SANGFORAC組織結(jié)構(gòu)與上網(wǎng)策略教材

SANGFORAC

組織結(jié)構(gòu)與上網(wǎng)策略培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SANGFORAC組織結(jié)構(gòu)介紹1.掌握符合用戶管理的組織結(jié)構(gòu)的設(shè)計(jì)思路及設(shè)置方法SANGFORAC上網(wǎng)策略配置1.掌握上網(wǎng)策略的設(shè)置方法2.掌握如何將上網(wǎng)策略與用戶/組進(jìn)行關(guān)聯(lián)3.掌握用戶/組關(guān)聯(lián)多條上網(wǎng)策略時(shí)的匹配順序組織結(jié)構(gòu)和上網(wǎng)策略功能介紹上網(wǎng)策略典型應(yīng)用場景及配置深信服公司簡介上網(wǎng)策略匹配規(guī)則練練手SANGFORAC組織結(jié)構(gòu)和上網(wǎng)策略功能介紹組織結(jié)構(gòu)和上網(wǎng)策略功能介紹組織結(jié)構(gòu)組織結(jié)構(gòu)即為用戶和用戶組的所屬層級關(guān)系。SANGFORAC提供樹形的組織結(jié)構(gòu)，通過樹形用戶結(jié)構(gòu)管理，符合企業(yè)的人員結(jié)構(gòu)劃分，同時(shí)又可以對相同的上網(wǎng)策略進(jìn)行繼承。上網(wǎng)策略介紹

上網(wǎng)策略是對用戶的上網(wǎng)行為進(jìn)行控制、提醒、審計(jì)。控制用戶使用網(wǎng)絡(luò)資源的權(quán)限；對用戶使用網(wǎng)絡(luò)資源情況進(jìn)行提醒；對用戶訪問網(wǎng)絡(luò)的行為進(jìn)行審計(jì)，從而構(gòu)建一個(gè)可管理、可視化的網(wǎng)絡(luò)環(huán)境。

簡單而言，上網(wǎng)策略就是要實(shí)現(xiàn)讓網(wǎng)絡(luò)管理者能夠控制用戶能做什么，知道用戶正在做什么及用戶已經(jīng)做了什么的功能。上網(wǎng)策略分類

上網(wǎng)權(quán)限策略：主要控制用戶能夠使用網(wǎng)絡(luò)資源的權(quán)限（能做什么），包括應(yīng)用控制、WEB過濾、SSL管理和郵件過濾。

上網(wǎng)審計(jì)策略：審計(jì)用戶上網(wǎng)行為（做了什么），包括應(yīng)用審計(jì)、外發(fā)文件告警、流量與上網(wǎng)時(shí)長審計(jì)和網(wǎng)頁內(nèi)容審計(jì)。(注：是否開啟行為和內(nèi)容審計(jì)可通過序列號控制）

上網(wǎng)安全策略：防止用戶使用不安全的網(wǎng)絡(luò)資源，包括危險(xiǎn)行為識別、ActiveX插件過濾、惡意網(wǎng)頁過濾和安全桌面。AC將上網(wǎng)策略分為六大類，分別如下：上網(wǎng)策略分類

終端提醒策略：當(dāng)用戶不恰當(dāng)?shù)氖褂镁W(wǎng)絡(luò)資源時(shí)，對用戶進(jìn)行提醒，包括上網(wǎng)時(shí)長提醒、上網(wǎng)流量提醒和公告頁面。

流量配額與時(shí)長控制策略：限制用戶能使用網(wǎng)絡(luò)資源的流量和時(shí)長，包括流量配額，、上網(wǎng)時(shí)長控制和并發(fā)連接數(shù)控制。

準(zhǔn)入策略：設(shè)置終端用戶需滿足特定的條件時(shí)，才準(zhǔn)許使用網(wǎng)絡(luò)資源；審計(jì)加密的IM軟件的聊天內(nèi)容；組織外線路檢測；應(yīng)用程序時(shí)長統(tǒng)計(jì)。

組織結(jié)構(gòu)與上網(wǎng)策略的關(guān)聯(lián)策略與用戶/組的關(guān)聯(lián)的方法：方法一、在策略中勾選用戶/組。當(dāng)一條策略需要關(guān)聯(lián)給多個(gè)用戶/組的時(shí)候，可在此設(shè)置。組織結(jié)構(gòu)與上網(wǎng)策略的關(guān)聯(lián)方法二、在用戶/組中選擇策略?？蓪?shí)現(xiàn)不同類型策略的任意組合。上網(wǎng)策略典型應(yīng)用場景及配置上網(wǎng)策略典典型應(yīng)用場場景及配置置上網(wǎng)策略典典型應(yīng)用場場景上網(wǎng)策略配配置上網(wǎng)策略典典型應(yīng)用場場景及配置置某公司網(wǎng)絡(luò)絡(luò)中充斥著著各種流量量，上班時(shí)時(shí)間P2P下載導(dǎo)致辦辦公應(yīng)用很很慢，員工工上班時(shí)間間炒股，QQ/MSN聊天，玩游游戲使得辦辦公效率不不高。公司決策層層希望實(shí)現(xiàn)現(xiàn)上班時(shí)間間能封堵所所有員工的的P2P和迅雷等多多線程下載載，玩游戲戲和炒股，，其余部門門的人員不不準(zhǔn)上班時(shí)時(shí)間使用QQ和MSN，只有技術(shù)術(shù)支持和銷銷售部門才才能使用QQ和MSN聊天，但是是要審計(jì)聊聊天內(nèi)容，，下班時(shí)間間所有的應(yīng)應(yīng)用都能允允許使用，，另外所有有人的上網(wǎng)網(wǎng)行為需要要被審計(jì)，，包括微博博內(nèi)容，訪訪問網(wǎng)站，，收發(fā)郵件件等。上網(wǎng)策略典典型應(yīng)用場場景及配置置我們先來分分析下客戶戶的需求：：技術(shù)支持和和銷售部門門上班時(shí)間間不允許使使用P2P和迅雷等多多線程下載載工具，玩玩游戲和炒炒股，所有有上網(wǎng)行為為需要被審審計(jì)，包括括QQ和MSN的聊天內(nèi)容容。其他公司人人員上班時(shí)時(shí)間不允許許使用P2P和迅雷等多多線程下載載工具，玩玩游戲、炒炒股及QQ/MSN聊天，所有有上網(wǎng)行為為需要被審審計(jì)上網(wǎng)策略典典型應(yīng)用場場景及配置置配置思路：：在AC的用戶組織織結(jié)構(gòu)中建建立兩個(gè)用用戶組：技技術(shù)支持和和銷售部門門組，默認(rèn)認(rèn)組。（（也可以以按照公司司部門結(jié)構(gòu)構(gòu)分別建立立多個(gè)用戶戶組，根據(jù)據(jù)策略的情情況，最少少要建立兩兩個(gè)用戶組組。）用戶及用戶戶組的配置置請參考《基礎(chǔ)認(rèn)證技技術(shù)》培訓(xùn)PPT，這里不再再贅述。新建兩條上上網(wǎng)權(quán)限策策略：技術(shù)支持和和銷售部門門上網(wǎng)權(quán)限限：上班時(shí)時(shí)間封堵P2P和迅雷等多多線程下載載工具，玩玩游戲和炒炒股。關(guān)聯(lián)聯(lián)技術(shù)支持持和銷售部部門組。其他員工上上網(wǎng)權(quán)限：：上班時(shí)間封封堵P2P和迅雷等多多線程下載載工具下載載、玩游戲戲、炒炒股、QQ/MSN。關(guān)聯(lián)默默認(rèn)組。上網(wǎng)策略典典型應(yīng)用場場景及配置置配置思路：：新建一條上上網(wǎng)審計(jì)策策略：開啟啟所有行為為的應(yīng)用審審計(jì)。關(guān)聯(lián)聯(lián)“技術(shù)支支持和銷銷售部門門組”和““默認(rèn)組””4.新建一條準(zhǔn)準(zhǔn)入策略：：開啟IM監(jiān)控。關(guān)關(guān)聯(lián)“技術(shù)術(shù)支持和銷銷售部門組組”。上網(wǎng)權(quán)限策策略配置1.新建兩條上上網(wǎng)權(quán)限策策略-技術(shù)支持和和銷售部門門上網(wǎng)權(quán)限限定義規(guī)則名名稱t需要封堵的的應(yīng)用，完完成后，點(diǎn)點(diǎn)確定選擇規(guī)則生生效的時(shí)間間配置完成，，點(diǎn)擊提交交上網(wǎng)權(quán)限策策略配置1.新建兩條上上網(wǎng)權(quán)限策策略-其它員工上上網(wǎng)權(quán)限需要限制的的應(yīng)用選擇生效時(shí)時(shí)間配置完成，，點(diǎn)擊提交交上網(wǎng)審計(jì)策策略設(shè)置2、新建一條條上網(wǎng)審計(jì)計(jì)策略，開開啟所有的的應(yīng)用行為為的應(yīng)用審審計(jì)，關(guān)聯(lián)聯(lián)技術(shù)支持持和銷售部部門組和默默認(rèn)組。勾選需要審審計(jì)的上網(wǎng)網(wǎng)行為，全全選代表審審計(jì)所有的的上網(wǎng)行為為配置完成，，點(diǎn)擊提交交準(zhǔn)入策略設(shè)設(shè)置3、新建一條條準(zhǔn)入策略略，開啟IM監(jiān)控，關(guān)聯(lián)聯(lián)技術(shù)支持持和銷售部部門組。配置完成，，點(diǎn)擊提交交上網(wǎng)策略典典型應(yīng)用場場景及配置置配置完成后后，在策略略列表中將將顯示上面面配置的的三條上網(wǎng)網(wǎng)策略及關(guān)關(guān)聯(lián)的用戶戶/組等信息，，如下圖：：動(dòng)動(dòng)腦如果用戶/組關(guān)聯(lián)了多多條上網(wǎng)策策略，這些些策略之間間是怎么工工作的呢？？上網(wǎng)策略匹匹配規(guī)則1、不同類型型的策略匹匹配順序:和控制臺(tái)界界面的排列列順序一致致2、相同類型型策略的匹匹配順序：：按由上往往下匹配的的原則。說明：a.如果一個(gè)組組關(guān)聯(lián)了多多條不同模模塊的策略略，只要有有一個(gè)模塊塊拒絕，則則拒絕。b.如果一個(gè)組組關(guān)聯(lián)了多多條相同模模塊的策略略，則按從從上往下匹匹配的原則則，匹配第第一條策略略的動(dòng)作。。上網(wǎng)權(quán)限策策略匹配規(guī)規(guī)則若用戶/組關(guān)聯(lián)多條條上網(wǎng)權(quán)限限策略，策策略的匹配配順序如下下：策略匹配規(guī)規(guī)則案例一一1.某用戶關(guān)聯(lián)聯(lián)如下兩條條上網(wǎng)策略略，請問這這個(gè)用戶是是否能發(fā)送送郵件到公公網(wǎng)呢？按策略匹配配原則，該該用戶會(huì)匹匹配不同模模塊中的兩兩條策略，，只要有一一條拒絕，，則拒絕。。本例中，，第一條策策略SMTP服務(wù)是拒絕絕的，所以以不允許發(fā)發(fā)送郵件。。策略匹配規(guī)規(guī)則案例二二2.某用戶關(guān)聯(lián)聯(lián)如下兩條條上網(wǎng)策略略，請問這這個(gè)用戶的的應(yīng)用使用用情況會(huì)怎怎樣呢？此用戶不能能訪問游戲戲和股票交交易，其他他應(yīng)用都允允許使用（（默認(rèn)動(dòng)作作是允許））禁止內(nèi)網(wǎng)用用戶通過代代理服務(wù)器器上網(wǎng)禁止內(nèi)網(wǎng)用用戶通過代代理服務(wù)器器上網(wǎng)如果內(nèi)網(wǎng)用用戶通過代代理服務(wù)器器上網(wǎng)，則則可以部分分程度上繞繞過AC的管控，且且不能真實(shí)實(shí)記錄每個(gè)個(gè)用戶的上上網(wǎng)行為，，那么該如如何解決呢呢？AC設(shè)備有如下下方式可以以禁止內(nèi)網(wǎng)網(wǎng)用戶通過過代理服務(wù)務(wù)器上網(wǎng)：：1.如果AC部署在代理理客戶端和和服務(wù)器之之間，則可可通過上網(wǎng)網(wǎng)權(quán)限策略略的代理控控制功能，，禁止內(nèi)網(wǎng)網(wǎng)用戶通過過HTTP代理和SOCKS代理上網(wǎng)。。如下圖：：禁止內(nèi)網(wǎng)用用戶通過代代理服務(wù)器器上網(wǎng)2.通過準(zhǔn)入規(guī)規(guī)則，拒絕絕代理客戶戶端的進(jìn)程程運(yùn)行。對象設(shè)置中中禁用代理理軟件的規(guī)規(guī)則在準(zhǔn)入策略略中選擇禁禁用代理軟軟件的規(guī)則則并關(guān)聯(lián)給給用戶/組。禁止內(nèi)網(wǎng)用用戶通過代代理服務(wù)器器上網(wǎng)3.為了防止內(nèi)內(nèi)網(wǎng)用戶通通過小路由由器NAT代理上網(wǎng)的的方式，也也可以采取取第二種準(zhǔn)準(zhǔn)入規(guī)則檢檢測的辦法法，路由器器上無法安安裝準(zhǔn)入客客戶端，將將導(dǎo)致下面面的電腦均均無法上網(wǎng)網(wǎng)。如果內(nèi)網(wǎng)用用戶通過雙雙網(wǎng)卡的電電腦共享上上網(wǎng)或者其其他代理服服務(wù)器在AC設(shè)備LAN口下的情況況，則只能能通過設(shè)備備的防代理理檢測功能能來封堵，，詳細(xì)介紹紹請查看PPT《上網(wǎng)代理部部分》。組織外線路路檢測組織外線路路檢測功能應(yīng)用場景：：內(nèi)網(wǎng)網(wǎng)用用戶戶出于于某些些目目的的，，不不通通過過內(nèi)內(nèi)部部統(tǒng)一一指定定的的出出口口上上網(wǎng)網(wǎng)，，而而私私自自接接入入其其他他外外網(wǎng)網(wǎng)線線路路，，而這些些上上網(wǎng)網(wǎng)行行為為是是不不受受組組織織監(jiān)監(jiān)視視和和管管控控的的，組織織管管理理者者希希望望能能主主動(dòng)動(dòng)發(fā)發(fā)現(xiàn)現(xiàn)這這類類行行為為，，以以便及及時(shí)避避免免不不可可管管控控帶帶來來的的泄泄密密等等風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。例：企企業(yè)業(yè)認(rèn)認(rèn)為為網(wǎng)網(wǎng)關(guān)關(guān)才是是合合法法網(wǎng)網(wǎng)關(guān)關(guān)，，通過過其余余的的網(wǎng)網(wǎng)關(guān)關(guān)上網(wǎng)網(wǎng)都是是不允允許許的的，當(dāng)當(dāng)PC通過過網(wǎng)網(wǎng)關(guān)關(guān)上網(wǎng)網(wǎng)后，，管管理理者者希希望望能能夠夠發(fā)現(xiàn)現(xiàn)這這樣樣的的私私接接外外網(wǎng)網(wǎng)線線路路上上網(wǎng)網(wǎng)行行為為。組織織外外線線路路檢檢測測一、、配配置置思思路路：：1、配配置置一一條條準(zhǔn)準(zhǔn)入入策策略略，，啟啟用用組組織織外外上上網(wǎng)網(wǎng)線線路路檢檢測測2、將將該該策策略略關(guān)關(guān)聯(lián)聯(lián)給給內(nèi)內(nèi)網(wǎng)網(wǎng)用用戶戶或或組組(省略略配配置置））組織織外外線線路路檢檢測測二、、配配置置如如圖圖：：填入入合合法法的的網(wǎng)網(wǎng)關(guān)關(guān)地地址址若勾勾選選，，PC離線線后后走走非非的網(wǎng)網(wǎng)關(guān)關(guān)上上網(wǎng)網(wǎng)，，也也做做記記錄錄組織織外外線線路路檢檢測測三、、效效果果檢檢驗(yàn)驗(yàn)：將將該該策策略略關(guān)關(guān)聯(lián)聯(lián)給給PC52，若若這這時(shí)時(shí)PC將網(wǎng)網(wǎng)關(guān)關(guān)改改為為，管管理理員員可可通通過過數(shù)數(shù)據(jù)據(jù)中中心心的的準(zhǔn)準(zhǔn)入入系系統(tǒng)統(tǒng)查查看看PC私接接外外網(wǎng)網(wǎng)線線路路上上網(wǎng)網(wǎng)的的行行為為，，如如圖圖：：說明明：本本案案例例中中，，如如果果pc將網(wǎng)網(wǎng)關(guān)關(guān)指指向向，并并去掉掉IP52，，只只留留下下52，此時(shí)時(shí)PC與AC失失去去連連接接，，若若這這種種情情況況也也需需要要繼繼續(xù)續(xù)檢檢測測，，則則需需要要勾勾選選“與與AC失失去去連連接接后后繼繼續(xù)續(xù)檢檢測測””，準(zhǔn)準(zhǔn)入入客客戶戶端端將將會(huì)會(huì)繼繼續(xù)續(xù)檢檢測測非非法法網(wǎng)網(wǎng)關(guān)關(guān)線線路路，，當(dāng)當(dāng)下下次次PC和和AC重重新新連連接接后后上上報(bào)報(bào)給給AC。。組織織外外線線路路檢檢測測注意意事事項(xiàng)項(xiàng)：：1.AC檢測到外外網(wǎng)線路路后只記記錄、不不拒絕，，且準(zhǔn)入客戶戶端不會(huì)會(huì)有提示示信息，，效果檢檢查可以到數(shù)據(jù)中心心查看；；只有第第一次檢檢測出違違規(guī)、或或者上一一次檢測測出合法法而本次檢測測為非法法，才會(huì)會(huì)記錄日日志。2.若PC不安裝或或卸載了了準(zhǔn)入客客戶端，，則不受受AC監(jiān)控，可可通過其其它網(wǎng)關(guān)關(guān)直接上上網(wǎng)，且且AC上也沒有有相應(yīng)的的日志。。3.組織外線線路檢測測只檢查網(wǎng)網(wǎng)關(guān)是否否合法，，不檢查查外網(wǎng)連連接類型型；卸載準(zhǔn)入入客戶端端不需要要解控。。練練手某公司購購買了SANGFORAC來進(jìn)行上上網(wǎng)行為為的管理理，希望望能配置置實(shí)現(xiàn)如如下功能：：所有員工工上班時(shí)時(shí)間不允允許訪問問色情和和賭博類類網(wǎng)站所有員工工允許QQ和MSN聊天，但但不允許許通過QQ和MSN傳文件，，對于持持續(xù)使用用QQ和MSN聊天超過過一小時(shí)時(shí)的員工工，給予予一個(gè)頁頁面進(jìn)行行提醒。。統(tǒng)計(jì)所有有員工的的上網(wǎng)時(shí)時(shí)長和各各種應(yīng)用用的流量量領(lǐng)導(dǎo)的上上網(wǎng)行為為不做任任何控制制和審計(jì)計(jì)您來試試吧！1.某客戶想想要用AC來監(jiān)控所所有QQ聊天的內(nèi)內(nèi)容，請請問應(yīng)該該添加什什么策略略？2.某客戶需需求是限限制辦公公組用戶戶每天使使用流量量不超過過1G，請問是是否可以以實(shí)現(xiàn)，，通過什么么策略實(shí)實(shí)現(xiàn)的？？3.某客戶希希望記錄錄內(nèi)網(wǎng)用用戶是否否通過其其它網(wǎng)關(guān)關(guān)上網(wǎng)，，請問要要怎么配配置？4.某客戶針針對用戶戶組添加加了以下下兩個(gè)策策略，請請問HTTP是允許還還是禁止止？策略1策略2問題思考考9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。1月月-231月月-23Wednesday,January4,202310、雨中黃葉樹樹，燈下白頭頭人。。22:24:0322:24:0322:241/4/202310:24:03PM11、以我我獨(dú)沈沈久，，愧君君相見見頻。。。1月-2322:24:0322:24Jan-2304-Jan-2312、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。22:24:0322:24:0322:24Wednesday,January4,202313、乍見翻翻疑夢，，相悲各各問年。。。1月-231月-2322:24:0322:24:03January4,202314、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。04一一月202310:24:03下下午22:24:031月-2315、比不了得就就不比，得不不到的就不要要。。。一月2310:24下下午1月-2322:24January4,202316、行動(dòng)出成果果，工作出財(cái)財(cái)富。。2023/1/422:24:0322:24:0304January202317、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。10:24:03下下午午10:24下下午22:24:031月-239、沒有失失敗，只只有暫時(shí)時(shí)停止成成功！。。1月-231月-23Wednesday,January4,202310、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。22:24:0322:24:0322:241/4/202310:24:03PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。1月月-2322:24:0322:24Jan-2304-Jan-2312、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。。。22:24:0322:24:0322:24Wednesday,January4,202313、不知香香積寺，，數(shù)里入入云峰。。。1月-231月-2322:24:0322:24:03January4,202314、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。04一月202310:24:03下午午22:24:031月-2315、楚塞三湘湘接，荊門門九派通。。。。一月2310:24下午1月-2322:24January4,202316、少少年年十十五五二二十十時(shí)時(shí)，，步步行行奪奪得得胡胡馬馬騎騎。。。。2023/1/422:24:0322:24:0304January202317、空山山新雨雨后，，天氣氣晚來來秋。。。10:24:03下下午午10:24下下