ER3200G3是否支持上网行为管理

10.3  上网行为管理

10.3.1  简介

上网行为管理功能基于地址组、时间组以及应用等控制条件对用户的上网行为进行精细的管理。

10.3.2  配置应用控制

1. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)     单击“应用控制”页签，进入应用控制配置页面。

(3)     勾选“开启应用控制”选项，点击<确定>按钮，开启应用控制功能。

(4)     点击<添加>按钮，进入新建应用控制策略页面，配置如下参数。

¡     在“策略名称”配置项处，输入应用控制策略的名称。

¡     在“用户范围”配置项处，设置应用控制策略适用的地址组。

¡     在“限制时段”配置项处，设置应用控制策略的时间组。

¡     在“应用控制”配置项处，点击“选择网络应用”右侧的详情图标，选择网络应用，并配置对该应用的访问控制动作，包括如下：

-     阻断：表示阻断用户对此应用的访问。

-     不阻断不限速：表示不限制用户对此应用的访问。

-     限速：表示对用户访问此应用进行限速，并可设置单个用户的最大上行带宽和最大下行带宽。

(5)     点击<确定>按钮，完成新建应用控制策略。

10.3.3  配置网址控制

1. 配置需求

当管理员仅允许用户访问指定网址或禁止用户访问指定网址时，可通过配置网址控制功能实现。

2. 注意事项

(1)     开启网址黑名单模式后，设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址；对于不在网址分类中的网址，则可以正常访问。

假设管理员创建一个网址黑名单，其网址分类的名称为网址组A，地址组的名称为用户组A。用户的匹配规则如下：

¡     如果用户User1属于用户组A，则用户User1不允许访问网址组A中的网址；

¡     如果用户User2不属于用户组A，则用户User2允许访问任何网址。

(2)     开启网址白名单模式后，设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址；对于不在网址分类中的网址，则无法访问。

假设管理员创建如下两个网址白名单：

¡     白名单A：网址分类的名称为网址组A，地址组的名称为用户组A；

¡     白名单B：网址分类的名称为网址组B，地址组的名称为用户组B。

用户的匹配规则如下：

¡     如果用户User1同时属于用户组A和用户组B，则用户User1只允许访问网址组A和网址组B中的网址；

¡     如果用户User2仅属于用户组A，则用户User2只允许访问网址组A中的网址；

¡     如果用户User3既不属于用户组A也不属于用户组B，则用户User3不允许访问任何网址。

(3)     自定义网址支持导出功能，当使用IE浏览器进行导出时，如果出现无法启动Excel的错误提示，请参考如下步骤修改浏览器配置：

点击浏览器的<工具>按钮，选择“Internet选项”，进入Internet选项窗口；选择“安全”页签，点击<自定义级别>按钮，找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项，选择“启用”。

(4)     配置网址关键字时，如需精确匹配网址，则关键字不加通配符*，例如www.baidu.com；如需模糊匹配网址，则关键字添加通配符*，例如*.baidu.com、www.baidu*或*baidu*；如需配置所有网址，则关键字设置为*.*。注意通配符不能配置在字符串中间或者只配置通配符，例如aaa*11和*，否则会导致配置无法下发。

(5)     针对以HTTPS开头的网址，对于设置网址黑名单和网址白名单时，需要注意：

¡     网址白名单：需要在网址关键字中配置能够正确匹配该网站TLS认证涉及的所有服务器名。为了获得这些服务器名，可以通过抓包分析获取。

¡     网址黑名单：需要在网址关键字中配置能够正确匹配该网站TLS认证涉及的任一服务器名。一般情况下，网站的TLS认证服务器名会包含该网站的域名服务器名。因此，这时用户只需在网址关键字中指定网站的域名即可正常生效。

3. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)     单击“网址控制”页签，进入网址控制配置页面。

(3)     根据需要勾选“关闭网址控制”、“网址黑名单模式”或“网址白名单模式”选项，勾选“网址黑名单模式”或“网址白名单模式”选项后，点击<确定>按钮，开启网址控制功能。

(4)     在“默认网址分类”下方的配置处，输入新建网址控制策略的网址分类名称。

(5)     在“所有用户”下方的配置处，选择网址控制策略适用的用户。

(6)     在“所有时间”下方的配置处，选择网址控制策略的生效时间。

(7)     点击右侧<+>按钮，新建一个空的网址分类成功。

(8)     为新建网址分类中添加网址：

¡     点击新建网址分类对应的详情图标，弹出设置网址关键字对话框。在“网址关键字”输入框中，配置网址关键字，范围1-63个字符，可输入英文字母、数字，以及特殊字符（除/ \""<>;&`:和空格以外），英文字母不区分大小写。关键字不加通配符*时，网址控制策略将根据关键字做精确匹配，例如www.baidu.com；关键字添加通配符*时，网址控制策略将根据关键字做模糊匹配，例如*.baidu.com、www.baidu*或*baidu*；关键字设置为*.*时，表示关键字匹配所有网址。点击右侧的<+>按钮，逐条添加网址。点击<确定>按钮，完成添加网址关键字。

¡     点击新建网址分类对应的导入图标，弹出导入自定义网址列表对话框。点击<选择文件>按钮，选择需导入的自定义网址列表，点击<是>按钮，完成向新建的网址分类中导入网址。

10.3.4  配置文件控制

1. 注意事项

文件控制功能仅能控制用户使用HTTP协议下载不同类型的文件。

支持文件下载控制需要满足以下三个条件：

·     协议类型为HTTP。

·     URL字段长度小于512字节。

·     使用HTTP Get方法，文件类型必须在URL的尾部，如***.***?filename=xxx.txt。

2. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)     单击“文件控制”页签，进入文件控制配置页面。

(3)     勾选“开启文件控制”选项，点击<确定>按钮，开启文件控制功能。

(4)     点击<添加>按钮，弹出添加禁止下载的文件类型对话框。

(5)     在“文件类型”配置项处，输入不允许下载文件的后缀名。

(6)     在“描述”配置项处，输入文件控制策略的描述信息。

(7)     点击<应用>按钮，完成添加文件控制策略。

10.3.5  配置自定义网络应用

1. 注意事项

·     管理员需要通过网络应用使用的报文特征来限制用户使用的网络应用时，可以添加自定义网络应用，并将其添加到应用控制策略中。

·     添加自定义网络应用后，需要在“应用控制”页签添加应用控制策略时，选择已添加的自定义网络应用，才能实现生效。

·     自定义网络应用被添加到应用控制策略后，自定义网络应用不允许删除。

2. 配置步骤

(1)     单击“自定义网络应用”页签，进入自定义网络应用配置页面。

(2)     点击<添加>按钮，弹出添加自定义网络应用对话框。

(3)     在“应用名称”配置项处，输入自定义网络应用的名称。

(4)     在“描述信息”配置项处，输入自定义网络应用的描述信息。

(5)     在“协议类型”配置项处，选择协议类型和报文方向。支持的协议类型包括：TCP、UDP、HTTP、HTTPS和SSL。当协议类型为TCP、UDP时，报文特征为必填项；当协议类型为SSL时，目的端口和HOST为必填项。报文方向包括：客户端、服务器和任意，选择“任意”时，表示设备接收的所有报文。

(6)     在“目的端口”配置项处，输入自定义网络应用的目的端口号和报文长度。

(7)     在“目的IP”配置项处，输入自定义网络应用的目的IP地址。

(8)     根据报文结构自定义网络应用的报文特征，主要包括：

¡     报文特征：自定义TCP、UDP协议报文中的特征。

¡     URL：自定义HTTP协议报文中URL信息的特征。

¡     HOST：自定义HTTP、HTTPS和SSL协议报文中HOST信息的特征。

¡     UserAgent：自定义HTTP协议报文中UserAgent信息的特征。

¡     Referer：自定义HTTP协议报文中Referer信息的特征。

¡     Body：自定义HTTP协议报文中Body信息的特征。

(9)     设置完成后，点击< > >按钮，将设置的报文特征添加到右侧方框中。

(10)     根据需要重复上述步骤，继续添加新的报文特征到右侧方框中。

(11)     完成报文特征的添加后，点击<确定>按钮，完成添加自定义网络应用。