保护企业免遭互联网威胁的最集中的硬件设备解决方案，除了集成最佳的URL过滤、WEB应用报告、实时监控以及内部威胁清除等功能之外，还应该包括多层次管理功能。当拥有分公司/子公司分布在各个不同城市或国家的中大型企业希望在公司大方向的安全策略下，给予不同分公司或子公司某种程度权限修改其适合的安全策略时，就需要采用分层管理功能协助企业完成目标。单一的管理层仅适用于独立企业集中管理的安全策略，无法因应不同分公司与子公司的Web需求，也会增加总公司IT人员的工作负担。

　　多层次管理功能应包含全球管理员、群组管理员、最低过滤级别、群组、子群组、检测范围、特别帐户、同步集中控制管理等方面。其中，全球管理员（Global Administrator）是一个拥有所有过滤设备绝对控制权的帐户。全球管理员能够根据公司安全策略，在Web内容安全过滤设备上建立不同的群组，并且再为每个群组建立一个小组。全球管理员能够无限制地控制所有Web内容安全过滤设备的功能。

　　群组管理员由全球管理员建立。在全球管理员授权修改的安全策略范围内，群组管理员帐户可以针对群组的需求修改适合的安全策略。群组管理员所修改的安全策略仅能影响到这个帐户所管理群组。每一个群组，可以只设立一个小组管理员账户。

　　最低过滤级别（Minimum Filtering Level (MFL)）是由全球管理员定订的过滤级别。最低过滤级别是全公司无论哪一个群组必须一致执行的最低标准策略。例如，当公司定订最低限度的安全策略标准是过滤色情与信息安全威胁相关类别，群组管理员就不能够从该群组的过滤器设备中取消任何与色情和信息安全威胁类别相关的安全策略，仅能针对其它类别订定适合的安全策略。当公司要全面实行安全使用政的同时，又希望给予各群组某种程度的修改权限时，MFL就非常有用。下游的群组管理员可以增加最低过滤级别的类别，但是无法清除由全球管理员订定的最低过滤级别的。

　　群组的定义是由全球管理员设定的一群使用者。例如：全球管理员可以设定子网络 10.10.10.0/24 为一个群组。全球管理员或群组管理员均可以建立一个子群组。子群组用于更进一步描述小组的成员。以上面的例子为例，如果子群组以子网10.10.10.0 /24订定为一个群组，在这个群组下可以再创造子群组，例如10.10.10.0 /25和10.10.10.129 /25 。全球管理员可以确切判断某一个IP地址是来自哪一个网域。

　　特别帐户是一个用户名/密码，由全球管理员或群组管理员创建。其目的是要允许某其帐户可以不受安全使用策略的限制，造访任何网站。全球管理员可以选择允许特别帐户绕过最低过滤级别，也可以选择特别帐户仅受最低过滤级别限制。特别帐户可以分配给任何使用者。

　　当公司配置多台过滤设备时，可允许过滤设备之间建立主从关系，同步集中控制管理所有过滤设备。当主要的过滤设备有任何改变时，附属机上也会体现出来。这项功能在多台过滤设备环境下非常有帮助，管理员可以免除手动一一变更设定的作法。

　　既然我们了解了分层管理的功能，那么分层管理在实际的工作中有哪些用途呢？不妨以案例来说明。举例，一个有5所小学、3所中学和2所高中的学区办公室拥有T3互联网入口，利用T1连接每所学校。所有互联网接入必须通过学区办公室的端口连接互联网。学区有可接受使用策略，所有学生和学区员工均不得访问被分类为色情、R级、赌博、非教育性在线游戏、基于互联网的电子邮件、暴力和歧视、酒、违禁药品、邪教和骇客相关的所有网站。然而，可接受使用策略中有一个例外：若经校长同意，学区里学校的心理辅导师以及顾问为了提升学生品质以研究为目的，可以访问被限制的网站。

　　在学区办公室安装8e6 R3000G网络安全行为管理设备，用以过滤所有透过学区端口出去的互联网流量。然后，学区的全球管理员建立一个最低过滤级别，用来阻挡学区可接受使用策略中最低应被限制访问的网站类别。建立最低过滤级别的同时，全球管理员也建立特别帐户给予学校的心理辅导师以及顾问并授权她们可以访问被最低过滤级别限制的网站。然后，再为每一所学校建立不同的群组与群组管理员账户，账户由每一所学校的校长控制，除了最低过滤级别不能清除之外，这些群组管理员账户均可以根据学校的策略设定符合学校需求的安全使用策略。任何用户的互联网访问行为不仅会被学区可接受使用策略的最低级别管理，还能开放给需要做研究的用户访问被限限制的网站。

　　以上是在校园环境下的分层管理，下面以企业为案例的分层管理实践。比如，一个集团网络的所有分公司均需经过总公司端口连结互联网，总公司的信息中心用OC-3互联网连接，并且拥有可改变到每分公司流量的连接。为了使每个子子公司和分公司能够访问互联网，这些子公司和分公司的连接必须经过集团的信息中心。

　　总公司发布可接受应用策略的执行，要求所有分公司不允许使用IM或访问含有恶意程序、股票、流媒体、在线购物、在线游戏、网络电邮、色情、赌博、憎恨和歧视以及所有非法活动。可接受应用策略还说明每家分公司可以制订自己的可接受应用策略。在信息中心，网管员安装了3台负载平衡8e6 R3000、2台R3000S网络安全行为管理设备，来处理 155.5Mbps的流量，并且还安装了一台备用R3000.这些设备采用R3000上主机/附属机同步集中控制管理功能。网管员为R3000s做了配置，满足总公司可接受应用策略的最低过滤级别。他还为每分公司创建了一个群组，并且为每个群组设定了一个管理员。

　　在每个分公司，网络管理员能够利用提供的群组帐户登录。网络管理员可选择使用集团提供的最低过滤级别或者增加最低过滤级别。重要的是网络管理员不能提总公司设立的要求。比如，西分公司能够收到群组帐户，而永远不能登录R3000。这样做的结果就是所有分公司的用户能够在总公司可接受应用策略的基础之上实现过滤。

　　在东区分公司，网络管理员需要采用比总公司更加严格的可接受应用策略。因此，网络管理员可以利用现有群组帐户登录。为了满足分公司的可接受应用策略，他可以申请过滤额外的目录内容。在北区分公司，分公司的可接受应用策略会比总公司制订的严格并且还要符合总公司的制订的最低过滤级数的可接受应用策略。本案例中，北区网络管理员会利用群组帐户登录并且为北区中的各个分公司建立另一个子群组。如此一来，北区分公司可以自行制订更加严格的应用策略。在南区分公司，南区分公司的网络管理员是不支持互联网过滤。因此，他漠视总公司的可接受应用策略，并且想要利用群组帐户来取消互联网过滤限制规避总公司对分公司的互联网访问管控。然而，当他利用总公司提供的群组帐户登录R3000 GUI时，却发现他不能改变总公司的最低级数的可接受应用策略。因为尽管南区分公司没有自订的可接受应用策略，他们仍然被总公司的可接受应用策略管控。

　　以上两个案例，详细说明Web内容安全过滤设备中多层次管理功能在不同行业的应用及效益。选购设备时，除了应有的基本过滤功能外，拥有有完善的管理功能也能够协助大型教育、政府、企业单位更有弹性、更有效率的实行安全应用策略。8e6科技网络安全行为管理解决方案不仅仅拥有完善的过滤、报告、威胁分析等功能，在应用安全策略制订的方面的管理功能也非常弹性，其中包括：多层级管理（群组、部门、使用者IP、网域）、认证的整合（LDAP、AD、SSO、Radius以及Web Base使用者）、访问时间管理、访问日期管理、访问类别管理等等。