其实,真正了解了ER400,你就会觉得之前用过的那些所谓的产品,配置界面太繁杂、纷乱了,就像没有经过整理的书架,而ER400把这些“东西”摆放的井井有条。在ER400的界面上,你甚至看不到“上网行为管理”的条目,但是它的上网行为管理功能,在体验上却超越了许多同类产品。这里的奥秘,在于“对象”里的“应用簿”和“防火墙”里的“策略”,下面,我们就以一个实例来演示ER400如何使用“上网行为管理”功能。
神州数码封杀QQ
我们这里模拟一次限制G1接口上所有的QQ应用,我们的内网接口是G1,外网接口是HG1。为了达到这个目的,我们只需要打开“防火墙”—>“策略”(展现在大家眼前的是“策略列表”),点击“新建”按钮,在弹出的“策略高级配置”对话框里,我们发现我们不但可以通过“安全域”进行控制,还可以精确到“地址”(IP地址)进行控制。
我们这里选择源安全域是“trust”,目的安全域是“untrust”,注意,策略管控的两个网络,不能在一个安全域里。在应用簿下拉列表,我们找到“QQ”选项并选中,然后在下面的“行为”选项里选择“拒绝”,并确认此条策略。
神州数码ER400策略列表
现在,策略列表里有了两条策略,一条系统自建全部允许的策略,另一条是我们刚刚创建的封杀QQ的策略,主要信息可以在这个列表里看到,比如应用“QQ”和缺省行为“拒绝”等。每条策略的左侧都有一个复选框,对应“活跃”这一列,如果你想让某条策略失效,只需取消选中对应的复选框即可。除此之外,我们还可以在右侧的几个按钮“编辑”、“删除”、“调整顺序”等进行编辑。
神州数码策略列表调整策略顺序
谈到这个“调整顺序”,有必要给大家单独提一下,ER400的策略是有顺序之分的,这个顺序不仅仅是视觉上的先后顺序,更是策略应用的先后顺序。这里我们看到策略1是系统默认策略,允许所有应用,而策略2是我们新建的策略应用,这时候默认策略在新建策略之先,如果我们把它们的顺序调整一下,我们的封杀QQ就失效了。
原因在于,我们先封杀了QQ,又允许了所有应用,等于没有应用。所以,如果你在使用ER400策略时,发现策略没有问题,但是无法生效,可以检查一下它们的排序。一定要在逻辑先后顺序上理清它们,否则你的策略就可能失去了意义。
