【ASG FAQ】ASG限制策略不生效

发布时间:  2015-03-13 浏览次数:  213 下载次数:  0
问题描述
ASG限制策略不生效
处理过程

限制策略不生效分为多种:上网策略、带宽管理。

此处以上网策略不生效为例讲解:

上网策略不生效

上网策略不生效主要原因可能是未正确分配给部门/用户或者上网策略配置错误。

现象描述

上网策略不生效是指上网权限策略、内容控制策略、配额控制策略或者审计策略不生效。例如上网权限策略中配置了禁止某部门/用户访问指定网站,但依然可以访问。

可能原因

原因一:上网策略未正确分配给部门/用户。

原因二:高优先级策略中存在动作相反配置,导致用户期望生效的策略未生效。

原因三:上网策略已过期,对于上网权限策略还可能不生效时间不在策略的生效时间段内。例如,某上网权限策略的生效时间段配置为每天8:00~18:00,则即使策略未过期,每天在该时间段外的时间该上网权限策略是不生效的。

原因四:策略状态为禁用。

原因五:策略管理的生效域间配置错误。

原因六:不生效的用户属于免管控用户或者不生效的目的地址属于全局排除地址。

原因七:新用户或者新增子部门配置错误。

处理步骤
  1. 上网策略未正确分配给部门/用户。
    1. 选择用户管理 > 上网用户 > 部门/用户
    2. 在左侧的“部门”树中选中待检查的部门/用户,单击右侧的“策略列表”页签,查看未生效的策略是否在策略列表中存在。

      • 如果在列表中不存在,在“策略列表”中单击“添加”,将上网策略分配给部门/用户。
      • 如果在列表中存在,单击“查看策略结果集”检查该部门/用户生效的策略项是否与期望生效的一致。如果一致,请执行6;如果不一致,请执行2


  2. 高优先级策略中存在动作相反配置,导致用户期望生效的策略未生效。
    1. 选择策略管理 > 上网策略
    2. 检查是否存在比不生效策略优先级高的策略分配给了相同的部门/用户,且该策略存在与期望生效策略相反的配置。

      • 如果存在,请重新规划策略配置或者通过移动策略调整策略优先级。
      • 如果不存在,请执行3


  3. 上网策略已过期,对于上网权限策略还可能不生效时间不在策略的生效时间段内。
    1. 选择策略管理 > 上网策略
    2. 检查不生效策略的“过期时间”是否晚于当前时间或者是“永不过期”。对于上网权限策略,检查“生效时间段”配置是否正确。

      如果“过期时间”“生效时间段”配置均正确,请执行4


  4. 策略状态为禁用。

    检查不生效策略的“启用”列复选框是否选中,如果未选中则修改为选中状态。如果已选中,请执行5


  5. 策略管理的生效域间配置错误。
    1. 选择策略管理 > 全局配置
    2. 检查“策略管理生效域间”是否是用户所在安全区域到控制资源所在安全区域。一般情况下用户和外网的域间为“LAN->WAN”

      如果配置正确,故障依然存在,请执行6


  6. 不生效的用户属于免管控用户或者不生效的目的地址属于全局排除地址。
    1. 选择用户管理 > 上网用户 > 免管控用户
    2. 检查用户是否在免管控用户列表。由于免管控用户不受上网策略控制和审计,如果用户在免管控用户列表则属于正常现象。
    3. 选择系统 > 全局排除地址
    4. 检查访问的地址是否在全局排除地址列表,由于访问全局排除地址不受上网策略控制和审计,如果存在则属于正常现象。

      如果用户不属于免管控用户且访问地址不属于全局排除地址,请执行7


  7. 新用户或者新增子部门配置错误。
    1. 选择策略管理 > 上网策略,检查不生效的策略在“适用部门和用户”中是否选中了“新增子部门及用户”,如果没有,将“新增子部门及用户”添加到“已选部门及用户”
    2. 选择用户管理 > 上网用户 > 认证策略,检查当前使用的认证策略中临时用户的处理规则。

      • 添加到指定的本地部门中

        检查新用户添加的部门是否分配了该上网策略,如果已分配,请联系技术支持工程师。

      • 仅作为临时账号,不添加到本地用户列表中

        检查新用户借用上网权限的部门是否分配了该上网策略,如果已分配,请联系技术支持工程师。

END