XXXX年度渠道初级认证培训04_组织结构与上网策略管理_2

SANGFORAC组织结构与上网策略培训内容培训目标SANGFORAC组织结构介绍1.掌握符合用户管理的组织结构的设计思路及设置方法SANGFORAC上网策略配置1.掌握上网策略的设置方法2.掌握如何将上网策略与用户/组进行关联3.掌握用户/组关联多条上网策略时的匹配顺序组织结构和上网策略功能介绍上网策略典型应用场景及配置深信服公司简介上网策略匹配规则练练手SANGFORAC组织结构和上网策略功能介绍组织结构和上网策略功能介绍组织结构组织结构即为用户和用户组的所属层级关系。SANGFORAC提供树形的组织结构，通过树形用户结构管理，符合企业的人员结构划分，同时又可以对相同的上网策略进行继承。上网策略介绍上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限；对用户使用网络资源情况进行提醒；对用户访问网络的行为进行审计，从而构建一个可管理、可视化的网络环境。简单而言，上网策略就是要实现让网络管理者能够控制用户能做什么，知道用户正在做什么及用户已经做了什么的功能。上网策略分类上网权限策略：主要控制用户能够使用网络资源的权限（能做什么），包括应用控制、WEB过滤、SSL管理和邮件过滤。上网审计策略：审计用户上网行为（做了什么），包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。(注：是否开启行为和内容审计可通过序列号控制）上网安全策略：防止用户使用不安全的网络资源，包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。AC将上网策略分为六大类，分别如下：上网策略分类终端提醒策略：当用户不恰当的使用网络资源时，对用户进行提醒，包括上网时长提醒、上网流量提醒和公告页面。流量配额与时长控制策略：限制用户能使用网络资源的流量和时长，包括流量配额，、上网时长控制和并发连接数控制。准入策略：设置终端用户需满足特定的条件时，才准许使用网络资源；审计加密的IM软件的聊天内容；组织外线路检测；应用程序时长统计。组织结构与上网策略的关联策略与用户/组的关联的方法：方法一、在策略中勾选用户/组。当一条策略需要关联给多个用户/组的时候，可在此设置。组织结构与上网策略的关联方法二、在用户/组中选择策略。可实现不同类型策略的任意组合。上网策略典型应用场景及配置上网策略典型应用场景及配置上网策略典型应用场景上网策略配置上网策略典型应用场景及配置某公司网络中充斥着各种流量，上班时间P2P下载导致办公应用很慢，员工上班时间炒股，QQ/MSN聊天，玩游戏使得办公效率不高。公司决策层希望实现上班时间能封堵所有员工的P2P和迅雷等多线程下载，玩游戏和炒股，其余部门的人员不准上班时间使用QQ和MSN，只有技术支持和销售部门才能使用QQ和MSN聊天，但是要审计聊天内容，下班时间所有的应用都能允许使用，另外所有人的上网行为需要被审计，包括微博内容，访问网站，收发邮件等。上网策略典型应用场景及配置我们先来分析下客户的需求：1.技术支持和销售部门上班时间不允许使用P2P和迅雷等多线程下载工具，玩游戏和炒股，所有上网行为需要被审计，包括QQ和MSN的聊天内容。2.其他公司人员上班时间不允许使用P2P和迅雷等多线程下载工具，玩游戏、炒股及QQ/MSN聊天，所有上网行为需要被审计上网策略典型应用场景及配置配置思路：1.在AC的用户组织结构中建立两个用户组：技术支持和销售部门组，默认组。（也可以按照公司部门结构分别建立多个用户组，根据策略的情况，最少要建立两个用户组。）用户及用户组的配置请参考《基础认证技术》培训PPT，这里不再赘述。2.新建两条上网权限策略：技术支持和销售部门上网权限：上班时间封堵P2P和迅雷等多线程下载工具，玩游戏和炒股。关联技术支持和销售部门组。其他员工上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载、玩游戏、炒股、QQ/MSN。关联默认组。上网策略典型应用场景及配置配置思路：3.新建一条上网审计策略：开启所有行为的应用审计。关联“技术支持和销售部门组”和“默认组”4.新建一条准入策略：开启IM监控。关联“技术支持和销售部门组”。上网权限策略配置1.新建两条上网权限策略-技术支持和销售部门上网权限定义规则名称t需要封堵的应用，完成后，点确定选择规则生效的时间配置完成，点击提交上网权限策略配置1.新建两条上网权限策略-其它员工上网权限需要限制的应用选择生效时间配置完成，点击提交上网审计策略设置2、新建一条上网审计策略，开启所有的应用行为的应用审计，关联技术支持和销售部门组和默认组。勾选需要审计的上网行为，全选代表审计所有的上网行为配置完成，点击提交准入策略设置3、新建一条准入策略，开启IM监控，关联技术支持和销售部门组。配置完成，点击提交上网策略典型应用场景及配置配置完成后，在策略列表中将显示上面配置的三条上网策略及关联的用户/组等信息，如下图：动动脑如果用户/组关联了多条上网策略，这些策略之间是怎么工作的呢？上网策略匹配规则1、不同类型的策略匹配顺序:和控制台界面的排列顺序一致2、相同类型策略的匹配顺序：按由上往下匹配的原则。说明：a.如果一个组关联了多条不同模块的策略，只要有一个模块拒绝，则拒绝。b.如果一个组关联了多条相同模块的策略，则按从上往下匹配的原则，匹配第一条策略的动作。上网权限策略匹配规则若用户/组关联多条上网权限策略，策略的匹配顺序如下：策略匹配规则案例一1.某用户关联如下两条上网策略，请问这个用户是否能发送邮件到公网呢？按策略匹配原则，该用户会匹配不同模块中的两条策略，只要有一条拒绝，则拒绝。本例中，第一条策略SMTP服务是拒绝的，所以不允许发送邮件。策略匹配规则案例二2.某用户关联如下两条上网策略，请问这个用户的应用使用情况会怎样呢？此用户不能访问游戏和股票交易，其他应用都允许使用（默认动作是允许）禁止内网用户通过代理服务器上网禁止内网用户通过代理服务器上网如果内网用户通过代理服务器上网，则可以部分程度上绕过AC的管控，且不能真实记录每个用户的上网行为，那么该如何解决呢？AC设备有如下方式可以禁止内网用户通过代理服务器上网：1.如果AC部署在代理客户端和服务器之间，则可通过上网权限策略的代理控制功能，禁止内网用户通过HTTP代理和SOCKS代理上网。如下图：禁止内网用户通过代理服务器上网2.通过准入规则，拒绝代理客户端的进程运行。对象设置中禁用代理软件的规则在准入策略中选择禁用代理软件的规则并关联给用户/组。禁止内网用户通过代理服务器上网3.为了防止内网用户通过小路由器NAT代理上网的方式，也可以采取第二种准入规则检测的办法，路由器上无法安装准入客户端，将导致下面的电脑均无法上网。如果内网用户通过双网卡的电脑共享上网或者其他代理服务器在AC设备LAN口下的情况，则只能通过设备的防代理检测功能来封堵，详细介绍请查看PPT《上网代理部分》。组织外线路检测组织外线路检测功能应用场景：内网用户出于某些目的，不通过内部统一指定的出口上网，而私自接入其他外网线路，而这些上网行为是不受组织监视和管控的，组织管理者希望能主动发现这类行为，以便及时避免不可管控带来的泄密等风险。例：企业认为网关10.251.251.1才是合法网关，通过其余的网关上网都是不允许的，当PC通过网关193.168.1.1上网后，管理者希望能够发现这样的私接外网线路上网行为。组织外线路检测一、配置思路：1、配置一条准入策略，启用组织外上网线路检测2、将该策略关联给内网用户或组(省略配置）组织外线路检测二、配置如图：填入合法的网关地址若勾选，PC离线后走非10.251.251.1的网关上网，也做记录组织外线路检测三、效果检验：将该策略关联给PC10.251.251.252，若这时PC将网关改为193.168.1.1，管理员可通过数据中心的准入系统查看PC私接外网线路上网的行为，如图：说明：本案例中，如果pc将网关指向193.168.1.1，并去掉IP10.251.251.252，只留下193.168.1.252，此时PC与AC失去连接，若这种情况也需要继续检测，则需要勾选“与AC失去连接后继续检测”，准入客户端将会继续检测非法网关线路，当下次PC和AC重新连接后上报给AC。组织外线路检测注意事项：1.AC检测到外网线路后只记录、不拒绝，且准入客户端不会有提示信息，效果检查可以到数据中心查看；只有第一次检测出违规、或者上一次检测出合法而本次检测为非法，才会记录日志。2.若PC不安装或卸载了准入客户端，则不受AC监控，可通过其它网关直接上网，且AC上也没有相应的日志。3.组织外线路检测只检查网关是否合法，不检查外网连接类型；卸载准入客户端不需要解控。练练手某公司购买了SANGFORAC来进行上网行为的管理，希望能配置实现如下功能：1.所有员工上班时间不允许访问色情和赌博类网站2.所有员工允许QQ和MSN聊天，但不允许通过QQ和MSN传文件，对于持续使用QQ和MSN聊天超过一小时的员工，给予一个页面进行提醒。3.统计所有员工的上网时长和各种应用的流量4.领导的上网行为不做任何控制和审计您来试试吧！1.某客户想要用AC来监控所有QQ聊天的内容，请问应该添加什么策略？2.某客户需求是限制办公组用户每天使用流量不超过1G，请问是否可以实现，通过什么策略实现的？3.某客户希望记录内网用户是否通过其它网关上网，请问要怎么配置？4.某客户针对用户组添加了以下两个策略，请问HTTP是允许还是禁止？策略1策略2问题思考10.10.10.2