1.访问控制策略
包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。未匹配任何网络访问控制规则的流量,动作为放行。
访问控制策略中,包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙,根据数据的源、目的IP地址和网络服务进行允许和拒绝。 服务/应用 + 方向[用户发起、接收] + 目的地址 + 时间计划 + 动作[允许、拒绝]。
2.用户审计策略
审计用户的上网行为、流量时长等,方便对用户的行为进行监控和使用流量时长等进行分析。
开启用户审计之前必须开启应用识别功能;目前控制器对本地转发和集中转发模式都支持审计,但本地转发不支持审计用户的上网流量和时长。
3.流速限制策略
流速限制策略可以对每一个终端的流速合理限制,以避免部分终端的流速过大占用带宽。
流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大。例如设定为发送最大限制为 10 Mbps,则对使用此策略的每一个无线终端,最大发送流速都将被限制为 10 Mbit / 秒,也就是:1.25 MB/秒。 注意:方向中的发送、接收,是从无线客户端的角度看,也就是发送指无线客户端发送到无线接入点,接收指从无线接入点发送到无线客户端。
限制用户的某段时间内的上网的最大时长或使用的总流量大小,可以设置当用户上网达到这个阈值后在配额控制周期内不能再次进行认证或者封锁一段时间后才可以再次接入网络,以避免长时间蹭网或者影响办公。
流量配额及上网时长控制策略可以限制用户的上网时长和总流量大小,可以设置一个上网时长或者流量的阈值(上网的最大时长或者能使用的最大流量),可以设置当用户上网达到这个阈值后在配额控制周期内不能再次进行认证或者只封锁一段时间。
注意:上网时长控制和流量配额可按需只开启上网时长策略或只开启流量配额策略,两者互不冲突;但同时配置时,只要终端满足其中一个策略,则用户就会触发策略动作被踢下线。
5.高级选项
(1)DNS访问控制 启用“在请求DNS域名解析时对域名进行访问控制” 后,会直接将DNS请求中的域名作为URL分类库的查询条件,并将查询结果作为访问控制策略的应用匹配条件。 DNS访问控制 配置本地转发应用识别时,在【接入点配置】-【本地转发应用控制】中启用本地转发识别控制策略,流量处理方式为“仅DNS控制”时,需开启“DNS访问控制”。 (2)入站参数 勾选“启用终端服务控制”后,将禁止外部设备主动对关联该角色的无线终端设备发起的任何连接请求; 勾选“允许PING” 后,则将允许外部设备主动发起对无线终端的PING命令,但连接请求仍然是禁止的。 (3)出站参数 勾选“启用广播/组播包文控制”后,将禁止关联该角色的无线终端主动发出的所有广播/组播报文。若需要放通部分广播/组播包,则在下面勾选对应的报文进行放通。 (4)出入站参数 终端出入站是为提高无线用户网络安全,是在AP层面上对终端进行隔离,通过禁ping、组播/广播报文控制等功能,用以保障无线用户网络安全。仅对接入点用户生效。 |