搜索
SANGFORAC组织结构与上网策略培训内容培训目标SANGFORAC组织结构介绍1.掌握符合客户管理的组织结构的设计思路SANGFORAC上网策略配置1.掌握符合客户需求的上网策略的设置方法2.掌握多条上网策略叠加的匹配顺序SANGFORAC组织结构和上网策略功能介绍上网策略典型应用案例及配置深信服公司简介上网策略匹配规则练练手SANGFORAC组织结构和上网策略功能介绍组织结构组织结构即为用户和用户组的所属层级关系。SANGFORAC提供树形的组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时又可以对相同的上网策略进行继承。上网策略介绍上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网络的行为进行审计,从而构建一个可管理、可视化的网络环境。简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么,知道用户正在做什么、以及用户做了什么的功能。上网策略分类上网权限策略:主要控制用户能够使用网络资源的权限(能做什么),包括上网应用控制,网页过滤,SSL控制,邮件过滤功能上网审计策略:审计用户上网行为(做了什么),包括应用审计,外发文件告警,流量与上网时长统计,网页内容审计上网安全策略:防止用户使用不安全的网络资源,包括危险行为识别,ActiveX插件过滤和脚本过滤AC3.0将上网策略分为六大类,分别如下:上网策略分类终端提醒策略:提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流量提醒,公告页面流量配额与时长控制策略:限制用户能使用网络资源的流量和时长,包括流量配额,上网时长控制,并发连接数控制准入策略:终端用户满足特定条件准许使用网络资源,审计加密的IM软件的聊天内容组织结构与上网策略的关联策略与用户/组的关联:1、可以在策略中选用户/组;方便一条策略需要关联给多个用户/组的设置组织结构与上网策略的关联2、可以在用户/组中选策略;实现不同类型策略的任意组合上网策略典型应用场景及配置上网策略典型应用场景上网策略配置上网策略典型应用场景及配置某公司网络中充斥着各种流量,上班时间P2P下载导致致使办公应用很慢,员工上班时间炒股,QQ/MSN聊天,玩游戏使得办公效率不高。公司决策层希望实现上班时间能封堵所有员工的P2P和迅雷等多线程下载,玩游戏和炒股,其余部门的人员不准上班时间使用QQ和MSN,只有技术支持和销售部门才能使用QQ和MSN聊天,但是要审计聊天内容,下班时间所有的应用都能允许使用,另外所有人的上网行为需要被审计。上网策略典型应用场景及配置我们先来分析下客户的需求:1.技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具下载,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN的聊天内容。2.其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载,玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计上网策略典型应用场景及配置配置思路:1.在AC的用户组织结构中建立两个用户组:技术支持和销售部门组,默认组。(也可以按照公司部门结构分别建立多个用户组,根据策略的情况,最少要建立两个用户组)具体配置在用户认证部分的PPT中介绍,这里不再累述。2.新建两条上网权限策略:技术支持和销售部门上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载,玩游戏和炒股。关联技术支持和销售部门组。其他员工上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载,玩游戏和炒股,QQ/MSN。关联默认组。上网策略典型应用场景及配置配置思路:3.新建一条上网审计策略:开启所有的应用行为的应用审计。关联技术支持和销售部门组和默认组4.新建一条准入策略:开启IM监控。关联技术支持和销售部门组。上网策略配置1.新建两条上网权限策略设置策略名称选择要封堵的应用选择规则生效的时间段上网策略配置1.新建两条上网权限策略上网审计策略设置2、新建一条上网审计策略,开启所有的应用行为的应用审计,关联技术支持和销售部门组和默认组。准入策略设置3、新建一条准入策略,开启IM监控,关联技术支持和销售部门组。动动脑如果用户/组关联了多条上网策略,这些策略之间是怎么工作的呢?上网策略匹配规则1、不同类型的策略匹配顺序:和控制台界面不同策略类型的排列顺序一致2、相同类型策略的匹配顺序:由上往下匹配的原则。上网权限策略匹配规则若用户/组关联多条上网权限策略,策略的匹配顺序如下:////策略匹配规则案例一1.某用户关联如下两条上网策略,请问这个用户是否能发送邮件到公网呢?首先匹配“端口控制”策略,此时SMTP服务是拒绝的,所以不允许发送邮件。策略匹配规则案例二2.某用户关联如下两条上网策略,请问这个用户的应用使用情况会怎样呢?此用户不能访问游戏和股票交易,其他应用都允许使用(默认动作是允许)禁止内网用户通过代理服务器上网如果内网用户通过代理服务器上网,则可以部分程度上绕过AC的管控,且不能真实记录每个用户的上网行为,设备有如下方式可以禁止内网用户通过代理服务器上网:1.如果AC部署在代理客户端和服务器之间,则可通过上网权限策略的代理控制功能,禁止内网用户通过HTTP代理和SOCKS代理上网。禁止内网用户通过代理服务器上网2.通过准入规则,拒绝代理客户端的进程运行。手动设置或者导入禁止代理软件的准入规则,并关联准入规则给用户或用户组。禁止内网用户通过代理服务器上网3.为了防止内网用户通过小路由器NAT代理上网的方式,可以采取第二种准入规则检测的办法,路由器上无法安装准入客户端,将导致下面的电脑均无法上网。如果内网用户通过双网卡的电脑共享上网或者其他代理服务器在AC设备LAN口下的情况,则只能通过AC/SG2.1版本的防代理检测功能来封堵,详细介绍请查看PPT:SANGFORSG2011年度渠道初级认证培训09_上网代理部分_ZHY.ppt练练手某公司购买了SANGFORAC来进行上网行为的管理,希望能配置实现如下功能:1.所有员工上班时间不允许访问色情和赌博类网站2.所有员工允许QQ和MSN聊天,但不允许通过QQ和MSN传文件,对于持续使用QQ和MSN聊天超过一小时的员工,给予一个页面进行提醒。3.统计所有员工的上网时长和各种应用的流量4.领导的上网行为不做任何控制和审计您来试试吧!1.某客户想要用AC来监控QQ聊天的内容,请问应该添加什么策略?2.某客户需求是限制办公组用户每天使用流量不超过1G,请问是否可以实现,通过什么策略实现的?2.某客户针对用户组添加了以下两个策略,请问HTTP是允许还是禁止?策略1策略2问题思考10.10.10.2