在深信服上做上网行为管理

#需求
甲区域

  1. 只允许访问几个特定的工作网站;
  2. 允许所有的邮件服务;
  3. 其他所有网络都禁止访问;
  4. 领班额外可以访问新浪微盘;
  5. 晚上十一点至次日七点之间可以访问视频及购物网站

乙区域

  1. 禁用即时通讯工具;
  2. 禁用下载工具;
  3. 禁用视频播放;
  4. IE浏览全天候开放;
  5. 购物网站禁用;
  6. 晚上十一点至次日七点之间可以访问视频及购物网站

领导办公室

  1. 禁止浏览视频网站;
  2. 禁止使用下载工具;
  3. 限速 400kb/s;

#分析

##区域
一共分为五个区域:

  1. 领导
  2. 甲区域
  3. 乙区域
  4. 乙区域领班及大屏
  5. 服务器

##规则

  1. 即时通讯
  2. 下载工具
  3. 视频播放
  4. 购物网站
  5. 工作网站
  6. 新浪微盘
  7. 网络限速
  8. 电子邮箱
  9. 网络协议

限制大致就是白名单和黑名单两种。
黑名单很简单,只需要调用现有的规则就可以了。
白名单除了客户给的几个内部网站外,还需要考虑网站调用的各种外部资源、软件及系统更新。因为要访问网站还需要考虑放通 DNS、HTTP 等协议,便于网管还需要开放 ICMP、SNMP 等协议。

##操作顺序

  1. 建立地址库;
  2. 建立 IP 组;
  3. 建立时间计划组;
  4. 新增上网策略
  5. 将策略与用户(这里用IP地址)进行绑定;
  6. 新增排除规则
  7. 测试策略是否生效;

#操作
以下内容建立在深信服 AC 6.1 上,其他版本可能有所不同。

##建立白名单地址库
菜单 > 对象定义 > URL 分类库 > 新增
然后在URL栏中添加需要访问的工作网站。

##建立 IP 组
因为这边没有做人员与用户一对一的关系绑定,所以采用对 IP 地址来做分组。
菜单 > 对象定义 > IP 组 > 新增

##建立时间计划组
要把工作繁忙期间与凌晨时间段做区分,凌晨可以适当开放部分网站的浏览。
菜单 > 对象定义 > 时间计划组 > 新增
若某时间段跨零点,需要在一条计划中写两条规则。

##新增上网策略
菜单 > 用户与策略管理 > 新增 > 上网权限策略
我这边只需要做上网的限制,不需要对数据进行探测和过滤,所以用应用控制。

##排除
有些地址需要全局排除,如360更新等。