控制策略设置

    一、引入控制策略的目的：

    X-Router是针对大型网络设计的，如果对每一个要管理的机器进行若干次设置。既浪费大量精力，同时也不利于维护。因此，通过设置控制策略，将需要对客户机进行的各项设置保存一个控制策略中，哪台机器需要什么样的管理，就使用什么样的控制策略。从而极大的方便了管理。
    X-Router最多可以建255个控制策略。每一个控制策略中又可以包含5个子策略。为什么需要包含子策略？比如，对于一个单位，可能上班期间的管理要求与下班的管理要求不相同。因此，就需要进行这样的设置：0点至9点属于非上班期间；12点至12点半属于上班期间；12点半至13点属于休息时间；13点至17点属于上班期间；17点至0点属于非上班期间。因此，五个时段能够很好的解决一天的网络管理问题。

    二、控制策略的设置

    1.新建控制策略

    进入“控制策略设置”窗口后点“增加”按钮，弹出如下窗口：

    策略编号从1开始。由于控制策略最多可以包含5个子策略。因此，必须要建至少一个子策略，否则这个策略没有任何作用。点“增加”按钮，弹出如下窗口：

    前面讲过，子策略是基于时间控制的。时间段最多从00:00:00至23:59:59。这个时间段规定了客户机在这个上网时间内，将受这里控制策略的内容限制。

    X-Router的控制策略主要内容有(随版本升级而变化)：

    1.1 地址限制

    限制使用这个控制策略的机器哪些地址不可以访问，或者只能访问哪些地址。与使用控制策略的目的类似，地址限制中的IP地址表也使用列表方式，而不需要在每一个控制策略中重复输入，既减轻工作量，又方便维护。所以，要使用地址限制，必须要首先创建需要限制的地址表。点击“设置地址列表”后，弹出如下窗口：

点击“增加”按钮：

输入的地址格式为：起始IP-截止IP，所有字符都为小写。这样连续确定之后，在控制策略地址限制中的下拉框中就出现了刚才添加的地址列表。

    在地址限制方式中有两种：一是列表地址被允许，表示除了列表中列出的地址被允许访问以外，其他任何地址都不允许被访问；二是列表地址被禁止，表示除了列表中列出的地址被禁止访问以外，其他任何地址都允许访问。

    2.端口限制

    端口限制与地址限制基本一致，主要是限制外网的哪些端口只能访问或者不能访问。操作方式与地址限制操作方式步骤一致。

    3.连接数限制

    连接数限制主要控制客户机的连接数。每当客户机与外网机器通讯时就会产生一个或者多个连接数。控制客户机的连接数可以避免过多消耗服务器的资源，另一方面也可以控制P2P软件的使用。
    限制连接数设置的设置如下：

    本系统可以分别限制TCP、UDP及ICMP三种协议的连接数。使用连接数时需要注意，如果没有勾选“不限制访问网页的连接数”及“不限制DNS解析的连接数”，当用户连接数使用达到限额时，将无法打开网页。只至关闭一些软件释放掉连接数才可以打开网页。
    同时，如果勾选了“不限制访问网页的连接数”及“不限制DNS解析的连接数”，在线机器信息中会出现客户机已使用连接数会大于限制连接数的情况，这是正常的。因为所有访问网页的连接数是不被限制的。

    4.带宽分配

    通过控制策略中的带宽分配，可以限制任何一台客户机的上网带宽。设置如下：

    以下几点需要说明：
      (1)一定需要勾选“启用带宽分配”；
      (2)任何一项为“0”时，表示该项不作设置；
      (3)带宽分配以KB/s，即千字节每秒，而不是出口带宽设置中的千位每秒；
      (4)最低带宽保障要谨慎使用，如果启用了，使用该控制策略的所有机器将会被保留相应的带宽，而被保留的带宽，其他任何机器都使用不了。同时，该功能与“智能带宽调节”要同时使用，否则没有效果。

    5.发包速率限制

    发包速率限制主要防止内网客户机遭病毒控制后攻击网关，或者人为控制网关。通过该项设置最大限度的保护出口带宽不被浪费。

    6.HTTP过滤

    可以过滤指定的关键字，或者限制HTTP方式的文件下载。与地址限制相似，需要首先定义过滤列表。HTTP过滤列表的设置如下：

    下列各选项的功能说明：
    (1)只允许访问下列网站。如果选用该选项，网址过滤将被忽略。因为只有指定的网站才能访问，其他任何网站访问不了。为了防止用户通过输入网站的IP地址绕过该限制，需要启用“禁止以IP地址直接访问网站”一项。另外，网站列表支持模糊匹配。比如，输入baidu.com，则www.baidu.com,image.baidu.com等全都包含在内。
    (2)网址过滤。“仅在域名中过滤”表示在整网址中只在域名中进行过滤。比如用户访问http://www.baidu.com/news.htm，则只在www.baidu.com中过滤。而如果选用“在整个网址中过滤”，则会在www.baidu.com/news.htm中进行过滤。网址过滤也支持模糊匹配。
    (3)文件下载限制。输入文件扩展名即可。只能过滤通过HTTP协议下载的文件。
    (4)上传限制。启用后，会限制POST方式提交的数据内容。

    7.超级过滤器

    超级过滤器就是通过常用网络软件的特殊码进行过滤。它的过滤功能是可以通过特征码进行扩充的。当然，及时更新特征码是有效过滤的保证。

    8.二级代理控制

    主要控制内网机器向其他用户再次提供代理上网。在收费上网环境中比较重要，以避免费用的流失。

    9.VPN客户机

    主要对通过VPN拨号上来的客户机进行额外的控制。