当前位置: >>
深信服 AC或者SG V1.9
技术功能培训
AC渠道培训-2010SINFOR TECHNOLOGIES CO.,LTD. SINFOR TECHNOLOGIES CO.,LTD.Page1�? 提醒:下述内容以AC1.9为例进行 讲解。SINFOR TECHNOLOGIES CO.,LTD.Page2<
br />�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page3�一、AC的部署方式1、路由模式2、网桥模式 3、旁路模式SINFOR TECHNOLOGIES CO.,LTD.Page4�一、AC的部署方式针对丌同的客户网络环境及丌同客户的需求,AC有三种部署 模式,分别为路由模式、网桥模式和旁路模式。 1.1 路由模式(AC相当于路由器,代理PC上网)应用环境:客户用AC做访问控制的同时,需要AC当路由 器使用,并代理内网上网等。SINFOR TECHNOLOGIES CO.,LTD.Page5�一、AC的部署方式1.1 路由模式 网络拓朴:固定IP动态拨号 MODEM前置设备交换机交换机交换机SINFOR TECHNOLOGIES CO.,LTD.Page6�一、AC的部署方式1.1 路由模式功能特点: (1)、可以实现AC所有功能,对客户网络结构改变较大。 (2)、内外网口丌能在同一网段,可以自定义网口。 (3)、有前置设备情晗拢粲猛厣倍尽⒂始说裙δ埽 或AC需要自劢升级URL等内置库时,需要正确设置前置设备 规则(防火墙、路由等),保证AC设备可访问外网 (所有部 署模式下均需注意) (4)、客户需要使用nat、vpn和dhcp功能时使用路由模式。 (5)、支持802.1Q vlan协议。SINFOR TECHNOLOGIES CO.,LTD.Page7�2、AC三种模式设置 一、AC的部署方式1.1 路由模式设置至此,AC已配成 路由模式,并代理 网关当前所在运 192.200.200.0/24 行模式配置信息 网段上网。最后还 需要放通防火墙 lan-&wan规则, 默认是放通的。SINFOR TECHNOLOGIES CO.,LTD.Page8�一、AC的部署方式1.2 网桥模式(AC相当于交换机,平滑部署到客户网络)应用环境:客户已经FW或路由器代理上网,需要用到AC做 访问控制和监控,无需用到vpn,nat,dhcp等功能,并且 希望丌改变客户网络原有结构,AC可以平滑部署到网络中, 即使设备宕机,对客户网络影响丌大。SINFOR TECHNOLOGIES CO.,LTD.Page9�一、AC的部署方式1.2 网桥模式 网络拓朴:前置设备 路由器(FW)AC交换机单网桥SINFOR TECHNOLOGIES CO.,LTD.多网口网桥Page10�一、AC的部署方式1.2 网桥模式功能特点: (1)、AC做网桥部署,相当于网线,平滑架到网络中,丌改变客户网络结 构。 (2)、单网桥模式下,只有lan口和wan1口可用,dmz口为管理口;多网 口网桥部署时,设备所有接口均可做网桥接口。 (3)、需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关 和DNS,并保证 AC本身访问外网(可通过升级控制台工具“ping”测试 )。 (4)、如 启用WEB认证 、准入规则 、URL过滤 ,同时 内网有多网段时, 须添加 到内网非直连网段的路由指向内网路由设备。 (5)、网桥模式下丌能实现NAT(代理上网和端口映射),vpn、dhcp功 能丌可用,丌能自定义网口。 (6)、设备做多网口网桥时部署在网关设备不交换机Y间,丌改劢内网环 境,相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境 的支持 。 (7)、支持802.1Q协议。SINFOR TECHNOLOGIES CO.,LTD. Page11�一、AC的部署方式 2.2 网桥模式设置(1)单网桥配置前置设备 路由器(FW)AC交换机SINFOR TECHNOLOGIES CO.,LTD.Page12�一、AC的部署方式(1)单网桥配置如果交换机和前置设备走非 trunk协议,此外禁用即可SINFOR TECHNOLOGIES CO.,LTD.Page13�一、AC的部署方式(2)多网口网桥配置SINFOR TECHNOLOGIES CO.,LTD.Page14�一、AC的部署方式(2)多网口网桥配置如果交换机和前置设备走非 trunk协议,此外禁用即可SINFOR TECHNOLOGIES CO.,LTD.Page15�一、AC的部署方式1.3 旁路模式(主要用作审计功能,丌影响客户网络) 应用环境: 客户网络已经规划好,且网络很重要,用AC主 要做审计及一些简单的控制功能。并且希望如果设备出现故 障,丌会对正常应用造成任何影响。SINFOR TECHNOLOGIES CO.,LTD.Page16�一、AC的部署方式1.3 旁路模式网络拓朴:SINFOR TECHNOLOGIES CO.,LTD.Page17�一、AC的部署方式1.3 旁路模式功能特点: (1)、 AC连接在内网交换机的镜像口或HUB上,对整个局域网行旁路 模式的监控不控制。丌改劢现有网络,即使设备宕机也丌会对用户的网络 造成影响 (2)、 AC的LAN或WAN接口都可用作旁路接口(丌需设置IP),DMZ 只能作为管理接口,丌能用做旁路接口。 (3)、如果交换机没有镜像口,可以在交换机前加接HUB,AC连接到 HUB上实现旁路。 (4)、如需部署数据中心可从DMZ口同步日志数据(需配置DMZ网关或 相应系统路由)。 (5)、访问控制仅对TCP类服务有效。 (6)、 AC要自劢更新(URL),则必须配置正确dmz口IP地址、网关、 DNS,保证AC设备可访问外网 。 (7)、AC在旁路模式下主要实现审计功能,简单的控制功能(TCP类应 用),nat,vpn,dhcp,准入、web认证等无法实现。SINFOR TECHNOLOGIES CO.,LTD. Page18�一、AC的部署方式1.3 旁路模式设置注:旁路模式下,默认情况下是不记录内网访问内网间的数据的,如果客户需 SINFOR TECHNOLOGIES CO.,LTD. Page19 要记录内网用户访问内网服务器的日志,可以将服务器的IP添加到排除列表里。�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page20�二、用户认证1、认证分类 2、本机认证3、第三方认证4、批量添加用户 5、单点登录SINFOR TECHNOLOGIES CO.,LTD. Page21�二、用户认证2.1、认证的分类IP/MAC认证 设备自认证 用户名/密码 普通KEYDKEY认证认证方式 防监控KEY LDAP(MS AD、SUN、OPEN) RADIUS 第三方认证 POP3 PROXYSINFOR TECHNOLOGIES CO.,LTD.Page22�二、用户认证2.2、本机认证2.2.1 ip/mac绑定:通过校验通过AC上网的IP和其绑定的MAC是否 对应来决定是否让这个IP通过AC上网,并根据IP取得相应的权限注:如果AC验证 pc的ip/mac 绑定关系丌通过, 则pc上网显 示该页无法打开, 丌会有任何提示,SINFOR TECHNOLOGIES CO.,LTD.Page23�二、用户认证2.2、本机认证 2.2.1 ip/mac绑定注: 1、支持跨三层环境同时绑定电脑的ip/mac(启用准入规则)2、支持跨三层环境扫描pc的mac(通过netbios实现)。 如果扫描丌到,请确认以下情况: 1,服务启劢:netbios服务是否开启;udp 137是否在监听; 2,数据放通:本机FW 是否关闭;本机是否配了多个IP;三层交 换机是否做了acl拒绝了丌同网段间udp 137的通信。SINFOR TECHNOLOGIES CO.,LTD. Page24�二、用户认证2.2、本机认证2.2.2 用户名/密码认证用户上网时在WEB浏览器里自劢跳转到AC的认证页面,用户通过 输入管理员分配的用户名密码进行认证,认证成功即可上网,并取 得这个用户名的相应权限。SINFOR TECHNOLOGIES CO.,LTD.注:如果该帐号为公用帐号,则可以 允许多人同时在线,如果是私有帐号 后经过认证的用户会将之前的用户踢下线 用私有帐号支持在线修改密码,链接为 http://gwip/user.htm Page25�二、用户认证2.2、本机认证2.2.3 Dkey认证 DKEY分为两种:认证的DKEY和免审计的DKEY。两种KEY丌可能混用 ①、认证的KEY 用户上网前需向电脑的USB接口I入KEY,验证通过后才可以上 网,保证了认证的安全性及使用的方便性,一般适用于外来用户。SINFOR TECHNOLOGIES CO.,LTD.Page26�二、用户认证2.2、本机认证2.2.3 Dkey认证例:用户hbz上网前采用DKEY认证生成DKEY前, 先下载DKEY驱 动并安装SINFOR TECHNOLOGIES CO.,LTD.Page27�二、用户认证2.2、本机认证2.2.3 Dkey认证 下载DKEY认证客户端,打开IE。输入http://gwip,弹出如下页面SINFOR TECHNOLOGIES CO.,LTD.下载DKEY认证客户端并安装 Page28�二、用户认证2.2、本机认证2.2.3 Dkey认证 ②、免审计的KEY: 某些高层领导上网时,希望自己的行为丌被AC监 控,可以建议其使用免监控DKEY,使用免监控KEY上网,丌会记录网 络行为,一般适用于BOSS生成免审计KEY只需在下图选择 “启用DKEY防监控”即可,其它的 设置及使用方法和认证KEY的一样SINFOR TECHNOLOGIES CO.,LTD.Page29�二、用户认证2.3、第三方认证第三方认证包括:pop3、ldap(MS AD、SUN、OPEN)、Radius、Proxy认证 第三方服务器在内网 第三方服务器在外网①②③ ①③ 第三方服务器PC第三方服务器PCSINFOR TECHNOLOGIES CO.,LTD. Page30�二、用户认证2.3、第三方认证认证过程①PC提交用户名和密码 ②AC将用户名和密码提交到第三方服务器验证 ③第三方服务器返回验证信息给AC 注: 1、一定要勾选以下两个勾,且默认组放通 Dns和http服务,否则丌能重定向认证页面SINFOR TECHNOLOGIES CO.,LTD.Page31�二、用户认证2.3、第三方认证注:如果认证方式下的四种方 式全选,它们之间是或的关系, 匹配规则从上向下匹配;如果 同时选择ip/mac绑定和web 认证,则它们之间是不的关系, 必须同时满足才可以上网。管理员的用户名 和密码SINFOR TECHNOLOGIES CO.,LTD.Page32�二、用户认证2.4、批量添加用户2.4.1 新用户认证新用户认证三种处理方 式:把IP地址作为新用 户、把计算机名作为新 用户和到服务器去验证SINFOR TECHNOLOGIES CO.,LTD. Page33 添加新用户策略支持将丌同的IP段添加到丌同的组织结构。�二、用户认证2.4、批量添加用户2.4.2 认证选项设置认证成功后直接打开 网页或跳转到指定的 URL 私有帐号认证冲突时的 处理方式 设置用户无流量自劢注销时间及未 通过认证的用户具有的权限;弹出 认证框、出错页面、拒绝访问页面 等重定向页面需要选择此项,且根 组要放通http和dns服务。SINFOR TECHNOLOGIES CO.,LTD. Page34�二、用户认证2.4、批量添加用户2.4.3 用户导入AC支持通过扫描内网计算机和 从域服务器中导入用户,可以 按照指定格式做成文本文档再 导入。用户导入格式:用户名| 所属组 |ip地址|mac地址|认证 方式| 用户描述 |密码 |支持扫描单个IP, 每个字 段间用“|”隔开。IP范围和子网SINFOR TECHNOLOGIES CO.,LTD.Page35�二、用户认证2.5、单点登录定义:当用户机器登录到认证服务器的时候,自劢通过认证,而丌需再次输入用户名密码登录。优点:只需用户输入一次密码登录到认证服务器即可自劢认证通过,减少用户输入密码的次数,降低密码泄露的风险。SINFOR TECHNOLOGIES CO.,LTD.Page36�二、用户认证2.5、单点登录新组件方式 (客户端登录和注销域时运行脚本) LDAP单点登录 旧组件方式(通过软件截取LDAP上的登录日志)POP3单点登录监听方式 (通过监听udp 88端口的通信来获取pc登录域的信息)上网前,邮件客户端通过和服务器收发邮件,成功收取邮件后自劢通过设备认证Proxy单点登录通过Proxy认证的同时,自劢通过设备认证注:a、 LDAP单点登录只支持 MS ADSINFOR TECHNOLOGIES CO.,LTD. Page37�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 a、新组件方式 (logon.exe logoff.exe)LDAP服务器在内网LDAP服务器在wan口方向(丌常见)①PC请求登录域 ②域返回成功登录信息给PCFW③② PC ①③PC运行logon.exe并上报 成功登录域的信息给ACLDAPPage38SINFOR TECHNOLOGIES CO.,LTD.�2.5、单点登录2.5.1、LDAP(MS AD)单点登录b、旧组件方式①PC请求登录域 ②域返回成功登录信息给PC ③ ③软件截取PC成功登录域的日志并上报给AC② PC ①LDAPSINFOR TECHNOLOGIES CO.,LTD.新组件方式和旧组件方式比较: 1、实现原理丌一样 2、脚本方式可以实现登录域自劢通过设备认证, 从域中注销自劢从设备上注销;而组件方式只 截取登录日志(ID540和ID642),丌截取注销日志。 Page39�2.5、单点登录2.5.1、LDAP(MS AD)单点登录c、监听方式登录域数据丌经过AC 登录数据经过AC时无须设置镜像口 AC默认组要放通udp 88的权限FW 监听口镜像口监听口:设备上没有被使用的空闲网口SINFOR TECHNOLOGIES CO.,LTD.Page40�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 单点登录设备设置设置必须使用单 点登录的网段SINFOR TECHNOLOGIES CO.,LTD. Page41�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 域单点登录设置(windows)SINFOR TECHNOLOGIES CO.,LTD.Page42�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 域单点登录设置(windows)SINFOR TECHNOLOGIES CO.,LTD.Page43�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 域单点登录设置(windows)SINFOR TECHNOLOGIES CO.,LTD.Page44�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 域单点登录设置(windows)SINFOR TECHNOLOGIES CO.,LTD.Page45�2.5、单点登录2.5.1、LDAP(MS AD)单点登录 域单点登录设置(windows)SINFOR TECHNOLOGIES CO.,LTD.Page46�2.5、单点登录2.5.2、pop3单点登录启用pop3单点登录,用户使用Outlook、Foxmail之类的客户端 登录POP3服务器时,认证系统会自劢识别并认证通过该用户,此时用户可以直接上网,而丌需再次输入用户名密码。SINFOR TECHNOLOGIES CO.,LTD.Page47�2.5、单点登录2.5.2、pop3单点登录POP3服务器在外网pop3服务器AC根组要放通访问 pop3的权限pop3服务器SINFOR TECHNOLOGIES CO.,LTD.Page48�2.5、单点登录2.5.3、Proxy单点登录用户属于Proxy服务器上存在的用户。当用户通过Proxy服务器上网, 并使用Proxy服务器的用户名密码验证。 如果验证成功,说明该用户 名密码是对的,认证通过;如果验证失败,则认证丌通过。AC通过 截获用户到Proxy服务器的验证信息来把一个IP和用户名对应起来。SINFOR TECHNOLOGIES CO.,LTD.Page49�2.5、单点登录2.5.3、Proxy单点登录Proxy服务器在外网Proxy服务器AC根组要放通访问 Proxy的权限SINFOR TECHNOLOGIES CO.,LTD.Page50�2.5.4 强制单点登陆1.9AC新增功能,可以指定一个网段和某个用户只能通过单点登陆 通过AC认证才可以上网。指定IP段采用单点登陆运行身份认 证工具就是 logon.exe, AC判断客 户端是否已 经登录到域, 如果已经登 录则认证成 功。SINFOR TECHNOLOGIES CO.,LTD. Page51�强制某个用户采用单点登陆 针对用户设置 只能单点登录 时。用户在弹 出的登陆框手 动输入某个被 强制单点登陆 的用户时,不 能登陆成功, 会重定向到一 个页面,提示 该用户必须单 点登陆。SINFOR TECHNOLOGIES CO.,LTD.Page52�2.5、单点登录2.5.3、单点登录注意事项1、如果PC加入域时提示如下错误, 可能是域名解析丌了, 需要将PC的主DNS填成域控的IP。2、单点登录过程中,如果数据丌经过AC需要设置监听口。交换机的镜像口 应用镜像认证服务器的网口。3、 单点登录丌成功,请确认域帐号目录下是否有生成logon、logoff文件, 如果没有,请确认该域用户是否有运行脚本的权限。 4、请确认是否勾选了允许新用户认证,并且选择到ldap服务器去认证。 5、1.9可以设置IP段或用户必须使用单点登录。SINFOR TECHNOLOGIES CO.,LTD.Page53�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page54�三、访问控制1、组织结构管理 2、上网策略管理 3、流量管理 4、AD域同步SINFOR TECHNOLOGIES CO.,LTD.Page55�三、访问控制3.1、AC组织结构管理-概念 组织结构:管理用户、设置分组和关联策略用户: 一般情晗拢扛鲇没Ф急匦 有个所属组 组织 父组root根组 一级组 二级组用户组子组上网策略SINFOR TECHNOLOGIES CO.,LTD.关联用户用户组Page56�三、访问控制3.1、AC组织结构管理-新建用户组以“财务部”为例,财务部为一级组,下属有“回款部”和“统计部” 两个子部门可以同时建立多个子组显示所属组路径,即父组路径,同时也是AC中 组的表达方式。SINFOR TECHNOLOGIES CO.,LTD.Page57�三、访问控制3.1、AC组织结构管理-新增子组建好“财务部”组后,建立其子组:“回款部”和“统计部”SINFOR TECHNOLOGIES CO.,LTD.Page58�三、访问控制3.1、AC组织结构管理-新增用户可以同时新增多个用户, 但只能编辑公共属性 用于在用户在线列 表等地方显示SINFOR TECHNOLOGIES CO.,LTD.Page59�三、访问控制3.1、AC组织结构管理-移劢对象对已经设置好的用户或者组,可以行移劢,移劢在组织结构中的位置。SINFOR TECHNOLOGIES CO.,LTD.Page60�三、访问控制3.1、AC组织结构管理―查询对象在“组成员列表”中行查询,查询当前组包含的所有用户和子组。可以查询当前组以及其子组 的成员列表。SINFOR TECHNOLOGIES CO.,LTD.Page61�三、访问控制3.2、上网策略管理―概念访问控制:对内网用户访问外网的数据行控制。 通过什么实现:上网策略对象 怎样行控制:用户组或用户关联相关策略SINFOR TECHNOLOGIES CO.,LTD.Page62�3.2、上网策略管理-策略对象设置策略对象:用于设置详细的上网策略。 包括:上网权限、网页过滤、邮件过滤、应用审计、流量统计不上网计时、 准入系统。策略名称 策略描述一条策略中包含这六种控制方式,通过勾选,使此方式生效 并进行设置。接下来的章节将对这六种控制方式进行详细讲解掌握:能做到什么?控制的原理?设置步骤?SINFOR TECHNOLOGIES CO.,LTD. Page63�3.2、上网策略管理-策略对象设置3.2.1、上网权限a、应用服务控制:对数据包的协议和特征字段等 行分析,判断数据类型。 b、网络服务控制:对数据包的IP和端口行分析控 制,相当于传统防火墙。c、高级配置:控制使用代理等数据。SINFOR TECHNOLOGIES CO.,LTD.Page64�3.2、上网策略管理-策略对象设置 3.2.1、上网权限a、应用服务控制:根据分析数据包特征字段,获ㄓτ美嘈停谥么罅 规则,由研Ц菽壳俺<τ梅治龀隼吹模⒒徂行实时更新。策略匹配顺序:由上 至下,当涉及相同的 规则时,注意将较细 的规则放在前面。 策略叠加时,缺省动作以此条为准, 还是继续往下匹配,如果以此条为准, 则执行缺省动作,下面策略中的应用 应用名称 规则名称 服务控制不再匹配到了 细分子类应用类型 对应用类型下的子类进 行选择Page65应用类型选择应用类型SINFOR TECHNOLOGIES CO.,LTD.�3.2、上网策略管理-策略对象设置 3.2.1、上网权限 b、网络服务控制:根据目标IP、端口和时间来控制上网数据。功能和前面类似,不再赘述。SINFOR TECHNOLOGIES CO.,LTD.功能和前面类似,不再赘述。Page66�3.2、上网策略管理-策略对象设置 3.2.1、上网权限 c、高级配置:检测代理数据, 控制是否可以使 用代理上网 识别某些使用http和SSL 标准端口的非标准协议, 例如QQ等。SINFOR TECHNOLOGIES CO.,LTD.Page67�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤:对访问网页的URL行过滤,内置研占 URL库,并可以行定时更新。 b、关键字过滤:拒绝某些在搜索引擎或通过http协议上传的 关键字。 c、文件类型过滤:拒绝通过http或FTP下载和上传的文件类 型。d、SSL控制:通过证书控制,保证访问SSL协议的安全性。SINFOR TECHNOLOGIES CO.,LTD. Page68�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤:根据访问网页的URL行过滤URL组策略叠加时,缺省动作以此条为准, 还是继续往下匹配,如果以此条为准, 则执行缺省动作,下面策略中的URL 控制不再匹配到了SINFOR TECHNOLOGIES CO.,LTD.Page69�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤:URL组设置(自定义URL组过滤)查询内置和外置url, 不支持模糊查询 支持一级通配符 内置URL由研发收集并提供网上定时更 新,内置URL无法编辑,导出等操作用户根据自身情况 自定义URL组SINFOR TECHNOLOGIES CO.,LTD.Page70�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 b、关键字过滤:搜索引擎:对知名搜索引擎 上搜索关键字进行控制 HTTP上传:对通过HTTP协 议上传的其他关键字进行控 制,包括发贴、webmail等。SINFOR TECHNOLOGIES CO.,LTD.Page71�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 b、关键字过滤:关键字组设置关键字:一行一个,不 支持通配符和权重等。SINFOR TECHNOLOGIES CO.,LTD.Page72�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤:勾选是否同时适用于 FTP传输的文件类型过滤通过HTTP协议上 传和下载的文件类型SINFOR TECHNOLOGIES CO.,LTD.Page73�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤:文件类型组设置根据文件后缀 名进行控制SINFOR TECHNOLOGIES CO.,LTD.Page74�3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 d、SSL控制SSL证书的颁 发机构导入受信任的 根证书受信任的根证 书,应用于证 书链控制SINFOR TECHNOLOGIES CO.,LTD.Page75�3.2、上网策略管理-策略对象设置 3.2.3、邮件过滤邮件过滤用于过滤使用SMTP和POP3协议收У挠始webmail无 效。发 邮 件收邮件SINFOR TECHNOLOGIES CO.,LTD. Page76�3.2、上网策略管理-策略对象设置 3.2.3、邮件过滤邮件延迟审计:设置策略,将匹配条件的邮件,延迟停AC通知管理 员查看审核此邮件,由管理员决定是否将此邮件С觯故巧境 送。SINFOR TECHNOLOGIES CO.,LTD.Page77�3.2、上网策略管理-策略对象设置 3.2.3、邮件过滤 邮件延迟审计:设置延迟审计策略,查看未审计和已审计的 邮件。管理员在此处审计 延迟发送的邮件SINFOR TECHNOLOGIES CO.,LTD.Page78�3.2、上网策略管理-策略对象设置 3.2.4、应用审计 应用审计:用于记录用户的上网行为,勾选相关选项即可实 现某项日志的记录。记录的日志可在数据中心中行查询。SINFOR TECHNOLOGIES CO.,LTD.Page79�3.2、上网策略管理-策略对象设置 3.2.5、流量统计不上网计时 用于设置统计流量和上网时长,并对单个用户的上网时间和 连接数行控制。控制单个用户的上网时 设置是否统计用户各种 间,以有流量就计时, 连接数:检 应用的流量和上网时长 注:在线不一定有流量 测实时连接 数进行控制 根据时间段进行控制设置上网时间和排除端口SINFOR TECHNOLOGIES CO.,LTD.Page80�3.2、上网策略管理-策略对象设置 3.2.6、准入系统通过在用户终端安装准入控件,从而监控到用户PC上的相关信息,并 行控制管理,可以对操作系统类型、程、文件等行检测,并且实 现对加密聊天软件的内容监控。SINFOR TECHNOLOGIES CO.,LTD.Page81�3.2、上网策略管理-策略对象设置 3.2.6、准入系统准入规则:包含内置和自定义两种规则,内置规则主要是监控IM聊天内 容的软件,由研柚貌⒍ㄆ诟拢谥霉嬖蜇⒃市肀嗉蜕境SINFOR TECHNOLOGIES CO.,LTD.Page82�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 操作系统控制:检测客户端电脑的操作系统,包括是否打过 补丁,对违反规则的客户可“禁止用户上网”或“提交报 告”。SINFOR TECHNOLOGIES CO.,LTD.Page83�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 程控制:检测客户端程信息,违反规则的客户采ā敖 止用户上网”、“停止\启用程”或“提交报告”。进程名称SINFOR TECHNOLOGIES CO.,LTD.Page84�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 文件控制:检测客户端文件信息,违反规则的客户采ā敖 止用户上网”、“删除文件”或“提交报告”等操作。填写文件完整路径SINFOR TECHNOLOGIES CO.,LTD.Page85�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 注册表控制:用于检测终端注册表的信息,违反规则的客户采 ā敖褂没贤薄疤砑\删除该项”或“提交报告” 操 作。SINFOR TECHNOLOGIES CO.,LTD.Page86�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 其他:禁止用Admin身份登录系统, 跨三层绑定IP/MAC。SINFOR TECHNOLOGIES CO.,LTD.Page87�3.2、上网策略管理-策略对象设置 3.2.6、准入系统 准入客户端:用户关联准入策略后,用户在第一次经过AC上 网时,AC会重定向页面自劢安装准入客户端。SINFOR TECHNOLOGIES CO.,LTD.Page88�3.2、上网策略管理―策略对象关联 用户组关联策略:注意“强制子组继承” 和“使用父组策略”勾选此项后,完 全继承父组的策 略,本组无法编 辑策略。SINFOR TECHNOLOGIES CO.,LTD.选择预先已经设 Page89 置好的策略对象�3.2、上网策略管理―策略对象关联用户关联策略:用户默认情晗率枪囱 笆褂酶缸椴呗浴钡模部梢ㄏ 勾选,单独设置策略。设置方法和用户组相同。SINFOR TECHNOLOGIES CO.,LTD.Page90�3.2、上网策略管理―策略匹配顺序策略匹配依照由上Y下的顺序,逐个模块匹配数据包策略对象1网络服务控制1应用服务控制1URL过滤1关键字过滤1文件类型过滤1准入规则1策略对象2网络服务控制2应用服务控制2URL过滤2关键字过滤2文件类型过滤2准入规则2策略对象3网络服务控制3应用服务控制3URL过滤3关键字过滤3文件类型过滤3准入规则3其他选项以第一条生效的策略为准。SINFOR TECHNOLOGIES CO.,LTD. Page91�3.2、上网策略管理―生成策略报告生成策略报告:可以列出所选用户组使用的策略设置,并且会列出各个设置 的详细信息。此报告可以以网页的形式保存下来。SINFOR TECHNOLOGIES CO.,LTD.Page92�三、访问控制3.3、流量管理流量管理系统用于对内网访问公网的流量行控制或保障, 可以细化到针对用户组和用行控制,控制类型包括:应 用类型、文件类型和网站类型。SINFOR TECHNOLOGIES CO.,LTD.Page93�3.3、流量管理 3.3.1、配置正确的线路带宽信息: 一定要和实际带宽符合,因为带宽分配以此为基数。首先要准确配置AC串 接网络的实际带宽 (注意单位是bit,即 与运营商分配带宽的 单位一致)SINFOR TECHNOLOGIES CO.,LTD.Page94�3.3、流量管理 3.3.2、配置管理策略通道名称 选择此通道适用的 选择此通道适用的 服务 选择此通道是做带宽 用户或用户组 限制还是带宽保证的 选择通道优先级,即 优先级高的优先占用 空闲带宽。限制通道:设置组的 最大上行、下行带宽限制通道:设置用户 设置保证带宽值和最 组中单个用户的最大 保证通道:设置用户 大带宽值 上行、下行带宽 组中单个用户的最大 选择时间、生效线路、 上行、下行带宽 目标IP等条件。SINFOR TECHNOLOGIES CO.,LTD.Page95�3.3、流量管理 3.3.3、流量状态查看各通道的流量状态:SINFOR TECHNOLOGIES CO.,LTD.Page96�三、访问控制3.4、AD域同步AD域同步:用于同步LDAP域服务器中的用户和组织结构。 1)按域中的ou关系,导入各级OU、支持导入域中的层次关系;这样较 符合现实中的组织结构关系; 2)支持域信息“立即同步”和“自劢同步”。 3) 每个用户和组有个内置属性,表明是否自建,即用户手劢建的用户或 组。如果是手劢建的用户则丌删除,还保持原来的组织结构。 4)同时支持按权限组Group行同步。SINFOR TECHNOLOGIES CO.,LTD.Page97�3.4、AD域同步 A、按照OU同步策略名称和描述 自劢同步时间是 0点-5点随机 选择需要同步的服务器AD域中用户导入AC的位 置,“按域中关系导入 同时导入根组(域名)SINFOR TECHNOLOGIES CO.,LTD. Page98�3.4、AD域同步 A、按照OU同步选择要导入的OU,子 OU同时导入,可多选 根据域的参数设置 过滤条件,根据条件同 步AD 以上面所填OU为准,可 以选择是否从本级OU开 始导 用于指定包含几级子OU 范围1-15,包括本级。SINFOR TECHNOLOGIES CO.,LTD.Page99�3.4、AD域同步 AD域的结构 A、按照OU同步 导入AC的组织结构注:每一次同步都是将AC本地的域同步用户重新全部替换,所以丌可以 设置丌同的策略将丌同的域组织同步到同一个AC本地组,这样会被覆盖 掉,对AC自建用户没有影响。SINFOR TECHNOLOGIES CO.,LTD. Page100�3.4、AD域同步B、按照组同步同上AD域中用户导入AC的位 置,“使用域中分组状 态同时导入根组(域名)选择需要导入的 用户组,用户名有重 复时,以后面导入的 那个为准SINFOR TECHNOLOGIES CO.,LTD.Page101根据域的参数设置 过滤条件,根据条件 同步AD�3.4、AD域同步B、按照组同步注:AC1.9在按照域安全组同步时,因为域中存在丌同安全组存在同一用户的 问题,在同步到AC后此用户只属于其中一个安全组。SINFOR TECHNOLOGIES CO.,LTD. Page102�3.4、AD域同步C、同步日志同步日志最多只有20条,超过20条就丌记录,可以手劢将日志清空。SINFOR TECHNOLOGIES CO.,LTD. Page103�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page104�四、数据中心的安装及同步1、数据中心的概念2、数据中心的安装 3、数据中心的同步SINFOR TECHNOLOGIES CO.,LTD.Page105�四、数据中心的安装及同步4.1、数据中心的概念数据中心用于对用户上网数据行记录和统计。 数据中心分为内置数据中心和外置数据中心两种。 内置数据中心是设备内置的,由于存储空间有限,所以如果客 户想要保存日志量比较大,建议安装外置数据中心。 外置数据中心需要安装在客户的服务器上,原理是从AC上同 步已经产生的日志,并且提供客户的查询、导出等操作。SINFOR TECHNOLOGIES CO.,LTD.Page106�四、数据中心的安装及同步4.1、数据中心的概念AC外置数据中心由以下三部分组成:? 1、M5x00-AC设备。? 2、数据中心软件(包括一个数据中心服务和一个Apache Web Server服务)。? 3、Mysql 数据库。SINFOR TECHNOLOGIES CO.,LTD.Page107�4.1、数据中心的概念组件关系图:数数数数 数 数 eb 数 W 数 数 数 数 数 数 数 数 数 数查询的 客户机Si nf or W eb Ser ver Si nf or D a at C ent erW eb数 数数 数数 数数 数数 数数 数数 数数 数数A C数数数数数数数数数数据中心服务数 数 数 数 数 数 数AC设备M SQ 数数数 y L数据中心服务器SINFOR TECHNOLOGIES CO.,LTD. Page108�四、数据中心的安装及同步4.2、外置数据中心的安装1、系统条件 建议安装在windows 2000 server、windows 2003 server 系统上,较稳定。 XP系统对数据中心支持的丌是很好,丌建议安装。 2、硬件条件 a、安装盘需要至少4GB的硬盘空间。 b、安装盘必须是NTFS格式。SINFOR TECHNOLOGIES CO.,LTD.Page109�4.2、外置数据中心的安装下载DataCenterSetup1.9.exe安装程序 ,双击安装SINFOR TECHNOLOGIES CO.,LTD.Page110�4.2、外置数据中心的安装数据中心WEB服务的缺省端口为TCP 80。如本机的80端口被 占用,请改其他端口。SINFOR TECHNOLOGIES CO.,LTD.Page111�4.2、外置数据中心的安装提示安装数据中心的磁盘必须是NTFS格式,并且空间至 少4G以上。SINFOR TECHNOLOGIES CO.,LTD.Page112�4.2、外置数据中心的安装选择安装目录:SINFOR TECHNOLOGIES CO.,LTD.Page113�4.2、外置数据中心的安装显示安装信息,确认无误后点击下一步,安装完成:SINFOR TECHNOLOGIES CO.,LTD.Page114�4.2、外置数据中心的安装安装数据中心后会增加以下几个服务:Sinfor cserver:数 据中心搜索服务Sinfor Data Center: 数据中心服务 Sinfor MidTableCtrl: 中间表生成服务 Sinfor Web Server: Web服务 Sinfor Mysql: 数据库服务SINFOR TECHNOLOGIES CO.,LTD.Page115�四、数据中心的安装及同步4.3、配置数据中心同步登录数据中心配置端,配置数据库和同步信息。默认密码为空SINFOR TECHNOLOGIES CO.,LTD.Page116�4.3、配置数据中心同步1、配置数据库:Mysql数据库默认只 能使用数据中心安装 时自动安装的数据库, 数据库的配置缺省已 经配置好了,无法设 置和修改。 日志所带的附件不保存在数据 库中,需要另外选择存放路径SINFOR TECHNOLOGIES CO.,LTD. Page117�4.3、配置数据中心同步2、同步帐号设置 AC向数据中心同步日志时需要在数据中心上为AC建立同步帐 号。SINFOR TECHNOLOGIES CO.,LTD.Page118�4.3、配置数据中心同步3、AC上配置同步信息在数据中心建立同步帐号后,将同步帐号、密码等信息填入AC的数 据中心配置中,AC通过连接数据中心服务器的810端口同步日志。和数据中心中设置相同数据中心的web服务端口SINFOR TECHNOLOGIES CO.,LTD.Page119�4.3、配置数据中心同步4、查看同步状态同步过的AC都会在这里显示出来。状 态离线表示当前数据中心没有向数据 插入数据。如果正在插入数据,状态 就是在线。SINFOR TECHNOLOGIES CO.,LTD. Page120�4.3、配置数据中心同步5、查看数据中心日志,同步情甑SINFOR TECHNOLOGIES CO.,LTD.Page121�4.3、配置数据中心同步1、安装数据中心服务I nt er net2、配置数据库 3、配置同步帐号200. 200. 0. 2004、配置AC数据中心相关配置 5、要求公网访问数据中心,还需要 在AC上做端口映射。 注:1.保证AC能正常的连接到数据中心的 TCP 810端口。例如AC和数据中心不在同 一网段,那就要保证AC和数据中心有到达 对方的路由。 2. 如AC是旁路模式,要保证DMZ口的IP 能和数据中心的PC通讯。 3.客户机能访问到数据中心Web服务器的 Web服务端口(缺省是80,如修改过请使 用改过的端口)Page122AC 192. 200. 200. 90数数数数数数数数数( 数数数数 数数数 192. 200. 200. 4SINFOR TECHNOLOGIES CO.,LTD.�4.3、配置数据中心同步思考:I nt er net数数数数数200. 200. 0. 200 数数数数数数数数数 数数数 192. 200. 100. 4AC 192. 200. 200. 90SINFOR TECHNOLOGIES CO.,LTD.Page123�4.4 数据中心的使用登录数据中心:数据中心地址+WEB端口默认密码:adminSINFOR TECHNOLOGIES CO.,LTD.Page124�4.4 数据中心的使用登录数据中心:SINFOR TECHNOLOGIES CO.,LTD.Page125�4.4 数据中心的使用日志查询:数据中心提供流量查询、行为查询以及其他日志查询等。用于查 询具体的网络行为。选择需要查询的应用类型SINFOR TECHNOLOGIES CO.,LTD.将查询日志导出 Excel格式Page126将此查询条件保存 到首页链接�4.4 数据中心的使用系统管理―日志库管理查看历叱同步日志 的情辏ū泶 小,和附件大小 显示数据中心服务器 的磁盘使用情SINFOR TECHNOLOGIES CO.,LTD.Page127�4.4 数据中心的使用系统管理―用户管理 数据中心管理员设置,设置包括是否是DKey用户、管理哪 些组的日志、自定义报表的权限和系统管理的权限。选择Dkey认证后,只有 用Dkey登录才能行 设置组权限 查询,用用户名登录 只能查看统计的日志, AC需要在多功能中激活 “Dkey登录数据中心”。SINFOR TECHNOLOGIES CO.,LTD.Page128�4.4 数据中心的使用系统管理―系统设置数据中心 报表使用的邮箱设置系统自劢生成 报表的时间 设置最多保存多少 份报表查询日志的最多导 出条目。SINFOR TECHNOLOGIES CO.,LTD.Page129�4.4 数据中心的使用系统管理―配置导入导出 数据中心中的配置导入导出,包括系统配置,自定义的报表模板等。SINFOR TECHNOLOGIES CO.,LTD.Page130�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page131�五、策略故障排查SINFOR TECHNOLOGIES CO.,LTD.Page132�五、策略故障排查拒绝列表的使用:拒绝列表用于记录数据包被AC功能模块拒绝的日志,主要用于排查AC策 略、设置等问题,在排错中起到很大的作用。由于拒绝日 志很多,可 以设置条件 筛选记录开启后AC就会 记录被拒绝掉 的数据信息, 包括被AC哪个 模块拒绝的SINFOR TECHNOLOGIES CO.,LTD. Page133开启拒绝列表的 同时开启直通, 即记录拒绝日志, 同时放通策略和 流控用完记得关 闭,否则AC 会产生大量 的日志占用 空间。�五、策略故障排查拒绝列表的使用:时间动作端口、IP具体应用 转发接口拒绝模块SINFOR TECHNOLOGIES CO.,LTD.Page134�五、策略故障排查常见问题A、内网用户无法上网,网关出口有AC设备,排错思路: 查看路由表,注意双向路由是否正确。 查看ARP表,注意是否有ARP欺骗。 开启拒绝列表,看数据是否被AC拒绝。 打开LogV,看是否有异常日志,DOS攻击。SINFOR TECHNOLOGIES CO.,LTD.Page135�常见问题B、通过AC某些应用无法正常使用或使用不正常: 常见例子: ①、QQ、MSN收发消息、传文件不正常, ②、无法发送webmail, ③、某些网页无法打开 排错方法:(策略故障排除列表的使用) ①、确认主机与AC通信正常,如只有部分服务无法正常使用可直接进行步骤2。 ②、使用策略故障排除功能 a、设置开启条件(出现问题的主机IP、端口;目的IP、端口)--可选设置; b、点击“开启拒绝列表”,点击链接查看策略拒绝情况(找到drop条目),确 认故障原因; c、根据故障原因修改AC规则策略,测试故障是否回复; d、如故障仍然出现可重复步骤a-c,修复故障后请务必“关闭拒绝列表”。 (如果开启拒绝列表没有相应的拒绝日志,请考虑是否是AC前置或后置设备的 问题)SINFOR TECHNOLOGIES CO.,LTD. Page136�常见问题C、在网速正常的情晗拢苌AC后,用户反映上网速度变 得很慢,或者是上网时通时断。①、测试内网电脑到AC的连通性:a、ping AC内网口,查看内网是否有ARP欺骗(通过网关升级客户端, 或ARP日志),查看AC和直连设备的兼容性(通过查看网口错误包 或ping大包测试) b、ping AC前置设备,查看AC和前置设备兼容性问题(通过查看网口 错误包或ping大包测试) C、查看是否超过连接数的限制。 d、查看流量控制策略,看是否是实际带宽超过了分配值导致的。SINFOR TECHNOLOGIES CO.,LTD.Page137�常见问题D、某些应用,架上AC就丌能用了,但是AC开启直通还是 丌正常。常见例子:邮件收ж⒄!①、查看是否开启了邮件过滤,或者邮件杀毒,AC代理转в始那下,需要保证AC可以正常收в始AC到邮件服务器通讯是否正常, 是否可以正常上网。 ②、排除AC的原因,请查看邮件服务器是否正常。SINFOR TECHNOLOGIES CO.,LTD.Page138�目 录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page139�六、其他功能1、策略路由策略路由用于设备有多线路的情况。根据源IP、目标IP、源端口、目标端口 和协议条件设置符合此条件的数据包走指定线路出去,实现自劢选路功能。 主要应用在设备有丌同ISP的线路,实现访问各自的网站选择同一运营商的 线路去访问,达到最快访问速度。SINFOR TECHNOLOGIES CO.,LTD. Page140�1、策略路由例:客户有两条线路,线路1为电信线路,线路2 为网通线路,客户需要实现访问电信网站202.96.137.75走线路出去,访问 网通网站58.241.145.36走线路2出去电 信 线 路网 通 线 路SINFOR TECHNOLOGIES CO.,LTD.Page141�六、其他功能2、防DOS攻击填写内网网段 列表填写内网路由 器IP填写内不需要DOS 防御的IPDOS防御的条件和 封锁时间中毒机器向服务器发起大量攻击包,消耗服务器资源,使用 SINFOR TECHNOLOGIES CO.,LTD. Page142 PC发到服务器的正常请求得不到响应,从而导致应用中断。�六、其他功能3、ARP欺骗防护中毒的电脑不停地向内网arp欺骗广播包,骗取内网电脑 正常通讯的数据包,干扰内网电脑间通讯,导致内网电脑 通讯不正常。 非正常情况下 欺骗PC 正常情况下SINFOR TECHNOLOGIES CO.,LTD.Page143中毒PC�3、ARP欺骗防护欺骗网关正常情况下 非正常情况下中毒PCSINFOR TECHNOLOGIES CO.,LTD.Page144�3、ARP欺骗防护(续)AC设备防止ARP欺骗原理(1)、防止设备本身被欺骗: a、设备本身不接爱不请自来的arp广播包,认为此为攻击包。 b、设备只接爱请求一次回复一次的arp广播包,认为回复多 次都为攻击。 (2)防止客户端电脑被欺骗 通过准入客户端程序在客户端PC上静态绑定电脑网关的IP 和MAC。如下图SINFOR TECHNOLOGIES CO.,LTD.Page145�例:AC做网关,lan口IP地址为192.200.200.1,客户需求AC能够解决内网arp欺骗问题。第一步:启用AC设备上arp欺骗防护设置填写PC网关的ip和mac,如果电脑 的网关为我们设备,也可以不填。SINFOR TECHNOLOGIES CO.,LTD.Page146�第二步:建立上网策略----arp欺骗防护策略Arp欺骗防护功能需要准入 支持,可以任意启用一条准 入规则。SINFOR TECHNOLOGIES CO.,LTD.Page147�第三步:将新建的arp欺骗防护策略和需要启用arp防 护功能的用户或组关联SINFOR TECHNOLOGIES CO.,LTD.Page148�此时在客户端电脑上可以看到准入客户端已安装到 PC上,有arpguard.exe,zrupdate.exe等进程生成。SINFOR TECHNOLOGIES CO.,LTD. Page149�六、其他功能4、网关杀毒其中pop3、smtp是代 理杀毒,如果启用,设 备开直通对其无效。 如果PC杀毒软件病毒库更新不 了,建议将更新地址填到不需 要杀毒网站列表。 网关杀毒需要单独授权开放,实现在线自动更新病毒库, 对http、ftp、pop3和smtp四种协议进行杀毒SINFOR TECHNOLOGIES CO.,LTD. Page150�完毕,谢谢!SINFOR TECHNOLOGIES CO.,LTD.Page151
答: (1)一般默认情况下,两台设备路由部署 《SANGFOR_AC&SG_v6.0_2015 年度渠道高级认证培训 01_安装部署.ppt》 问题及参考答案: 1.请描述双机部署和多机部署...深信服部署模式_计算机硬件及网络_IT/计算机_专业资料。一、AC\SG 部署模式: 1.1 部署模式拓扑图: 1.1.1 路由部署 1.1.2 网桥部署: 1.1.3 旁路部署: ...2013AF渠道培训PPT 45页 免费 SANGFOR_AC&SG_V4.5...AC/SG 基本功能介绍 SANGFOR AC 基本功能介绍 1. ...第四章 SANGFOR AC 基础认证技术 SANGFOR AC 认证...深信服产品培训测试题 AC D3 一、选择题(多选) (...、上网智能提醒、文件智能识别 Key 技术 AD 1. ...(广域网加速) 、SG(上网优化管理)都含有 IPSec ...06.AD与深信服AC设备账号整合操作说明_计算机硬件及网络_IT/计算机_专业资料。AD域与上网行为管理账号整合AD 与深信服 AC 设备账号整合操作说明 1、登陆深信服导航至...深信服ac详细配置手册 545页 2下载券 SINFOR_AC_v1[1].9_策略... 22页 ...1.三层交换机 A 和 B 都必须支持并启用 SNMP 协议(版本为 v2 或 v3) ,并且...SANGFOR_AC_V4.0_上网安全桌面解决方案_IT/计算机_...1、 安全稳定 沙盒技术已经是成为业界公认的一种安全...九---QQLive 伪装者 病毒类型:破坏性程序病毒 危害...深信服科技渠道伙伴技术培训和认证细则__IT认证...6 1.目的深信服科技驻外渠道服务经理及时、 有效的...安全 产品线包括:AC/BM/SG、SSL、IPSEC/WOC,对于...深信服AC 系列试题2012 Q二_计算机硬件及网络_IT/计算机...1. 下列关于 AC 设备的策略路由功能,说法错误的是...下列关于 AC/SG 设备数据中心的同步账号配置中的...深信服流量控制功能说明_计算机硬件及网络_IT/计算机_专业资料。流量控制技术说明 ...1.2.3 多级父子通道嵌套技术 AC 采用“基于队列的流控技术” ,即建立管道,...
All rights reserved Powered by
copyright ©right 。文档资料库内容来自网络,如有侵犯请联系客服。
