上網(wǎng)行為管理配置改造

引言： 公司有一臺深信服的上網(wǎng)行為管理設(shè)備SG-6700，以橋接模式部署于防火墻與核心交換機(jī)之間，為公司接入互聯(lián)網(wǎng)提供上網(wǎng)權(quán)限、帶寬流量控制、上網(wǎng)行為審計等管理。由于最初實施時間匆忙、上網(wǎng)權(quán)限劃分很細(xì)、公司部門繁雜等因素，近兩年的上線運(yùn)行導(dǎo)致行為管理的分組和策略相當(dāng)復(fù)雜，管理起來越來越難，輪崗的管理員難以應(yīng)付同事對上網(wǎng)權(quán)限的申請工作，重新梳理上網(wǎng)行為管理的條目勢在必行。

剛接手上網(wǎng)行為管理工作時，對于SG-6700控制臺表面看起來很簡單明了，啃完其官方文檔對于菜單也明白相應(yīng)功能，但始終不明白設(shè)備內(nèi)在聯(lián)系和邏輯，在前管理員指引下，經(jīng)過多次測試，遇到問題時再聯(lián)系深信報售后工程師咨詢，漸漸掌握了開通上網(wǎng)權(quán)限的日常作業(yè)。經(jīng)過幾個月的逐一查看各條目內(nèi)容，漸漸明白深信服上網(wǎng)行為管理內(nèi)在流程大概是：當(dāng)新的內(nèi)網(wǎng)計算機(jī)用戶通過設(shè)備時，首先根據(jù)“用戶認(rèn)證”的認(rèn)證策略將其歸到“用戶管理”下面不同組，組又和不同“上網(wǎng)策略”相關(guān)聯(lián)實現(xiàn)不同的上網(wǎng)權(quán)限等管理功能，其中的上網(wǎng)策略是引用了“對象定義”的應(yīng)用特征識別庫、URL分類、自定義應(yīng)用、時間組等等構(gòu)成的。

目前存在的問題主要有四點，一是條目太多有19個用戶大組80個小組（包含不同VLAN網(wǎng)段和開通用戶不同上網(wǎng)權(quán)限的組），上網(wǎng)權(quán)限策略48條，上網(wǎng)審計策略4條，上網(wǎng)安全、流量配額和準(zhǔn)入策略各1條，自定義URL庫和自定義應(yīng)用各十多條。復(fù)雜的地方就在于用戶分組和上網(wǎng)權(quán)限策略的配置，20條分門別類的限制如上傳文件、P2P在線視頻及下載工具、web流媒體、游戲、代理、金融證券、論壇、微博、IM即時通訊、社交網(wǎng)絡(luò)、移動終端、木馬釣魚網(wǎng)站、網(wǎng)購?qiáng)蕵纷诮痰鹊龋?0多條開通上網(wǎng)權(quán)限的特殊需求如yy和skyp語音、一號店、微信web版、房產(chǎn)類網(wǎng)站、網(wǎng)絡(luò)視頻、網(wǎng)購等等。二是各條目的命名不規(guī)范導(dǎo)致分組或者策略功能重復(fù)，以上網(wǎng)權(quán)限策略相互影響搭配出現(xiàn)異常情況，比如移動終端策略里限制了社交網(wǎng)站Linkedin的應(yīng)用，當(dāng)有用戶申請開通此網(wǎng)站，如果只是在社交網(wǎng)絡(luò)里開通Linkedin用戶仍然無法訪問。三是上網(wǎng)權(quán)限管理要求分得太細(xì)，比如網(wǎng)購分為開淘寶京東、開一號店和全部網(wǎng)購開通，還有用戶申請開通雅虎財經(jīng)網(wǎng) 站、emailnetworks等 網(wǎng)站。四是上網(wǎng)權(quán)策略以搭積木的方式將不同限制策略進(jìn)行組合來開通某些權(quán)限，操作上確實很靈活方便，但是也造成對于權(quán)限開放不清楚明了的困惑。

重新規(guī)劃

經(jīng)過小組同事多次討論，明確了上網(wǎng)行為組與策略整理的目的：

1）在保證帶寬和網(wǎng)絡(luò)安全的前提下，給予不同層級用戶適當(dāng)寬松的訪問互聯(lián)網(wǎng)環(huán)境；

2）重新梳理各項配置條目并明確定義，最終理出清晰明了和比較規(guī)范的方式以便日常管理。

用戶分組上借鑒了一同事在其它公司的管理經(jīng)驗，由于公司部門繁雜無法按組織架構(gòu)去分，只好以功能類別建組，分為領(lǐng)導(dǎo)組、服務(wù)器組、無線網(wǎng)絡(luò)組、普通用戶組、需求申請組、無限制組和臨時組共7大組，再將不同部門的網(wǎng)段放大組下面的部門小組，形成功能大組部門小組網(wǎng)段三層結(jié)構(gòu)如圖1。

上網(wǎng)策略建限制和開通2類策略，在現(xiàn)有策略基礎(chǔ)上對限制策略進(jìn)行合并，開通策略重新定義規(guī)范命名。

1）所有普通用戶使用一條基準(zhǔn)限制策略；

2）不同部門根據(jù)業(yè)務(wù)需求加上相關(guān)開通上網(wǎng)策略；

3）用戶需求申請的上網(wǎng)權(quán)限按類別再定制相應(yīng)開通策略。

具體實施上采用小組領(lǐng)導(dǎo)在網(wǎng)絡(luò)改造中的經(jīng)驗，即首先建好新用戶分組和對應(yīng)策略，再盡可能地完全測試達(dá)到?jīng)]問題，分段從舊的策略組遷移到新的組，這樣把整理過程給用戶帶來的影響降到最小，平衡運(yùn)行一段時間后再刪除舊的用戶組和策略。

圖1 用戶分組

分步實施

因為上網(wǎng)行為管理設(shè)備重新整理直接影響到用戶訪問外網(wǎng)，影響公司業(yè)務(wù)正常運(yùn)行事關(guān)重大，首先同事根據(jù)小組討論的規(guī)劃寫好了整理計劃，在獲得上級領(lǐng)導(dǎo)同意后才開始實施。第一步同事根據(jù)上面的計劃建好了7大組，其中巧妙地在組名開始處加了數(shù)字，達(dá)到按預(yù)定順序排列組，系統(tǒng)默認(rèn)是組名會自動按拼音首字母排序。

第二步梳理舊的上網(wǎng)策略并建立新策略，上網(wǎng)行為管理系統(tǒng)默認(rèn)提供準(zhǔn)入策略、流量配額與時長控制、終端提醒策略、上網(wǎng)安全策略、上網(wǎng)審計策略和上網(wǎng)權(quán)限策略共6類，根據(jù)公司的管理要求按需選擇配置，這是整個行為管理重新配置的重點和難點。

上網(wǎng)權(quán)限策略可設(shè)置應(yīng)用、端口和代理控制、web關(guān)鍵字和文件類型過濾，SSL安全保護(hù)和內(nèi)容識別、郵件過濾，我們配置了應(yīng)用、端口和代理控制，應(yīng)用控制是上網(wǎng)行為管理配置的主要內(nèi)容，通過此策略管理用戶訪問的網(wǎng)絡(luò)站點和應(yīng)用。根據(jù)系統(tǒng)中“對象定義應(yīng)用特征庫”的標(biāo)簽，首先將普通用戶限制基準(zhǔn)策略分別配置外發(fā)文件泄密類（禁止各種文件附件上傳，開放政府教育QQ微信傳文件）、高帶寬消耗（禁止P2P視頻和下載工具、Web流媒體，開放迅雷資源和QQ中轉(zhuǎn)站及QQ群下載）、降低工作效率（禁止微博、論壇、IM、金融證券、購物、宗教、娛樂、社交網(wǎng)絡(luò)、生活相關(guān)軟件升級，開放QQ）、郵件管制（禁止免費(fèi)郵箱和移動終端應(yīng)用，開放POP3、IMAP和SMTP及加密收發(fā)郵件，移動終端開放QQ和微信）和安全風(fēng)限（禁止游戲、代理、非法不良、成人內(nèi)容、網(wǎng)絡(luò)安全、木馬控制和軟件更新的網(wǎng)站應(yīng)用），也就是將現(xiàn)有的20條限制策略合并成一條。同時開通因限制策略影響正常工作業(yè)務(wù)需要訪問的網(wǎng)站，將這些網(wǎng)站分門別類里加入系統(tǒng)“對象定義URL庫和自定義引用”如藥品化妝品網(wǎng)購網(wǎng)站、專利國外數(shù)據(jù)查詢、研發(fā)類上傳和銷售財務(wù)上傳等等如圖2。其次根據(jù)部門業(yè)務(wù)特征分別為財務(wù)建立開通房產(chǎn)金融證券和飛信策略，為銷售建立開通證券網(wǎng)站和YY語音。然后依據(jù)用戶申請需求類別建立對應(yīng)的開網(wǎng)購、Web流媒體、證券交易、Skype語音等單項策略，以及多項需求的如開網(wǎng)購和web流媒體、網(wǎng)購和證券交易、招聘上傳等相互組合的策略。最終以19條新的上網(wǎng)權(quán)限策略借代了之前的46條策略如圖3，簡化了日常管理工作。

上網(wǎng)審計可設(shè)置HTTP外發(fā)內(nèi)容、訪問網(wǎng)站/下載、郵件、IM、FTP、Telnet和網(wǎng)絡(luò)應(yīng)用審計，流量與上網(wǎng)時長審計、網(wǎng)頁內(nèi)容審計，我們上網(wǎng)審計項全部啟用產(chǎn)生大量的數(shù)據(jù),日志庫在工作日平均18GB/天，內(nèi)置數(shù)據(jù)中心空間有限僅能保留四周，外置數(shù)據(jù)中心1.5TB的磁盤空間也只能保存三個月；

圖2 網(wǎng)站分組

圖3 上網(wǎng)策略

上網(wǎng)安全策略可設(shè)置ActiveX插件過濾、惡意網(wǎng)頁過濾和安全桌面，我們只使用了惡意網(wǎng)頁過濾,只是深信服這個東東最后更新才到2014年4月，太舊了;

流量配額與時長控制可設(shè)置流量配額、上網(wǎng)時長控制和并發(fā)連接數(shù)控制，我們只用了并發(fā)數(shù)控制曾經(jīng)從256調(diào)到400；

終端提醒策略可設(shè)置上網(wǎng)時長提醒、上網(wǎng)流量提醒、公告頁面，由于前面未做流量和時長管控，此策略未配置；

準(zhǔn)入策略里有IM聊天內(nèi)容和發(fā)送文件監(jiān)控、組織外線路檢測和應(yīng)用程序時長統(tǒng)計3項可配置，我們僅配置了IM聊天內(nèi)容和發(fā)送文件監(jiān)控主要審計QQ聊天記錄。

所有新組均啟用上網(wǎng)審計類、上網(wǎng)安全類和流量配額與時長控制類策略（服務(wù)器組僅啟用上網(wǎng)審計類）；領(lǐng)導(dǎo)組、服務(wù)器組、無限制組和無線網(wǎng)絡(luò)組均不啟用準(zhǔn)入策略（準(zhǔn)入策略會導(dǎo)致終端計算機(jī)安裝深信服上網(wǎng)插件，否則無法訪問外網(wǎng)）；普通用戶組和按需用戶組在前面的基礎(chǔ)上啟用上網(wǎng)權(quán)限類策略，即普通用戶限制基準(zhǔn)策略，下面的部門組加上相應(yīng)部門的開放策略；按需用戶組下面根據(jù)申請開放權(quán)限類別分組，加上相應(yīng)的開放策略。

公司當(dāng)初部署上網(wǎng)行為管理時在“用戶認(rèn)證”策略方面，采用了“以IP為用戶名”認(rèn)證方式，將不同網(wǎng)段來的IP添加到相應(yīng)部門組下面，那些申請開通某些上網(wǎng)權(quán)限的用戶，先在DHCP服務(wù)器上將IP和MAC地址綁定，再在該設(shè)備里用戶組下面標(biāo)識其部門和姓名。在建好了新的用戶策略和用戶組后，就開始將不同網(wǎng)段遷移到新用戶組下面，通過“成員管理”選擇網(wǎng)段組使用“移動”按鈕到新的用戶組，用戶認(rèn)證策略里會自動完成變更“新用戶選項添加到本地”新的組位置。首先完成領(lǐng)導(dǎo)組、服務(wù)器組5個網(wǎng)段的移動，因為這些網(wǎng)段原本就沒有作上網(wǎng)限制。逐步將研發(fā)、銷售、財務(wù)和后勤14個網(wǎng)段，每天移5個網(wǎng)段移到普通用戶組里的部門組下面，同時密切觀察運(yùn)行情況和用戶反饋，其間出現(xiàn)了因為“流量管理通道配置通道使用范圍”未及時添加新的用戶組，導(dǎo)致網(wǎng)絡(luò)訪問高峰期，用戶無法正常打開網(wǎng)頁的問題。再整理舊用戶組中無限的3個網(wǎng)段移到新組，其中一個網(wǎng)段之前雖限制但實際其用戶直接連接領(lǐng)導(dǎo)的WIFI，索性加入無限制組，另一個網(wǎng)段照舊的策略加了一些少量限制，只是以加開放策略的方式代替之前不加某些限制策略。視頻監(jiān)控網(wǎng)段移入Default組，禁止所有的外網(wǎng)訪問應(yīng)用。最麻煩最頭痛的用戶申請開通權(quán)限組，最后整理出近200個用戶IP分別移到允許網(wǎng)購、允許Web流媒體、允許證券交易、允許Skype語音等單項組，以及多項需求的如允許網(wǎng)購和web流媒體、網(wǎng)購和證券交易、招聘上傳等組合組，這些組從單一到組合從上往下排列，上網(wǎng)權(quán)限從小到大，以致最下面的允許所有上網(wǎng)權(quán)限，該組和上面的無限組的區(qū)別是有加準(zhǔn)入策略。為給同事一個寬松的網(wǎng)絡(luò)訪問環(huán)境，特制定了一條在下班段開放網(wǎng)購、證券金融、娛樂和Web視頻等內(nèi)容。

第三步清理“對象定義”中的URL庫、自定義應(yīng)用，“系統(tǒng)配置”中的全局排除地址和“用戶與策略管理用戶認(rèn)證”的認(rèn)證策略，由于網(wǎng)絡(luò)部署方式未變，所以不涉及其它模塊的變更。

第四步等所有配置調(diào)整完成后，留出1個月的時間觀察運(yùn)行情況，出現(xiàn)問題時與舊的組和策略進(jìn)行對比解決。確認(rèn)無問題后刪除舊的用戶組和策略，刪除用戶組涉及到“流量管理”的通道配置、“用戶管理”的用戶自動同步策略、“用戶認(rèn)證”的認(rèn)證策略、“系統(tǒng)配置管理員賬戶”的組織權(quán)限配置，必須先取消其相關(guān)對用戶組的引用才能正常刪除，否則報錯。

管理心得

這次配置改造中為減少對用戶的影響，仍然未實施“密碼認(rèn)證單點登錄”的與微軟Active Directory域結(jié)合的用戶認(rèn)證方式。要實現(xiàn)基于用戶的管理，系統(tǒng)必須要知道某個IP地址上，此刻是哪個用戶在使用的信息，也就是獲得IP與用戶名的映射表。因此在計算機(jī)訪問網(wǎng)絡(luò)前，需要對上網(wǎng)計算機(jī)通過某種形式的身份認(rèn)證，從而獲取計算機(jī)上的用戶名。此種管理方式相比基于傳統(tǒng)IP地址的管理來說更準(zhǔn)確，也更直觀。根據(jù)深信服行為管理系統(tǒng)自帶的幫助文件和配置步驟，通過域控組策略自動下發(fā)，在計算機(jī)上執(zhí)行指定的登錄/注銷腳本，獲取域賬戶信息實現(xiàn)AD集成的單點登錄。