上网行为管理和带宽管理..docxVIP

2.1??举例：上网行为管理和带宽管理综合场景 配置部门/用户的上网行为控制和审计策略以及带宽管理策略，控制和审计部门/用户访问Internet的行为并进行带宽管理。但对于某些特殊用户，不控制和审计其访问Internet的行为，且需要保证其最小带宽。此外，所有部门/用户访问某些信任地址（如Windows补丁更新服务器）均不进行上网行为控制和审计。 组网需求 如 图2-1所示，ASG以网桥模式部署。 图2-1??上网行为管理和带宽管理综合场景典型组图? 具体需求如下： 需求一：“部门A”中的“用户a1”为特殊用户，不需要对其上网行为控制和审计。 需求二：对于“部门A”中的其他员工以及后续新增子部门和员工，上班时间（周一到周五，8:30～18:00）只能访问工作类网站，且任何时候均只能浏览，不能通过论坛、博客等提交文本内容和外发文件。 需求三：对于“部门A”中的其他员工以及后续新增子部门和员工，审计员工访问的网站，并记录员工访问次数，了解员工的上网情况。 需求四：“部门A”中所有员工访问Windows补丁更新服务器均不受控制和审计。 需求五：“部门A”员工可使用的最大下载带宽为10MB/s，为保证“用户a2”拥有足够带宽且不影响其他用户正常上网，需要保证其最小下载带宽为4MB/s，最大带宽为5MB/s。 项目 数据 说明 时间段对象 work_time：周一到周五，8:30～18:00。 时间段对象在上网权限策略中引用。 上网策略 net_policy：分配给“部门A”的上网权限策略。 content_policy：分配给“部门A”的内容控制策略。 audit_policy：分配给“部门A”的审计策略。 上网权限策略用于控制“部门A”可以访问的网站类型。 内容控制策略用于控制“部门A”不能通过Web提交文本内容和外发文件。 审计策略用于记录“部门A”员工的上网行为。 用户账号 用户a1：user1。 用户a2：user2。 用户a3：user3。 用户账号在系统中具有唯一性，不同用户账号不能相同，在认证和分配策略给用户时使用的是用户账号，而不是显示名。 Windows补丁更新服务器 0 部门A员工下载Windows补丁的服务器地址。 带宽管理 bandwidth_policy_1：部门A的最大下载带宽10MB/s。 bandwidth_policy_2：用户a2的下载保证带宽4MB/s，最大下载带宽5MB/s。 - 配置思路 通过快速向导配置ASG以网桥模式部署，确保网络通信正常。 菜单路径为“网络??快速向导”。 创建本地部门/用户或者从第三方服务器导入部门/用户，并配置部门/用户的认证策略。只有分配给部门/用户的内容控制策略才有效。 菜单路径为“用户管理??上网用户??部门/用户”。 为实现需求一，将“用户a1”的账号添加到免管控用户。 菜单路径为“用户管理??上网用户??免管控用户”。 为实现需求二中的“部门A”上班时间段只能浏览工作类网站，配置上网权限策略，只有工作类网站动作配置为“允许”，其他分类的动作配置为“阻断”，并且引用时间段对象“work_time”，将该策略分配给“部门A”。 菜单路径为“策略管理??上网策略”，在“上网策略列表”中单击“新建”，选择“上网权限策略”。 为实现需求二中的“部门A”任何时候不能通过论坛、博客等提交文本内容和外发文件，配置内容控制策略，启用“WEB内容控制”子策略，完全禁止信息外传，并将该策略分配给“部门A”。 菜单路径为“策略管理??上网策略”，在“上网策略列表”中单击“新建”，选择“内容控制策略”。 为实现需求三，配置审计策略，在审计策略中记录访问的网站和下载文件的行为。 菜单路径为“策略管理??上网策略”，在“上网策略列表”中单击“新建”，选择“审计策略”。 为实现需求四，需要将Windows补丁更新服务器地址加入到“全局排除地址”。 菜单路径为“系统??全局排除地址”。 为实现需求五，需要配置WAN区域到LAN区域的2级带宽策略，1级带宽策略中设置“部门A”的最大带宽为10MB/s（80Mbps），2级带宽策略中设置“用户a2”的保证带宽为4MB/s（32Mbps），最大带宽为5MB/s（40Mbps）。 菜单路径为“策略管理??带宽管理”。 ?说明： 配置保证带宽的用户建议不要启用“允许多人同时使用该账号登录”功能，否则可能导致带宽保证错误。例如对“用户a2”配置了保证带宽4MB/s，如果启用了“允许多人同时使用该账号登录”功能，当“用户a2”的账号同时在多台PC上认证通过时，多台PC均会得到最小带宽4MB/s的保证带宽。 配置保证带宽时必须配置整体限流策略，否则保证带宽不生效。因为要通过整体限流策略对保证带宽进行限制，保证带宽总和不能大于整体限流策略中配置的最大带宽。