網(wǎng)絡(luò)訪(fǎng)問(wèn)控制功能

利用WSA設(shè)備的Access Policies功能，可以對(duì)下行流量進(jìn)行控制。利用訪(fǎng)問(wèn)策略，可 以 對(duì) HTTP，HTTPS和FTP等協(xié)議進(jìn)行控制。WSA設(shè)備一般通過(guò)交換機(jī)連接到防火墻的內(nèi)部端口上，訪(fǎng)問(wèn)“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶(hù)名（默認(rèn)為“admin”）和密碼（默認(rèn)為“ironport”），登錄到 WSA設(shè)備上，其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。

在其管理界面中點(diǎn)擊 菜 單“Web Security M a n a g e r”-“A c c e s s Policies”項(xiàng)，顯示默認(rèn)的控制規(guī)則列表，其內(nèi)容包括 Group，Protocol and User Agents，URL_Filter，Applications，Objects，Web Reputation and Anti-Malware Filtering等項(xiàng)目。

查看訪(fǎng)問(wèn)控制策略

其中的Group主要用來(lái)定義標(biāo)識(shí)信息，即需要控制的具體對(duì)象，例如，標(biāo)識(shí)信息（包括IP，瀏覽器類(lèi)型等），協(xié)議，代理端口，掩碼，URL類(lèi)型，客戶(hù)端類(lèi)型，認(rèn)證的賬戶(hù)和組，時(shí)間范圍等，在Group中主要設(shè)置控制的條件。

利用組可以匹配出來(lái)特定的流量，便于針對(duì)其指定對(duì)應(yīng)的控制策略。在“Protocol and User Agents”策略中可以對(duì)協(xié)議和客戶(hù)端進(jìn)行控制，例如禁止哪種協(xié)議，禁止使用哪種瀏覽器等。

在“URL_Filter”策略中可以對(duì)訪(fǎng)問(wèn)的站點(diǎn)類(lèi)型進(jìn)行過(guò)濾，在“Applications”策略中可以對(duì)具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，在“Objects”策略中可以對(duì)下載的內(nèi)容進(jìn)行管控，例如允許下載的文件大小和類(lèi)型等。在同一時(shí)間內(nèi)，一個(gè)策略組只能運(yùn)用到一個(gè)會(huì)話(huà)上，即不允許出現(xiàn)多重匹配功能。當(dāng)存在多個(gè)控制策略條目時(shí)，可以從上到下尋找合適的條目，一旦找到即可自動(dòng)匹配。

配置Identity標(biāo)識(shí)信息

對(duì)于策略控制來(lái)說(shuō)，如何定義Identity標(biāo)識(shí)信息是很重要的。

Identity實(shí)際上和用戶(hù)的概念沒(méi)有關(guān)系，通過(guò)使用Identity可以激活或者旁路認(rèn)證功能。當(dāng)某個(gè)流量到來(lái)后，根據(jù)其擁有的標(biāo)識(shí)信息，決定其是否進(jìn)行認(rèn)證。

如果需要認(rèn)證的話(huà)，則使用對(duì)應(yīng)的策略組進(jìn)行控制。下面舉例說(shuō)明具體的用法。

例如，點(diǎn)擊菜單“Web Security Manager”-“Indentities”項(xiàng)。

點(diǎn) 擊“Add Inentity”按鈕，在新建標(biāo)識(shí)信息窗口中輸入其名稱(chēng)（例如“Identity001”），在“define Member by Subnet” 欄 中輸 入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項(xiàng)。

點(diǎn)擊“Advanced”鏈接，在彈出面板中可以設(shè)置高級(jí)選項(xiàng)，例如設(shè)置其使用的代理端口，訪(fǎng)問(wèn)的URL類(lèi)型，使用的瀏覽器類(lèi)型等。

點(diǎn)擊“submit”按鈕保存信息。這樣，只要是來(lái)自該IP的流量則不進(jìn)行任何認(rèn)證。

配置域賬戶(hù)帶寬使用規(guī)則

利用WSA設(shè)備的認(rèn)證配置功能，可以支持域賬戶(hù)。 例 如，在 名 為“xxx.com”的域中存在“wsagrp1”和“wsagrp2”兩個(gè)組，在其中分別包含“wsauser1”和“wsauser2”兩個(gè)賬戶(hù)名。

在WSA管理界面中點(diǎn)擊菜單“Web Security M a n a g e r”-“O v e r a l l Bandwidth Limits”項(xiàng)，點(diǎn)擊“Edit Settings”按鈕，在帶寬限制界面中選擇“Limit to”欄中輸入合適的數(shù)值（例如設(shè)置為10Mbps，默認(rèn)單位為 Kbps）。

注意，這里的帶寬限制主要針對(duì)視頻等媒體流量，對(duì)于其他的流量并不限制。

點(diǎn)擊“Commit Changes”按鈕提交修改。

在 上 述“A c c e s s Policies”界面中點(diǎn)擊“Add Policy”按鈕，選擇“Enable Policy”項(xiàng)，激活該控制策略。在“Policy Name”欄中輸入其名稱(chēng)（例如“Policy2”）， 在“Insert Above Policy”列表中選擇其排列的次序，例如,選擇“2(Global Policy)”項(xiàng)，將其排列在默認(rèn)策略之前。

在“Identities and Users”欄 中 選 擇“Select Groups and Users”項(xiàng)，點(diǎn)擊“No group entered”鏈接，WSA設(shè) 備 就 和Active Directory進(jìn) 行 聯(lián) 系，在“Directory search completed”列表中顯示域中所有的組賬戶(hù)信息。

選擇“wsagrp1”組，點(diǎn)擊“Add”按鈕將其添加進(jìn)來(lái)，點(diǎn)擊“Done”按鈕完成返回上級(jí)窗口，在“Advanced”面板中可以針對(duì)協(xié)議、代理端口、掩碼、時(shí)間范圍、URL類(lèi)別和瀏覽器類(lèi)型等項(xiàng)目進(jìn)行控制。

例如,可以禁止客戶(hù)端使用HTTPS協(xié)議流量等。這樣，只要是上述組中的賬戶(hù)，就會(huì)匹配本策略。提交之后在策略列表中選擇該策略，在其“Applications”列中點(diǎn)擊“(Global Policy)”鏈接，對(duì)其網(wǎng)絡(luò)應(yīng)用進(jìn)行控制。在打開(kāi)界面中的“Edit Application Settings”列 表 中 選 擇“Define Applications Custom Settings”項(xiàng)，可以對(duì)自定義網(wǎng)絡(luò)應(yīng)用。在列表中內(nèi)置了大量的網(wǎng)絡(luò)應(yīng)用類(lèi)型，例如博客，文件共享，網(wǎng)絡(luò)游戲，實(shí)時(shí)通訊，在線(xiàn)郵箱，網(wǎng)盤(pán)，iTunes，軟件更新等。例如選擇“Webmail”類(lèi)型，選擇某個(gè)郵箱，為其選擇“Block”項(xiàng)，禁止訪(fǎng)問(wèn)該郵箱。

打開(kāi)“Media”類(lèi)型，在其中列出很多視頻站點(diǎn)，如果在直接在頂部的“bandwidth Limit” 欄 中 點(diǎn) 擊“No Bandwidth Limit”鏈接，選擇“Set Bandwidth Limit”項(xiàng)，輸入限制的帶寬。這樣，所有的媒體流量都會(huì)被其限制，即每一個(gè)用戶(hù)只能使用該限制值訪(fǎng)問(wèn)這些媒體站點(diǎn)。當(dāng)然，也可以針對(duì)不同的媒體網(wǎng)站設(shè)置限制帶寬類(lèi)型，包括使用上述全局帶寬限制值，監(jiān)控或者阻止，不限制帶寬等。對(duì)于全局帶寬限制而言，對(duì)用戶(hù)實(shí)際使用帶寬會(huì)進(jìn)行累加，如果累加值超過(guò)全局帶寬限制值則禁止其余的客戶(hù)進(jìn)行訪(fǎng)問(wèn)。點(diǎn)擊“Submit”按鈕提交修改。

合理分配網(wǎng)絡(luò)帶寬

為了防止用戶(hù)隨意下載大文件，造成帶寬過(guò)度占用問(wèn)題，同樣可以依靠策略進(jìn)行控制。按照上述方法，添加名為“Policy3”的策略，將其放在默認(rèn)策略的前面，選擇域中的“wsagrp2”組，并針對(duì)HTTP流量進(jìn)行限制。

在策略列表中該條目的“Objects” 列 中 點(diǎn) 擊“(Global Policy)”鏈 接，選擇“Define Applications Custom Settings”項(xiàng)，可以對(duì)自定義配置信息。

在“HTTP/HTTPS Max Download Size”欄中設(shè)置HTTP/HTTPS流量下載文件大小（例如 10MB），大于該值的文件將拒絕下載，如圖1所示。

在“FTP Max Download Size”欄中設(shè)置針對(duì)FTP流量允許下載的文件大小。在“Block Object Type”列表中提供了很多下載文件類(lèi)型，包括文檔，壓縮包，可執(zhí)行文件，安裝包，媒體文件，P2P類(lèi)型，Web內(nèi)容。在“Block Custom MIME Types”欄中還可設(shè)置自定義文件類(lèi)型，可以看出WSA支持的文件類(lèi)型非常靈活。例如，這里僅僅針對(duì)RAR文件進(jìn)行控制。

圖1 設(shè)置允許使用帶寬