一、组网要求

公司有一台 UAC 用于控制用户上网行为，对内网PC做到如下控制：

（1）禁止以计算机的超级管理员(隶属于Administrators组的账户)身份登录计算机，否则禁止该计算机上网

（2）允许不支持准入的终端（如Windows xp sp1及更早的版本、Vista、Linux、Mac、手机终端）直接上网

为了不影响现网拓扑，使用透明模式接入。

 

二、网络拓扑

      

 

三、配置要点

步骤1：配置桥接口

步骤2：配置准入策略-其他规则

步骤3：安装准入客户端

步骤4：验证效果

步骤5：保存配置

 

四、操作步骤

步骤1：配置网桥模式

（1）工作模式选择为“透明模式”；

（2）再根据需要勾选“网桥类型”，并配置网桥接口 IP 地址和网关 IP。注意：未配置为网桥的端口为独立网口, 可用于网管和路由。

进入 系统配置> 工作模式，配置网桥参数，如下图：

说明：根据实际需要设置网桥接口的 IP 地址和网关 IP，设置好网桥接口的 IP 地址和网关 IP后，管理员可以连接 UAC进行设备管理。

 

步骤2：配置准入策略-操作系统规则

上网行为管理策略按从上向下匹配的原则。状态为“启用”的上网策略才会生效。

进入 行为管理>上网策略>准入策略，点击页面右上角的 新增 按钮，添加策略。

首先，在“策略配置”选项卡，勾选策略树的“其他规则”，如此才有配置权限，对于不支持运行准入的PC或者移动终端-允许上网；勾选“禁止以计算机的超级管理员(隶属于Administrators组的账户)身份登录计算机，否则禁止该计算机上网”，配置栏按下图红色框所示配置：

 

然后，在“适用用户组”选项卡配置该策略对应的用户或用户组或 IP 地址。如下图：

 

      步骤3：安装准入客户端

      打开浏览器访问网页如 www.baidu.com，UAC会返回准入安装提示：

     

      下载安装客户端请点击：确定。

      可直接选择运行，或者另存为本地再安装

     

      点击“运行”

     

     

      下一步：

     

      下一步：

     

      下一步：

     

     安装完成。

     即可在在线用户查看客户端的安装情况

      

    

      步骤4：验证效果

      验证1：使用administrator登录PC 访问任何网页都会弹出准入提示页面

     

 

     验证2：使用本地账号登陆PC，能正常访问网页。

    

     

     

     验证:3：对于不支持运行准入的PC或者移动终端-允许上网

     对应配置：

   

     移动一个手机上线的用户到准入组，验证该手机能否正常上网

    

     手机能正常上网：

    

 

      步骤5：保存配置

 

附：其他说明

安装插件的情况下，默认会审计QQ聊天，以及外发文件信息，如不希望这些信息，需要在审计规则里面指定策略。

本案例为不允许使用qq，实际测试如果是其他程序，可以参考以下配置

1.设定准入测试组不审计即时通信信息

进入行为管理>上网策略-上网审计策略，新增审计规则，即时通讯一栏不做勾选

选择生效用户组为准入规则。

 2.设定其他人全部审计，规则都是按照从上往下的匹配规则，准入测试组已经在上一条规则匹配，不会在当前规则匹配

3.审计规则-审计选项设定，选择根据审计策略规则审计