影响性能 此项不建议勾选，启用后日志量大，影响性能 杀毒软件等自动更新产生的上网时长，这种非人为产生上网时长建议不记录，启用此项即不记录 2、上网审计策略效果 审计下来的上网日志，流量及时长日志，记录在数据中心 注意 开启上网审计策略，默认审计用户所有日志，上网流量及时长。在外企，审计用户的上网内容可能是违法事件，但客户又有日志分析需要，所以希望能做到只审计用户行为，不审计具体内容（如发贴内容，发邮件内容均不审计，但审计用了哪个邮件服务器及哪个贴吧等）。 这里提供了一种解决方案，上网审计策略受序列号控制，默认激活审计内容，如有只审计行为的需求，可以通过序列号控制，只激活行为审计。关于序列号控制上网审计，更多请参考“SANGFOR_ACSG_v6.0_2015年度渠道初级认证培训12_系统管理.ppt” 上网策略配置_终端提醒策略：公告页面 客户希望，内网用户每天第一次打开网页自动跳转至公司公告页面，以便及时推送公告信息。这种需求在“SANGFOR_ACSG_v6.0_2015年度渠道初级认证培训05_基础认证.ppt”章节介绍密码认证时，介绍了通过“认证成功跳转到自定义页面”实现，但此功能只针对密码认证生效，如果不需要认证等则无效。而公告页面的方式是对所有认证的用户均生效，所以不需要认证有此需求，可以借助公告页面实现。 建立终端提醒策略并和用户/组关联，则用户首次认证打开网页会跳转到定义的公告页面 上网策略配置：准入策略 准入策略常见应用于以下两个场景 1、检测终端电脑是否符合组织安全性要求（如进程，操作系统，注册表等），不符合则禁止上网 2、审计加密IM聊天内容，如QQ和SKYPE 关联了准入策略的用户上网时，设备会给终端推送安装插件，通过插件检测电脑是否合规及审计加密IM聊天内容，然后上传至AC设备。如果终端电脑没有安装此插件，则无法上网 举例：客户需求检测内网电脑是否安装了杀毒软件（杀毒软件进程为kav.exe），如果没有安装，则禁止上网。同时审计QQ聊天内容及传文件内容。配置如下 1、定义准入规则“检测杀毒” 审计加密IM聊天内容，属于内置规则，不需要再定义 2、建立准入策略关联给用户/组 3、准入策略效果 首次打开网页，弹出安装插件提示，必须安装插件，否则每次打开网页都