上網(wǎng)行為管理和帶寬管理(共14頁)

1、2.1舉例：上網(wǎng)行為管理(gunl)和帶寬管理綜合場景配置部門/用戶的上網(wǎng)行為控制和審計(jì)策略以及帶寬管理策略，控制和審計(jì)部門/用戶訪問Internet的行為并進(jìn)行帶寬管理。但對(duì)于某些特殊用戶，不控制和審計(jì)其訪問Internet的行為，且需要(xyo)保證其最小帶寬。此外，所有部門/用戶訪問某些信任地址（如Windows補(bǔ)丁更新服務(wù)器）均不進(jìn)行上網(wǎng)行為控制和審計(jì)。組網(wǎng)需求(xqi)如 HYPERLINK /enterprise/pages/doc/subfile/docDetail.jsp?contentId=DOC1000004405&partNo=10052 l asg_typical_ex

2、ample_0013_fig01 圖2-1所示，ASG以網(wǎng)橋模式部署。圖2-1上網(wǎng)行為管理和帶寬管理綜合場景典型組圖具體需求如下：需求一：“部門A”中的“用戶a1”為特殊用戶，不需要對(duì)其上網(wǎng)行為控制和審計(jì)。需求二：對(duì)于“部門A”中的其他員工以及后續(xù)新增子部門和員工，上班時(shí)間（周一到周五，8:3018:00）只能訪問工作類網(wǎng)站，且任何時(shí)候均只能瀏覽，不能通過論壇、博客等提交文本內(nèi)容和外發(fā)文件。需求三：對(duì)于“部門A”中的其他員工以及后續(xù)新增子部門和員工，審計(jì)員工訪問的網(wǎng)站，并記錄員工訪問次數(shù)，了解員工的上網(wǎng)情況。需求四：“部門A”中所有員工訪問Windows補(bǔ)丁更新服務(wù)器均不受控制和審計(jì)。需求五：

3、“部門A”員工可使用的最大下載帶寬為10MB/s，為保證“用戶a2”擁有足夠帶寬且不影響其他用戶正常上網(wǎng)，需要保證其最小下載帶寬為4MB/s，最大帶寬為5MB/s。項(xiàng)目數(shù)據(jù)說明時(shí)間段對(duì)象work_time：周一到周五，8:3018:00。時(shí)間段對(duì)象在上網(wǎng)權(quán)限策略中引用。上網(wǎng)策略net_policy：分配給“部門A”的上網(wǎng)權(quán)限策略。content_policy：分配給“部門A”的內(nèi)容控制策略。audit_policy：分配給“部門A”的審計(jì)策略。上網(wǎng)權(quán)限策略用于控制“部門A”可以訪問的網(wǎng)站類型。內(nèi)容控制策略用于控制“部門A”不能通過Web提交文本內(nèi)容和外發(fā)文件。審計(jì)策略用于記錄“部門A”員工的上

4、網(wǎng)行為。用戶賬號(hào)用戶a1：user1。用戶a2：user2。用戶a3：user3。用戶賬號(hào)在系統(tǒng)中具有唯一性，不同用戶賬號(hào)不能相同，在認(rèn)證和分配策略給用戶時(shí)使用的是用戶賬號(hào)，而不是顯示名。Windows補(bǔ)丁更新服務(wù)器0部門A員工下載Windows補(bǔ)丁的服務(wù)器地址。帶寬管理bandwidth_policy_1：部門A的最大下載帶寬10MB/s。bandwidth_policy_2：用戶a2的下載保證帶寬4MB/s，最大下載帶寬5MB/s。-配置(pizh)思路通過快速向?qū)渲肁SG以網(wǎng)橋模式部署，確保(qubo)網(wǎng)絡(luò)通信正常。菜單(ci dn)路徑為“網(wǎng)絡(luò)快速向?qū)А薄?chuàng)建本地部門/用戶或者從第三

5、方服務(wù)器導(dǎo)入部門/用戶，并配置部門/用戶的認(rèn)證策略。只有分配給部門/用戶的內(nèi)容控制策略才有效。菜單路徑為“用戶管理上網(wǎng)用戶部門/用戶”。為實(shí)現(xiàn)需求一，將“用戶a1”的賬號(hào)添加到免管控用戶。菜單路徑為“用戶管理上網(wǎng)用戶免管控用戶”。為實(shí)現(xiàn)需求二中的“部門A”上班時(shí)間段只能瀏覽工作類網(wǎng)站，配置上網(wǎng)權(quán)限策略，只有工作類網(wǎng)站動(dòng)作配置為“允許”，其他分類的動(dòng)作配置為“阻斷”，并且引用時(shí)間段對(duì)象“work_time”，將該策略分配給“部門A”。菜單(ci dn)路徑為“策略管理上網(wǎng)(shn wn)策略”，在“上網(wǎng)策略(cl)列表”中單擊“新建”，選擇“上網(wǎng)權(quán)限策略”。為實(shí)現(xiàn)需求二中的“部門A”任何時(shí)候不能

6、通過論壇、博客等提交文本內(nèi)容和外發(fā)文件，配置內(nèi)容控制策略，啟用“WEB內(nèi)容控制”子策略，完全禁止信息外傳，并將該策略分配給“部門A”。菜單路徑為“策略管理上網(wǎng)策略”，在“上網(wǎng)策略列表”中單擊“新建”，選擇“內(nèi)容控制策略”。為實(shí)現(xiàn)需求三，配置審計(jì)策略，在審計(jì)策略中記錄訪問的網(wǎng)站和下載文件的行為。菜單路徑為“策略管理上網(wǎng)策略”，在“上網(wǎng)策略列表”中單擊“新建”，選擇“審計(jì)策略”。為實(shí)現(xiàn)需求四，需要將Windows補(bǔ)丁更新服務(wù)器地址加入到“全局排除地址”。菜單路徑為“系統(tǒng)全局排除地址”。為實(shí)現(xiàn)需求五，需要配置WAN區(qū)域到LAN區(qū)域的2級(jí)帶寬策略，1級(jí)帶寬策略中設(shè)置“部門A”的最大帶寬為10MB/s（

7、80Mbps），2級(jí)帶寬策略中設(shè)置“用戶a2”的保證帶寬為4MB/s（32Mbps），最大帶寬為5MB/s（40Mbps）。菜單路徑為“策略管理帶寬管理”。說明：配置保證帶寬的用戶建議不要啟用“允許多人同時(shí)使用該賬號(hào)登錄”功能，否則可能導(dǎo)致帶寬保證錯(cuò)誤。例如對(duì)“用戶a2”配置了保證帶寬4MB/s，如果啟用了“允許多人同時(shí)使用該賬號(hào)登錄”功能，當(dāng)“用戶a2”的賬號(hào)同時(shí)在多臺(tái)PC上認(rèn)證通過時(shí)，多臺(tái)PC均會(huì)得到最小帶寬4MB/s的保證帶寬。配置保證帶寬時(shí)必須配置整體限流策略，否則保證帶寬不生效。因?yàn)橐ㄟ^整體限流策略對(duì)保證帶寬進(jìn)行限制，保證帶寬總和不能大于整體限流策略中配置的最大帶寬?！坝脩鬭1”是

8、免管控用戶，帶寬管理策略對(duì)其不生效。為了保證“用戶a1”擁有足夠帶寬，整體限流策略中的最大帶寬配置為鏈路實(shí)際帶寬減去為“用戶a1”預(yù)留的帶寬。操作步驟選擇“網(wǎng)絡(luò)快速向?qū)А被颉熬W(wǎng)絡(luò)接口”配置接口基本參數(shù)，具體步驟略。配置(pizh)組織結(jié)構(gòu)和認(rèn)證策略，組織結(jié)構(gòu)如 HYPERLINK /enterprise/pages/doc/subfile/docDetail.jsp?contentId=DOC1000004405&partNo=10052 l asg_typical_example_0013_fig02 圖2-2所示，具體步驟請(qǐng)參見用戶(yngh)管理。圖2-2組織(zzh)結(jié)構(gòu)圖將“用戶a1

9、”的賬號(hào)user1添加到免管控用戶列表，實(shí)現(xiàn)需求一。選擇“用戶管理上網(wǎng)用戶免管控用戶”。在“免管控用戶列表(不進(jìn)行控制和審計(jì))”中單擊“添加”，將“用戶a1”添加到免管控用戶列表。單擊“確定”。配置上班時(shí)間段對(duì)象，在后面的上網(wǎng)權(quán)限策略中引用。說明(shumng)：時(shí)間段的創(chuàng)建也可以在上網(wǎng)權(quán)限策略(cl)引用時(shí)間段的下拉列表中直接選擇“新建時(shí)間段”。選擇(xunz)“對(duì)象定義時(shí)間段”。在“時(shí)間段列表”中單擊“新建”。配置“周期時(shí)間段”為周一到周五的8:3018:00。單擊“確定”。配置上網(wǎng)權(quán)限策略，實(shí)現(xiàn)“部門A”員工上班時(shí)間段只能訪問工作類網(wǎng)站。選擇“策略管理上網(wǎng)策略”。在“上網(wǎng)策略列表”中單擊

10、“新建”，選擇“上網(wǎng)權(quán)限策略”，除工作類動(dòng)作設(shè)置為“允許”外，其他所有分類的動(dòng)作均設(shè)置為“阻斷”。選擇(xunz)“部門(bmn)和用戶”頁簽。單擊“添加(tin ji)”，將該策略分配給“部門A”。說明：直接選中左側(cè)部門結(jié)構(gòu)樹中的“部門A”默認(rèn)已選中該部門的“新增子部門及用戶”，表示該部門后續(xù)新增的子部門和用戶均繼承該上網(wǎng)權(quán)限策略。單擊“確定(qudng)”。選擇(xunz)“高級(jí)(goj)配置”頁簽。在“生效時(shí)間段”中選擇引用的時(shí)間段對(duì)象“work_time”。單擊“確定(qudng)”。配置內(nèi)容控制策略，實(shí)現(xiàn)“部門A”員工(yungng)只能瀏覽網(wǎng)頁，不能通過Web提交文本內(nèi)容和外發(fā)文件

11、。在“上網(wǎng)(shn wn)策略列表”中單擊“新建”，選擇“內(nèi)容控制策略”。啟用“WEB內(nèi)容控制”子策略，并選擇“完全禁止信息外傳”。選擇“部門和用戶”頁簽。單擊“添加”，將該策略分配給“部門A”。說明：直接選中左側(cè)部門結(jié)構(gòu)樹中的“部門A”默認(rèn)已選中該部門的“新增子部門及用戶”，表示該部門后續(xù)新增的子部門和用戶均繼承該上網(wǎng)權(quán)限策略。單擊“確定(qudng)”。配置審計(jì)策略，記錄“部門A”的上網(wǎng)(shn wn)行為。在“上網(wǎng)策略(cl)列表”中單擊“新建”，選擇“審計(jì)策略”。啟用“WEB審計(jì)”，記錄URL訪問和HTTP下載文件行為。選擇(xunz)“部門(bmn)和用戶”頁簽。單擊“添加(tin

12、ji)”，將該策略分配給“部門A”。說明：直接選中左側(cè)部門結(jié)構(gòu)樹中的“部門A”默認(rèn)已選中該部門的“新增子部門及用戶”，表示該部門后續(xù)新增的子部門和用戶均繼承該上網(wǎng)權(quán)限策略。單擊“確定(qudng)”。將Windows補(bǔ)丁更新服務(wù)器地址加入全局(qunj)排除地址。選擇(xunz)“系統(tǒng)全局排除地址”。在“全局排除地址”中單擊“新建”。單擊“確定(qudng)”。配置(pizh)整體限流策略和每IP限流策略。選擇(xunz)“策略管理帶寬管理基本配置”。單擊“啟用”。選擇“策略管理帶寬管理帶寬策略”。在“帶寬策略列表”中單擊“新建”，選擇“新建策略”，為部門A設(shè)置最大帶寬80Mbps。單擊“確定

13、(qudng)?！痹凇皫挷呗?cl)列表”中單擊“新建”，選擇(xunz)“新建子策略”，為用戶a2配置保證帶寬32Mbps，最大帶寬40Mbps。單擊“確定(qudng)”。結(jié)果(ji gu)驗(yàn)證以“user1”賬號(hào)認(rèn)證通過后上班時(shí)間可以訪問(fngwn)任何網(wǎng)站，可以發(fā)帖，在管理中心查看不到該用戶的上網(wǎng)記錄?！安块TA”的其他用戶（以“user2”為例）認(rèn)證通過后上班時(shí)間只能訪問工作類網(wǎng)站，訪問其他類別網(wǎng)站（如P2P類）被重定向到阻斷提示頁面，下班后可以訪問任何網(wǎng)站，且在任何時(shí)候均不能進(jìn)行發(fā)帖等文本內(nèi)容提交和文件外發(fā)操作。在管理中心可以查看該用戶上網(wǎng)的日志明細(xì)和報(bào)表?！安块TA”的任何用戶在任何時(shí)間可以從Windows補(bǔ)丁更新服務(wù)器中下載補(bǔ)丁，且在管理中心查看不到訪問該服務(wù)器的日志記錄。以“user2”賬號(hào)認(rèn)證通過后，下載帶寬在4M