1 工作组策略配置实例
当配置了某工作组的业务策略后,系统会自动添加一个该工作组的全局策略,该策略的动作默认是禁止该工作组的所有业务,它结合该工作组已设置的其他业务策略形成该工作组完整的策略体系。在“业务策略信息列表”中,该工作组的全局策略将自动位于为该工作组自定义的业务策略的下方(可根据起止地址来判断该全局策略属于哪个工作组)。因此对于该工作组来说,当hiper从网络接口上收到一个数据包时,将优先匹配该工作组自定义的业务策略,当这些业务策略均不匹配后,才去匹配该工作组的全局业务策略。
例如,当一个工作组设置一个允许ftp的策略,并且该工作组的全局策略的动作为禁止,那么,在“业务策略信息列表”中,ftp策略将位于该组全局策略的上方。所有来自该组的ftp连接都将与这个ftp策略匹配,于是被允许通过。而其它任何类型服务的连接请求都将不会被这个ftp策略所匹配,于是,它们将去匹配该组全局策略,由于该组全局策略的动作为禁止,于是hiper将禁止这条连接。
工作组的全局策略只允许编辑“动作”及“插入位置”。如果删除工作组的全局策略
ipssg组策略对该工作组用户也起作用。一般情况下,不要删除工作组的全局策略。
可通过设置“插入位置”将某条自定义的工作组策略插入到该工作组全局策略下方,也可通过设置“插入位置”将某工作组全局策略移到该工作组某条自定义的业务策略的上方。上述任何一种情况下,对于某工作组来说,位于该工作组全局策略下方的自定义的业务策略将不再起作用。
下面将举例说明不同情况下,如何设置工作组的全局策略的动作。
需要说明的是:以下几个例子中的工作组“sale”的具体配置可参见web管理界面—]高级配置—]组管理—]工作组配置实例(章节6.1.4)。时间段“worktime”和“freetime”的具体配置可参见web管理界面—]基本配置—]时间段配置—]时间段配置实例(章节4.6.4)。
1. 如果要限制某一工作组只允许某些上网业务,那么该工作组的全局策略的动作应该设成禁止。
例如,要求:只允许“sale”组的web业务,禁止该组其他所有上网业务。
要配置的策略是:
自定义策略1,允许“sale”组的web业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组用户的所有上网业务,如表6-6、6-7所示。
2. 如果要限制某一工作组只禁止某些上网业务,那么该工作组的全局策略的动作应该设成允许。
例如,要求:只禁止“sale”组的用户访问网站http://www.playboy.com(ip地址为209.247.228.201)和网站http://www.cnn.com(ip地址为64.236.24.12),允许该组其他所有上网业务。
1)方法1,过滤类型选择“ip过滤”
要配置的策略是:
自定义策略1,禁止“sale”组访问目的地址:209.247.228.201;
自定义策略2,禁止“sale”组访问目的地址:64.236.24.12;
系统会自动生成一条该组的全局策略grp1_other,这时需将其动作修改成“允许”,如表6-8、6-9所示。
2)方法2,过滤类型选择“url过滤”
要配置的策略是:
自定义策略1,禁止“sale”组访问目的网站:www.playboy.com;
自定义策略2,禁止“sale”组访问目的网站:www.cnn.com;
系统会自动生成一条该组的全局策略grp1_other,这时需将其动作修改成“允许”,如表6-10、6-11所示。
3. 如果要限制某一工作组的某些上网业务在不同时间段有不同的权限,那么该工作组的全局策略的动作应该设成禁止。
例如,要求:时间段“worktime”(工作时间)内只允许“sale”组的web业务,时间段“freetime”(业余时间)开放sale组的所有业务。
要配置的策略是:
自定义策略1,允许“sale”组用户在时间段“worktime”的web业务;
自定义策略2,允许“sale”组用户在时间段“freetime”的所有业务;
系统会自动生成一条该组的全局策略grp1_other,禁止该组其他所有上网业务,如表6-12、6-13所示。
2 个人用户策略配置实例
如前所述,如果某个工作组中有个别用户的上网需求与该组其他用户基本相同,但同时也有少数一个或几个特别需求;或是某个用户突然有了新的上网需求时,就需要对这个用户单独定义业务策略。
例如,要求:允许“sale”组(配置同上一节)的web业务,禁止该组的其他所有上网业务。特别地,允许该组ip地址为192.168.16.66的用户在时间段“freetime”的所有上网业务。
要配置的策略是:
自定义策略1,允许“sale”组的web业务;系统会自动生成一条该组的全局策略grp1_other,禁止所有业务;
自定义策略2,允许ip地址为192.168.16.66的用户的所有上网业务;该策略将自动位于策略1的上方。
当然,也可以先配置策略2,再配置策略1。不管配置顺序如何,在“业务策略信息列表”中,如表6-14、6-15所示,针对该用户的业务策略将始终位于针对“sale”组的业务策略的上方。
3 源端口的应用实例
一般情况下,业务策略是为了控制局域网主机的上网行为,因此无需设置参数“源起始端口”和“源结束端口”,hiper将自动开放所有源端口。上述两节中所提供的工作组和个人用户策略配置实例均是用来控制局域网主机的上网行为的。
但是,如果业务策略是为了限制internet上的外网主机对局域网内部主机(比如某台服务器)的访问,就需要在该策略中指定“源起始端口”和“例如,要求:某网吧有一台游戏服务器(ip地址为192.168.16.200/24),现希望该服务器对外只提供某游戏服务(端口号为7000、7100和7200,协议使用tcp),并且只对它的另外两个连锁网吧开放(公网ip分别为:201.222.5.121/29和201.222.5.122/29);同时,禁止该服务器的其他所有上网业务。要配置的相关策略是:
源结束端口”。
自定义策略1,允许该服务器的源端口7000对指定目的ip地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略2,允许该服务器的源端口7100对指定目的ip地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略3,允许该服务器的源端口7200对指定目的ip地址(即201.222.5.121/29和201.222.5.122/29)开放;
自定义策略4,禁止该服务器的所有上网业务。
策略1、2、3的配置步骤类似,下面以策略1的配置步骤为例进行说明,如图6-9所示:
第一步,在“策略名”中填入“1”;
第二步,在“组选择”中选择“新个人用户”,并在第一个下划线上填入“192.168.16.200”;
第三步,在“过滤类型”中选择“ip过滤”;
第四步,“协议”选择“6(tcp)”,“常用服务提示”选择“所有”;
第五步,在“目的起始地址”和“目的结束地址”中分别填入“201.222.5.121”、“201.222.5.122”;
第六步,在“源起始端口”和“源结束端口”中均填入“7000”;
第七步,“动作”选择“允许”;
第八步,单击“保存”按钮,该策略配置完成。
在配置策略2和策略3时,在“组选择”中只需直接选择“192.168.16.200”即可。
策略4的配置步骤如下:
第一步,在“策略名”中填入“4”;
第二步,在“组选择”中选择“192.168.16.200”;
第三步,“协议”选择“所有”;
第四步,“动作”选择“禁止”;
第五步,单击“保存”按钮,该策略配置完成。
还必须在web管理界面—]高级配置—]nat和dmz配置—]nat静态映射(章节6.3.4中)中为该服务器配置相关的nat静态映射,该游戏服务器才能对外提供相关服务。