引言： 公司有一台深信服的上网行为管理设备SG-6700，以桥接模式部署于防火墙与核心交换机之间，为公司接入互联网提供上网权限、带宽流量控制、上网行为审计等管理。由于最初实施时间匆忙、上网权限划分很细、公司部门繁杂等因素，近两年的上线运行导致行为管理的分组和策略相当复杂，管理起来越来越难，轮岗的管理员难以应付同事对上网权限的申请工作，重新梳理上网行为管理的条目势在必行。

刚接手上网行为管理工作时，对于SG-6700控制台表面看起来很简单明了，啃完其官方文档对于菜单也明白相应功能，但始终不明白设备内在联系和逻辑，在前管理员指引下，经过多次测试，遇到问题时再联系深信报售后工程师咨询，渐渐掌握了开通上网权限的日常作业。经过几个月的逐一查看各条目内容，渐渐明白深信服上网行为管理内在流程大概是：当新的内网计算机用户通过设备时，首先根据“用户认证”的认证策略将其归到“用户管理”下面不同组，组又和不同“上网策略”相关联实现不同的上网权限等管理功能，其中的上网策略是引用了“对象定义”的应用特征识别库、URL分类、自定义应用、时间组等等构成的。

目前存在的问题主要有四点，一是条目太多有19个用户大组80个小组（包含不同VLAN网段和开通用户不同上网权限的组），上网权限策略48条，上网审计策略4条，上网安全、流量配额和准入策略各1条，自定义URL库和自定义应用各十多条。复杂的地方就在于用户分组和上网权限策略的配置，20条分门别类的限制如上传文件、P2P在线视频及下载工具、web流媒体、游戏、代理、金融证券、论坛、微博、IM即时通讯、社交网络、移动终端、木马钓鱼网站、网购娱乐宗教等等，20多条开通上网权限的特殊需求如yy和skyp语音、一号店、微信web版、房产类网站、网络视频、网购等等。二是各条目的命名不规范导致分组或者策略功能重复，以上网权限策略相互影响搭配出现异常情况，比如移动终端策略里限制了社交网站Linkedin的应用，当有用户申请开通此网站，如果只是在社交网络里开通Linkedin用户仍然无法访问。三是上网权限管理要求分得太细，比如网购分为开淘宝京东、开一号店和全部网购开通，还有用户申请开通雅虎财经网 站、emailnetworks等 网站。四是上网权策略以搭积木的方式将不同限制策略进行组合来开通某些权限，操作上确实很灵活方便，但是也造成对于权限开放不清楚明了的困惑。

重新规划

经过小组同事多次讨论，明确了上网行为组与策略整理的目的：

1）在保证带宽和网络安全的前提下，给予不同层级用户适当宽松的访问互联网环境；

2）重新梳理各项配置条目并明确定义，最终理出清晰明了和比较规范的方式以便日常管理。

用户分组上借鉴了一同事在其它公司的管理经验，由于公司部门繁杂无法按组织架构去分，只好以功能类别建组，分为领导组、服务器组、无线网络组、普通用户组、需求申请组、无限制组和临时组共7大组，再将不同部门的网段放大组下面的部门小组，形成功能大组部门小组网段三层结构如图1。

上网策略建限制和开通2类策略，在现有策略基础上对限制策略进行合并，开通策略重新定义规范命名。

1）所有普通用户使用一条基准限制策略；

2）不同部门根据业务需求加上相关开通上网策略；

3）用户需求申请的上网权限按类别再定制相应开通策略。

具体实施上采用小组领导在网络改造中的经验，即首先建好新用户分组和对应策略，再尽可能地完全测试达到没问题，分段从旧的策略组迁移到新的组，这样把整理过程给用户带来的影响降到最小，平衡运行一段时间后再删除旧的用户组和策略。

图1 用户分组

分步实施

因为上网行为管理设备重新整理直接影响到用户访问外网，影响公司业务正常运行事关重大，首先同事根据小组讨论的规划写好了整理计划，在获得上级领导同意后才开始实施。第一步同事根据上面的计划建好了7大组，其中巧妙地在组名开始处加了数字，达到按预定顺序排列组，系统默认是组名会自动按拼音首字母排序。

第二步梳理旧的上网策略并建立新策略，上网行为管理系统默认提供准入策略、流量配额与时长控制、终端提醒策略、上网安全策略、上网审计策略和上网权限策略共6类，根据公司的管理要求按需选择配置，这是整个行为管理重新配置的重点和难点。

上网权限策略可设置应用、端口和代理控制、web关键字和文件类型过滤，SSL安全保护和内容识别、邮件过滤，我们配置了应用、端口和代理控制，应用控制是上网行为管理配置的主要内容，通过此策略管理用户访问的网络站点和应用。根据系统中“对象定义应用特征库”的标签，首先将普通用户限制基准策略分别配置外发文件泄密类（禁止各种文件附件上传，开放政府教育QQ微信传文件）、高带宽消耗（禁止P2P视频和下载工具、Web流媒体，开放迅雷资源和QQ中转站及QQ群下载）、降低工作效率（禁止微博、论坛、IM、金融证券、购物、宗教、娱乐、社交网络、生活相关软件升级，开放QQ）、邮件管制（禁止免费邮箱和移动终端应用，开放POP3、IMAP和SMTP及加密收发邮件，移动终端开放QQ和微信）和安全风限（禁止游戏、代理、非法不良、成人内容、网络安全、木马控制和软件更新的网站应用），也就是将现有的20条限制策略合并成一条。同时开通因限制策略影响正常工作业务需要访问的网站，将这些网站分门别类里加入系统“对象定义URL库和自定义引用”如药品化妆品网购网站、专利国外数据查询、研发类上传和销售财务上传等等如图2。其次根据部门业务特征分别为财务建立开通房产金融证券和飞信策略，为销售建立开通证券网站和YY语音。然后依据用户申请需求类别建立对应的开网购、Web流媒体、证券交易、Skype语音等单项策略，以及多项需求的如开网购和web流媒体、网购和证券交易、招聘上传等相互组合的策略。最终以19条新的上网权限策略借代了之前的46条策略如图3，简化了日常管理工作。

上网审计可设置HTTP外发内容、访问网站/下载、邮件、IM、FTP、Telnet和网络应用审计，流量与上网时长审计、网页内容审计，我们上网审计项全部启用产生大量的数据,日志库在工作日平均18GB/天，内置数据中心空间有限仅能保留四周，外置数据中心1.5TB的磁盘空间也只能保存三个月；

图2 网站分组

图3 上网策略

上网安全策略可设置ActiveX插件过滤、恶意网页过滤和安全桌面，我们只使用了恶意网页过滤,只是深信服这个东东最后更新才到2014年4月，太旧了;

流量配额与时长控制可设置流量配额、上网时长控制和并发连接数控制，我们只用了并发数控制曾经从256调到400；

终端提醒策略可设置上网时长提醒、上网流量提醒、公告页面，由于前面未做流量和时长管控，此策略未配置；

准入策略里有IM聊天内容和发送文件监控、组织外线路检测和应用程序时长统计3项可配置，我们仅配置了IM聊天内容和发送文件监控主要审计QQ聊天记录。

所有新组均启用上网审计类、上网安全类和流量配额与时长控制类策略（服务器组仅启用上网审计类）；领导组、服务器组、无限制组和无线网络组均不启用准入策略（准入策略会导致终端计算机安装深信服上网插件，否则无法访问外网）；普通用户组和按需用户组在前面的基础上启用上网权限类策略，即普通用户限制基准策略，下面的部门组加上相应部门的开放策略；按需用户组下面根据申请开放权限类别分组，加上相应的开放策略。

公司当初部署上网行为管理时在“用户认证”策略方面，采用了“以IP为用户名”认证方式，将不同网段来的IP添加到相应部门组下面，那些申请开通某些上网权限的用户，先在DHCP服务器上将IP和MAC地址绑定，再在该设备里用户组下面标识其部门和姓名。在建好了新的用户策略和用户组后，就开始将不同网段迁移到新用户组下面，通过“成员管理”选择网段组使用“移动”按钮到新的用户组，用户认证策略里会自动完成变更“新用户选项添加到本地”新的组位置。首先完成领导组、服务器组5个网段的移动，因为这些网段原本就没有作上网限制。逐步将研发、销售、财务和后勤14个网段，每天移5个网段移到普通用户组里的部门组下面，同时密切观察运行情况和用户反馈，其间出现了因为“流量管理通道配置通道使用范围”未及时添加新的用户组，导致网络访问高峰期，用户无法正常打开网页的问题。再整理旧用户组中无限的3个网段移到新组，其中一个网段之前虽限制但实际其用户直接连接领导的WIFI，索性加入无限制组，另一个网段照旧的策略加了一些少量限制，只是以加开放策略的方式代替之前不加某些限制策略。视频监控网段移入Default组，禁止所有的外网访问应用。最麻烦最头痛的用户申请开通权限组，最后整理出近200个用户IP分别移到允许网购、允许Web流媒体、允许证券交易、允许Skype语音等单项组，以及多项需求的如允许网购和web流媒体、网购和证券交易、招聘上传等组合组，这些组从单一到组合从上往下排列，上网权限从小到大，以致最下面的允许所有上网权限，该组和上面的无限组的区别是有加准入策略。为给同事一个宽松的网络访问环境，特制定了一条在下班段开放网购、证券金融、娱乐和Web视频等内容。

第三步清理“对象定义”中的URL库、自定义应用，“系统配置”中的全局排除地址和“用户与策略管理用户认证”的认证策略，由于网络部署方式未变，所以不涉及其它模块的变更。

第四步等所有配置调整完成后，留出1个月的时间观察运行情况，出现问题时与旧的组和策略进行对比解决。确认无问题后删除旧的用户组和策略，删除用户组涉及到“流量管理”的通道配置、“用户管理”的用户自动同步策略、“用户认证”的认证策略、“系统配置管理员账户”的组织权限配置，必须先取消其相关对用户组的引用才能正常删除，否则报错。

管理心得

这次配置改造中为减少对用户的影响，仍然未实施“密码认证单点登录”的与微软Active Directory域结合的用户认证方式。要实现基于用户的管理，系统必须要知道某个IP地址上，此刻是哪个用户在使用的信息，也就是获得IP与用户名的映射表。因此在计算机访问网络前，需要对上网计算机通过某种形式的身份认证，从而获取计算机上的用户名。此种管理方式相比基于传统IP地址的管理来说更准确，也更直观。根据深信服行为管理系统自带的帮助文件和配置步骤，通过域控组策略自动下发，在计算机上执行指定的登录/注销脚本，获取域账户信息实现AD集成的单点登录。