Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 5639|回复: 5

一直封不住QQ,是我的策略问题么?

[复制链接]
发表于 2011-12-14 14:34:54 | 显示全部楼层 |阅读模式
公司规模:大约100人,100台机器

网络环境:100M光纤,静态IP。PA接在海蜘蛛路由与2级交换机之间,连接正确

公司要求:上班时间封QQ,但允许特许的人上。全部开放VPN。封所有P2P和游戏。下班时间不限制

当前PA版本:代号"XIHAN(西汉)r11"

策略如下图:

pa1.jpg
pa2.jpg

现在的问题是:
QQ一直封不住,其他的譬如迅雷,网络电视等都可以封,策略调度没有问题
打开PA,能看到PA检测到某用户正在QQ聊天,用3CSyslog记录的日志也显示那些电脑在上QQ,可就是封不住,求指点~

监控统计
pa3.jpg

这个是被禁止上QQ的用户
pa4.jpg

依然可以上QQ
pa5.jpg

[ 本帖最后由 pkone 于 2011-12-14 14:47 编辑 ]
发表于 2011-12-14 17:52:49 | 显示全部楼层
先说一下你这边的问题 你这策略可以精简一下   你如果有并列关系的策略 你是否考虑把策略归纳到一个自定义的协议组里去  比如 a+b=c   那么就用c来引用a和b···· ·这么做 策略组看着更直观可简洁,并且提高系统工作效率。
你可以试试这么做  有几种办法 如下
第一种  100   任意路径    any    any    QQ聊天    阻断    继续
               101   网桥1-->双向   允许QQ  any    QQ聊天    允许    停止

第二种  做2个 IP组一部分允许QQ ,另一部分阻断,把需要阻断的IP统计出来放在一个IP组内,然后做个阻断
发表于 2011-12-15 16:04:12 | 显示全部楼层
三个问题:
1,先阻断后允许,这是PA跟防火墙的不同
2,策略过多,导致有些IP无法限制,这是标准版150的限制
3,注意未知协议

楼主理解以上三个内容,QQ就可以阻断了。
 楼主| 发表于 2011-12-15 16:43:01 | 显示全部楼层
谢谢楼上两位的热心回复,也许是我的理解有问题,但我的PA是当一个策略设置为“阻断”后,就不能在继续匹配了,如下图
pa6.jpg

不知道你们是如何做到阻断后还能让它们继续匹配后续的策略的
发表于 2011-12-15 18:56:15 | 显示全部楼层
这个策略向下生效的前提在于本条策略必须先匹配上  才能开始匹配下一条策略  你可以简单的做个实验(实验好理解)
新定义一个策略组  针对你自己做策略  
比如 你给你自己做一个策略 限速到某个值  然后匹配条件继续   
      下一条还是针对你自己做一个策略 阻断某个协议   然后 匹配条件为停止

然后  在做针对你自己这个IP  做两条策略 匹配条件换成停止     然后你对比两种效果  你会豁然开朗
发表于 2011-12-26 18:09:20 | 显示全部楼层
策略太过复杂,效率太低,看的都头晕了

先优化,精简
其实你的需求不算复杂,其实有几条策略就可以了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-24 11:22 , Processed in 0.072510 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表