1、2.1舉例：上網行為管理(gunl)和帶寬管理綜合場景配置部門/用戶的上網行為控制和審計策略以及帶寬管理策略，控制和審計部門/用戶訪問Internet的行為并進行帶寬管理。但對于某些特殊用戶，不控制和審計其訪問Internet的行為，且需要(xyo)保證其最小帶寬。此外，所有部門/用戶訪問某些信任地址（如Windows補丁更新服務器）均不進行上網行為控制和審計。組網需求(xqi)如 HYPERLINK /enterprise/pages/doc/subfile/docDetail.jsp?contentId=DOC1000004405&partNo=10052 l asg_typical_ex

2、ample_0013_fig01 圖2-1所示，ASG以網橋模式部署。圖2-1上網行為管理和帶寬管理綜合場景典型組圖具體需求如下：需求一：“部門A”中的“用戶a1”為特殊用戶，不需要對其上網行為控制和審計。需求二：對于“部門A”中的其他員工以及后續新增子部門和員工，上班時間（周一到周五，8:3018:00）只能訪問工作類網站，且任何時候均只能瀏覽，不能通過論壇、博客等提交文本內容和外發文件。需求三：對于“部門A”中的其他員工以及后續新增子部門和員工，審計員工訪問的網站，并記錄員工訪問次數，了解員工的上網情況。需求四：“部門A”中所有員工訪問Windows補丁更新服務器均不受控制和審計。需求五：

3、“部門A”員工可使用的最大下載帶寬為10MB/s，為保證“用戶a2”擁有足夠帶寬且不影響其他用戶正常上網，需要保證其最小下載帶寬為4MB/s，最大帶寬為5MB/s。項目數據說明時間段對象work_time：周一到周五，8:3018:00。時間段對象在上網權限策略中引用。上網策略net_policy：分配給“部門A”的上網權限策略。content_policy：分配給“部門A”的內容控制策略。audit_policy：分配給“部門A”的審計策略。上網權限策略用于控制“部門A”可以訪問的網站類型。內容控制策略用于控制“部門A”不能通過Web提交文本內容和外發文件。審計策略用于記錄“部門A”員工的上

4、網行為。用戶賬號用戶a1：user1。用戶a2：user2。用戶a3：user3。用戶賬號在系統中具有唯一性，不同用戶賬號不能相同，在認證和分配策略給用戶時使用的是用戶賬號，而不是顯示名。Windows補丁更新服務器0部門A員工下載Windows補丁的服務器地址。帶寬管理bandwidth_policy_1：部門A的最大下載帶寬10MB/s。bandwidth_policy_2：用戶a2的下載保證帶寬4MB/s，最大下載帶寬5MB/s。-配置(pizh)思路通過快速向導配置ASG以網橋模式部署，確保(qubo)網絡通信正常。菜單(ci dn)路徑為“網絡快速向導”。創建本地部門/用戶或者從第三

5、方服務器導入部門/用戶，并配置部門/用戶的認證策略。只有分配給部門/用戶的內容控制策略才有效。菜單路徑為“用戶管理上網用戶部門/用戶”。為實現需求一，將“用戶a1”的賬號添加到免管控用戶。菜單路徑為“用戶管理上網用戶免管控用戶”。為實現需求二中的“部門A”上班時間段只能瀏覽工作類網站，配置上網權限策略，只有工作類網站動作配置為“允許”，其他分類的動作配置為“阻斷”，并且引用時間段對象“work_time”，將該策略分配給“部門A”。菜單(ci dn)路徑為“策略管理上網(shn wn)策略”，在“上網策略(cl)列表”中單擊“新建”，選擇“上網權限策略”。為實現需求二中的“部門A”任何時候不能

6、通過論壇、博客等提交文本內容和外發文件，配置內容控制策略，啟用“WEB內容控制”子策略，完全禁止信息外傳，并將該策略分配給“部門A”。菜單路徑為“策略管理上網策略”，在“上網策略列表”中單擊“新建”，選擇“內容控制策略”。為實現需求三，配置審計策略，在審計策略中記錄訪問的網站和下載文件的行為。菜單路徑為“策略管理上網策略”，在“上網策略列表”中單擊“新建”，選擇“審計策略”。為實現需求四，需要將Windows補丁更新服務器地址加入到“全局排除地址”。菜單路徑為“系統全局排除地址”。為實現需求五，需要配置WAN區域到LAN區域的2級帶寬策略，1級帶寬策略中設置“部門A”的最大帶寬為10MB/s（

7、80Mbps），2級帶寬策略中設置“用戶a2”的保證帶寬為4MB/s（32Mbps），最大帶寬為5MB/s（40Mbps）。菜單路徑為“策略管理帶寬管理”。說明：配置保證帶寬的用戶建議不要啟用“允許多人同時使用該賬號登錄”功能，否則可能導致帶寬保證錯誤。例如對“用戶a2”配置了保證帶寬4MB/s，如果啟用了“允許多人同時使用該賬號登錄”功能，當“用戶a2”的賬號同時在多臺PC上認證通過時，多臺PC均會得到最小帶寬4MB/s的保證帶寬。配置保證帶寬時必須配置整體限流策略，否則保證帶寬不生效。因為要通過整體限流策略對保證帶寬進行限制，保證帶寬總和不能大于整體限流策略中配置的最大帶寬。“用戶a1”是

8、免管控用戶，帶寬管理策略對其不生效。為了保證“用戶a1”擁有足夠帶寬，整體限流策略中的最大帶寬配置為鏈路實際帶寬減去為“用戶a1”預留的帶寬。操作步驟選擇“網絡快速向導”或“網絡接口”配置接口基本參數，具體步驟略。配置(pizh)組織結構和認證策略，組織結構如 HYPERLINK /enterprise/pages/doc/subfile/docDetail.jsp?contentId=DOC1000004405&partNo=10052 l asg_typical_example_0013_fig02 圖2-2所示，具體步驟請參見用戶(yngh)管理。圖2-2組織(zzh)結構圖將“用戶a1

9、”的賬號user1添加到免管控用戶列表，實現需求一。選擇“用戶管理上網用戶免管控用戶”。在“免管控用戶列表(不進行控制和審計)”中單擊“添加”，將“用戶a1”添加到免管控用戶列表。單擊“確定”。配置上班時間段對象，在后面的上網權限策略中引用。說明(shumng)：時間段的創建也可以在上網權限策略(cl)引用時間段的下拉列表中直接選擇“新建時間段”。選擇(xunz)“對象定義時間段”。在“時間段列表”中單擊“新建”。配置“周期時間段”為周一到周五的8:3018:00。單擊“確定”。配置上網權限策略，實現“部門A”員工上班時間段只能訪問工作類網站。選擇“策略管理上網策略”。在“上網策略列表”中單擊

10、“新建”，選擇“上網權限策略”，除工作類動作設置為“允許”外，其他所有分類的動作均設置為“阻斷”。選擇(xunz)“部門(bmn)和用戶”頁簽。單擊“添加(tin ji)”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。單擊“確定(qudng)”。選擇(xunz)“高級(goj)配置”頁簽。在“生效時間段”中選擇引用的時間段對象“work_time”。單擊“確定(qudng)”。配置內容控制策略，實現“部門A”員工(yungng)只能瀏覽網頁，不能通過Web提交文本內容和外發文件

11、。在“上網(shn wn)策略列表”中單擊“新建”，選擇“內容控制策略”。啟用“WEB內容控制”子策略，并選擇“完全禁止信息外傳”。選擇“部門和用戶”頁簽。單擊“添加”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。單擊“確定(qudng)”。配置審計策略，記錄“部門A”的上網(shn wn)行為。在“上網策略(cl)列表”中單擊“新建”，選擇“審計策略”。啟用“WEB審計”，記錄URL訪問和HTTP下載文件行為。選擇(xunz)“部門(bmn)和用戶”頁簽。單擊“添加(tin

12、ji)”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。單擊“確定(qudng)”。將Windows補丁更新服務器地址加入全局(qunj)排除地址。選擇(xunz)“系統全局排除地址”。在“全局排除地址”中單擊“新建”。單擊“確定(qudng)”。配置(pizh)整體限流策略和每IP限流策略。選擇(xunz)“策略管理帶寬管理基本配置”。單擊“啟用”。選擇“策略管理帶寬管理帶寬策略”。在“帶寬策略列表”中單擊“新建”，選擇“新建策略”，為部門A設置最大帶寬80Mbps。單擊“確定

13、(qudng)。”在“帶寬策略(cl)列表”中單擊“新建”，選擇(xunz)“新建子策略”，為用戶a2配置保證帶寬32Mbps，最大帶寬40Mbps。單擊“確定(qudng)”。結果(ji gu)驗證以“user1”賬號認證通過后上班時間可以訪問(fngwn)任何網站，可以發帖，在管理中心查看不到該用戶的上網記錄。“部門A”的其他用戶（以“user2”為例）認證通過后上班時間只能訪問工作類網站，訪問其他類別網站（如P2P類）被重定向到阻斷提示頁面，下班后可以訪問任何網站，且在任何時候均不能進行發帖等文本內容提交和文件外發操作。在管理中心可以查看該用戶上網的日志明細和報表。“部門A”的任何用戶在任何時間可以從Windows補丁更新服務器中下載補丁，且在管理中心查看不到訪問該服務器的日志記錄。以“user2”賬號認證通過后，下載帶寬在4M