S渠道初级认证培训07 组织结构与上网策略.ppt

上网策略匹配规则 1、不同类型的策略匹配顺序: 和控制台界面的排列顺序一致，从上到下匹配 2、相同类型策略的匹配顺序：按由上往下匹配的原则。 说明： a. 如果一个组关联了多条不同模块的策略，只要有一个模块拒绝，则拒绝。 b. 如果一个组关联了多条相同模块的策略，则按从上往下匹配的原则，匹配第一条策略的动作。 上网权限策略匹配规则 若用户/组关联多条上网权限策略，策略的匹配顺序如下： 策略匹配规则案例一 1. 某用户关联如下两条上网策略，请问这个用户是否能发送邮件到公网呢? 按策略匹配原则，该用户会匹配不同模块中的两条策略，只要有一条拒绝，则拒绝。本例中，第一条策略SMTP服务是拒绝的，所以不允许发送邮件。 策略匹配规则案例二 2. 某用户关联如下两条上网策略，请问这个用户的应用使用情况会怎样呢？ 此用户不能访问游戏和股票交易，其他应用都允许使用（默认动作是允许） 调节策略的顺序 如果某用户关联了多条上网权限策略，管理员可以在上网策略配置页面调节 策略的先后顺序 说明：用户策略列表中策略的先后顺序是与上网策略页面策略的先后顺序一致的！ 查看用户当前的策略结果 如果用户关联了多条上网策略，可以通过策略结果集简单方便查看用户最终的策略结果，如下图 练练手 某公司购买了SANGFOR AC来进行上网行为的管理，希望能配置实现如 下功能： 所有员工上班时间不允许访问色情和赌博类网站 所有员工允许QQ聊天，但不允许通过QQ传文件 统计所有员工的上网时长和各种应用的流量 领导的上网行为不做任何控制和审计 所有员工每一第一次上网跳转至公告页面 您来试试吧！ 1.某客户想要用AC来审计所有QQ聊天的内容，请问应该添加什么策略？ 2.某客户针对用户组添加了以下两个策略，请问HTTP是允许还是禁止？ 问题思考 策略1 策略2 Tel:400-630-6430 Email:support@ 2、建立上网策略“上班时间限制策略”并关联给组。上班时间拒绝P2P和迅雷等多线程下载，玩游戏，炒股，QQ和拒绝访问不良网站。下班时间不限制 3、应用控制上网策略效果 查看support用户当前的上网策略 已关联了上班时间限制策略 support用户打开新闻门户网站，如提示被拒绝。 support用户无法登录QQ 上网策略配置_上网权限策略：端口控制 端口控制和应用控制都是控制用户的网络行为，区别在于识别方式不一样，应用控制根据每种应用的特征识别并控制，应用特征有可能是变化的，有独立团队维护。而端口控制只根据端口和协议识别应用并控制，只能识别端口和协议不变化的应用（如dns，smtp,pop3等）。而目前互联网多数端口和协议是动态的，所以实际场景，端口控制应用范围小，基本使用应用控制满足客户需求。端口控制配置和应用控制类似，这里不再举例 上网策略配置_上网权限策略：web关键字过滤 举例：客户需求用户support全天拒绝外发含有“法伦功”关键字的贴子/邮件/微薄同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容 1、定义关键字“法伦功” 2、新建上网权限策略“web关键字过滤”并关联给组“渠道认证测试组” 3、web关键字过滤效果 通过baidu等搜索引擎搜索含有“法伦功”关键字的内容，提示被拒绝 baidu贴吧发布含有“法伦功”的贴子，发贴失败。注意发贴被设备拦截不会有拦截提示 上网策略配置_上网权限策略：文件类型过滤 文件类型过滤可以根据指定的文件类型限制上传及下载。注意仅对http上传下载以及ftp上传下载有效，其它软件下载（如迅雷）通过文件类型控制无效，可以封堵相关软件。文件类型过滤请自行安排实验，这里不再举例。 上网策略配置_上网权限策略：邮件过滤 邮件过滤适用smtp及smtps协议发送邮件过滤，一般是邮件客户端发送邮件。可以根据发件地址，收件地址，邮件标题或正文件中含有的关键字，邮件附件内容，邮件附件个数及邮件大小等条件进行过滤。 举例：客户需求不允许向163邮箱发送邮件，或邮件正文或标题中含有“娱乐”关键字的也不允许发送 1、新建邮件过滤上网策略，并与用户/组关联 2、确保设备本身能够上网 3、PC配置邮件客户端发送邮件，此案例使用foxmail邮件客户端测试 （1）向163邮箱发送邮件测试，邮件发送失败，被设备拦截下来，数据中心也有被拦截的日志记录 4、邮件过滤效果 注意 1、邮件过滤功能是通过邮件过滤程序代理实现的，所以必须要设备本身能够上网，邮件过滤才会生效。如果设备本身无法上网，启用邮件过滤后，正常的邮件也无法发送出去。 2、邮件过滤针对smtp及smtps发送邮件有效，对webmail发送邮件过滤可以使用前面介绍的web关键字过滤实现。 3、邮件过滤对smtp加密发送邮件过滤