组织结构
组织结构即为用户和用户组的所属层级关系。sangfor AC提供树形组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时对相同的上网策略进行继承。一个用户有一个直属父组。
用户属性-自定义属性:自定义属性,针对不同属性做不同的控制(认证高级选项-自定义属性,定义属性) 在策略里面有一个用户属性组,可以定义多条规则,定义或的关系
高级属性:限制在以下地址登录(指定账号只能在设置地址范围内登录) 新增绑定对象:本绑定的地址只能在此账号登录,用户同时可以绑定多个终端,用于免认证
可以一次新建多个用户多个组,用户太多可以用将用户和组做成CSV表格,一次性导入设备
上网策略
上网策略是对用户行为进行控制、提醒、审计。实现控制用户能做什么,知道用户正在做什么及已经做了什么
上网权限策略:控制用户能够使用网络资源的权限
应用控制:1、定义时间对象2、建立上网策略,生效时间加入定义的的时间对象,选择应用,确定动作3、关联给组
端口控制:只能识别端口和协议不变化的应用如DNS,smtp,pop3.目前互联网都是动态端口,所以范围小
WEB关键字过滤(只能针对HTTP的搜索):1、定义关键字2、新建上网权限策略,关联定义的关键字和关联组 (字中间加了空格或其他,则不能匹配上)
文件类型过滤:根据指定文件的类型限制上传及下载。注意仅对HTTP上传下载以及FTP上传下载有效
邮件过滤:适用于SMTP和SMTPS协议过滤,可以根据发件地址,收件地址,邮件标题或正文中含有关键字,邮件附件内容,附件个数及邮件大小过滤
认证后处理-高级选项-认证前使用此组选项 强制对所有HTTP访问进行认证不勾选,只有被策略拒绝的HTTP才需要认证
上网审计策略:审计用户上网行为
1、新建上网审计策略,启用应用审计及上网流量与时长审计,并与用户/组相连 注意:不勾选通过网页上传文本内容和未识别的网络应用,影响性能
启用了审计日志再会有所有记录,否则只有拒绝的一些记录
用户限额策略:限制用户能使用网络资源的流量和时长
在线终端限制:在线终端限制个数
终端提醒策略:当用户不恰当使用网络资源时,对用户提醒
设置公告页面:对流量进行重定向
准入策略:检测终端是否满足公司规定的上网条件,检测通过才准许使用网络资源;审计加密的IM软件(如QQ/SKYPE)的聊天内容
1、检测终端电脑是否符合组织安全性要求,不符合禁止上网2、审计加密IM聊天内容,如QQ和SKYPE
关联了准入策略的用户上网时,设备会给终端推送安装一个插件,通过插件检测是否合规及审计加密IM聊天内容,然后上传AC设备,如果没安装插件,则不能上网 (一些不支持插件的终端通过勾选不支持运行准入/安全桌面系统地计算机及终端 -允许上网,来上网)
用到端口TCP886,TCP82,UDP667,TCP817,UDP999,请确保电脑这些端口放行,只审计QQ发送文件和文件夹,不审计接收。
上网策略与对象关联-适用对象 可以匹配用户,域用户,与安全组,域属性及源IP之间“或”关系 用户,位置,终端类型之间的“与”关系
可以在用户组里面给其配置策略
