1. 金盾规则策略如何处理重叠问题?.
1
2. 金盾在多种用户管理模式并存时,如何处理用户归属?.
2
3. 那些配置需要重新启动金盾系统.
2
4. 员工分析通过http下载电影等大文件,我该怎么办?.
2
5. 员工随意修改IP地址,金盾如何实现IP/MAC绑定?.
3
6. MAC地址绑定管理,用户更换网卡后金盾如何配置?.
3
7. 金盾那些模块是非标配收费呢?.
3
8. 金盾的系统库URL库如何保持最新呢?.
3
9. 部署金盾上网认证以后,客户端要不要更改当前的网络配置?.
3
10. 金盾网络行为管理系统软件如何升级?.
4
11. 用户为金盾网络行为管理系统指定的各种规则可以备份吗?.
4
12. 金盾网络行为管理系统可以分级管理吗?.
4
13. 能否通过端口、协议等自定义服务.
4
14. 上网认证时候员工上网需要输入用户名和密码,下午还需要吗?.
4
15. 版本中用户数是指可管理的帐号数还是指同时连接的用户数?.
4
16. 自定义的网址是否支持模糊查询? 如何利模糊查询?.
4
17. 旁路接入时对上网进行管理控制是采用什么原理?.
5
18. 能否支持邮件审核多级管理,即不同的邮件自动由不同的管理员进行审核管理?.
5
19. 能否支持监控QQ、贸易通等聊天软件使用类似于网络硬盘的功能?.
5
20. 在实行了上网身份验证的情况下,能否对ftp软件进行管理?.
5
21. 如果客户采用dhcp方式,且数量较多,是否支持自动识别主机名的功能?.
5
22. 远端备份管理,其备份方式是双路实时备份还是待系统存储空间满后自动转存?.
5
23. 对于现在较流行的将文字做成图片再传播的方式,有没有好的监控解决办法?.
6
24. 金盾的查询界面的对话框中,我输入了条件,按查询按钮,系统没有反应?.
6
25. 为什么系统安装正常后,在界面中看不到监控的数据。.
6
26. 金盾的带宽管理我怎么设置?.
6
27. 金盾出口流量与网络流量统计报表的区别是什么?.
6
28. 金盾和域认证结合.
2
29. 我已经给某台电脑设置禁止上网的规则,怎么好像不起作用?.
6
30. 启动访问外网认证,并与IP绑定.
2
31. 仅仅看到员工访问代理服务器的8080端口?.
2
32. 邮件拦截的应用范围?如何部署?.
2
33. 如何阻断QQ.
2
34. 阻断Bt下载.
2
35. 防止员工任意篡改IP(不设置部门的IP段).
2
36. QOS划分以后无法对带宽进行限制.
2
*. 您也可以下载我们的技术说明Q&A文档解答您的疑问.
2
金盾通过规则策略优先级来解决规则重叠问题。WEB拦截类和服务拦截类规则分为了五个优先级:
1.
地址段×策略
2.
用户×策略
3.
策略组×策略
4.
部门×策略
5.
系统×策略
从1到5优先级递减,即某个用户同时被用户级和部门级规则策略限制,以用户级策略为准。
金盾网络行为管理系统的企业员工管理方式:金盾网络管理系统支持多种用户对应方式来唯一标示上网用户,以下几种方式可以混合使用,优先级从低到高(从IP绑定到外部地址)
l
IP绑定
l
MAC绑定
l
主机名绑定
l
域验证
l
本地验证
l
免验证客户端
l
免验证服务器
l
免于监控
l
禁止验证
l
外部主机
当一个用户同时属于IP绑定和免于监控时,金盾系统将以免于监控方式管理用户。
系统设置中:连接方式,ip地址,启动终止附属服务
打开“规则”――“web类型”规则,添加新的web类型规则,例如拒绝常见的大文件:AVI、DAT、MP3、EXE、COM、RAR、ZIP、RM、RMVB、MPG等。应用此规则后,员工再通过http协议下载这些类型文件时,金盾将给予拒绝。
这种现象大多出现再固定IP方式管理企业里,且用户的MAC没有再交换机或路由器改变。系统管理员可以先根据企业的IP和MAC表,配置用户名和真实员工对应。
金盾的配置步骤:
第一步、在网段设置里,添加企业内网的所有网段为IP绑定。注意:要覆盖所有可路由网段。
第二步、金盾运行一天,这样大部分的用户ip/mac都会被金盾获得。那些没有开机或访问外网的用户,将来手动添加到金盾用户列表中。
第三步、 管理—参数设定—系统功能参数设定叶面,沟选:“启动IP/MAC验证功能”,沟去“默认自动添加用户”。
第四步、在每个用户属性里钩选“用户ip地址和mac地址必须一致才能访问”。违反IP/MAC绑定的两种情况:
? 盗用别人IP, 此时,金盾会根据系统的IP/MAC对应表来发现此人的ip/mac不一致,予以拒绝访问。
? 使用未在金盾里注册的IP,即随意修改IP用户,由于金盾不再自动添加用户,此用户也被拒绝访问。
”。
IT管理员首先记录新网卡的MAC地址,在“用户管理”修改此员工的MAC。之后给员构更换网卡。
金盾的邮件拦截和流量管理是需要追加的模块。邮件拦截包括:邮件内容规则、邮件发送规则和发邮件审核。
在配置金盾系统可以访问互联网,即:网关和DNS。金盾系统就会定期去宝创更新系统库URL库。
系统管理员也可以自己手工输入一些URL组,便于制作规则策略。
不需要。金盾认证强制网关是按照对终端用户透明的原则设计的。可以这样理解认证强制网关,用户只需在认证页面提供用户名密码认证即可上网,而对于非法的用户,它则好像是一堵墙。我们知道在通讯链路中增加一个透明设备,各计算机的网络配置是不用更改的。
透过互联网自动升级。
可以。
可以。在分部门级别的同时,还可赋予不通的权限。管理和维护更灵活。
可以,在“服务访问规则”中自定义。
时间可以自己设置过期时间。
版本中用户数是指:金盾“用户管理”的用户数,即管理用户数。
分为两种情况:
在“系统URL地址库”中需要精确对应,而且可以支持二级URL,例如:ww3.skycn.com/soft,可以对没个网站的自栏目URL进行控制。
? 在规则定义中,“自定义URL”里面的是支持模糊分析的。例如 .sina. 那么game.sina.com ; vin.sina.com ; bbs.sina.com等都被定义了,模糊查询。注意:一定要作唯一的模糊定义,例如您定义了 tom想限制www.tom.com;mail.tom.com;vip.tom.com等,但是,那些www.iamtom.com也会被限制,所以应该定义 .tom.
? 在规则定义中,“自定义URL”如果输入 . 就表示禁止访问所有网站。因为没有域名都包含 .
在规则定义中,“自定义URL”里面的是支持模糊分析的
分析数据包,伪装数据包头,进行阻断等控制。
可以。
分为两种情况:
? 使用web方式管理的网络硬盘,可以通过web表单规则予以限制。
? 使用客户端方式管理的网络硬盘,可以分析其端口,在服务规则中自定义服务予以限制。
可以
客户的路由不决绝主机名服务时可以。
金盾系统每天自动备份到本地存储,也可以定制定期自动备份。
目前市场上没有成熟技术支持图片分析,但是金盾可以关闭传输图形文件。
请检查你用的电脑的IE版本,我们系统要求是IE6.0以上,否则这个功能是不能查询的。
进入系统第一步的"网段设置"是否正确?特别是有代理或路由的情况,建议金盾部署在内网访问代理或路由的内网网关之后。
建议察看添加的C类段是否误加为B类.
或者添加C类网断过多。
带宽控制功能一旦打开,每个人都会有一个缺省带宽,系统默认为50K。设置带宽不宜过小,系统对设置少于1000字节的规则不进行控制。建议最少设置为3000字节以上。
前者是平均值级速度,而后者是累加值。
目前,金盾标准版可以与winNT、win2000AD、win2003AD配置做访问外网用户认证。
实现金盾和域结合认证步骤:
配置域认证服务器信息:
管理—参数设定—系统功能参数设置。对于NT域分主域和备份域,AD不需要区分。
“域认证:PDC和PDC-IP”有两个参数,对于NT域,此处时主域服务器主机名和IP.对于AD此处是常用的AD服务器主机名和IP。如下图,主机名:Alchemy,ip: 192.168.0.1。
“域认证:BDC和BDC-IP”有两个参数,对于NT域,此处时备用域服务器主机名和IP.对于AD此处是另外一个AD服务器主机名和IP。如下图,主机名:alchemyb,ip:192.168.0.2。
“域认证:域名称”,此处是登陆域名,如企业域是gnm.com,但是用户登陆windows系统时使用的登陆到为:gnm. 这里应该填写的是gnm,而不是gnm.com。
“在线用户超时时间”单位是秒,登陆一次后,无访问多长时间不许要再次登陆。一般10小时,即72000。
管理—网段设定,添加需要域认证的网段 此时,192.168.0.3-192.168.0.100的用户在访问外网,就需要首先在灾web里通过认证。
注意:如果这些用户访问外网页面时,没有弹出认证窗口,此用户可能已经是在线用户。
域认证界面的修改用户密码是无效的。
一个规则设定了,必须要点应用按钮,这样这个规则才发生作用!如果已经应用过,但没起作用,对这个问题就要具体分析,首先如果这台电脑正在上网,请在在线用户界面上看是否有这个用户,他的状态是否正常(如果看不到,说明他可能是从其它出口上网;如果看到,但他状态是免监控,那也不能禁止掉,必须把他改回正常状态)。
金盾访问外网认证分为两类:本地认证和域认证。
当客户使用DHCP维护IP/mac列表提供相对静态IP.金盾就可以配置认证账号和IP对应,即某账号只有在指定IP主机才能认证成功。
用户属性里,沟选“用户只有在该IP地址才能登陆”。此用户启动IP/账号的绑定。
如果有代理服务器,需要开启:管理—参数设定—系统功能参数设置--“启动动态协议识别”。
邮件拦截部署需要的条件:
? 金盾透明网桥、路由或NAT模式,串接在网络出口。
? 企业有一台邮件服务器,或者是有一个不受限制的互联网账号。
配置步骤:
第一步:管理—参数设定—邮件拦截分发设置:
配置参数:
? 选择发送方式3。
? Smtp路由为 “:218.23.2.19”。
? ESMTP用户: sup@gnm.com
? ESMTP密码: 123qwe
方式3企业需要一个不受限制的邮件账号。此账号有三个来源:
A 企业本地邮件服务器
B 企业托管邮件服务器
C 公网邮件服务器提供的无限制账号。
什么叫无限制账号呢?
可以随意转发邮件,邮件的大小,数量等不受限制。
测试账号:foxmail里测试这个帐号,发邮件服务器设置后,个人信息里发件人的邮件改为其他邮件,看是否可以发送成功。
第二步:启动邮件拦截服务:
管理—参数设定—服务设定
购选“启动系统邮件发送过滤服务”。 要注意,首先保证此设备邮件拦截模块式开启的。
重新启动金盾系统。
第三步:
规则—邮件内容规则,建立各种规则。
阻断qq需要建立两条服务规则。这两条规则需要对同一对象起作用,此对象才能不阻止。我们一对qq组为例。
第一步:在部门设置里建立qq组。
第二步:建立服务规则名称为DENY QQ,1。拒绝,在所选服务;2,选择QQ聊天服务;3,对用户组;4,选择qq组。
第三步:建立服务规则名称为DENY QQQ,1。拒绝,在所选服务;2,选择http,https服务;3,应用于部分外部地址:
219.133.51.1-----219.133.51.254
219.133.49.1---219.133.49.254
219.133.48.1---219.133.48.254
219.133.41.1---219.133.41.254
219.133.40.1-219.133.40.255
219.133.38.1---219.133.38.254
219.133.60.1---219.133.60.254
218.18.95.1---218.18.95.254
218.17.209.1---218.17.209.254
207.219.111.1---207.219.111.254
61.141.194.1---61.141.194.254
219.133.62.2---219.133.62.2
219.133.50.1---219.133.50.254
202.96.155.33
4,对用户组;5,选择qq组。
第四步:测试,把测试用户放入qq组,qq登出,登陆QQ开始测试。看看及时服务拦截的提示。
注意:如果客户使用了代理服务器,请打开动态协议分析功能。
步骤1:
开启动态协议分析
步骤2:
服务规则: 所选服务选择BT,并拒绝。
步骤3: 辅助
web类型规则: 拒绝下载 .torrent 文件
web访问规则: 拒绝访问包含关键字bt、tracker、torrent等的网站
把未知部门的策略设定服务全部关闭,然后只要是自动添加来的用户都会放在未知门部里。这样添加进来的所有用户什么服务都不能访问外网了。
1.正确无误的分配好QOS的峰值,通道的划分,和人员以及组的通道分配。
2.在帐号设定里面把需要限制的带宽的人员启动带宽限制
3.把需要限制带宽的人员从在线帐号中使其离线。
这样就完成了对人员以及部门的带宽限制策略
注意:检查内外网口有没有插反,如果插反会使得策略无法成功应用。
http://www.baochuang.com.cn/serve3.htm
