最早接触深信服，应该是上网行为管理系统，但是我个人最早接触的此类产品是一个叫做网猫的上网行为管理软件。

上网行为管理系统，具体是不是中国特色的产品，有待于确定，但是作为一种公开进行上网行为管理，并且大卖特卖的，我想中国算是一个很奇葩的国家吧。大家都知道美国的斯诺登曝光了美国大范围监控行为，很多国人却不知道我们会有这么样一类产品在中国大卖特卖吧。

深信服的上网行为管理系统，应该算是中国首屈一指的行为管理与审计产品，他们的老板出身于华为×××架构师（华为真实一个令人膜拜的公司）在2000年非常鲜明的做行为管理与审计产品，现在深信服的业务方向又瞄准了应用层这个一个非常火的领域，逐步推出了应用层防火墙、SSL***、AD负载均衡等一系列产品，在中国应该是规模最大的专做应用层安全的厂商了吧。

下图是深信服的常见的集中部署模式：

1、网桥，一般是透明桥

2、网关，一般是路由模式

3、旁路，一般是进行行为审计

其实今天这个题目是这样：

在单位，我们的网络管理员想要实现，某个分组的用户，仅能够访问一些特定的网站如“www.baidu.com或www.51cto.com”其他上网行为全部拒绝如QQ、游戏、其他网站访问等。

这个看似非常简单的配置，实际上在深信服上要通过几个策略配合完成。

1、我们应该先建一个分组“用户与策略管理-用户管理” 比如叫做TEST组

2、在“对象定义”建一个仅允许访问的URL比如“www.baidu.com或www.51cto.com”

3、在“用户与策略管理-上网策略”选择应用程序控制-仅HTTP应用、DNS、SSL这三个应用允许，其他的反选后全部拒绝。

4、选中HTTP URL过滤和HTTPS URL过滤，新建一个策略，先允许新建的仅能够访问的URL，再拒绝其他所有的URL访问，此处建两条策略。

5、这个时候一般仅能够访问设定的网址了，但是图片等显示不全面，需要在系统配置选择高级-自动放行。

6、应用配置就OK了，这个时候这个分组的用户就只能够访问“www.baidu.com或www.51cto.com”了。