行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","惩罚通道")}}

惩罚通道

更新时间:2022-01-18

惩罚通道是一种特殊的流控限制通道。惩罚通道结合用户限额策略可在用户的流量在[使用总额]、[上线时长总额]、[网络流量速度]三种条件超出企业限制后匹配惩罚通道,对于匹配到惩罚通道的数据进行流量控制,控制占用的带宽不得超过惩罚通道设置的最大带宽值。惩罚通道的实现原理和限制通道相同,主要作用是结合[流量管理/用户限额策略]让超出限额的用户自动匹配到[流控通道/惩罚通道],实现对用户的处罚。

需求场景

公司租用了一条20Mb/s电信线路,内网有1000名上网用户,发现很多市场部人员经常使用迅雷下载,P2P等下载工具进行下载,占用了大部分带宽,影响了其他部门的正常的办公业务。为了控制员工下载流量,限制市场部每用户每天下载流量不能超过1G,每月下载总流量不能超过30G。如有超出,则通过惩罚通道将超出限额的用户的带宽总和限制在520Kbps之内,并且每个超额用户占用的带宽限制在128Kbps,实现惩罚目的。

操作步骤

一、配置惩罚通道

本例中针对公司市场部人员在迅雷下载、P2P等下载流量超额后做惩罚。

  1. 在[带宽分配]中点击<新增通道>,选择<新增惩罚通道>,在弹出的[新增惩罚通道]页面,勾选[启用通道]。在[通道名称]中输入该通道的名称,[所属通道]用于显示通道级别,“/”表示此通道是一级通道。

2.在[新增惩罚通道]的[带宽通道设置]栏勾选[限制通道],在[上行带宽]和[下行带宽]中设置最大为520Kbps。为了能够对每个超额用户的流量做限制,还需要勾选[启用限制单用户最大带宽]并在按照需求在[上行]、[下行]中填写最大带宽值为128Kbps。

二、通道生效范围

  1. 在[通道使用范围]内配置惩罚通道的生效范围,在左侧[通道使用范围]栏中设置通道适用的应用与对象用户。此惩罚通道是针对下载总量超额后的市场部人员的所有流量做限制,因此适用应用是所有用户(超额后用户的总带宽最大为520Kbps,单用户最大128Kbps)。

2.勾选[适用应用]栏右侧的<所有应用>。(勾选<所有应用>则表示该通道针对所有类型的数据都生效)。

3.在[生效时间]栏可以设置此通道的生效时间,管理员可以视企业工作时间自定义生效时间段。

4.在[生效时间]栏内点击<新增时间计划组>开始自定义策略生效时间段,点击<新增时间段>添加执行通道的时间。

5.如果预设置通道生效日期,则点击[日期]栏后的配置按钮,添加计划时间段或者排除时间段。设置完成后点击<确认>按钮,最后点击<提交>。

6.配置策略的[目标IP组],可以结合前文[通道使用范围]里的[适用对象]来使用。在本次案例中:在[适用对象]里已设置通道对财务人员生效,因此在此处可以将[目标IP组]定义为全部。

7.设置完成后,显示如下。

8.设置完成后,点击<确认>,完成保证通道的设置。

到此,惩罚通道的相关配置已完成。适用对象以及超额的流量值需要在[流量管理/用户限额策略]里定义,通过[流量管理/用户限额策略]里的策略来调用该惩罚通道,实现对超额用户群的流量惩罚目的。在接下来的章节将详细介绍如何配置[用户限额策略]以及限额策略如何调用惩罚通道。