1、2.1舉例：上網行為管理和帶寬管理綜合場景配置部門/用戶的上網行為控制和審計策略以及帶寬管理策略，控制和審計部門/用戶訪問Internet的行為并進行帶寬管理。但對于某些特殊用戶，不控制和審計其訪問Internet的行為，且需要保證其最小帶寬。此外，所有部門/用戶訪問某些信任地址（如Windows補丁更新服務器）均不進行上網行為控制和審計。組網需求如圖2-1所示，ASG以網橋模式部署。圖2-1上網行為管理和帶寬管理綜合場景典型組圖具體需求如下： 需求一：“部門A”中的“用戶a1”為特殊用戶，不需要對其上網行為控制和審計。 需求二：對于“部門A”中的其他員工以及后續新增子部門和員工，上班時間（周

2、一到周五，8:3018:00）只能訪問工作類網站，且任何時候均只能瀏覽，不能通過論壇、博客等提交文本內容和外發文件。 需求三：對于“部門A”中的其他員工以及后續新增子部門和員工，審計員工訪問的網站，并記錄員工訪問次數，了解員工的上網情況。 需求四：“部門A”中所有員工訪問Windows補丁更新服務器均不受控制和審計。 需求五：“部門A”員工可使用的最大下載帶寬為10MB/s，為保證“用戶a2”擁有足夠帶寬且不影響其他用戶正常上網，需要保證其最小下載帶寬為4MB/s，最大帶寬為5MB/s。項目數據說明時間段對象work_time：周一到周五，8:3018:00。時間段對象在上網權限策略中引用。上

3、網策略net_policy：分配給“部門A”的上網權限策略。content_policy：分配給“部門A”的內容控制策略。audit_policy：分配給“部門A”的審計策略。 上網權限策略用于控制“部門A”可以訪問的網站類型。 內容控制策略用于控制“部門A”不能通過Web提交文本內容和外發文件。 審計策略用于記錄“部門A”員工的上網行為。用戶賬號 用戶a1：user1。 用戶a2：user2。 用戶a3：user3。用戶賬號在系統中具有唯一性，不同用戶賬號不能相同，在認證和分配策略給用戶時使用的是用戶賬號，而不是顯示名。Windows補丁更新服務器0部門A員工下載Win

4、dows補丁的服務器地址。帶寬管理bandwidth_policy_1：部門A的最大下載帶寬10MB/s。bandwidth_policy_2：用戶a2的下載保證帶寬4MB/s，最大下載帶寬5MB/s。-配置思路1. 通過快速向導配置ASG以網橋模式部署，確保網絡通信正常。菜單路徑為“網絡快速向導”。2. 創建本地部門/用戶或者從第三方服務器導入部門/用戶，并配置部門/用戶的認證策略。只有分配給部門/用戶的內容控制策略才有效。菜單路徑為“用戶管理上網用戶部門/用戶”。3. 為實現需求一，將“用戶a1”的賬號添加到免管控用戶。菜單路徑為“用戶管理上網用戶免管控用戶”。4. 為實現需求二中的“部門

5、A”上班時間段只能瀏覽工作類網站，配置上網權限策略，只有工作類網站動作配置為“允許”，其他分類的動作配置為“阻斷”，并且引用時間段對象“work_time”，將該策略分配給“部門A”。菜單路徑為“策略管理上網策略”，在“上網策略列表”中單擊“新建”，選擇“上網權限策略”。5. 為實現需求二中的“部門A”任何時候不能通過論壇、博客等提交文本內容和外發文件，配置內容控制策略，啟用“WEB內容控制”子策略，完全禁止信息外傳，并將該策略分配給“部門A”。菜單路徑為“策略管理上網策略”，在“上網策略列表”中單擊“新建”，選擇“內容控制策略”。6. 為實現需求三，配置審計策略，在審計策略中記錄訪問的網站和

6、下載文件的行為。菜單路徑為“策略管理上網策略”，在“上網策略列表”中單擊“新建”，選擇“審計策略”。7. 為實現需求四，需要將Windows補丁更新服務器地址加入到“全局排除地址”。菜單路徑為“系統全局排除地址”。8. 為實現需求五，需要配置WAN區域到LAN區域的2級帶寬策略，1級帶寬策略中設置“部門A”的最大帶寬為10MB/s（80Mbps），2級帶寬策略中設置“用戶a2”的保證帶寬為4MB/s（32Mbps），最大帶寬為5MB/s（40Mbps）。菜單路徑為“策略管理帶寬管理”。說明： 配置保證帶寬的用戶建議不要啟用“允許多人同時使用該賬號登錄”功能，否則可能導致帶寬保證錯誤。例如對“用

7、戶a2”配置了保證帶寬4MB/s，如果啟用了“允許多人同時使用該賬號登錄”功能，當“用戶a2”的賬號同時在多臺PC上認證通過時，多臺PC均會得到最小帶寬4MB/s的保證帶寬。 配置保證帶寬時必須配置整體限流策略，否則保證帶寬不生效。因為要通過整體限流策略對保證帶寬進行限制，保證帶寬總和不能大于整體限流策略中配置的最大帶寬。 “用戶a1”是免管控用戶，帶寬管理策略對其不生效。為了保證“用戶a1”擁有足夠帶寬，整體限流策略中的最大帶寬配置為鏈路實際帶寬減去為“用戶a1”預留的帶寬。操作步驟1. 選擇“網絡快速向導”或“網絡接口”配置接口基本參數，具體步驟略。2. 配置組織結構和認證策略，組織結構如

8、圖2-2所示，具體步驟請參見用戶管理。圖2-2組織結構圖3. 將“用戶a1”的賬號user1添加到免管控用戶列表，實現需求一。a. 選擇“用戶管理上網用戶免管控用戶”。b. 在“免管控用戶列表(不進行控制和審計)”中單擊“添加”，將“用戶a1”添加到免管控用戶列表。c. 單擊“確定”。4. 配置上班時間段對象，在后面的上網權限策略中引用。說明：時間段的創建也可以在上網權限策略引用時間段的下拉列表中直接選擇“新建時間段”。a. 選擇“對象定義時間段”。b. 在“時間段列表”中單擊“新建”。c. 配置“周期時間段”為周一到周五的8:3018:00。d. 單擊“確定”。5. 配置上網權限策略，實現“

9、部門A”員工上班時間段只能訪問工作類網站。a. 選擇“策略管理上網策略”。b. 在“上網策略列表”中單擊“新建”，選擇“上網權限策略”，除工作類動作設置為“允許”外，其他所有分類的動作均設置為“阻斷”。c. 選擇“部門和用戶”頁簽。d. 單擊“添加”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。e. 單擊“確定”。f. 選擇“高級配置”頁簽。g. 在“生效時間段”中選擇引用的時間段對象“work_time”。h. 單擊“確定”。6. 配置內容控制策略，實現“部門A”員工只能瀏覽

10、網頁，不能通過Web提交文本內容和外發文件。a. 在“上網策略列表”中單擊“新建”，選擇“內容控制策略”。b. 啟用“WEB內容控制”子策略，并選擇“完全禁止信息外傳”。c. 選擇“部門和用戶”頁簽。d. 單擊“添加”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。e. 單擊“確定”。7. 配置審計策略，記錄“部門A”的上網行為。a. 在“上網策略列表”中單擊“新建”，選擇“審計策略”。b. 啟用“WEB審計”，記錄URL訪問和HTTP下載文件行為。c. 選擇“部門和用戶”頁簽。

11、d. 單擊“添加”，將該策略分配給“部門A”。說明：直接選中左側部門結構樹中的“部門A”默認已選中該部門的“新增子部門及用戶”，表示該部門后續新增的子部門和用戶均繼承該上網權限策略。e. 單擊“確定”。8. 將Windows補丁更新服務器地址加入全局排除地址。a. 選擇“系統全局排除地址”。b. 在“全局排除地址”中單擊“新建”。c. 單擊“確定”。9. 配置整體限流策略和每IP限流策略。a. 選擇“策略管理帶寬管理基本配置”。b. 單擊“啟用”。c. 選擇“策略管理帶寬管理帶寬策略”。d. 在“帶寬策略列表”中單擊“新建”，選擇“新建策略”，為部門A設置最大帶寬80Mbps。e. 單擊“確定。”f. 在“帶寬策略列表”中單擊“新建”，選擇“新建子策略”，為用戶a2配置保證帶寬32Mbps，最大帶寬40Mbps。g. 單擊“確定”。結果驗證1. 以“user1”賬號認證通過后上班時間可以訪問任何網站，可以發帖，在管理中心查看不到該用戶的上網記錄。2. “部門A”的其他用戶（以“user2”為例）認證通過后上班時間只能訪問工作類網站，訪問其他類別網站