保護企業免遭互聯網威脅的最集中的硬件設備解決方案，除了集成最佳的URL過濾、WEB應用報告、實時(shí)監控以及內(nèi)部威脅清除等功能之外，還(hái)應該包括多(duō)層次管理(lǐ)功能。當擁有(yǒu)分公司/子公司分布在各個(gè)不同城市或國家(jiā)的中大(dà)型企業希望在公司大(dà)方向的安全策略下，給予不同分公司或子公司某種程度權限修改其适合的安全策略時(shí)，就需要采用分層管理(lǐ)功能協助企業完成目标。單一的管理(lǐ)層僅适用于獨立企業集中管理(lǐ)的安全策略，無法因應不同分公司與子公司的Web需求，也會(huì)增加總公司IT人(rén)員的工作(zuò)負擔。

保護企業免遭互聯網威脅的最集中的硬件設備解決方案，除了集成最佳的URL過濾、WEB應用報告、實時(shí)監控以及內(nèi)部威脅清除等功能之外，還(hái)應該包括多(duō)層次管理(lǐ)功能。當擁有(yǒu)分公司/子公司分布在各個(gè)不同城市或國家(jiā)的中大(dà)型企業希望在公司大(dà)方向的安全策略下，給予不同分公司或子公司某種程度權限修改其适合的安全策略時(shí)，就需要采用分層管理(lǐ)功能協助企業完成目标。單一的管理(lǐ)層僅适用于獨立企業集中管理(lǐ)的安全策略，無法因應不同分公司與子公司的Web需求，也會(huì)增加總公司IT人(rén)員的工作(zuò)負擔。

多(duō)層次管理(lǐ)功能應包含全球管理(lǐ)員、群組管理(lǐ)員、最低(dī)過濾級别、群組、子群組、檢測範圍、特别帳戶、同步集中控制(zhì)管理(lǐ)等方面。其中，全球管理(lǐ)員（Global Administrator）是一個(gè)擁有(yǒu)所有(yǒu)過濾設備絕對控制(zhì)權的帳戶。全球管理(lǐ)員能夠根據公司安全策略，在Web內(nèi)容安全過濾設備上(shàng)建立不同的群組，并且再為(wèi)每個(gè)群組建立一個(gè)小(xiǎo)組。全球管理(lǐ)員能夠無限制(zhì)地控制(zhì)所有(yǒu)Web內(nèi)容安全過濾設備的功能。

群組管理(lǐ)員由全球管理(lǐ)員建立。在全球管理(lǐ)員授權修改的安全策略範圍內(nèi)，群組管理(lǐ)員帳戶可(kě)以針對群組的需求修改适合的安全策略。群組管理(lǐ)員所修改的安全策略僅能影(yǐng)響到這個(gè)帳戶所管理(lǐ)群組。每一個(gè)群組，可(kě)以隻設立一個(gè)小(xiǎo)組管理(lǐ)員賬戶。

最低(dī)過濾級别（Minimum Filtering Level (MFL)）是由全球管理(lǐ)員定訂的過濾級别。最低(dī)過濾級别是全公司無論哪一個(gè)群組必須一緻執行(xíng)的最低(dī)标準策略。例如，當公司定訂最低(dī)限度的安全策略标準是過濾色情與信息安全威脅相關類别，群組管理(lǐ)員就不能夠從該群組的過濾器(qì)設備中取消任何與色情和(hé)信息安全威脅類别相關的安全策略，僅能針對其它類别訂定适合的安全策略。當公司要全面實行(xíng)安全使用政的同時(shí)，又希望給予各群組某種程度的修改權限時(shí)，MFL就非常有(yǒu)用。下遊的群組管理(lǐ)員可(kě)以增加最低(dī)過濾級别的類别，但(dàn)是無法清除由全球管理(lǐ)員訂定的最低(dī)過濾級别的。

群組的定義是由全球管理(lǐ)員設定的一群使用者。例如：全球管理(lǐ)員可(kě)以設定子網絡 10.10.10.0/24 為(wèi)一個(gè)群組。全球管理(lǐ)員或群組管理(lǐ)員均可(kě)以建立一個(gè)子群組。子群組用于更進一步描述小(xiǎo)組的成員。以上(shàng)面的例子為(wèi)例，如果子群組以子網10.10.10.0 /24訂定為(wèi)一個(gè)群組，在這個(gè)群組下可(kě)以再創造子群組，例如10.10.10.0 /25和(hé)10.10.10.129 /25 。全球管理(lǐ)員可(kě)以确切判斷某一個(gè)IP地址是來(lái)自哪一個(gè)網域。

特别帳戶是一個(gè)用戶名/密碼，由全球管理(lǐ)員或群組管理(lǐ)員創建。其目的是要允許某其帳戶可(kě)以不受安全使用策略的限制(zhì)，造訪任何網站(zhàn)。全球管理(lǐ)員可(kě)以選擇允許特别帳戶繞過最低(dī)過濾級别，也可(kě)以選擇特别帳戶僅受最低(dī)過濾級别限制(zhì)。特别帳戶可(kě)以分配給任何使用者。

當公司配置多(duō)台過濾設備時(shí)，可(kě)允許過濾設備之間(jiān)建立主從關系，同步集中控制(zhì)管理(lǐ)所有(yǒu)過濾設備。當主要的過濾設備有(yǒu)任何改變時(shí)，附屬機上(shàng)也會(huì)體(tǐ)現出來(lái)。這項功能在多(duō)台過濾設備環境下非常有(yǒu)幫助，管理(lǐ)員可(kě)以免除手動一一變更設定的作(zuò)法。

既然我們了解了分層管理(lǐ)的功能，那(nà)麽分層管理(lǐ)在實際的工作(zuò)中有(yǒu)哪些(xiē)用途呢？不妨以案例來(lái)說明(míng)。舉例，一個(gè)有(yǒu)5所小(xiǎo)學、3所中學和(hé)2所高(gāo)中的學區(qū)辦公室擁有(yǒu)T3互聯網入口，利用T1連接每所學校(xiào)。所有(yǒu)互聯網接入必須通(tōng)過學區(qū)辦公室的端口連接互聯網。學區(qū)有(yǒu)可(kě)接受使用策略，所有(yǒu)學生(shēng)和(hé)學區(qū)員工均不得(de)訪問被分類為(wèi)色情、R級、賭博、非教育性在線遊戲、基于互聯網的電(diàn)子郵件、暴力和(hé)歧視(shì)、酒、違禁藥品、邪教和(hé)駭客相關的所有(yǒu)網站(zhàn)。然而，可(kě)接受使用策略中有(yǒu)一個(gè)例外：若經校(xiào)長同意，學區(qū)裏學校(xiào)的心理(lǐ)輔導師(shī)以及顧問為(wèi)了提升學生(shēng)品質以研究為(wèi)目的，可(kě)以訪問被限制(zhì)的網站(zhàn)。

在學區(qū)辦公室安裝8e6 R3000G網絡安全行(xíng)為(wèi)管理(lǐ)設備，用以過濾所有(yǒu)透過學區(qū)端口出去的互聯網流量。然後，學區(qū)的全球管理(lǐ)員建立一個(gè)最低(dī)過濾級别，用來(lái)阻擋學區(qū)可(kě)接受使用策略中最低(dī)應被限制(zhì)訪問的網站(zhàn)類别。建立最低(dī)過濾級别的同時(shí)，全球管理(lǐ)員也建立特别帳戶給予學校(xiào)的心理(lǐ)輔導師(shī)以及顧問并授權她們可(kě)以訪問被最低(dī)過濾級别限制(zhì)的網站(zhàn)。然後，再為(wèi)每一所學校(xiào)建立不同的群組與群組管理(lǐ)員賬戶，賬戶由每一所學校(xiào)的校(xiào)長控制(zhì)，除了最低(dī)過濾級别不能清除之外，這些(xiē)群組管理(lǐ)員賬戶均可(kě)以根據學校(xiào)的策略設定符合學校(xiào)需求的安全使用策略。任何用戶的互聯網訪問行(xíng)為(wèi)不僅會(huì)被學區(qū)可(kě)接受使用策略的最低(dī)級别管理(lǐ)，還(hái)能開(kāi)放給需要做(zuò)研究的用戶訪問被限限制(zhì)的網站(zhàn)。

以上(shàng)是在校(xiào)園環境下的分層管理(lǐ)，下面以企業為(wèi)案例的分層管理(lǐ)實踐。比如，一個(gè)集團網絡的所有(yǒu)分公司均需經過總公司端口連結互聯網，總公司的信息中心用OC-3互聯網連接，并且擁有(yǒu)可(kě)改變到每分公司流量的連接。為(wèi)了使每個(gè)子子公司和(hé)分公司能夠訪問互聯網，這些(xiē)子公司和(hé)分公司的連接必須經過集團的信息中心。

總公司發布可(kě)接受應用策略的執行(xíng)，要求所有(yǒu)分公司不允許使用IM或訪問含有(yǒu)惡意程序、股票(piào)、流媒體(tǐ)、在線購物、在線遊戲、網絡電(diàn)郵、色情、賭博、憎恨和(hé)歧視(shì)以及所有(yǒu)非法活動。可(kě)接受應用策略還(hái)說明(míng)每家(jiā)分公司可(kě)以制(zhì)訂自己的可(kě)接受應用策略。在信息中心，網管員安裝了3台負載平衡8e6 R3000、2台R3000S網絡安全行(xíng)為(wèi)管理(lǐ)設備，來(lái)處理(lǐ) 155.5Mbps的流量，并且還(hái)安裝了一台備用R3000.這些(xiē)設備采用R3000上(shàng)主機/附屬機同步集中控制(zhì)管理(lǐ)功能。網管員為(wèi)R3000s做(zuò)了配置，滿足總公司可(kě)接受應用策略的最低(dī)過濾級别。他還(hái)為(wèi)每分公司創建了一個(gè)群組，并且為(wèi)每個(gè)群組設定了一個(gè)管理(lǐ)員。

在每個(gè)分公司，網絡管理(lǐ)員能夠利用提供的群組帳戶登錄。網絡管理(lǐ)員可(kě)選擇使用集團提供的最低(dī)過濾級别或者增加最低(dī)過濾級别。重要的是網絡管理(lǐ)員不能提總公司設立的要求。比如，西分公司能夠收到群組帳戶，而永遠不能登錄R3000。這樣做(zuò)的結果就是所有(yǒu)分公司的用戶能夠在總公司可(kě)接受應用策略的基礎之上(shàng)實現過濾。

在東區(qū)分公司，網絡管理(lǐ)員需要采用比總公司更加嚴格的可(kě)接受應用策略。因此，網絡管理(lǐ)員可(kě)以利用現有(yǒu)群組帳戶登錄。為(wèi)了滿足分公司的可(kě)接受應用策略，他可(kě)以申請(qǐng)過濾額外的目錄內(nèi)容。在北區(qū)分公司，分公司的可(kě)接受應用策略會(huì)比總公司制(zhì)訂的嚴格并且還(hái)要符合總公司的制(zhì)訂的最低(dī)過濾級數(shù)的可(kě)接受應用策略。本案例中，北區(qū)網絡管理(lǐ)員會(huì)利用群組帳戶登錄并且為(wèi)北區(qū)中的各個(gè)分公司建立另一個(gè)子群組。如此一來(lái)，北區(qū)分公司可(kě)以自行(xíng)制(zhì)訂更加嚴格的應用策略。在南區(qū)分公司，南區(qū)分公司的網絡管理(lǐ)員是不支持互聯網過濾。因此，他漠視(shì)總公司的可(kě)接受應用策略，并且想要利用群組帳戶來(lái)取消互聯網過濾限制(zhì)規避總公司對分公司的互聯網訪問管控。然而，當他利用總公司提供的群組帳戶登錄R3000 GUI時(shí)，卻發現他不能改變總公司的最低(dī)級數(shù)的可(kě)接受應用策略。因為(wèi)盡管南區(qū)分公司沒有(yǒu)自訂的可(kě)接受應用策略，他們仍然被總公司的可(kě)接受應用策略管控。

以上(shàng)兩個(gè)案例，詳細說明(míng)Web內(nèi)容安全過濾設備中多(duō)層次管理(lǐ)功能在不同行(xíng)業的應用及效益。選購設備時(shí)，除了應有(yǒu)的基本過濾功能外，擁有(yǒu)有(yǒu)完善的管理(lǐ)功能也能夠協助大(dà)型教育、政府、企業單位更有(yǒu)彈性、更有(yǒu)效率的實行(xíng)安全應用策略。8e6科技(jì)網絡安全行(xíng)為(wèi)管理(lǐ)解決方案不僅僅擁有(yǒu)完善的過濾、報告、威脅分析等功能，在應用安全策略制(zhì)訂的方面的管理(lǐ)功能也非常彈性，其中包括：多(duō)層級管理(lǐ)（群組、部門(mén)、使用者IP、網域）、認證的整合（LDAP、AD、SSO、Radius以及Web Base使用者）、訪問時(shí)間(jiān)管理(lǐ)、訪問日期管理(lǐ)、訪問類别管理(lǐ)等等。

重慶中技互聯網信息咨詢有限公司
重慶網站(zhàn)建設事業部官方網：www.zjcoo.com
電(diàn)子商務建站(zhàn)事業部咨詢電(diàn)話(huà)：023-67742189
門(mén)戶網站(zhàn)品牌加盟推廣電(diàn)話(huà)：023-67742189
7*24小(xiǎo)時(shí)服務電(diàn)話(huà)：023-67742189
媒體(tǐ)合作(zuò)電(diàn)話(huà)：13883323406
投資合作(zuò)電(diàn)話(huà)：13896068183
QQ及郵件地址：446515345@qq.com