办公网上网管控场景主要是将AF部署在网络边界处,对上网数据进行管控,同时对通信中存在的威胁进行防护。
某企业使用AF做透明部署在办公网出口路由器的内网口处,外网带宽是200Mb/s,已经完成了基本网络配置,eth2口接出口路由器,eth3口接内网交换机,内网电脑已经能正常上网,内网网段是192.168.1.0/24。为了不影响网速,管理员希望内网所有的用户都不能使用P2P应用以及相关的下载工具,单个用户的最大流量不能超过3Mb/s,安全方面需要对所有的上网数据进行基本的上网管控和防护,最后管理员自己的电脑192.168.1.3/24不希望有任何的管控。
针对这些需求,需要使用应用控制策略禁止内网电脑的P2P应用以及相关的下载工具,使用流控策略来限制最大用户流量,然后在安全策略里面开启用户防护策略,都使用默认模板即可,管理员电脑不受管控也可以直接添加到白名单。
1.定义内网口和外网口区域,进入[网络/区域],新增两个区域,如[内网区]选择eth3,[外网区]选择eth2,如下图所示。
2.配置应用控制策略禁止P2P应用等,进入[策略/访问控制/应用控制策略/策略配置],新增应用控制策略,策略位置在自定义的放通所有策略前,具体配置如下图所示。
3.配置安全防护策略。进入[策略/安全策略/安全防护策略]新增用户防护策略,进行内网的上网管控和防护,都选择上网管控场景中的默认模板,如下图所示。
4.配置流控策略里的虚拟线路。进入[策略/流控/虚拟线路配置/虚拟线路列表],选择连接路由器的eth2,并设置实际上网出口带宽,如下图所示。
5.配置流控策略里的虚拟线路规则。进入[策略/流控/虚拟线路配置/虚拟线路规则]新增虚拟线路规则,如下图所示。
6.配置流控策略里的通道配置。进入[策略/流控/通道配置],勾选[启用流量管理系统],并新增通道,限制单用户上限为3Mb/s。如下图所示。
7.配置白名单。进入[安全运营/黑白名单/白名单],新增白名单,将管理员IP 192.168.1.3加入白名单。如下图所示。
1.内网电脑使用P2P视频软件看在线视频,发现无法打开在线视频。如下图所示。
2.单用户流量控制不能超过3Mb/s,下载测试每秒200KB多,换算成Mb没有超过控制上限。如下图所示
3.访问带有病毒的网站弹出相关提示,并无法打开该网站。如下图所示。
4.管理员电脑没有任何限制,可以正常使用P2P视频软件等。
建议使用Chrome浏览器访问!
