启用了业务管理功能之后,hiper通过检查所有进入和外出的请求,确保局域网用户遵守这些业务策略。
业务策略的过滤条件包括:过滤类型、过滤内容、源地址、目的端口、目的ip地址、源端口、协议、时间计划等。定义了这些过滤条件以后,就可以利用它们创建业务策略,并指定各条业务策略的动作(允许或禁止),从而对进入hiper的数据包进行控制:转发或丢弃。
1 ip过滤、url过滤及关键字过滤
可以通过设置“过滤类型”指定业务策略的过滤类型,hiper提供三种过滤类型:ip过滤、url过滤以及关键字过滤。这三种类型的业务策略,均支持根据时间段进行过滤。
1. ip过滤
ip过滤指对数据包的包头信息过滤,例如源ip地址和目的ip地址。如果ip头中的协议字段封装协议为tcp或udp,则再根据tcp头信息(源端口和目的端口)或udp头信息(源端口和目的端口)执行过滤。
过滤类型为ip过滤时,可供设置的过滤条件包括:源ip地址、目的ip地址、协议、源端口、目的端口、时间段、动作等。
可以通过设置“过滤类型”指定业务策略的过滤类型,hiper提供三种过滤类型:ip过滤、url过滤以及关键字过滤。这三种类型的业务策略,均支持根据时间段进行过滤。
2. url过滤
url过滤指对url网址过滤,hiper的url过滤功能是根据url中的关键字进行过滤的,不仅可以控制局域网用户对站点的访问,还可以控制用户对网页的访问。
过滤类型为url过滤时,可供设置的过滤条件包括:源ip地址、过滤内容(指url地址)、时间段、动作等。
3. 关键字过滤
在hiper中,关键字过滤指对html 页面(网页)中的关键字过滤,它的意思是如果某个网页里包含了你定义的关键字(如色情、法轮功、赌博等),那么hiper将直接屏蔽这个网页。hiper的关键字过滤功能可同时支持中、英文关键字的设置。
过滤类型为关键字过滤时,可供设置的过滤条件包括:源地址、过滤内容(指网页中的关键字)、时间段、动作等。
2 工作组、个人用户及ipssg组
通过设置“组选择”可以指定业务策略要过滤的数据包的源ip地址,hiper提供三种类型的源ip地址对象:工作组,个人用户以及ipssg组。hiper中,将这三种类型的策略分别成为工作组策略、个人用户策略及ipssg组策略。
1. 工作组
一般情况下,业务策略是针对工作组定义的,该工作组的地址范围即为该策略要过滤数据包的源ip地址。同一个工作组的用户的上网权限完全相同,从而,你只需为工作组定义业务策略,而无需为每个用户分别定义业务策略。这样的话,不仅方便管理,也可以提高hiper的工作效率。当然,你必须首先将上网要求相同的局域网用户定义在同一个工作组中,才能够为他们制定出正确而有效的业务策略。
当为某工作组配置了业务策略后,系统会自动生成该组的全局策略,默认是禁止该组除定义过的其他业务。工作组全局策略的名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……。
2. 个人用户
同时,hiper也允许针对个人用户定义业务策略,该个人用户的ip地址即为该策略要过滤的数据包的源ip地址。如果某个工作组中有个别用户的上网要求与该组其他用户基本相同,但同时也有少数一个或几个特别需求;或是某个用户突然有了新的上网要求时,就可以对这个用户单独定义业务策略。
如果配置了某个人用户策略,且该个人用户属于某个已经配置了业务策略的工作组,则该工作组的全局策略也对该个人用户起作用。
3. ipssg组
系统还提供一个默认工作组:ipssg组,包括局域网中没有定义业务策略的所有用户。允许针对ipssg组定义业务策略,但其起始ip地址和结束ip地址(均为0.0.0.0)均不能修改。
如果配置了某个人用户策略,且该个人用户不属于任何已配置了业务策略的工作组,则ipssg组策略也对该个人用户起作用。
3 业务策略的动作
业务策略的动作包括转发和丢弃,对应的“动作”分别为“允许”或“禁止”。当需要处理的数据包与已定义的某条业务策略相匹配时,如果该策略的“动作”是“允许”,那么hiper将转发该数据包;如果该策略的“动作”是“禁止”,那么hiper将丢弃该数据包。
4 业务策略的类型及排列顺序
如表6-3所示,在启用了业务管理之后,系统会形成七种业务策略:
1. 为使hiper正常工作而自动生成的名称为“lan”、“dns”以及“dhcp”的系统缺省业务策略,它们分别用来允许访问lan口、允许dns、dhcp服务;
2. 自定义的个人用户策略,可能是禁止或允许该个人用户的某项上网业务;
3. 自定义的工作组策略,可能是禁止或者允许该工作组的某项上网业务;
4. 系统自动生成的某工作组的全局策略,默认是禁止该组除定义过的其他业务。当为某工作组定义业务策略后,系统会自动生成该组的全局策略,名称为“grpx_other”,x为阿拉伯数字,按照配置顺序依次为1、2、3……;
5. 自定义的系统默认(ipssg)组策略,可能是禁止或者允许ipssg组的某项上网业务,但是该组的起止ip地址不能修改;
6. 系统自动生成的ipssg组的全局策略,默认是允许ipssg组除定义过的其他业务,该业务策略的名称为“pass”。可在web管理界面—]高级配置—]业务管理—业务管理全局配置(章节6.2.3)中,通过设置“允许其它用户”来指定其“动作”
默认是选中,表示允许;
7. 系统自动生成的全局策略(作用于局域网所有用户),允许所有数据包(包括其他非ip类型的包)通过,该业务策略的名称为“generic”。
一般情况下,所有的业务策略将按照如表6-3中的顺序排列在“业务策略信息列表”中,其中,按照从上到下的顺序依次是:最上面为“lan”、“dns”及“dhcp”这3条策略,之后是自定义的个人用户策略,然后是工作组策略,最下面为“pass”和“generic”这2条策略。需要指出的是,“lan”、“pass”及“generic”这3条系统自动生成的策略未在“业务策略信息列表”中显示。
对于工作组策略来说,缺省情况下,工作组策略将按照配置时的顺序从上到下依次排列,自定义的工作组策略将自动位于该组全局策略上方,但用户可以通过参数“插入位置”指定或调整某工作组策略的位置,并且,只能是在某工作组内部或工作组之间调整。注意,如果将某条自定义的工作组策略插入到该工作组全局策略下方,这条策略将不再起作用。
对于个人用户策略来说,缺省情况下,个人用户策略将按照配置时的顺序从上到下依次排列,但用户可以通过参数“插入位置”指定或调整某个人用户策略的位置,并且,只能在个人用户策略之间调整。
5 业务策略的执行顺序
web ui中默认是在lan口启用业务管理功能,hiper将检查来自局域网内部,从lan口进入hiper的数据包。
当来自局域网内部的数据包到达lan口后,hiper将从“业务策略信息列表”的顶端开始向下搜索该表,查找第一个与数据包的源地址、目的地址、协议、目的端口、源端口以及接收到数据包请求的时间相匹配的策略。匹配的第一个策略将被应用于数据包,并且,后面的策略不再检查。如果没有找到匹配的策略,出于安全考虑,该数据包将被丢弃。
由于hiper将会对数据包执行第一个匹配的策略所定义的动作,因此,必须按照从特殊到一般的顺序安排、配置策略。特殊策略不排除位于列表下部的更一般性策略的应用,但位于特殊策略前的一般性策略会产生此排除效应。举个例子来说,要求禁止局域网某工作组用户使用msn业务,允许其他所有业务,那么,禁止msn业务的策略必须在允许所有业务的策略的上方。否则,如果允许所有业务的策略在上方,那么禁止msn业务的策略将未起作用,该工作组用户将仍旧可以使用msn业务。