一直封不住QQ,是我的策略问题么?
公司规模:大约100人,100台机器网络环境:100M光纤,静态IP。PA接在海蜘蛛路由与2级交换机之间,连接正确
公司要求:上班时间封QQ,但允许特许的人上。全部开放VPN。封所有P2P和游戏。下班时间不限制
当前PA版本:代号"XIHAN(西汉)r11"
策略如下图:
现在的问题是:
QQ一直封不住,其他的譬如迅雷,网络电视等都可以封,策略调度没有问题
打开PA,能看到PA检测到某用户正在QQ聊天,用3CSyslog记录的日志也显示那些电脑在上QQ,可就是封不住,求指点~
监控统计
这个是被禁止上QQ的用户
依然可以上QQ
[ 本帖最后由 pkone 于 2011-12-14 14:47 编辑 ] 先说一下你这边的问题 你这策略可以精简一下 你如果有并列关系的策略 你是否考虑把策略归纳到一个自定义的协议组里去比如 a+b=c 那么就用c来引用a和b···· ·这么做 策略组看着更直观可简洁,并且提高系统工作效率。
你可以试试这么做有几种办法 如下
第一种100 任意路径 any any QQ聊天 阻断 继续
101 网桥1-->双向 允许QQany QQ聊天 允许 停止
第二种做2个 IP组一部分允许QQ ,另一部分阻断,把需要阻断的IP统计出来放在一个IP组内,然后做个阻断 三个问题:
1,先阻断后允许,这是PA跟防火墙的不同
2,策略过多,导致有些IP无法限制,这是标准版150的限制
3,注意未知协议
楼主理解以上三个内容,QQ就可以阻断了。 谢谢楼上两位的热心回复,也许是我的理解有问题,但我的PA是当一个策略设置为“阻断”后,就不能在继续匹配了,如下图
不知道你们是如何做到阻断后还能让它们继续匹配后续的策略的 这个策略向下生效的前提在于本条策略必须先匹配上才能开始匹配下一条策略你可以简单的做个实验(实验好理解)
新定义一个策略组针对你自己做策略
比如 你给你自己做一个策略 限速到某个值然后匹配条件继续
下一条还是针对你自己做一个策略 阻断某个协议 然后 匹配条件为停止
然后在做针对你自己这个IP做两条策略 匹配条件换成停止 然后你对比两种效果你会豁然开朗 策略太过复杂,效率太低,看的都头晕了
先优化,精简
其实你的需求不算复杂,其实有几条策略就可以了
页:
[1]