引言： 公司有一臺深信服的上網行為管理設備SG-6700，以橋接模式部署于防火墻與核心交換機之間，為公司接入互聯網提供上網權限、帶寬流量控制、上網行為審計等管理。由于最初實施時間匆忙、上網權限劃分很細、公司部門繁雜等因素，近兩年的上線運行導致行為管理的分組和策略相當復雜，管理起來越來越難，輪崗的管理員難以應付同事對上網權限的申請工作，重新梳理上網行為管理的條目勢在必行。

剛接手上網行為管理工作時，對于SG-6700控制臺表面看起來很簡單明了，啃完其官方文檔對于菜單也明白相應功能，但始終不明白設備內在聯系和邏輯，在前管理員指引下，經過多次測試，遇到問題時再聯系深信報售后工程師咨詢，漸漸掌握了開通上網權限的日常作業(yè)。經過幾個月的逐一查看各條目內容，漸漸明白深信服上網行為管理內在流程大概是：當新的內網計算機用戶通過設備時，首先根據“用戶認證”的認證策略將其歸到“用戶管理”下面不同組，組又和不同“上網策略”相關聯實現不同的上網權限等管理功能，其中的上網策略是引用了“對象定義”的應用特征識別庫、URL分類、自定義應用、時間組等等構成的。

目前存在的問題主要有四點，一是條目太多有19個用戶大組80個小組（包含不同VLAN網段和開通用戶不同上網權限的組），上網權限策略48條，上網審計策略4條，上網安全、流量配額和準入策略各1條，自定義URL庫和自定義應用各十多條。復雜的地方就在于用戶分組和上網權限策略的配置，20條分門別類的限制如上傳文件、P2P在線視頻及下載工具、web流媒體、游戲、代理、金融證券、論壇、微博、IM即時通訊、社交網絡、移動終端、木馬釣魚網站、網購娛樂宗教等等，20多條開通上網權限的特殊需求如yy和skyp語音、一號店、微信web版、房產類網站、網絡視頻、網購等等。二是各條目的命名不規(guī)范導致分組或者策略功能重復，以上網權限策略相互影響搭配出現異常情況，比如移動終端策略里限制了社交網站Linkedin的應用，當有用戶申請開通此網站，如果只是在社交網絡里開通Linkedin用戶仍然無法訪問。三是上網權限管理要求分得太細，比如網購分為開淘寶京東、開一號店和全部網購開通，還有用戶申請開通雅虎財經網 站、emailnetworks等 網站。四是上網權策略以搭積木的方式將不同限制策略進行組合來開通某些權限，操作上確實很靈活方便，但是也造成對于權限開放不清楚明了的困惑。

重新規(guī)劃

經過小組同事多次討論，明確了上網行為組與策略整理的目的：

1）在保證帶寬和網絡安全的前提下，給予不同層級用戶適當寬松的訪問互聯網環(huán)境；

2）重新梳理各項配置條目并明確定義，最終理出清晰明了和比較規(guī)范的方式以便日常管理。

用戶分組上借鑒了一同事在其它公司的管理經驗，由于公司部門繁雜無法按組織架構去分，只好以功能類別建組，分為領導組、服務器組、無線網絡組、普通用戶組、需求申請組、無限制組和臨時組共7大組，再將不同部門的網段放大組下面的部門小組，形成功能大組部門小組網段三層結構如圖1。

上網策略建限制和開通2類策略，在現有策略基礎上對限制策略進行合并，開通策略重新定義規(guī)范命名。

1）所有普通用戶使用一條基準限制策略；

2）不同部門根據業(yè)務需求加上相關開通上網策略；

3）用戶需求申請的上網權限按類別再定制相應開通策略。

具體實施上采用小組領導在網絡改造中的經驗，即首先建好新用戶分組和對應策略，再盡可能地完全測試達到沒問題，分段從舊的策略組遷移到新的組，這樣把整理過程給用戶帶來的影響降到最小，平衡運行一段時間后再刪除舊的用戶組和策略。

圖1 用戶分組

分步實施

因為上網行為管理設備重新整理直接影響到用戶訪問外網，影響公司業(yè)務正常運行事關重大，首先同事根據小組討論的規(guī)劃寫好了整理計劃，在獲得上級領導同意后才開始實施。第一步同事根據上面的計劃建好了7大組，其中巧妙地在組名開始處加了數字，達到按預定順序排列組，系統默認是組名會自動按拼音首字母排序。

第二步梳理舊的上網策略并建立新策略，上網行為管理系統默認提供準入策略、流量配額與時長控制、終端提醒策略、上網安全策略、上網審計策略和上網權限策略共6類，根據公司的管理要求按需選擇配置，這是整個行為管理重新配置的重點和難點。

上網權限策略可設置應用、端口和代理控制、web關鍵字和文件類型過濾，SSL安全保護和內容識別、郵件過濾，我們配置了應用、端口和代理控制，應用控制是上網行為管理配置的主要內容，通過此策略管理用戶訪問的網絡站點和應用。根據系統中“對象定義應用特征庫”的標簽，首先將普通用戶限制基準策略分別配置外發(fā)文件泄密類（禁止各種文件附件上傳，開放政府教育QQ微信傳文件）、高帶寬消耗（禁止P2P視頻和下載工具、Web流媒體，開放迅雷資源和QQ中轉站及QQ群下載）、降低工作效率（禁止微博、論壇、IM、金融證券、購物、宗教、娛樂、社交網絡、生活相關軟件升級，開放QQ）、郵件管制（禁止免費郵箱和移動終端應用，開放POP3、IMAP和SMTP及加密收發(fā)郵件，移動終端開放QQ和微信）和安全風限（禁止游戲、代理、非法不良、成人內容、網絡安全、木馬控制和軟件更新的網站應用），也就是將現有的20條限制策略合并成一條。同時開通因限制策略影響正常工作業(yè)務需要訪問的網站，將這些網站分門別類里加入系統“對象定義URL庫和自定義引用”如藥品化妝品網購網站、專利國外數據查詢、研發(fā)類上傳和銷售財務上傳等等如圖2。其次根據部門業(yè)務特征分別為財務建立開通房產金融證券和飛信策略，為銷售建立開通證券網站和YY語音。然后依據用戶申請需求類別建立對應的開網購、Web流媒體、證券交易、Skype語音等單項策略，以及多項需求的如開網購和web流媒體、網購和證券交易、招聘上傳等相互組合的策略。最終以19條新的上網權限策略借代了之前的46條策略如圖3，簡化了日常管理工作。

上網審計可設置HTTP外發(fā)內容、訪問網站/下載、郵件、IM、FTP、Telnet和網絡應用審計，流量與上網時長審計、網頁內容審計，我們上網審計項全部啟用產生大量的數據,日志庫在工作日平均18GB/天，內置數據中心空間有限僅能保留四周，外置數據中心1.5TB的磁盤空間也只能保存三個月；

圖2 網站分組

圖3 上網策略

上網安全策略可設置ActiveX插件過濾、惡意網頁過濾和安全桌面，我們只使用了惡意網頁過濾,只是深信服這個東東最后更新才到2014年4月，太舊了;

流量配額與時長控制可設置流量配額、上網時長控制和并發(fā)連接數控制，我們只用了并發(fā)數控制曾經從256調到400；

終端提醒策略可設置上網時長提醒、上網流量提醒、公告頁面，由于前面未做流量和時長管控，此策略未配置；

準入策略里有IM聊天內容和發(fā)送文件監(jiān)控、組織外線路檢測和應用程序時長統計3項可配置，我們僅配置了IM聊天內容和發(fā)送文件監(jiān)控主要審計QQ聊天記錄。

所有新組均啟用上網審計類、上網安全類和流量配額與時長控制類策略（服務器組僅啟用上網審計類）；領導組、服務器組、無限制組和無線網絡組均不啟用準入策略（準入策略會導致終端計算機安裝深信服上網插件，否則無法訪問外網）；普通用戶組和按需用戶組在前面的基礎上啟用上網權限類策略，即普通用戶限制基準策略，下面的部門組加上相應部門的開放策略；按需用戶組下面根據申請開放權限類別分組，加上相應的開放策略。

公司當初部署上網行為管理時在“用戶認證”策略方面，采用了“以IP為用戶名”認證方式，將不同網段來的IP添加到相應部門組下面，那些申請開通某些上網權限的用戶，先在DHCP服務器上將IP和MAC地址綁定，再在該設備里用戶組下面標識其部門和姓名。在建好了新的用戶策略和用戶組后，就開始將不同網段遷移到新用戶組下面，通過“成員管理”選擇網段組使用“移動”按鈕到新的用戶組，用戶認證策略里會自動完成變更“新用戶選項添加到本地”新的組位置。首先完成領導組、服務器組5個網段的移動，因為這些網段原本就沒有作上網限制。逐步將研發(fā)、銷售、財務和后勤14個網段，每天移5個網段移到普通用戶組里的部門組下面，同時密切觀察運行情況和用戶反饋，其間出現了因為“流量管理通道配置通道使用范圍”未及時添加新的用戶組，導致網絡訪問高峰期，用戶無法正常打開網頁的問題。再整理舊用戶組中無限的3個網段移到新組，其中一個網段之前雖限制但實際其用戶直接連接領導的WIFI，索性加入無限制組，另一個網段照舊的策略加了一些少量限制，只是以加開放策略的方式代替之前不加某些限制策略。視頻監(jiān)控網段移入Default組，禁止所有的外網訪問應用。最麻煩最頭痛的用戶申請開通權限組，最后整理出近200個用戶IP分別移到允許網購、允許Web流媒體、允許證券交易、允許Skype語音等單項組，以及多項需求的如允許網購和web流媒體、網購和證券交易、招聘上傳等組合組，這些組從單一到組合從上往下排列，上網權限從小到大，以致最下面的允許所有上網權限，該組和上面的無限組的區(qū)別是有加準入策略。為給同事一個寬松的網絡訪問環(huán)境，特制定了一條在下班段開放網購、證券金融、娛樂和Web視頻等內容。

第三步清理“對象定義”中的URL庫、自定義應用，“系統配置”中的全局排除地址和“用戶與策略管理用戶認證”的認證策略，由于網絡部署方式未變，所以不涉及其它模塊的變更。

第四步等所有配置調整完成后，留出1個月的時間觀察運行情況，出現問題時與舊的組和策略進行對比解決。確認無問題后刪除舊的用戶組和策略，刪除用戶組涉及到“流量管理”的通道配置、“用戶管理”的用戶自動同步策略、“用戶認證”的認證策略、“系統配置管理員賬戶”的組織權限配置，必須先取消其相關對用戶組的引用才能正常刪除，否則報錯。

管理心得

這次配置改造中為減少對用戶的影響，仍然未實施“密碼認證單點登錄”的與微軟Active Directory域結合的用戶認證方式。要實現基于用戶的管理，系統必須要知道某個IP地址上，此刻是哪個用戶在使用的信息，也就是獲得IP與用戶名的映射表。因此在計算機訪問網絡前，需要對上網計算機通過某種形式的身份認證，從而獲取計算機上的用戶名。此種管理方式相比基于傳統IP地址的管理來說更準確，也更直觀。根據深信服行為管理系統自帶的幫助文件和配置步驟，通過域控組策略自動下發(fā)，在計算機上執(zhí)行指定的登錄/注銷腳本，獲取域賬戶信息實現AD集成的單點登錄。