海蜘蛛软路由系统是一套运行于普通PC上的路由系统,基于稳定的GNU/Linux 2.6 系列内核开发。它以用户需求为导向,逐步开发了路由系统的各个通用模块。其中它的上网行为管理功能模块主要是针对企事业单位、政府机关等网络实际应用环境量身设计。专门用于解决企业网络安全和杜绝企业员工在上班时间利用网络玩游戏看视频等娱乐现象,提高企业的网络效能。
下面我们看一个实际的海蜘蛛上网行为管理综合应用案例:
需求描述:
某单位分为4个部门,在各部门之间用不同的网络策略限制,具体如下:
1、财务部只能访问工商银行。
2、技术支持部只能收发电子邮件。
3、销售部不能玩网页游戏,不能上QQ聊天。
4、研发部不能访问百度和新浪网页,另外对研发部员工a禁止其使用炒股软件。
网络拓扑如下:
具体设置过程:
1、新建用户与分组:
登陆海蜘蛛路由主页面,进入“上网管理”->“预定义对象”,进入IP对象页面,选择“新增”,如图:
输入要管理对象的名称(自定义)和IP地址,然后点击“获取”,系统可根据IP地址自动获取其MAC地址,然后保存设置。
设置好所有用户后,我们再进行分组设置。进入“上网管理”->“对象分组管理”,进入IP分组页面,选择“新增”,如图:
这里我们按部门划分不同的组,例如我们这里把研发部a、研发部b划分为研发组,并保存。
分好组后,核对确认各组成员准确无误。如图:
2、新建时间和网址对象
进入“上网管理”->“预定义对象”,选择“时间对象”页面,选择“新增”,如图:
在编辑页面里,填好名称,选择起始与结束的日期,以及每天的起止时间:
注:工作日指周一到周五
设定好后保存,再进入网址对象,选择“新增”,填写名称与网址并保存,如图:
注:网址列表的域名最好填写网站的顶级域名,并保留域名前的“.”。 这样才能更好地起到网站过滤的作用。
建立好所有相关网址,如图:
注:这里的网址对象要包括允许用户访问的和禁止用户访问的两类网址。
3、设置各组的应用协议控制
进入“上网管理”->“应用协议控制”。勾选“启用应用协议控制”,选择需要控制的对象,选择“新增”,如下图:
先设置可访问网站,设置一个高优先级,把控制对象设置为财务部,控制类别的网址设置为刚设定的“访问工商银行”,时间限制设置选择刚设定的上班时间,动作设为通过。
保存设置后还要设定其限制访问网站,点击“新增”,设定一个比刚才低的优先级,控制对象也设置为财务部,应用选择“ALL(所有Internet应用)”,时间限制选择上班时间,动作设为丢弃。
这样两项设置好后,财务部在上班时间就只能访问工商银行了。
接着设置技术支持部,点击“新增”,设置一个高优先级,把控制对象设置为技术支持部,控制类别应用设置为“general_Email 电子邮件收发(客户端方式)”,时间限制设置也选择上班时间,动作设为通过,如下图:
注:这里的“电子邮件收发(客户端方式)”指的是允许用OUTLOOK,FOXMAIL等邮件客户端工具的收发,网页形式的邮箱不包含在内。
保存设置,继续设定其限制访问网站,点击“新增”,设定一个比刚才低的优先级,控制对象也设置为技术支持部,应用选择“ALL(所有Internet应用)”,时间限制选择上班时间,动作设为丢弃,如图所示:
这样技术支持部就只能以客户端方式收发电子邮件了, 接着设置销售部,点击“新增”,设置一个高优先级,把控制对象设置为销售部,控制类别应用设置为“www_game (在线网页游戏)”,时间限制设置选择上班时间,动作设为丢弃,如图所示:
继续限制销售部使用QQ,点击“新增”,设定一个高优先级,控制对象设置为销售部,应用选择“im_QQ 腾讯QQ”,时间限制选择上班时间,动作设为丢弃,如图:
这样销售部就既不能玩网页游戏,也不能上QQ聊天了。
最后设置研发部,点击“新增”,设置一个高优先级,把控制对象设置为研发部,控制类别网址选择为“访问百度”,时间限制设置选择上班时间,动作设为丢弃,如图所示:
这样研发部就不能访问百度了,同理可设置其不能访问新浪。
对于研发部的a,我们还要设置其不能使用炒股软件,点击“新增”,设置一个高优先级,把控制对象设置为研发部a,控制类别应用选择为“STOCK 股票类软件(包含特征库所有的炒股工具)”,时间限制设置选择上班时间,动作设为丢弃,如图:
这样我们就按需求设置好了所有的限制管理,保存设置即可,如下图:
注:这里我们把时间对象都设为了上班时间周一到周五每天的早9点到晚6点,如果想设置为无论何时都一直有这些管理限制,则在应用协议过滤设置页面里把时间限制的选择都去掉。
4、特征库的更新
对于新出来的某些上网软件,上网行为管理里可能会限制不了,这时你可以做特征库的更新。进入“产品中心”->“特征库更新”,将后面的自动更新都勾选上,如图:
注:特征库更新并不是一直都是更新状态,而是每隔12小时在网上检测,有新特征库时路由会自动下载。
5、上网行为管理日志查看
上网行为管理日志用于对内部网络的使用情况做一个直观的统计,使用前需在官网下载日志分析系统客户端,整个安装使用过程就不再介绍了,请参照相关说明。
使用的主页面如下,你可以在此分组、分时段、分类型进行查看统计。
好了,通过以上的介绍,你会发现海蜘蛛的上网行为管理是比较方便和实用的。最主要的在企业中部署比较方便而且成本投入比较低。
本文出自 “滴水穿石孙杰” 博客,谢绝转载!