SANGFORAC组织结构与上网策略教材

SANGFORAC

组织结构与上网策略培训内容培训目标SANGFORAC组织结构介绍1.掌握符合用户管理的组织结构的设计思路及设置方法SANGFORAC上网策略配置1.掌握上网策略的设置方法2.掌握如何将上网策略与用户/组进行关联3.掌握用户/组关联多条上网策略时的匹配顺序组织结构和上网策略功能介绍上网策略典型应用场景及配置深信服公司简介上网策略匹配规则练练手SANGFORAC组织结构和上网策略功能介绍组织结构和上网策略功能介绍组织结构组织结构即为用户和用户组的所属层级关系。SANGFORAC提供树形的组织结构，通过树形用户结构管理，符合企业的人员结构划分，同时又可以对相同的上网策略进行继承。上网策略介绍

上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限；对用户使用网络资源情况进行提醒；对用户访问网络的行为进行审计，从而构建一个可管理、可视化的网络环境。

简单而言，上网策略就是要实现让网络管理者能够控制用户能做什么，知道用户正在做什么及用户已经做了什么的功能。上网策略分类

上网权限策略：主要控制用户能够使用网络资源的权限（能做什么），包括应用控制、WEB过滤、SSL管理和邮件过滤。

上网审计策略：审计用户上网行为（做了什么），包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。(注：是否开启行为和内容审计可通过序列号控制）

上网安全策略：防止用户使用不安全的网络资源，包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。AC将上网策略分为六大类，分别如下：上网策略分类

终端提醒策略：当用户不恰当的使用网络资源时，对用户进行提醒，包括上网时长提醒、上网流量提醒和公告页面。

流量配额与时长控制策略：限制用户能使用网络资源的流量和时长，包括流量配额，、上网时长控制和并发连接数控制。

准入策略：设置终端用户需满足特定的条件时，才准许使用网络资源；审计加密的IM软件的聊天内容；组织外线路检测；应用程序时长统计。

组织结构与上网策略的关联策略与用户/组的关联的方法：方法一、在策略中勾选用户/组。当一条策略需要关联给多个用户/组的时候，可在此设置。组织结构与上网策略的关联方法二、在用户/组中选择策略。可实现不同类型策略的任意组合。上网策略典型应用场景及配置上网策略典典型应用场场景及配置置上网策略典典型应用场场景上网策略配配置上网策略典典型应用场场景及配置置某公司网络络中充斥着着各种流量量，上班时时间P2P下载导致办办公应用很很慢，员工工上班时间间炒股，QQ/MSN聊天，玩游游戏使得办办公效率不不高。公司决策层层希望实现现上班时间间能封堵所所有员工的的P2P和迅雷等多多线程下载载，玩游戏戏和炒股，，其余部门门的人员不不准上班时时间使用QQ和MSN，只有技术术支持和销销售部门才才能使用QQ和MSN聊天，但是是要审计聊聊天内容，，下班时间间所有的应应用都能允允许使用，，另外所有有人的上网网行为需要要被审计，，包括微博博内容，访访问网站，，收发邮件件等。上网策略典典型应用场场景及配置置我们先来分分析下客户户的需求：：技术支持和和销售部门门上班时间间不允许使使用P2P和迅雷等多多线程下载载工具，玩玩游戏和炒炒股，所有有上网行为为需要被审审计，包括括QQ和MSN的聊天内容容。其他公司人人员上班时时间不允许许使用P2P和迅雷等多多线程下载载工具，玩玩游戏、炒炒股及QQ/MSN聊天，所有有上网行为为需要被审审计上网策略典典型应用场场景及配置置配置思路：：在AC的用户组织织结构中建建立两个用用户组：技技术支持和和销售部门门组，默认认组。（（也可以以按照公司司部门结构构分别建立立多个用户户组，根据据策略的情情况，最少少要建立两两个用户组组。）用户及用户户组的配置置请参考《基础认证技技术》培训PPT，这里不再再赘述。新建两条上上网权限策策略：技术支持和和销售部门门上网权限限：上班时时间封堵P2P和迅雷等多多线程下载载工具，玩玩游戏和炒炒股。关联联技术支持持和销售部部门组。其他员工上上网权限：：上班时间封封堵P2P和迅雷等多多线程下载载工具下载载、玩游戏戏、炒炒股、QQ/MSN。关联默默认组。上网策略典典型应用场场景及配置置配置思路：：新建一条上上网审计策策略：开启启所有行为为的应用审审计。关联联“技术支支持和销销售部门门组”和““默认组””4.新建一条准准入策略：：开启IM监控。关关联“技术术支持和销销售部门组组”。上网权限策策略配置1.新建两条上上网权限策策略-技术支持和和销售部门门上网权限限定义规则名名称t需要封堵的的应用，完完成后，点点确定选择规则生生效的时间间配置完成，，点击提交交上网权限策策略配置1.新建两条上上网权限策策略-其它员工上上网权限需要限制的的应用选择生效时时间配置完成，，点击提交交上网审计策策略设置2、新建一条条上网审计计策略，开开启所有的的应用行为为的应用审审计，关联联技术支持持和销售部部门组和默默认组。勾选需要审审计的上网网行为，全全选代表审审计所有的的上网行为为配置完成，，点击提交交准入策略设设置3、新建一条条准入策略略，开启IM监控，关联联技术支持持和销售部部门组。配置完成，，点击提交交上网策略典典型应用场场景及配置置配置完成后后，在策略略列表中将将显示上面面配置的的三条上网网策略及关关联的用户户/组等信息，，如下图：：动动脑如果用户/组关联了多多条上网策策略，这些些策略之间间是怎么工工作的呢？？上网策略匹匹配规则1、不同类型型的策略匹匹配顺序:和控制台界界面的排列列顺序一致致2、相同类型型策略的匹匹配顺序：：按由上往往下匹配的的原则。说明：a.如果一个组组关联了多多条不同模模块的策略略，只要有有一个模块块拒绝，则则拒绝。b.如果一个组组关联了多多条相同模模块的策略略，则按从从上往下匹匹配的原则则，匹配第第一条策略略的动作。。上网权限策策略匹配规规则若用户/组关联多条条上网权限限策略，策策略的匹配配顺序如下下：策略匹配规规则案例一一1.某用户关联联如下两条条上网策略略，请问这这个用户是是否能发送送邮件到公公网呢？按策略匹配配原则，该该用户会匹匹配不同模模块中的两两条策略，，只要有一一条拒绝，，则拒绝。。本例中，，第一条策策略SMTP服务是拒绝绝的，所以以不允许发发送邮件。。策略匹配规规则案例二二2.某用户关联联如下两条条上网策略略，请问这这个用户的的应用使用用情况会怎怎样呢？此用户不能能访问游戏戏和股票交交易，其他他应用都允允许使用（（默认动作作是允许））禁止内网用用户通过代代理服务器器上网禁止内网用用户通过代代理服务器器上网如果内网用用户通过代代理服务器器上网，则则可以部分分程度上绕绕过AC的管控，且且不能真实实记录每个个用户的上上网行为，，那么该如如何解决呢呢？AC设备有如下下方式可以以禁止内网网用户通过过代理服务务器上网：：1.如果AC部署在代理理客户端和和服务器之之间，则可可通过上网网权限策略略的代理控控制功能，，禁止内网网用户通过过HTTP代理和SOCKS代理上网。。如下图：：禁止内网用用户通过代代理服务器器上网2.通过准入规规则，拒绝绝代理客户户端的进程程运行。对象设置中中禁用代理理软件的规规则在准入策略略中选择禁禁用代理软软件的规则则并关联给给用户/组。禁止内网用用户通过代代理服务器器上网3.为了防止内内网用户通通过小路由由器NAT代理上网的的方式，也也可以采取取第二种准准入规则检检测的办法法，路由器器上无法安安装准入客客户端，将将导致下面面的电脑均均无法上网网。如果内网用用户通过双双网卡的电电脑共享上上网或者其其他代理服服务器在AC设备LAN口下的情况况，则只能能通过设备备的防代理理检测功能能来封堵，，详细介绍绍请查看PPT《上网代理部部分》。组织外线路路检测组织外线路路检测功能应用场景：：内网网用用户户出于于某些些目目的的，，不不通通过过内内部部统一一指定定的的出出口口上上网网，，而而私私自自接接入入其其他他外外网网线线路路，，而这些些上上网网行行为为是是不不受受组组织织监监视视和和管管控控的的，组织织管管理理者者希希望望能能主主动动发发现现这这类类行行为为，，以以便及及时避避免免不不可可管管控控带带来来的的泄泄密密等等风风险险。。例：企企业业认认为为网网关关才是是合合法法网网关关，，通过过其余余的的网网关关上网网都是是不允允许许的的，当当PC通过过网网关关上网网后，，管管理理者者希希望望能能够够发现现这这样样的的私私接接外外网网线线路路上上网网行行为为。组织织外外线线路路检检测测一、、配配置置思思路路：：1、配配置置一一条条准准入入策策略略，，启启用用组组织织外外上上网网线线路路检检测测2、将将该该策策略略关关联联给给内内网网用用户户或或组组(省略略配配置置））组织织外外线线路路检检测测二、、配配置置如如图图：：填入入合合法法的的网网关关地地址址若勾勾选选，，PC离线线后后走走非非的网网关关上上网网，，也也做做记记录录组织织外外线线路路检检测测三、、效效果果检检验验：将将该该策策略略关关联联给给PC52，若若这这时时PC将网网关关改改为为，管管理理员员可可通通过过数数据据中中心心的的准准入入系系统统查查看看PC私接接外外网网线线路路上上网网的的行行为为，，如如图图：：说明明：本本案案例例中中，，如如果果pc将网网关关指指向向，并并去掉掉IP52，，只只留留下下52，此时时PC与AC失失去去连连接接，，若若这这种种情情况况也也需需要要继继续续检检测测，，则则需需要要勾勾选选“与与AC失失去去连连接接后后继继续续检检测测””，准准入入客客户户端端将将会会继继续续检检测测非非法法网网关关线线路路，，当当下下次次PC和和AC重重新新连连接接后后上上报报给给AC。。组织织外外线线路路检检测测注意意事事项项：：1.AC检测到外外网线路路后只记记录、不不拒绝，，且准入客户户端不会会有提示示信息，，效果检检查可以到数据中心心查看；；只有第第一次检检测出违违规、或或者上一一次检测测出合法法而本次检测测为非法法，才会会记录日日志。2.若PC不安装或或卸载了了准入客客户端，，则不受受AC监控，可可通过其其它网关关直接上上网，且且AC上也没有有相应的的日志。。3.组织外线线路检测测只检查网网关是否否合法，，不检查查外网连连接类型型；卸载准入入客户端端不需要要解控。。练练手某公司购购买了SANGFORAC来进行上上网行为为的管理理，希望望能配置置实现如如下功能：：所有员工工上班时时间不允允许访问问色情和和赌博类类网站所有员工工允许QQ和MSN聊天，但但不允许许通过QQ和MSN传文件，，对于持持续使用用QQ和MSN聊天超过过一小时时的员工工，给予予一个页页面进行行提醒。。统计所有有员工的的上网时时长和各各种应用用的流量量领导的上上网行为为不做任任何控制制和审计计您来试试吧！1.某客户想想要用AC来监控所所有QQ聊天的内内容，请请问应该该添加什什么策略略？2.某客户需需求是限限制办公公组用户户每天使使用流量量不超过过1G，请问是是否可以以实现，，通过什么么策略实实现的？？3.某客户希希望记录录内网用用户是否否通过其其它网关关上网，，请问要要怎么配配置？4.某客户针针对用户户组添加加了以下下两个策策略，请请问HTTP是允许还还是禁止止？策略1策略2问题思考考9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Wednesday,January4,202310、雨中黄叶树树，灯下白头头人。。22:24:0322:24:0322:241/4/202310:24:03PM11、以我我独沈沈久，，愧君君相见见频。。。1月-2322:24:0322:24Jan-2304-Jan-2312、故故人人江江海海别别，，几几度度隔隔山山川川。。。。22:24:0322:24:0322:24Wednesday,January4,202313、乍见翻翻疑梦，，相悲各各问年。。。1月-231月-2322:24:0322:24:03January4,202314、他乡生生白发，，旧国见见青山。。。04一一月202310:24:03下下午22:24:031月-2315、比不了得就就不比，得不不到的就不要要。。。一月2310:24下下午1月-2322:24January4,202316、行动出成果果，工作出财财富。。2023/1/422:24:0322:24:0304January202317、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。10:24:03下下午午10:24下下午22:24:031月-239、没有失失败，只只有暂时时停止成成功！。。1月-231月-23Wednesday,January4,202310、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。22:24:0322:24:0322:241/4/202310:24:03PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。1月月-2322:24:0322:24Jan-2304-Jan-2312、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。22:24:0322:24:0322:24Wednesday,January4,202313、不知香香积寺，，数里入入云峰。。。1月-231月-2322:24:0322:24:03January4,202314、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。04一月202310:24:03下午午22:24:031月-2315、楚塞三湘湘接，荆门门九派通。。。。一月2310:24下午1月-2322:24January4,202316、少少年年十十五五二二十十时时，，步步行行夺夺得得胡胡马马骑骑。。。。2023/1/422:24:0322:24:0304January202317、空山山新雨雨后，，天气气晚来来秋。。。10:24:03下下午午10:24下下