網(wǎng)絡(luò)訪問控制功能

利用WSA設(shè)備的Access Policies功能，可以對下行流量進(jìn)行控制。利用訪問策略，可 以 對 HTTP，HTTPS和FTP等協(xié)議進(jìn)行控制。WSA設(shè)備一般通過交換機連接到防火墻的內(nèi)部端口上，訪問“https://xxx.xxx.xxx.xxx:8443”，輸入賬戶名（默認(rèn)為“admin”）和密碼（默認(rèn)為“ironport”），登錄到 WSA設(shè)備上，其中的“xxx.xxx.xxx.xxx”為WSA的管理端口地址。

在其管理界面中點擊 菜 單“Web Security M a n a g e r”-“A c c e s s Policies”項，顯示默認(rèn)的控制規(guī)則列表，其內(nèi)容包括 Group，Protocol and User Agents，URL_Filter，Applications，Objects，Web Reputation and Anti-Malware Filtering等項目。

查看訪問控制策略

其中的Group主要用來定義標(biāo)識信息，即需要控制的具體對象，例如，標(biāo)識信息（包括IP，瀏覽器類型等），協(xié)議，代理端口，掩碼，URL類型，客戶端類型，認(rèn)證的賬戶和組，時間范圍等，在Group中主要設(shè)置控制的條件。

利用組可以匹配出來特定的流量，便于針對其指定對應(yīng)的控制策略。在“Protocol and User Agents”策略中可以對協(xié)議和客戶端進(jìn)行控制，例如禁止哪種協(xié)議，禁止使用哪種瀏覽器等。

在“URL_Filter”策略中可以對訪問的站點類型進(jìn)行過濾，在“Applications”策略中可以對具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，在“Objects”策略中可以對下載的內(nèi)容進(jìn)行管控，例如允許下載的文件大小和類型等。在同一時間內(nèi)，一個策略組只能運用到一個會話上，即不允許出現(xiàn)多重匹配功能。當(dāng)存在多個控制策略條目時，可以從上到下尋找合適的條目，一旦找到即可自動匹配。

配置Identity標(biāo)識信息

對于策略控制來說，如何定義Identity標(biāo)識信息是很重要的。

Identity實際上和用戶的概念沒有關(guān)系，通過使用Identity可以激活或者旁路認(rèn)證功能。當(dāng)某個流量到來后，根據(jù)其擁有的標(biāo)識信息，決定其是否進(jìn)行認(rèn)證。

如果需要認(rèn)證的話，則使用對應(yīng)的策略組進(jìn)行控制。下面舉例說明具體的用法。

例如，點擊菜單“Web Security Manager”-“Indentities”項。

點 擊“Add Inentity”按鈕，在新建標(biāo)識信息窗口中輸入其名稱（例如“Identity001”），在“define Member by Subnet” 欄 中輸 入“192.168.1.10”，在“Define Members by AUyhentication”列表中選擇“No Authentication”項。

點擊“Advanced”鏈接，在彈出面板中可以設(shè)置高級選項，例如設(shè)置其使用的代理端口，訪問的URL類型，使用的瀏覽器類型等。

點擊“submit”按鈕保存信息。這樣，只要是來自該IP的流量則不進(jìn)行任何認(rèn)證。

配置域賬戶帶寬使用規(guī)則

利用WSA設(shè)備的認(rèn)證配置功能，可以支持域賬戶。 例 如，在 名 為“xxx.com”的域中存在“wsagrp1”和“wsagrp2”兩個組，在其中分別包含“wsauser1”和“wsauser2”兩個賬戶名。

在WSA管理界面中點擊菜單“Web Security M a n a g e r”-“O v e r a l l Bandwidth Limits”項，點擊“Edit Settings”按鈕，在帶寬限制界面中選擇“Limit to”欄中輸入合適的數(shù)值（例如設(shè)置為10Mbps，默認(rèn)單位為 Kbps）。

注意，這里的帶寬限制主要針對視頻等媒體流量，對于其他的流量并不限制。

點擊“Commit Changes”按鈕提交修改。

在 上 述“A c c e s s Policies”界面中點擊“Add Policy”按鈕，選擇“Enable Policy”項，激活該控制策略。在“Policy Name”欄中輸入其名稱（例如“Policy2”）， 在“Insert Above Policy”列表中選擇其排列的次序，例如,選擇“2(Global Policy)”項，將其排列在默認(rèn)策略之前。

在“Identities and Users”欄 中 選 擇“Select Groups and Users”項，點擊“No group entered”鏈接，WSA設(shè) 備 就 和Active Directory進(jìn) 行 聯(lián) 系，在“Directory search completed”列表中顯示域中所有的組賬戶信息。

選擇“wsagrp1”組，點擊“Add”按鈕將其添加進(jìn)來，點擊“Done”按鈕完成返回上級窗口，在“Advanced”面板中可以針對協(xié)議、代理端口、掩碼、時間范圍、URL類別和瀏覽器類型等項目進(jìn)行控制。

例如,可以禁止客戶端使用HTTPS協(xié)議流量等。這樣，只要是上述組中的賬戶，就會匹配本策略。提交之后在策略列表中選擇該策略，在其“Applications”列中點擊“(Global Policy)”鏈接，對其網(wǎng)絡(luò)應(yīng)用進(jìn)行控制。在打開界面中的“Edit Application Settings”列 表 中 選 擇“Define Applications Custom Settings”項，可以對自定義網(wǎng)絡(luò)應(yīng)用。在列表中內(nèi)置了大量的網(wǎng)絡(luò)應(yīng)用類型，例如博客，文件共享，網(wǎng)絡(luò)游戲，實時通訊，在線郵箱，網(wǎng)盤，iTunes，軟件更新等。例如選擇“Webmail”類型，選擇某個郵箱，為其選擇“Block”項，禁止訪問該郵箱。

打開“Media”類型，在其中列出很多視頻站點，如果在直接在頂部的“bandwidth Limit” 欄 中 點 擊“No Bandwidth Limit”鏈接，選擇“Set Bandwidth Limit”項，輸入限制的帶寬。這樣，所有的媒體流量都會被其限制，即每一個用戶只能使用該限制值訪問這些媒體站點。當(dāng)然，也可以針對不同的媒體網(wǎng)站設(shè)置限制帶寬類型，包括使用上述全局帶寬限制值，監(jiān)控或者阻止，不限制帶寬等。對于全局帶寬限制而言，對用戶實際使用帶寬會進(jìn)行累加，如果累加值超過全局帶寬限制值則禁止其余的客戶進(jìn)行訪問。點擊“Submit”按鈕提交修改。

合理分配網(wǎng)絡(luò)帶寬

為了防止用戶隨意下載大文件，造成帶寬過度占用問題，同樣可以依靠策略進(jìn)行控制。按照上述方法，添加名為“Policy3”的策略，將其放在默認(rèn)策略的前面，選擇域中的“wsagrp2”組，并針對HTTP流量進(jìn)行限制。

在策略列表中該條目的“Objects” 列 中 點 擊“(Global Policy)”鏈 接，選擇“Define Applications Custom Settings”項，可以對自定義配置信息。

在“HTTP/HTTPS Max Download Size”欄中設(shè)置HTTP/HTTPS流量下載文件大?。ɡ?10MB），大于該值的文件將拒絕下載，如圖1所示。

在“FTP Max Download Size”欄中設(shè)置針對FTP流量允許下載的文件大小。在“Block Object Type”列表中提供了很多下載文件類型，包括文檔，壓縮包，可執(zhí)行文件，安裝包，媒體文件，P2P類型，Web內(nèi)容。在“Block Custom MIME Types”欄中還可設(shè)置自定義文件類型，可以看出WSA支持的文件類型非常靈活。例如，這里僅僅針對RAR文件進(jìn)行控制。

圖1 設(shè)置允許使用帶寬