1.3 基于角色的网络控制

    Hil stone设备支持基于角色的多种监控：

    ● 基于角色的访问控制：防火墙策略支持
    ● 基于角色的QoS：基于用户角色进行带宽分配
    ● 基于角色的连接数控制
    ● 基于角色的网络应用控制和内容扫描，包括防病毒和IPS
    ● 基于角色的上网行为控制

    拿基于角色的访问控制来举例, 在数据处理过程中，我们根据端口信息，安全域，VPN，IP报文头对角色列表进行查找，获得数据流的角色信息。我们利用角色查找数据流的控制策略。以防火墙为例，防火墙策略的匹配不再是IP五元组，而是包含角色的六元组。这个技术的特点是：

    ●支持一般防火墙策略和基于角色的策略的完全混合，和防火墙策略一样，依靠策略的自然排序确定优先级。
    ●和以往防火墙策略完全兼容，每一个策略的角色可以是“Any”，即匹配所有用户角色。角色是“Any”的策略退化成一般防火墙的策略。
    ● 以包含角色的六元组进行匹配，保持防火墙策略的第一匹配原则。
    ● 支持用户拥有多个角色，但角色无优先级，完全按照策略的自然优先级。
 
    一个公司的安全网关有防火墙和SSL  VPN的双重功能，当用户从公网上用SSL VPN接入时，系统给这些流量赋予一个角色-“SSL”，对于那些远程接入的工程师（Engineers），系统还赋予了另一个角色-“Engineer”。公司内网有两种PC：一类是工程师用的，地址组是Eng_IPs，另一类是其他人用的，地址组是Other_IPs。公司有三个服务器：电邮服务器（Email_Server），内部服务器（Intranet_Server），研发用服务器（Eng_Server）。

    策略列表里设置了这些策略：

    ● 远程接入用户不许访问内部服务器（Intranet_Server）
    ● 工程师不论远程接入的和内部访问的都可以访问研发用服务器（Eng_Server）
    ● 工程师在内网的PC可以访问内网所有服务器
    ●其他人不论远程接入的和内部访问的都可以看Email，访问电邮服务器