深信服AC组织结构与上网策略管理课件.pptVIP

SANGFORAC组织结构

培训内容SANGFORAC组织1.掌握符合用户管理的组织结构的设计思路及设结构介绍置方法SANGFORAC上网1.掌握上网策略的设置方法

组织结构和上网策略功能介绍上网策略典型应用场景及配置上网策略匹配规则

组织结构和上网策略功能介绍

组织结构和上网策略功能介绍?组织结构组织结构即为用户和用户组的所属层级关系。SANGFORAC提供树形的组织结构，通过树形用户结构管理，符合企业的人员结构划分，同时又可以对相同的上网策略进行继承。?上网策略介绍上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限；对用户使用网络资源情况进行提醒；对用户访问网络的行为进行审计，从而构建一个可管理、可视化的网络环境。简单而言，上网策略就是要实现让网络管理者能够控制用户能做什么，知道用户正在做什么及用户已经做了什么的功能。

主要控制用户能够使用网络资源的权限（能做什么），包括应用控制、WEB过滤、SSL管理和邮件过滤。审计用户上网行为（做了什么），包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。(注：是否开启行为和内容审计可通过序列号控制）防止用户使用不安全的网络资源，包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。

当用户不恰当的使用网络资源时，对用户进行提醒，包括上网时长提醒、上网流量提醒和公告页面。?流量配额与时长控制策略：限制用户能使用网络资源的流量和时长，包括流量配额，、上网时长控制和并发连接数控制。设置终端用户需满足特定的条件时，才准许使用网络资源；审计加密的IM软件的聊天内容；组织外线路检测；应用程序时长统计。

方法一、在策略中勾选用户/组。当一条策略需要关联给多个用户/组的时

上网策略典型应用场景及配置

上网策略典型应用场景及配置

某公司网络中充斥着各种流量，上班时间P2P下载导致办公应用很慢，员工上班时间炒股，QQ/MSN聊天，玩游戏使得办公效率不高。

上网策略典型应用场景及配置1.技术支持和销售部门上班时间不允许使用P2P和迅雷等多线程下载工具，玩游戏和炒股，所有上网行为需要被审计，包括QQ和MSN的聊天内容。2.其他公司人员上班时间不允许使用P2P和迅雷等多线程下载工具，玩游戏、炒股及QQ/MSN聊天，所有上网行为需要被审计

在AC的用户组织结构中建立两个用户组：技术支持和销售部门组，默认组。（也可以按照公司部门结构分别建立多个用户组，根据策略的情况，最少要建立两个用户组。）用户及用户组的配置请参考《基础认证技术》培训PPT，这里不再赘述。新建两条上网权限策略：其他员工上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载、玩游戏、炒股、QQ/MSN。关联默认组。

新建一条上网审计策略：开启所有行为的应用审计。关联“技术支持和销售部门组”和“默认组”4.新建一条准入策略：开启IM监控。关联“技术支持和销售部门组”。

定义规则名称

2、新建一条上网审计策略，开启所有的应用行为的应用审计，关联技术配置完成，点击提交

3、新建一条准入策略，开启IM监控，关联技术支持和销售部门组。

上网策略典型应用场景及配置配置完成后，在策略列表中将显示上面配置的三条上网策略及关联的用户/组等信息，如下图：

a.如果一个组关联了多条不同模块的策略，只要有一个模块拒绝，则拒绝。b.如果一个组关联了多条相同模块的策略，则按从上往下匹配的原则，匹配第一条策略的动作。

若用户/组关联多条上网权限策略，策略的匹配顺序如下：

1.某用户关联如下两条上网策略，请问这个用户是否能发送邮件到公网呢？按策略匹配原则，该用户会匹配不同模块中的两条策略，只要有一条拒绝，则拒绝。本例中，第一条策略SMTP服务是拒绝的，所以不允许发送邮件。

2.某用户关联如下两条上网策略，请问这个用户的应用使用情况会怎样呢？此用户不能访问游戏和股票交易，其他应用都允许使用（默认动作是允许）

禁止内网用户通过代理服务器上网

如果内网用户通过代理服务器上网，则可以部分程度上绕过AC的管控，且不能1.如果AC部署在代理客户端和服务器之间，则可通过上网权限策略的代理控制功能，禁止内网用户通过HTTP代理和SOCKS代理上网。如下图：

3.为了防止内网用户通过小路由器NAT代理上网的方式，也可以采取第二种准入规则检测的办法，路由器上无法安装准入客户端，将导致下面的电脑均无法上网。如果内网用户通过双网卡的电脑共享上网或者其他代理服务器在AC设备LAN口下的情况，则只能通过设备的防代理检测功能来封堵，详细介绍请查看PPT《上网代理部分》。

内网用户出于某些目的，不通过内部统一指定的出口上网，而私自接入其他外网线路，而这些上网行为是不受组织监视和管控的，组织管理者希望能