深信服上网行为管理-组织结构与上网策略

1、深信服上网行为管理组织结构与上网策略培训内容培训目标组织结构介绍1. 掌握符合用户管理的组织结构的设计思路及设置方法上网策略介绍1.掌握上网策略分类，上网策略与适用对象（如用户/组，位置，终端类型等）关联方法上网策略配置掌握典型上网策略的配置及效果掌握多条策略组合时，策略匹配关系及如何查看用户当前的策略结果集上网策略匹配规则 组织结构介绍上网策略介绍深信服公司简介上网策略配置上网策略匹配规则SANGFOR AC&SG组织结构介绍组织结构介绍 组织结构 组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树形的组织结构，通过树形用户结构管理，符合企业的人员结构划分，同时又可以对相同

2、的上网策略进行继承。一个用户有一个直属父组。通过此章节学习，我们将了解用户和组的添加，编辑，移动和删除等操作。组织结构介绍组织结构介绍添加用户和组。可以一次新建一个用户或组，也可以一次新建多个用户或组，添加多个时，名称用英文逗号隔开同时创建名称为dev,support,test三个组组织结构介绍添加用户和组。如果用户和组太多，还可以将用户和组格式做成csv表格，一次性导入设备。组织结构介绍添加用户。如果只添加用户，且认证方式不需要认证，外部密码认证或单点登录，也可以通过认证策略自动添加新用户。组织结构介绍批量编辑用户和组。如果一次编辑多个用户或组，可以使用批量编辑功能。选择需编辑对象组织结构介

3、绍用户和组搜索功能。上网策略介绍上网策略介绍上网策略介绍 上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限；对用户使用网络资源情况进行提醒；对用户访问网络的行为进行审计，从而构建一个可管理、可视化的网络环境。 简单而言，上网策略就是要实现让网络管理者能够控制用户能做什么，知道用户正在做什么及用户已经做了什么。上网策略分类上网策略分为六大类，分别如下：上网策略分类 上网权限策略： 主要控制用户能够使用网络资源的权限（能做什么），包括应用控制、SSL管理和邮件过滤。 上网审计策略： 审计用户上网行为（做了什么），包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计

4、。 上网安全策略： 防止用户使用不安全的网络资源，包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。下面红色标识的上网策略将是我们本章节PPT要介绍的内容上网策略分类 终端提醒策略： 当用户不恰当的使用网络资源时，对用户进行提醒。包括上网时长提醒、上网流量提醒和公告页面。 流量配额与时长控制策略： 限制用户能使用网络资源的流量和时长，包括流量配额，、上网时长控制和并发连接数控制。 准入策略： 检测终端是否满足公司规定的上网条件，检测通过才准许使用网络资源；审计加密的IM软件（如QQ/skype）的聊天内容；组织外线路检测；应用程序时长统计。 上网策略可以关联给用户（本地用户，域

5、用户，域安全组，域属性）、位置及终端类型等对象，被赋予策略的对象网络行为将受策略管控域OU或用户给域安全组关联上网策略，一般适用于AD域根据域对象属性匹配上网策略上网策略与对象关联本地组或用户上网策略与域用户，域安全组或域属性关联，需要先建立域服务器，如下图。实际场景中，上网策略与域用户或域安全组关联使用较多。上网策略与对象关联如果是AD域，配置“基本配置”即可。“同步配置”和“高级选项”保持默认，其它域按需配置上网策略与域用户或域OU关联上网策略与域安全组关联上网策略与域属性关联，如某图书馆域中用户有属性expire值为yes表示用户借书证过期，no表示借书证未过期，管理员需求借书证过期的不

6、让上网。位置包括IP地址和无线网络名称。上网策略与位置关联，可解决同一个用户在不同地方上网权限不一样，如同一个用户在会议室和办公室上网权限要求不一样上网策略与对象关联上网策略可以和终端类型关联，包括移动终端，PC，多终端（多个IP同时存在电脑和移动终端场景）。可以解决同一个用户不同终端类型上网权限不一样。上网策略与对象关联本地用户，域用户，域安全组，域属性及源IP之间“或关系。用户，位置，终端类型之间是“与”关系上网策略与对象关联上网策略与对象关联前面我们介绍是从上网策略中选择对象进行关联，从用户或组也可以选择要关联的策略。如下图上网策略与对象关联上网策略配置上网策略配置此章节我们将学习到典型

7、上网策略的配置，主要包括应用控制，端口控制，web关键字过滤，web文件类型过滤，邮件过滤，应用审计，流量与上网时长审计，公告页面及准入策略上网策略配置：准备工作因为上网策略都需要关联给用户/组等适用对象，且终端在通过认证时才会匹配上关联的策略。所以先要建立用户/组适用对象及认证策略，并且用户要通过AC认证。这里假设用户support, IP地址为 08已通过设备认证，下面介绍的上网策略都是基于support这个用户来测试的。用户support位于渠道认证测试组，且已通过设备认证上网策略配置_上网权限策略：应用控制举例：客户需求用户support上班时间拒绝P2P和迅雷等多线程下载，玩游戏，炒

8、股，QQ和拒绝访问不良网站，下班时间全放行。配置如下1、定义“上班时间”时间计划2、建立上网策略策略“上班时间限制策略”并关联给组。上班时间拒绝P2P和迅雷等多线程下载，玩游戏，炒股，QQ和拒绝访问不良网站。下班时间不限制3、应用控制上网策略效果查看support用户当前的上网策略已关联了上班时间限制策略support用户打开新闻门户网站，如提示被拒绝。support用户无法登录QQ数据中心记录下来用户被拒绝的网络行为上网策略配置_上网权限策略：端口控制端口控制和应用控制都是控制用户的网络行为，区别在于识别方式不一样，应用控制根据每种应用的特征识别并控制，应用特征有可能是变化的，有独立团队维护

9、。而端口控制只根据端口和协议识别应用并控制，只能识别端口和协议不变化的应用（如dns，smtp,pop3等）。而目前互联网多数应该端口和协议是动态的，所以实际场景，端口控制应用范围小，基本使用应用控制满足客户需求。端口控制配置和应用控制类似，这里不在举例上网策略配置_上网权限策略：web关键字过滤举例：客户需求用户support全天拒绝外发含有“法伦功”关键字的贴子/邮件/微薄同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容1、定义关键字“法轮功”2、新建上网权限策略“web关键字过滤”并关联给组“渠道认证测试组”3、web关键字过滤效果查看support用户当前的上网策略已关联了web关键

10、字过滤上网策略通过baidu等搜索引擎搜索含有“法伦功”关键字的内容，提示被拒绝baidu贴吧发布含有“法伦功”的贴子，发贴失败。注意发贴被设备拦截不会有拦截提示数据中心记录用户发贴及搜索被拦截的日志上网策略配置_上网权限策略：文件类型过滤文件类型过滤可以根据指定的文件类型限制上传及下载。注意仅对http上传下载以及ftp上传下载有效，其它软件下载（如迅雷）通过文件类型控制无效，可以封堵相关软件。文件类型过滤请自行安排实验，这里不再举例。上网策略配置_上网权限策略：邮件过滤邮件过滤适用smtp及smtps协议发送邮件过滤，一般是邮件客户端发送邮件。可以根据发件地址，收件地址，邮件标题或正文件中

11、含有的关键字，邮件附件内容，邮件附件个数及邮件大小等条件进行过滤。举例：客户需求不允许向163邮箱发送邮件，或邮件正文或标题中含有“娱乐”关键字的也不允许发送1、新建邮件过滤上网策略，并与用户/组关联2、确保设备本身能够上网3、PC配置邮件客户端发送邮件，此案例使用foxmail邮件客户端测试（1）向163邮箱发送邮件测试，邮件发送失败，被设备拦截下来，数据中心也有被拦截的日志记录4、邮件过滤效果（2）发送一封邮件，邮件主题中有“娱乐”关键字的邮件，被设备拦截下来注意1、邮件过滤功能是通过邮件过滤程序代理实现的，所以必须要设备本身能够上网，邮件过滤才会生效。如果设备本身无法上网，启用邮件过滤后

12、，正常的邮件也无法发送出去。2、邮件过滤针对stmp及smtps发送邮件有效，对webmail发送邮件过滤可以使用前面介绍的web关键字过滤实现。3、邮件过滤对smtp加密发送邮件过滤也是生效的，即对smtps发送邮件过滤生效。配置有所不同，如需了解，请参考“SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训06_上网策略.ppt”上网策略配置：上网审计策略设备可以记录具体用户的上网日志，时长及流量，便于管理员分析，进一步优化网络和人员，同时为故障事后追踪提供数据支撑（如可以追踪是谁发布了恶意言论）。设备审计用户上网日志，需要事先给用户关联上网审计策略。配置如下：1、新建上网审

13、计策略，启用应用审计及上网流量与时长审计，并与用户/组关联此项不建议勾选，启用后日志量大，影响性能此项不建议勾选，启用后日志量大，影响性能杀毒软件等自动更新产生的上网时长，这种非人为产生上网时长建议不记录，启用此项即不记录2、上网审计策略效果审计下来的上网日志，流量及时长日志，记录在数据中心注意开启上网审计策略，默认审计用户所有日志，上网流量及时长。在外企，审计用户的上网内容可能是违法事件，但客户又有日志分析需要，所以希望能做到只审计用户行为，不审计具体内容（如发贴内容，发邮件内容均不审计，但审计用了哪个邮件服务器及哪个贴吧等）。这里提供了一种解决方案，上网审计策略受序列号控制，默认激活审计内

14、容，如有只审计行为的需求，可以通过序列号控制，只激活行为审计。关于序列号控制上网审计，更多请参考“SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训12_系统管理.ppt”上网策略配置_终端提醒策略：公告页面客户希望，内网用户每天第一次打开网页自动跳转至公司公告页面，以便及时推送公告信息。这种需求在“SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训05_基础认证.ppt”章节介绍密码认证时，介绍了通过“认证成功跳转到自定义页面”实现，但此功能只针对密码认证生效，如果不需要认证等则无效。而公告页面的方式是对所有认证的用户均生效，所以不需要认证有此需求，可以借助公

15、告页面实现。建立终端提醒策略并和用户/组关联，则用户首次认证打开网页会跳转到定义的公告页面上网策略配置：准入策略准入策略常见应用于以下两个场景1、检测终端电脑是否符合组织安全性要求（如进程，操作系统，注册表等），不符合则禁止上网2、审计加密IM聊天内容，如QQ和SKYPE关联了准入策略的用户上网时，设备会给终端推送安装插件，通过插件检测电脑是否合规及审计加密IM聊天内容，然后上传至AC设备。如果终端电脑没有安装此插件，则无法上网举例：客户需求检测内网电脑是否安装了杀毒软件（杀毒软件进程为kav.exe），如果没有安装，则禁止上网。同时审计QQ聊天内容及传文件内容。配置如下1、定义准入规则“检测

16、杀毒”审计加密IM聊天内容，属于内置规则，不需要再定义2、建立准入策略关联给用户/组3、准入策略效果首次打开网页，弹出安装插件提示，必须安装插件，否则每次打开网页都 是此提示。插件安装完成后，检测电脑是否运kav.exe杀毒进行，没有运行，则如图提示违反规则，不能上网3、准入策略效果（续）客户端运行杀毒软件kav.exe。此时电脑可以上网，登录QQ聊天及传文件，查看聊天内容及传文件内容被审计情况，如下图。注意1、准入系统只支持在windows pc上安装，如果是非windows pc启用了准入，则无法安装准入客户端插件，也无法上网。如果对全网用户启用了准入策略，则内网有非windows pc（

17、如手机或平板）要求经过AC可以上网，可以通过下面的准入故障排除实现。设置此项，则非winows pc直接可以上网，不受准入策略限制注意2、准入系统工作需要用到如下端口，tcp 886、tcp 82、udp 667、tcp 817、udp 999，请确保电脑客户端到AC设备之间上述端口是放行的3、截止6.0版本，默认情况下，AC可以审计的IM聊天内容有QQ和skype4、只支持审计QQ发送文件或文件夹，不支持审计QQ接收文件或文件夹5、支持QQ在线或离线发送文件或文件夹。 动动脑 如果用户/组关联了多条上网策略，这些策略之间是怎么工作的呢？上网策略匹配规则上网策略匹配规则1、不同类型的策略匹配顺

18、序: 和控制台界面的排列顺序一致，从上到下匹配2、相同类型策略的匹配顺序：按由上往下匹配的原则。说明：a. 如果一个组关联了多条不同模块的策略，只要有一个模块拒绝，则拒绝。b. 如果一个组关联了多条相同模块的策略，则按从上往下匹配的原则，匹配第一条策略的动作。上网权限策略匹配规则若用户/组关联多条上网权限策略，策略的匹配顺序如下：策略匹配规则案例一 1. 某用户关联如下两条上网策略，请问这个用户是否能发送邮件到公网呢？按策略匹配原则，该用户会匹配不同模块中的两条策略，只要有一条拒绝，则拒绝。本例中，第一条策略SMTP服务是拒绝的，所以不允许发送邮件。策略匹配规则案例二 2. 某用户关联如下两条上网策略，请问这个用户的应用使用情况会怎样呢？此用户不能访问游戏和股票交易，其他应用都允许使用（默认动作是允许）调节策略的顺序 如果某用户关联了多条上网权限策略，管理员可以在上网策略配置页面调节 策略的先后顺序说明：用户策略列表中策略的先后顺序是与上网策