|
在这里设置用户上网必须满足的规则,如限制使用代理软件,跨三层的ip-mac 绑定和监控im 加密的聊天记录等,所创建的规则将应用于准入系统。若启用网络准入系统,则用户上网时必须满足相应规则才允许用户计算机连接互联网。ac 网关内置了多条准入规则,用户也可自定义准入规则。
若准入规则在列表中未列出,用户可自定义准入规则,点击[新建],出现如下界面:
在[新建准入规则]这个界面中有六个规则类型,分别为:[im 监控]、[操作系统]、[进程]、[其它]、[文件]、[注册表]。 [im 监控]:用于对加密的im 聊天工具聊天内容的监控。ac 网关设备内置了当前主流的im工具的监控规则。客户无需自己建立规则,也不要改动内置规则。否则可能导致监控失败。如需对本部分修改,可联系深信服客服部门。 [操作系统]:用于限制内网通过ac 硬件网关上网的电脑的操作系统版本。例如公司内部上网的用户计算机系统都使用微软公司的windows xp 系统,为了避免内网用户由于未打windows xp 的sp2 补丁而存在感染病毒的风险,现做如下设置:对所有通过ac 网关上网的内网用户必须打sp2 补丁,未打补丁的用户不允许连接互联网。 假设所有内网用户都属于默认组](若要另行添加单独的访问控制组,请参考访问控制与监控设置部分。 具体设置如下: 1、增加新建一个准入规则,选择规则类型为:[操作系统](若设置其他类似的规则,则选择相应的规则类型即可)
2、输入规则名称,如:必须打sp2 补丁。注意:输入的规则名称必须在20 个字节以内(一个汉字占两个字节)。从右方的操作系统列表中选择[windows xp]左移到左边的只允许用户使用以下操作系统列表中。此时系统会弹出如下对话框:
3、[必须至少打过sp]处填入至少要打的补丁号。并把前面的勾勾上。[确定]后出现下图:
在本例中,我们输入数字2 同时在[必须至少打过sp]前打勾,如上图所示。 若未输入数字或者未打勾,则该规则只对所选中的操作系统做限制,不对操作系统的补丁情况进行准入规则检查。 4、再选择[违规操作]中的[禁止用户上网]这个动作,如图所示:
5、点击[确定],即完成本例中所列举的[winxp+sp2]的准入规则设置。 [进程]:用于控制通过ac 硬件网关上网的电脑上的进程。[新建]一个进程的准入规则,我们选择规则类型为:[进程],如图所示:
点击[确定],出现如下界面:
在此输入[规则名称]、[进程名]、[窗口名],选择进程的[程序md5]以及[文件大小],并对用户是否正在运行该进程选择相应的动作如:禁止用户上网、停止进程(开启进程)或不操作(仅提交报告)。点击[确定],即完成规则添加。 [其它]:用于实现跨三层交换机的ip-mac 绑定,则需新建一个规则类型为[其它]的准入规则,在[新建准入规则]列表中选择[其它],如图所示:
点击[确定],出现如下界面:
在此输入准入规则的[规则名称]、[描述]等, 在[在客户端验证ip/mac]这个选项前打勾。点击[确定]并[设置生效],即完成规则添加。 通过准入规则做ip-mac 绑定主要是应用于pc 和ac 不在一个网段(跨过三层设备,mac地址改变)的环境下。除应用准入规则外,还要在[访问控制和监控/ip-mac 认证用户设置]里做好ip-mac 绑定的设置。(具体可参见前面章节关于[访问控制和监控/ip-mac 认证用户设置]的部分) [文件]:用于对内网通过ac 硬件网关上网的pc 上文件的控制。如启用准入系统的情况下,可检测系统目录下是否存在特定的文件的时候。比如要判断系统目录是否存在某个dll 文件,来确定用户机器是否安装了特定的软件。 新建一个规则类型为[文件]的准入规则,选择[新建准入规则/文件],如图所示:
点击[确定],出现如下界面:
在此输入准入[规则名称]、[描述],在[文件]中填入该文件的路径以及[更新日期比当前日期滞后的天数],选择[文件md5]和[文件大小],并根据用户pc 是否存在该文件选择相应的[操作],如:[禁止用户上网]、[删除文件]或[不操作(仅提交报告)]。点击[确定]完成规则添加。 如上图:检测通过ac 上网的pc 上裝的杀毒软件是否有及时升级。可以通过检查杀毒软件的病毒库的修改日期来判断杀毒软件是什么时间更新的。如果超过5 天没有更新就判断为规则生效,并做相应的操作。 1.文件的路径支持文件路径转义。因为操作系统安装目录的不同,系统目录也不相同,因此,有必要实现宏目录的路径转义功能。比如%systemroot%就代表windows 的系统目录,一般为c:\windows 或者c:\winnt 2.在新建文件类型的准入规则时,文件路径可以直接输入可以转义的宏目录,上例如用文件路径转义则如下图:
目前支持的宏目录及其代表含义如下(不分大小写): %systemdrive% //c: %systemroot% //c:\winnt %system% //c:\winnt\system32 %windir% //c:\winnt %userprofile% //c:\documents and settings\chenzy %temp% //c:\documents and settings\chenzy\local settings\temp %program% //c:\program files [注册表]用于对通过ac 上网的pc 的操作系统注册表的检查,以此发现操作系统上安装的软件或安全问题。 若新建一个规则类型为[注册表]的准入规则,选择[新建准入规则/注册表],如图所示:
点击[确定],出现如下界面:
上例通过检测内网计算机的注册表来限制内网计算机使用ccproxy 代理软件。 (责任编辑:admin) |
