FPolicy-Konfigurationstypen
Es gibt zwei grundlegende FPolicy-Konfigurationstypen. Eine Konfiguration verwendet externe FPolicy Server zur Verarbeitung und Bearbeitung von Benachrichtigungen. Die andere Konfiguration verwendet keine externen FPolicy Server; stattdessen verwendet es den internen, nativen FPolicy Server von ONTAP für einfaches File Blocking auf Basis von Erweiterungen.
-
Konfiguration des externen FPolicy Servers
Die Benachrichtigung wird an den FPolicy-Server gesendet, der die Anforderung einliest und Regeln anwendet, um zu bestimmen, ob der Knoten den angeforderten Dateibetrieb zulassen soll. Für synchrone Richtlinien sendet der FPolicy-Server dann eine Antwort an den Node, um die angeforderte Dateioperation zu ermöglichen oder zu blockieren.
-
Native FPolicy Server-Konfiguration
Die Benachrichtigung wird intern gescreent. Die Anforderung wird zulässig oder abgelehnt, basierend auf den im FPolicy-Umfang konfigurierten Dateiendungeinstellungen.
Hinweis: Nicht ablehnte Dateiendungsanfragen werden protokolliert.
Wann eine native FPolicy Konfiguration erstellt werden soll
Native FPolicy-Konfigurationen verwenden die interne ONTAP FPolicy Engine, um Dateivorgänge basierend auf der Dateierweiterung zu überwachen und zu blockieren. Diese Lösung erfordert keine externen FPolicy Server (FPolicy Server). Wenn diese einfache Lösung benötigt wird, ist die Verwendung einer nativen File Blocking-Konfiguration angemessen.
Das native File Blocking ermöglicht Ihnen die Überwachung aller Dateivorgänge, die mit konfigurierten Vorgängen und Filterereignissen übereinstimmen, und verweigert dann den Zugriff auf Dateien mit bestimmten Erweiterungen. Dies ist die Standardkonfiguration.
Mit dieser Konfiguration wird der Dateizugriff nur auf Basis der Dateiendung blockiert. Um z. B. Dateien zu blockieren, die mp3
Erweiterungen enthalten, konfigurieren Sie eine Richtlinie, die Benachrichtigungen für bestimmte Vorgänge mit Zieldateierweiterungen von mp3`zur Verfügung stellt. Die Richtlinie ist so konfiguriert, dass `mp3
Dateianforderungen für Vorgänge, die Benachrichtigungen generieren, abgelehnt werden.
Das gilt für native FPolicy-Konfigurationen:
-
Dieselben Filter und Protokolle, die von FPolicy Server-basierten Dateiscreening unterstützt werden, werden auch für das native File Blocking unterstützt.
-
Native File Blocking- und FPolicy-basierte Datei-Screening-Applikationen können gleichzeitig konfiguriert werden.
Dazu können Sie zwei separate FPolicy Richtlinien für die Storage Virtual Machine (SVM) konfigurieren, wobei eine für natives File Blocking konfiguriert ist und eine für FPolicy-Server-basierte Datei-Screening konfiguriert ist.
-
Die native File Blocking-Funktion nur Bildschirme Dateien auf der Grundlage der Erweiterungen und nicht auf den Inhalt der Datei.
-
Bei symbolischen Links verwendet das native File Blocking die Dateiendung der Root-Datei.
Erfahren Sie mehr über "FPolicy: Native Dateisperrung".
Wenn eine Konfiguration erstellt werden soll, die externe FPolicy-Server verwendet
FPolicy-Konfigurationen, die für die Verarbeitung und das Management von Benachrichtigungen über externe FPolicy-Server verfügen, bieten zuverlässige Lösungen für Anwendungsfälle, in denen mehr als einfaches File Blocking auf Basis einer Dateierweiterung erforderlich ist.
Sie sollten eine Konfiguration erstellen, die externe FPolicy-Server verwendet, wenn Sie solche Dinge wie Überwachung und Aufzeichnung von Dateizugriffsereignissen, Bereitstellung von Quotendiensten, Durchführung von Dateiblockierung auf der Grundlage von Kriterien andere als einfache Dateierweiterungen, Bereitstellung von Datenmigrationsservices unter Verwendung von hierarchischen Speichermanagement-Anwendungen, Alternativ können Sie feingranulare Richtlinien anbieten, die nur eine Teilmenge an Daten in der Storage Virtual Machine (SVM) überwachen.