2.1 举例：上网行为管理和带宽管理综合场景
配置部门/用户的上网行为控制和审计策略以及带宽管理策略，控制和审计部门/用户访问Internet的行为并进行带宽管理。

但对于某些特殊用户，不控制和审计其访问Internet的行为，且需要保证其最小带宽。

此外，所有部门/用户访问某些信任地址（如Windows补丁
更新服务器）均不进行上网行为控制和审计。

组网需求
如图2-1所示，ASG以网桥模式部署。

图2-1上网行为管理和带宽管理综合场景典型组图
具体需求如下：
∙需求一：“部门A”中的“用户a1”为特殊用户，不需要对其上网行为控制和审计。

∙需求二：对于“部门A”中的其他员工以及后续新增子部门和员工，上班时间（周一到周五，8:30～18:00）只能访问工作类网站，且任何时候均只能浏览，不能通
过论坛、博客等提交文本内容和外发文件。

∙需求三：对于“部门A”中的其他员工以及后续新增子部门和员工，审计员工访问的网站，并记录员工访问次数，了解员工的上网情况。

∙需求四：“部门A”中所有员工访问Windows补丁更新服务器均不受控制和审计。

∙需求五：“部门A”员工可使用的最大下载带宽为10MB/s，为保证“用户a2”拥有足够带宽且不影响其他用户正常上网，需要保证其最小下载带宽为4MB/s，最
大带宽为5MB/s。

配置思路
1.通过快速向导配置ASG以网桥模式部署，确保网络通信正常。

菜单路径为“网络 > 快速向导”。

2.创建本地部门/用户或者从第三方服务器导入部门/用户，并配置部门/用户的认证
策略。

只有分配给部门/用户的内容控制策略才有效。

菜单路径为“用户管理 > 上网用户 > 部门/用户”。

3.为实现需求一，将“用户a1”的账号添加到免管控用户。

菜单路径为“用户管理 > 上网用户 > 免管控用户”。

4.为实现需求二中的“部门A”上班时间段只能浏览工作类网站，配置上网权限
策略，只有工作类网站动作配置为“允许”，其他分类的动作配置为“阻断”，并且引用时间段对象“work_time”，将该策略分配给“部门A”。

菜单路径为“策略管理 > 上网策略”，在“上网策略列表”中单击“新建”，选择“上网权限策略”。

5.为实现需求二中的“部门A”任何时候不能通过论坛、博客等提交文本内容和
外发文件，配置内容控制策略，启用“WEB内容控制”子策略，完全禁止信息外传，并将该策略分配给“部门A”。

菜单路径为“策略管理 > 上网策略”，在“上网策略列表”中单击“新建”，选择“内容控制策略”。

6.为实现需求三，配置审计策略，在审计策略中记录访问的网站和下载文件的行
为。

菜单路径为“策略管理 > 上网策略”，在“上网策略列表”中单击“新建”，选择“审计策略”。

7.为实现需求四，需要将Windows补丁更新服务器地址加入到“全局排除地址”。

菜单路径为“系统 > 全局排除地址”。

8.为实现需求五，需要配置WAN区域到LAN区域的2级带宽策略，1级带宽策
略中设置“部门A”的最大带宽为10MB/s（80Mbps），2级带宽策略中设置
“用户a2”的保证带宽为4MB/s（32Mbps），最大带宽为5MB/s（40Mbps）。

菜单路径为“策略管理 > 带宽管理”。

说明：
∙配置保证带宽的用户建议不要启用“允许多人同时使用该账号登录”功能，否则可能导致带宽保证错误。

例如对“用户a2”配置了保证带宽4MB/s，如果启用了“允许多人同时使用该账号登录”功能，当“用户a2”的账
号同时在多台PC上认证通过时，多台PC均会得到最小带宽4MB/s的保
证带宽。

∙配置保证带宽时必须配置整体限流策略，否则保证带宽不生效。

因为要通过整体限流策略对保证带宽进行限制，保证带宽总和不能大于整体限流策
略中配置的最大带宽。

∙“用户a1”是免管控用户，带宽管理策略对其不生效。

为了保证“用户a1”拥有足够带宽，整体限流策略中的最大带宽配置为链路实际带宽减去
为“用户a1”预留的带宽。

操作步骤
1.选择“网络 > 快速向导”或“网络 > 接口”配置接口基本参数，具体步骤略。

2.配置组织结构和认证策略，组织结构如图2-2所示，具体步骤请参见用户管理。

图2-2组织结构图
3.将“用户a1”的账号user1添加到免管控用户列表，实现需求一。

a.选择“用户管理 > 上网用户 > 免管控用户”。

b.在“免管控用户列表(不进行控制和审计)”中单击“添加”，将“用户a1”
添加到免管控用户列表。

c.单击“确定”。

4.配置上班时间段对象，在后面的上网权限策略中引用。

说明：
时间段的创建也可以在上网权限策略引用时间段的下拉列表中直接选择“新建时间段”。

a.选择“对象定义 > 时间段”。

b.在“时间段列表”中单击“新建”。

c.配置“周期时间段”为周一到周五的8:30～18:00。

d.单击“确定”。

5.配置上网权限策略，实现“部门A”员工上班时间段只能访问工作类网站。

a.选择“策略管理 > 上网策略”。

b.在“上网策略列表”中单击“新建”，选择“上网权限策略”，除工作类
动作设置为“允许”外，其他所有分类的动作均设置为“阻断”。

c.选择“部门和用户”页签。

d.单击“添加”，将该策略分配给“部门A”。

说明：
直接选中左侧部门结构树中的“部门A”默认已选中该部门的“新增子部门及用户”，表示该部门后续新增的子部门和用户均继承该上网权限策略。

e.单击“确定”。

f.选择“高级配置”页签。

g.在“生效时间段”中选择引用的时间段对象“work_time”。

h.单击“确定”。

6.配置内容控制策略，实现“部门A”员工只能浏览网页，不能通过Web提交文
本内容和外发文件。

a.在“上网策略列表”中单击“新建”，选择“内容控制策略”。

b.启用“WEB内容控制”子策略，并选择“完全禁止信息外传”。

c.选择“部门和用户”页签。

d.单击“添加”，将该策略分配给“部门A”。

说明：
直接选中左侧部门结构树中的“部门A”默认已选中该部门的“新增子
部门及用户”，表示该部门后续新增的子部门和用户均继承该上网权限
策略。

e.单击“确定”。

7.配置审计策略，记录“部门A”的上网行为。

a.在“上网策略列表”中单击“新建”，选择“审计策略”。

b.启用“WEB审计”，记录URL访问和HTTP下载文件行为。

c.选择“部门和用户”页签。

d.单击“添加”，将该策略分配给“部门A”。

说明：
直接选中左侧部门结构树中的“部门A”默认已选中该部门的“新增子部门及用户”，表示该部门后续新增的子部门和用户均继承该上网权限策略。

e.单击“确定”。

8.将Windows补丁更新服务器地址加入全局排除地址。

a.选择“系统 > 全局排除地址”。

b.在“全局排除地址”中单击“新建”。

c.单击“确定”。

9.配置整体限流策略和每IP限流策略。

a.选择“策略管理 > 带宽管理 > 基本配置”。

b.单击“启用”。

c.选择“策略管理 > 带宽管理 > 带宽策略”。

d.在“带宽策略列表”中单击“新建”，选择“新建策略”，为部门A设置
最大带宽80Mbps。

e.单击“确定。

”
f.在“带宽策略列表”中单击“新建”，选择“新建子策略”，为用户a2配
置保证带宽32Mbps，最大带宽40Mbps。

g.单击“确定”。

结果验证
1.以“user1”账号认证通过后上班时间可以访问任何网站，可以发帖，在管理中
心查看不到该用户的上网记录。

2.“部门A”的其他用户（以“user2”为例）认证通过后上班时间只能访问工作
类网站，访问其他类别网站（如P2P类）被重定向到阻断提示页面，下班后可
以访问任何网站，且在任何时候均不能进行发帖等文本内容提交和文件外发操
作。

在管理中心可以查看该用户上网的日志明细和报表。

3.“部门A”的任何用户在任何时间可以从Windows补丁更新服务器中下载补丁，
且在管理中心查看不到访问该服务器的日志记录。

4.以“user2”账号认证通过后，下载带宽在4MB/s到5MB/s之间。