“UserGuide”的版本间的差异
(→例外设置) |
(→打开Web界面) |
||
(未显示同一用户的11个中间版本) | |||
第2行: | 第2行: | ||
在[[QuickGuide|WFilter上网行为管理系统管理员手册]],我们介绍了如何对本系统进行管理和安全设置。那么在本文(用户指南)中,我们将主要介绍如何来管理用户分组、行为管理策略、流控等相关配置。 | 在[[QuickGuide|WFilter上网行为管理系统管理员手册]],我们介绍了如何对本系统进行管理和安全设置。那么在本文(用户指南)中,我们将主要介绍如何来管理用户分组、行为管理策略、流控等相关配置。 | ||
+ | |||
+ | = 打开Web界面 = | ||
+ | WFilter的绝大部分配置都通过Web界面来进行配置,一般推荐在局域网内部来打开Web界面,配置终端通过交换机和WFilter服务器的内网口连接。如下图: | ||
+ | |||
+ | [[文件:inside_setup.png]] | ||
+ | |||
+ | 如果要从外网(互联网)打开Web界面,建议先拨入VPN(PPTP或者OpenVPN),拨入VPN后直接通过内网地址来访问。网络结构图如下: | ||
+ | |||
+ | [[文件:external_setup.png]] | ||
+ | |||
+ | 我们推荐用火狐或者Chrome来打开Web界面,如果使用IE内核的浏览器,需要使用IE9之后的版本。 | ||
= 用户认证和分组 = | = 用户认证和分组 = | ||
第10行: | 第21行: | ||
如下图:在“[[ipbound|IP-MAC绑定]]”中录入绑定的客户机,并且禁止未绑定的客户端。被绑定的客户机,在自动获取IP时,会固定分配绑定的IP地址。 | 如下图:在“[[ipbound|IP-MAC绑定]]”中录入绑定的客户机,并且禁止未绑定的客户端。被绑定的客户机,在自动获取IP时,会固定分配绑定的IP地址。 | ||
− | [[文件:ros_userguide_01.png| | + | [[文件:ros_userguide_01.png|900px]] |
− | [[文件:ros_userguide_02.png| | + | [[文件:ros_userguide_02.png|800px]] |
== Web认证 == | == Web认证 == | ||
如果客户机流动性比较强,不适合进行IP-mac绑定,那么“[[webauth|Web认证]]”的“用户名认证”是一个很有效的终端认证方案,支持多种验证方式。如图: | 如果客户机流动性比较强,不适合进行IP-mac绑定,那么“[[webauth|Web认证]]”的“用户名认证”是一个很有效的终端认证方案,支持多种验证方式。如图: | ||
− | [[文件:ros_userguide_03.png| | + | [[文件:ros_userguide_03.png|900px]] |
+ | |||
+ | == AD域集成 == | ||
+ | 如果局域网已经部署了AD域,那么启用[[adconf|AD域集成]]后,域用户无需进行认证,可以透明获取到登录的域账号。还可以根据域账号记录上网内容,并且配置上网策略。 | ||
+ | |||
+ | [[文件:ros_userguide_03_2.png|900px]] | ||
== 用户分组 == | == 用户分组 == | ||
第26行: | 第42行: | ||
分组的定义中,可以输入IP地址、IP范围、MAC地址,如下图: | 分组的定义中,可以输入IP地址、IP范围、MAC地址,如下图: | ||
− | [[文件:ros_userguide_04.png| | + | [[文件:ros_userguide_04.png|900px]] |
= 上网行为管理策略 = | = 上网行为管理策略 = | ||
− | + | 定义好认证方式,并且合理分组后,您就可以配置上网行为管理的策略权限。上网策略的配置主要集中在三个模块: | |
* [[appcontrol|应用过滤]],基于应用协议来配置上网权限,一般用于对非Web类的访问进行控制。 | * [[appcontrol|应用过滤]],基于应用协议来配置上网权限,一般用于对非Web类的访问进行控制。 | ||
* [[webfilter|网页过滤]],对Web访问,如网页浏览、Web文件下载、网站分类等进行访问控制。 | * [[webfilter|网页过滤]],对Web访问,如网页浏览、Web文件下载、网站分类等进行访问控制。 | ||
第37行: | 第53行: | ||
每一个策略都需要选择“应用对象”和“生效时间”,应用对象支持“设备”(自定义IP范围、用户组)和“账号”两种方式。如图: | 每一个策略都需要选择“应用对象”和“生效时间”,应用对象支持“设备”(自定义IP范围、用户组)和“账号”两种方式。如图: | ||
− | [[文件:ros_userguide_05.png| | + | [[文件:ros_userguide_05.png|800px]] |
== 应用过滤 == | == 应用过滤 == | ||
第45行: | 第61行: | ||
* 选择不同的“自动禁止”条件,可以按各应用的属性来进行禁止。 | * 选择不同的“自动禁止”条件,可以按各应用的属性来进行禁止。 | ||
− | [[文件:ros_userguide_06.png| | + | [[文件:ros_userguide_06.png|900px]] |
− | [[文件:ros_userguide_07.png| | + | [[文件:ros_userguide_07.png|900px]] |
== 网页过滤 == | == 网页过滤 == | ||
第55行: | 第71行: | ||
* “文件下载”可以对文件下载的类型进行过滤(只对http网站生效)。 | * “文件下载”可以对文件下载的类型进行过滤(只对http网站生效)。 | ||
− | [[文件:ros_userguide_08.png| | + | [[文件:ros_userguide_08.png|900px]] |
− | [[文件:ros_userguide_09.png| | + | [[文件:ros_userguide_09.png|900px]] |
− | [[文件:ros_userguide_10.png| | + | [[文件:ros_userguide_10.png|900px]] |
== 例外设置 == | == 例外设置 == | ||
第65行: | 第81行: | ||
工作需要的网站或者IP地址等,可以直接加入到“例外设置”里面,从而不会被其他策略禁止掉。如图: | 工作需要的网站或者IP地址等,可以直接加入到“例外设置”里面,从而不会被其他策略禁止掉。如图: | ||
− | [[文件:ros_userguide_11.png| | + | [[文件:ros_userguide_11.png|900px]] |
+ | |||
+ | = 上网记录和审计 = | ||
+ | 上网记录和内容审计,主要包括[[wfquery|上网记录]]和[[wfreport|统计报表]]这两个模块。 | ||
+ | 在[[wfquery|上网记录]]模块中,您可以配置记录策略,并且查询记录的日志内容,包括: | ||
+ | * 网页浏览记录 | ||
+ | * 网页粘贴记录 | ||
+ | * HTTPS网站监控 | ||
+ | * 邮件发送记录 | ||
+ | * 邮件接收记录 | ||
+ | * SSL邮件监控 | ||
+ | * 文件上传下载记录 | ||
+ | * 聊天账号记录 | ||
+ | * FTP/Telnet命令记录 | ||
+ | * IP-MAC记录 | ||
+ | |||
+ | [[文件:Wfrecorder_query1.png|900px]] | ||
+ | |||
+ | [[文件:Wfrecorder_settings_other.png|650px]] | ||
+ | |||
+ | 在[[wfreport|统计报表]]模块中,我们预置了一系列的常用报表,您也可以根据自己的需要进行自定义。 | ||
= 流控策略和多线均衡 = | = 流控策略和多线均衡 = | ||
第75行: | 第111行: | ||
多线均衡默认会自动进行“运营商分流”和“负载均衡”,默认的负载权重根据WAN口的带宽来分配。有一点要注意的地方:网银等对安全要求比较高的站点会对客户机IP进行校验,所以一般不建议进行负载均衡。如图: | 多线均衡默认会自动进行“运营商分流”和“负载均衡”,默认的负载权重根据WAN口的带宽来分配。有一点要注意的地方:网银等对安全要求比较高的站点会对客户机IP进行校验,所以一般不建议进行负载均衡。如图: | ||
− | [[文件:ros_userguide_12.png| | + | [[文件:ros_userguide_12.png|900px]] |
+ | |||
+ | [[文件:ros_userguide_13.png|900px]] | ||
− | [[文件: | + | [[文件:ros_userguide_14.png|900px]] |
= VPN = | = VPN = | ||
第89行: | 第127行: | ||
** [[Openvpn|OpenVPN]],SSL VPN的一种,提供更多的功能选项,支持证书认证和密码认证两种方式。 | ** [[Openvpn|OpenVPN]],SSL VPN的一种,提供更多的功能选项,支持证书认证和密码认证两种方式。 | ||
+ | = 其他 = | ||
+ | 在其他模块里面,还有很多有用的功能,比如: | ||
+ | * [[maccd|MAC地址收集器]],从三层交换机跨网段获取mac地址。 | ||
+ | * [[WFilter Plugins|扩展插件]],网络健康度检测、局域网扫描、DHCP扫描等各种实用插件。 | ||
+ | * [[Ddns|DDNS设置]],动态域名配置。 | ||
+ | * [[Vrrpd|双机热备]] | ||
+ | * [[Portmirror|端口镜像]] | ||
+ | * [[WProxy|透明代理]] | ||
[[Category:安装]] | [[Category:安装]] |
2018年7月5日 (四) 15:27的最新版本
在WFilter上网行为管理系统管理员手册,我们介绍了如何对本系统进行管理和安全设置。那么在本文(用户指南)中,我们将主要介绍如何来管理用户分组、行为管理策略、流控等相关配置。
目录
1 打开Web界面
WFilter的绝大部分配置都通过Web界面来进行配置,一般推荐在局域网内部来打开Web界面,配置终端通过交换机和WFilter服务器的内网口连接。如下图:
如果要从外网(互联网)打开Web界面,建议先拨入VPN(PPTP或者OpenVPN),拨入VPN后直接通过内网地址来访问。网络结构图如下:
我们推荐用火狐或者Chrome来打开Web界面,如果使用IE内核的浏览器,需要使用IE9之后的版本。
2 用户认证和分组
对接入终端的身份认证,既可以确保终端的合法性,也是上网策略配置的一个基础。用户身份的认证一般采用如下原则:
- 首先考虑IP-MAC绑定:规划IP地址范围,登记客户机的MAC地址,并录入到系统中进行IP-mac绑定。
- 对于一些客户端流动的环境,无法登记MAC地址时,可以使用“Web认证”的解决方案。
2.1 IP-MAC绑定
如下图:在“IP-MAC绑定”中录入绑定的客户机,并且禁止未绑定的客户端。被绑定的客户机,在自动获取IP时,会固定分配绑定的IP地址。
2.2 Web认证
如果客户机流动性比较强,不适合进行IP-mac绑定,那么“Web认证”的“用户名认证”是一个很有效的终端认证方案,支持多种验证方式。如图:
2.3 AD域集成
如果局域网已经部署了AD域,那么启用AD域集成后,域用户无需进行认证,可以透明获取到登录的域账号。还可以根据域账号记录上网内容,并且配置上网策略。
2.4 用户分组
您还需要对用户进行分组,便于后续策略的配置。分组的方式比较多样化,建议您根据您的管理需要来进行分组,可以参考如下方式:
- 按行政部门进行分组。比如:市场部门、财务部门等。
- 按上网权限进行分组。比如:禁止外网、只允许工作网站等。
分组的定义中,可以输入IP地址、IP范围、MAC地址,如下图:
3 上网行为管理策略
定义好认证方式,并且合理分组后,您就可以配置上网行为管理的策略权限。上网策略的配置主要集中在三个模块:
- 应用过滤,基于应用协议来配置上网权限,一般用于对非Web类的访问进行控制。
- 网页过滤,对Web访问,如网页浏览、Web文件下载、网站分类等进行访问控制。
- 例外设置,配置一些例外,被例外的访问不会被其他策略禁止掉。
每一个策略都需要选择“应用对象”和“生效时间”,应用对象支持“设备”(自定义IP范围、用户组)和“账号”两种方式。如图:
3.1 应用过滤
利用应用过滤可以基于应用过滤来设置上网权限,如下图所示:
- “禁止所有”可以禁止所有应用。
- 您也可以点击“应用列表”来手动选择要禁止的应用。
- 选择不同的“自动禁止”条件,可以按各应用的属性来进行禁止。
3.2 网页过滤
网页过滤,对Web访问,如网页浏览、Web文件下载、网站分类等进行访问控制。
- 如果只是要禁止或者只允许个别网站,可以启用“网站黑名单”或者“网站白名单”功能。
- 系统内置了千万级的网址库,支持60多种网页分类。使用“网页分类”过滤功能,可以按网页的所属分类禁止过滤。
- “文件下载”可以对文件下载的类型进行过滤(只对http网站生效)。
3.3 例外设置
工作需要的网站或者IP地址等,可以直接加入到“例外设置”里面,从而不会被其他策略禁止掉。如图:
4 上网记录和审计
上网记录和内容审计,主要包括上网记录和统计报表这两个模块。 在上网记录模块中,您可以配置记录策略,并且查询记录的日志内容,包括:
- 网页浏览记录
- 网页粘贴记录
- HTTPS网站监控
- 邮件发送记录
- 邮件接收记录
- SSL邮件监控
- 文件上传下载记录
- 聊天账号记录
- FTP/Telnet命令记录
- IP-MAC记录
在统计报表模块中,我们预置了一系列的常用报表,您也可以根据自己的需要进行自定义。
5 流控策略和多线均衡
多线均衡默认会自动进行“运营商分流”和“负载均衡”,默认的负载权重根据WAN口的带宽来分配。有一点要注意的地方:网银等对安全要求比较高的站点会对客户机IP进行校验,所以一般不建议进行负载均衡。如图:
6 VPN
WFilter的VPN主要包括两类,请根据您自己的需要进行选择:
- client-to-site VPN,给外网客户机提供拨入到内网的服务。包括:
- site-to-site VPN,用于在多个局域网之间创建VPN。包括:
7 其他
在其他模块里面,还有很多有用的功能,比如: