5.3.2  配置上网行为管理策略

1. 注意事项

因为网址过滤功能基于HTTP协议进行识别，所以设备上不应该阻断HTTP协议流量，即在应用控制功能中不能阻断HTTP协议，否则将影响设备对网址的识别，导致网址过滤功能不生效。

2. 配置步骤

(1)       单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)       在“上网行为管理策略”页签下，点击<添加>按钮，进入新建上网行为管理策略页面。

¡  在“策略名”配置项处，配置上网行为管理策略名。

¡  在“用户范围”配置项处，选择用户组。

¡  在“限制时段”配置项处，选择时间组。

¡  在“网址控制”配置项处，进行如下配置：

-     选择网址分类：包括预定义和自定义网址分类，自定义网址分类的配置步骤请参见“配置自定义网址分类”。

-     配置网址控制动作：对所选的网址分类执行的动作，包括放行和阻断。配置以上任何一个动作时，也可同时配置记录动作，对放行和阻断行为进行记录。

¡  在“应用控制”配置项处，点击“选择网络应用”右侧的<详情>按钮，选择应用，并配置对该应用的访问执行的动作，包括如下：

-     阻断：阻断对应用的访问。

-     不阻断不限速：不对应用的访问进行限制。

-     限速：对应用的访问进行限速，并通过点击右侧的<编辑>按钮，分别配置上下行最大带宽。

(3)       点击<确定>按钮，完成新建上网行为管理策略。

(4)       在上网行为管理页面，选择“全局控制”页签，点击<开启上网行为管理>按钮，使新建的上网行为管理策略生效。

5.3.3  配置网址黑/白名单

1. 配置需求

当用户需要对指定的网址进行放行或阻断时，可通过开启Web白名单或黑名单实现。

2. 配置步骤

(1)       单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)       在“网址黑白名单”页签下，点击<启用web黑名单>或<启用web白名单>按钮，在网址关键字配置项中，输入网址。

(3)       点击右侧的<+>按钮，逐一添加网址。

(4)       点击<应用>按钮，完成web黑名单或白名单的配置。

5.3.4  配置自定义网址分类

1. 配置需求

当设备已有的网址分类不能满足用户需求时，可通过自定义网址分类的方式按需添加网址。

2. 注意事项

自定义网址支持导出功能，当使用IE浏览器进行导出时，如果出现无法启动Excel的错误提示，请参考如下步骤修改浏览器配置：

单击浏览器的<工具>按钮，选择“Internet选项”，进入Internet选项窗口；选择“安全”页签，单击<自定义级别>按钮，找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项，选择“启用”。

3. 配置步骤

(1)       单击导航树中[上网行为管理/上网行为管理]菜单项，进入上网行为管理配置页面。

(2)       在“自定义网址”页签下，新建网址分类。

(3)       在默认网址分类下方的输入框中，配置新建网址分类的名称，点击右侧<+>按钮，新建一个空的网址分类成功，点击<编辑>按钮，进入设置网址关键字页面，向新建的网址分类中添加网址。

(4)       在“网址关键字”输入框中，配置网址，点击右侧的<+>按钮，逐条添加网址。

(5)       添加网址后，点击<确定>按钮，完成新建自定义网址分类。

5.4  审计日志

本章节介绍审计日志的相关内容，包括：

·            简介

·            配置步骤

5.4.1  简介

审计日志包括应用审计日志和网址控制日志，是上网行为管理功能的应用控制和网址控制产生的日志信息。日志内容包括用户的IP地址或用户名、访问的应用、访问的网址以及设备对访问行为执行的动作等，方便管理员对用户的上网行为进行分析与审计。

5.4.2  配置步骤

(1)       单击导航树中[上网行为管理/审计日志]菜单项，进入审计日志页面。

(2)       在“应用审计日志”页签下，点击<开启日志>按钮。将同时开启应用控制和网址控制日志的显示功能，用户可通过切换“应用审计日志”页签和“网址过滤日志”页签，分别查看相应的日志信息。

(3)       在“应用审计日志”页签下，点击<关闭日志>按钮，将同时关闭应用控制和网址控制日志的显示功能，已生成的日志不会被删除，用户可通过点击<开启日志>按钮再次开启日志显示功能。

5.5  特征库管理

本章节介绍上网行为管理的相关内容，包括：

·            简介

·            注意事项

·            本地更新特征库

·            在线更新特征库

5.5.1  简介

特征库是用来识别应用或网址的特征的集合，包括应用特征库和网址特征库。管理员需要及时更新设备中的特征库，对用户的上网行为进行更好的管理。

设备提供如下升级方式：

·            本地升级：管理员先手工从设备的官方网站获取最新的特征库，再导入到设备中进行升级。

·            在线升级：管理员触发在线升级功能后，设备自动从设备的官方网站获取最新的特征库文件，并自动导入设备中进行升级。

5.5.2  注意事项

·            更新特征库时，请确保License已正确安装，并处于生效状态。

·            当系统内存处于告警门限状态时，请勿进行特征库更新，否则易导致设备特征库更新失败，进而影响上网行为管理功能的正常使用。

·            在线更新特征库时，需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址，并与之路由可达，否则设备更新特征库会失败。

5.5.3  本地更新特征库

1. 配置步骤

(1)       单击导航树中[上网行为管理/特征库管理]菜单项，进入特征库管理页面。

(2)       在“应用特征库”或“网址特征库”页签下，点击<本地更新特征库>按钮，进入应用特征导入页面。

(3)       点击<选择文件>按钮，选择特征库文件。

(4)       点击<确定>按钮，完成本地更新特征库。

5.5.4  在线更新特征库

1. 配置步骤

(1)       单击导航树中[上网行为管理/特征库管理]菜单项，进入特征库管理页面。

(2)       在“应用特征库”或“网址特征库”页签下，点击<在线更新特征库>按钮，完成在线更新特征库。

5.6  带宽管理

本章节介绍带宽管理的相关内容，包括：

·            简介

·            配置带宽限速

·            配置绿色通道

5.6.1  简介

带宽管理功能用于对流量进行限速，用户可基于用户组和时间段等限制条件对流量进行精细控制。

对于需要保证时延的交互性应用流量，可通过启用绿色专用通道功能来保证带宽。

5.6.2  配置带宽限速

1. 配置步骤

(1)       单击导航树中[上网行为管理/带宽管理]菜单项，进入带宽管理配置页面。

(2)       在“带宽限速”页签下，点击<添加>按钮，进入新建带宽策略页面。

¡  在“应用接口”配置项处，选择接口，设备将基于该接口进行带宽管理。

¡  在“用户范围”配置项处，选择用户组，设备将仅对该用户组内的成员进行带宽管理。

¡  在“流量限制”配置项处，分别配置上传带宽、下载带宽和流量分配方式。若不配置上传或下载中任意一个方向的带宽值，则表示不对该方向的带宽进行限速。

流量分配方式包括如下类型：

-     共享式：分配的带宽为总带宽，由所有用户平均分配。

-     独占式：分配的带宽为单用户的带宽，由单用户独享。

¡  在“限制时段”配置项处，选择时间组。

(3)       点击<确定>按钮，完成新建带宽策略。

5.6.3  配置绿色通道

1. 注意事项

请勿将绿色通道带宽设置过大，以免对普通流量产生影响。

2. 配置步骤

(1)       单击导航树中[上网行为管理/带宽管理]菜单项，进入带宽管理配置页面。

(2)       单击“绿色通道”页签，进入绿色通道配置页面。

(3)       勾选“启用绿色专用通道”复选框，开启带宽管理的绿色通道功能。

(4)       对于需要保证时延的交互性应用流量，需要用户根据实际情况自行配置应用的协议和端口号。只有匹配应用的流量才能进入绿色通道传输，具体配置步骤如下：

¡  勾选“自定义应用端口匹配绿色通道”复选框，点击自定义应用端口配置项右侧的<添加>按钮，进入新建界面，配置应用名称、应用协议和端口号。

¡  点击<确定>按钮，完成新建自定义应用。

(5)       配置绿色通道中需要传输的应用后，还可以针对通道中所有应用进行如下限制：

¡  如果还希望对绿色通道中的流速上限进行限制，则需要勾选“限制绿色通道流速上限”复选框，并配置最大流速。

¡  如果还希望对绿色通道中传输的数据包长度进行限制，则需要勾选“匹配绿色通道数据包长度”复选框，并配置数据包的最大长度。超过最大长度的数据包不会进入绿色通道传输。

(6)       点击<应用>按钮，完成绿色通道的配置。