本帖最后由 sangfor2114 于 2017-12-14 17:12 编辑
需求:内网要运行了杀毒软件之后才可以上网,只要运行规定(360杀毒软件/卡巴斯基/金山毒霸/百度杀毒软件)的任意一个杀毒软件就可以上网
初次看到这个需求,心里想很简单,新增准入规则,然后再建准入组合规则,然后再调用这个规则,完事儿~~~可惜,玩玩没有想到,被准入虐了一下!!!!
处理步骤: 1、先在【对应定义】-【准入规则】-新增【进程规则】,如下,先将360杀毒的进程定义出来,那么按照下面的这个来进行定义的时候,意思是:如果没有运行360sd.exe则禁止用户上网
同理再新增一个ksafe.exe,另外的2个软件同理新增,这里就不截图了~~~~
2、再搭配组合策略,如下图,配置好~~
3、【上网策略】-【准入策略】,调用【杀毒监控组合】,然后匹配给适用的用户(这个地方先给一个用户来适用,万一没有安装好准入控件,内网断网就不好了~~)
4、开始测试 1)、打开网页,准入页面出来了,安装好准入控件 2)、电脑运行了360杀毒软件,满怀期待的打开网页,额,还是无法上网,弹出了准入不符合检测规则的页面???难道打开方式不对,运行金山毒霸试试看?额,还是无法上网?
Why???Why???给我一个解释~~
5、回过头来梳理一下错在什么地方了呢??? 1)、看自定义的准入规则,逻辑上没有错,没有运行这个进程就断网 2)、看准入组合策略,这条策略就是:当这个下面的任意一个规则成立的时候,就禁止用户上网~~~那这些规则是说,没有运行xx进程的时候就禁止用户上网;;那一汇总,意思就是说:当内网只要有一个xx进程没有成立的时候,就禁止用户上网!!!!但是我要是仅运行了360杀毒软件,没有运行金山毒霸,那不就上不了网了么? 原来问题在这里!!!! 正确的应该是:当这4个进程都没有运行的时候,才禁止用户上网,所以应该是所有规则都成立才对!!!!
马上修改: 6、再来测试看看呢!!! 仅运行360杀毒软件,内网可以上网了~~~~退出360杀毒软件,内网就不能上网了~~~
换其他的软件试试,都是ok的~~达到效果~~~~
拓展准入相关知识点: 1、客户端在安装准入控件时,通过管理员administrator的身份登陆pc并且关闭 PC上的杀毒软件 2、准入控件支持的操作系统有 win XP,win7(32 位),win7(64 位),win8,win10 (仅支持window操作系统安装哦!!!) 3、准入不支持nat环境,即如果内网内网用户有无线路由器并且做了nat,那么要实现针对于这个下面的用户做准入策略,是不支持的 4、4.3版本开始,双机支持准入 5、4.0版本开始,旁路支持准入 6、所有版本,多机(主主)模式均不支持准入 8、窗口名称以及程序路径可以不设置,但是进程名称或者窗口名称需要二选一,设置其中一个,进程名称或者窗口名称只要有一个是满足条件的,即可认为符合规则 9、准入控件离线下载链接
4.0之前手动下载准入控件链接:http://AC设备ip/singress.exe
4.0(含)之后手动下载准入控件链接:http://AC设备ip:817/singress.exe
--------------2017~12~14 更新--------------
今天又遇到一个类似的问题~ 需要实现上面的需求,但是规则配置都没有问题,准入卸载重装了也不行,可愁死人了~~~ 当时的配置如下:
6条明细规则:
举例其中一条明细的配置:
组合规则配置:
初看,未发现问题,但是用户上网的时候,就提示如下报错:
老习惯,认真看配置~~~~经过认真研究,发现:明细规则的类型和组合规则的类型都是一样的!!那我在上网策略里面选择这个类型的时候,岂不是除了组合规则的内容,明细规则的内容也都匹配上了么?
也就是说:5条明细规则+组合规则都需要匹配,意思就是:你不运行xx软件,你就无法上网,同时又说你这6个软件,都不运行就无法上网~~~这个地方是交集的关系,那就是说,6个软件我都运行才可以上网!!!好尴尬~~~
马上将6条明细规则改为自己对应的名字,,这样我在准入规则里面调用的时候,就不会调用到明细的,就只会看组合规则了!!!!
果真,测试是的~~~随便运行一个就可以了,,什么都不运行就会弹框提醒,不符合xx规则
这个逻辑稍微又点绕,大家有什么不明白的,欢迎留言哦!!!
| 
发表于 2017-4-1 09:27
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-4-1 11:48
