#需求 甲区域

1. 只允许访问几个特定的工作网站；
2. 允许所有的邮件服务；
3. 其他所有网络都禁止访问；
4. 领班额外可以访问新浪微盘；
5. 晚上十一点至次日七点之间可以访问视频及购物网站

乙区域

1. 禁用即时通讯工具；
2. 禁用下载工具；
3. 禁用视频播放；
4. IE浏览全天候开放；
5. 购物网站禁用；
6. 晚上十一点至次日七点之间可以访问视频及购物网站

领导办公室

1. 禁止浏览视频网站；
2. 禁止使用下载工具；
3. 限速 400kb/s；

#分析 ##区域 一共分为五个区域：

1. 领导
2. 甲区域
3. 乙区域
4. 乙区域领班及大屏
5. 服务器

##规则

1. 即时通讯
2. 下载工具
3. 视频播放
4. 购物网站
5. 工作网站
6. 新浪微盘
7. 网络限速
8. 电子邮箱
9. 网络协议

限制大致就是白名单和黑名单两种。 黑名单很简单，只需要调用现有的规则就可以了。 白名单除了客户给的几个内部网站外，还需要考虑网站调用的各种外部资源、软件及系统更新。因为要访问网站还需要考虑放通 DNS、HTTP 等协议，便于网管还需要开放 ICMP、SNMP 等协议。

##操作顺序

1. 建立地址库；
2. 建立 IP 组；
3. 建立时间计划组；
4. 新增上网策略
5. 将策略与用户（这里用IP地址）进行绑定；
6. 新增排除规则
7. 测试策略是否生效；

#操作 以下内容建立在深信服 AC 6.1 上，其他版本可能有所不同。 ##建立白名单地址库 菜单 > 对象定义 > URL 分类库 > 新增 然后在URL栏中添加需要访问的工作网站。

##建立 IP 组 因为这边没有做人员与用户一对一的关系绑定，所以采用对 IP 地址来做分组。 菜单 > 对象定义 > IP 组 > 新增

##建立时间计划组 要把工作繁忙期间与凌晨时间段做区分，凌晨可以适当开放部分网站的浏览。 菜单 > 对象定义 > 时间计划组 > 新增 若某时间段跨零点，需要在一条计划中写两条规则。

##新增上网策略 菜单 > 用户与策略管理 > 新增 > 上网权限策略 我这边只需要做上网的限制，不需要对数据进行探测和过滤，所以用应用控制。

##排除 有些地址需要全局排除，如360更新等。

最后修改于 2015-12-14