除了聊天内容不审计，其他的能审计的都审计了，哈哈哈

我们主要是从安全+内网优化的角度去考虑来配置的。

1、屏蔽外部有风险的网站或应用的连接地址，让内网pc无法访问到，降低内网pc感染病毒木马等安全隐患。

2、屏蔽一些高耗带宽的应用，如迅雷下载，视频等，针对一些部门进行限制，因为他们没必要用到，拒绝掉可以腾出一些带宽给需要的部门使用。

3、屏蔽外部的邮件、网盘等有可能造成内部员工无意或恶意泄密的途径的相关应用。降低内网外发泄密风险。

4、上班时间屏蔽一些娱乐的应用，避免员工上班时间无心工作，提供员工工作效率。

5、内部上网行为审计，定期出一些日志报表给领导看，同时内网万一出现什么事情也有日志可查。

6、对于有些部门没办法一条切把应用封堵的，我们通过流控手段保障与工作相关的应用，管控一些没必要的流量，是公司的带宽流量能得到合理分配和优化。

淘宝啥的肯定是不能上的。开放某些特殊权限

1.上班时间拒绝P2P和迅雷等多线程下载，玩游戏，炒股，QQ和拒绝访问不良网站，下班时间全放行。

2.文件类型过滤可以根据指定的文件类型限制上传及下载。

3.邮件过滤适用smtp及smtps协议发送邮件过滤，一般是邮件客户端发送邮件。可以根据发件地址，收件地址，邮件标题或正文件中含有的关键字，邮件附件内容，邮件附件个数及邮件大小等条件进行过滤。

最近发现AC中出现一些未知的用户，经确认，并非我们分配IP合法入网的用户，公司内要上网是必须绑定IP地址的，也就有人不断尝试输入不同的IP进行尝试，只要有一个空闲的IP，AC就会自动绑定就能够上网了，肯定这是不安全的。经过研究，最终达到了对新入网用户的监控，实现步骤如下：

1.在【上网策略】中新增一条【上网权限策略】，添加全部应用，动作：拒绝，如图：

2.在【组/用户】中新增一个组，用于存放初次入网的用户，并添加策略刚才新建的上网权限策略，如图：

3.进入【认证策略】中的默认策略，将认证后处理中的【非本地/域用户使用该组上线】选定为步骤2中新建的组，如图：

这样就达到了我想要的效果了，AC的版本是11.9R1。

我们公司8000+的用户，28个组，35条策略，要使用最小权限法，除了工作使用的网站和应用，其他的一律禁止。先一条禁止策略，按照AC内置的分类，把娱乐、视频等网站禁止，该策略主要是禁止HTTPS加密的网站。第二条，开通业务需求的网站和应用，第三天和第四条是一条策略实现，应用所有的用户组，就是开通了公司的内部服务，和网络协议，这条策略就是为什么禁用了一些网站， 但是HTTPS还是能打开的根本所在，因为开通了SSL协议。最后一个再禁用全部。