- 1、本文档共38页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SANGFORAC组织结构
培训内容SANGFORAC组织1.掌握符合用户管理的组织结构的设计思路及设结构介绍置方法SANGFORAC上网1.掌握上网策略的设置方法
组织结构和上网策略功能介绍上网策略典型应用场景及配置上网策略匹配规则
组织结构和上网策略功能介绍
组织结构和上网策略功能介绍?组织结构组织结构即为用户和用户组的所属层级关系。SANGFORAC提供树形的组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时又可以对相同的上网策略进行继承。?上网策略介绍上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网络的行为进行审计,从而构建一个可管理、可视化的网络环境。简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么,知道用户正在做什么及用户已经做了什么的功能。
主要控制用户能够使用网络资源的权限(能做什么),包括应用控制、WEB过滤、SSL管理和邮件过滤。审计用户上网行为(做了什么),包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。(注:是否开启行为和内容审计可通过序列号控制)防止用户使用不安全的网络资源,包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。
当用户不恰当的使用网络资源时,对用户进行提醒,包括上网时长提醒、上网流量提醒和公告页面。?流量配额与时长控制策略:限制用户能使用网络资源的流量和时长,包括流量配额,、上网时长控制和并发连接数控制。设置终端用户需满足特定的条件时,才准许使用网络资源;审计加密的IM软件的聊天内容;组织外线路检测;应用程序时长统计。
方法一、在策略中勾选用户/组。当一条策略需要关联给多个用户/组的时
上网策略典型应用场景及配置
上网策略典型应用场景及配置
某公司网络中充斥着各种流量,上班时间P2P下载导致办公应用很慢,员工上班时间炒股,QQ/MSN聊天,玩游戏使得办公效率不高。
上网策略典型应用场景及配置1.技术支持和销售部门上班时间不允许使用P2P和迅雷等多线程下载工具,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN的聊天内容。2.其他公司人员上班时间不允许使用P2P和迅雷等多线程下载工具,玩游戏、炒股及QQ/MSN聊天,所有上网行为需要被审计
在AC的用户组织结构中建立两个用户组:技术支持和销售部门组,默认组。(也可以按照公司部门结构分别建立多个用户组,根据策略的情况,最少要建立两个用户组。)用户及用户组的配置请参考《基础认证技术》培训PPT,这里不再赘述。新建两条上网权限策略:其他员工上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载、玩游戏、炒股、QQ/MSN。关联默认组。
新建一条上网审计策略:开启所有行为的应用审计。关联“技术支持和销售部门组”和“默认组”4.新建一条准入策略:开启IM监控。关联“技术支持和销售部门组”。
定义规则名称
2、新建一条上网审计策略,开启所有的应用行为的应用审计,关联技术配置完成,点击提交
3、新建一条准入策略,开启IM监控,关联技术支持和销售部门组。
上网策略典型应用场景及配置配置完成后,在策略列表中将显示上面配置的三条上网策略及关联的用户/组等信息,如下图:
a.如果一个组关联了多条不同模块的策略,只要有一个模块拒绝,则拒绝。b.如果一个组关联了多条相同模块的策略,则按从上往下匹配的原则,匹配第一条策略的动作。
若用户/组关联多条上网权限策略,策略的匹配顺序如下:
1.某用户关联如下两条上网策略,请问这个用户是否能发送邮件到公网呢?按策略匹配原则,该用户会匹配不同模块中的两条策略,只要有一条拒绝,则拒绝。本例中,第一条策略SMTP服务是拒绝的,所以不允许发送邮件。
2.某用户关联如下两条上网策略,请问这个用户的应用使用情况会怎样呢?此用户不能访问游戏和股票交易,其他应用都允许使用(默认动作是允许)
禁止内网用户通过代理服务器上网
如果内网用户通过代理服务器上网,则可以部分程度上绕过AC的管控,且不能1.如果AC部署在代理客户端和服务器之间,则可通过上网权限策略的代理控制功能,禁止内网用户通过HTTP代理和SOCKS代理上网。如下图:
3.为了防止内网用户通过小路由器NAT代理上网的方式,也可以采取第二种准入规则检测的办法,路由器上无法安装准入客户端,将导致下面的电脑均无法上网。如果内网用户通过双网卡的电脑共享上网或者其他代理服务器在AC设备LAN口下的情况,则只能通过设备的防代理检测功能来封堵,详细介绍请查看PPT《上网代理部分》。
内网用户出于某些目的,不通过内部统一指定的出口上网,而私自接入其他外网线路,而这些上网行为是不受组织监视和管控的,组织管理者希望能
文档评论(0)