SANGFOR_AC&SG_V5.X_2014年度渠道初级认证培训04_基础认证培训
Sangfor_AC_LAN-LAN端口映射配置步骤_20110427
LAN to LAN 端口映射配置步骤
注:本文只讲解详细配置过程,原理请参看《LAN--LAN 端口映射原理》。
适用版本:AC/SG 3.0。
(界面类似也同样适用)
应用背景:
局域网内网有服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip 来访问内网服务器。
如下图所示:
由于AC/SG 3.0版本的【发布服务器】功能是对全局生效的。
所以,如果内网有多个端口映射,而其中有个别是不需要做源端口转换的情况下,不能勾选此功能。
只能对各个需要源端口转换的端口按本文的配置方法配置。
1、首先,做DNAT。
如下图:
效果如下:
2、其次,做SNAT。
如下图:
效果如下:
至此,LAN to LAN配置完成。
深信服客服部
2011年4月27日。
SANGFORAC设备部署培训
SANGFORAC设备部署培训一、背景介绍SANGFORAC设备是一种用于网络访问控制的企业级硬件设备,能够提供安全、高效的网络访问管理和流量控制服务。
为了能够正确地配置和部署SANGFORAC设备,使其能够发挥最佳效果,对设备的部署与培训显得尤为重要。
本文主要针对SANGFORAC设备的部署培训进行详细介绍,包括设备的基本功能、部署前的准备工作、设备的设置与配置、故障排除等内容。
二、设备简介SANGFORAC设备是一种能够实现企业内外网络隔离的硬件设备。
它使用网络地址转换(NAT)技术,结合访问控制列表(ACL)和用户认证功能,提供了对网络用户的精细控制机制,保证了企业网络的安全性与可管理性。
SANGFORAC设备具备以下主要功能:1.精细访问控制:能够根据企业需求,对不同用户或用户组设置不同的访问权限。
2.流量控制:能够限制用户的带宽使用,保证企业关键业务的稳定运行。
3.用户认证:能够通过用户认证,对接入网络的用户进行身份确认,增加网络的安全性。
4.应用识别:能够识别网络中的应用程序,对不同应用的流量进行分类和管理。
5.故障排除:能够检测并修复网络中的故障,确保网络正常运行。
三、部署前的准备工作在开始部署SANGFORAC设备之前,需要进行一些准备工作,以确保部署过程的顺利进行。
1.网络拓扑规划:根据企业的网络需求,确定SANGFORAC设备的部署位置和网络拓扑结构。
2.IP地址规划:为SANGFORAC设备和其他网络设备规划IP地址,避免IP地址冲突。
3.设备选型:根据企业的需求选择合适的SANGFORAC设备型号。
4.设备接入准备:确保SANGFORAC设备的电源、网线等接入设备的准备工作已完成。
四、设备的设置与配置4.1 设备初始化在正式开始设备的设置与配置之前,需要对SANGFORAC设备进行初始化操作,以将设备恢复到初始状态。
初始化的步骤如下:1.连接设备:将电源和网线连接到SANGFORAC设备上,并确保设备电源已打开。
《SANGFOR_AC_应用封堵设置检查方法》
AC应用封堵设置检查方法目录AC应用封堵设置检查方法 (1)第一步:确认AC设备是否处于直通状态 (1)第二步:确认用户是否受到AC设备管控 (2)第三步:确认规则库是否为最新 (4)第四步:确认上网策略配置是否正确 (5)第一步:确认AC设备是否处于直通状态图1.1确认AC设备是否处于直通状态如图1.1所示执行以下步骤,确认AC设备是否处于直通状态1.登陆网关控制台,并在导航菜单选择系统诊断(图1.1,框1)2.选择Bypass与拦截定位(图1.1,框2)3.若当前操作状态显示为当前操作状态:实时拦截日志关闭或当前操作状态:实时拦截日志开启(图1.1,框3),请转到第二步:确认用户受到AC设备管控;4.若当前操作状态为:当前操作状态:实时拦截日志开启,数据直通开启(图1.1,框3),请点击关闭实时拦截日志(图1.1,框4)5.再次确认应用是否收到AC设备的封堵,若还未能封堵,请转到第二步:确认用户受到AC设备管控第二步:确认用户是否受到AC设备管控图2.1确认用户是否受到AC设备管控如图2.1所示,执行以下步骤确认用户是否受到AC设备管控1.在导航菜单选择实时状态(图2.1,框1)2.选择在线用户管理(图2.1,框2)3.点击以登录名搜索(图2.1,框3)4.选择以IP地址搜索(图2.1,框4)5.在(图2.1,框5)中输入无法封堵应用的用户IP地址并回车6.若用户列表(图2.1,框6)中出现了该IP的用户,请转至规则库7.若用户列表(图2.1,框6)中未出现该IP的用户,请按照图2.2执行步骤图2.2确认用户是否在自定义排除地址中8.在导航菜单中选择系统配置(图2.2,框8)9.选择全局排除地址(图2.2,框9)10.选择自定义排除地址(图2.2,框10)11.在排除地址(图2.2,框11)中查找应用不受控的用户IP12.在排除地址(图2.2,框11)若能找到该用户IP,或是IP IP或IP范围,再次确认应用是否能够被封堵,若无法封堵且在线用户管理中有该IP,请转第13.在排除地址(图2.2,框11)若不存在该用户IP或是IP范围,请确认该用户正在通过AC上网14.若该用户不通过AC上网,则不受AC控制;若该用户确实通过AC上网,请联系经销商或者售后800协助处理第三步:确认规则库是否为最新图3.1确认规则库是否为最新如图3.1步骤所示操作,确认规则库是否为最新1.在导航菜单点击系统配置(图3.1,框1)2.选择自动升级(图3.1,框2)3.若(图3.1框3)中,应用识别规则已为最新的,转入第四步:确认上网策略配置正确4.若(图3.1框3)中,应用识别规则不是最新的规则库,请点击“”(图3.1,框4),立即更新规则库,并确认操作5.若(图3.1框3)中,应用识别规则的最新版本为“无法获取信息”,请联系经销商或者售后800协助处理6.规则库更新需要5~10分钟不等,若更新后应用识别规则日期不变,请联系经销商或者售后800协助处理第四步:确认上网策略配置是否正确图4.1编辑无法封堵应用的用户如图4.1所示步骤操作,编辑无法封堵应用的用户1.在导航菜单中选择用户与策略管理(图4.1,框1)2.展开用户管理,选择组/用户(图4.1,框2)3.在成员管理中找到无法封堵应用的用户,并点击该用户的名称,进入编辑模式(图4.4.11框3)图4.2查看用户的策略列表4.在编辑模式中,选择策略列表,请确认有相应的上网策略控制该用户,并点击查看用户的策略结果集(图4.2,框4);若该用户确实未应用上网策略,请对其添加相应上网策略,并再次确认应用封堵效果,仍然无效请继续下一步图4.3查看用户的策略结果集5.策略结果集如图4.3所示,请确认您需要封堵的应用在应用控制中的动作为“”,若应用控制中无您要封堵的应用,请修改相应的上网策略,并再次确认应用封堵效果,仍然无效请继续下一步图4.4查看用户的活动连接6.在导航菜单中选择实时状态(图4.4,框6)7.展开流量状态(图4.4,框7)8.选择连接监控(图4.4,框8)9.确认用户正在使用应被封堵的应用后,在(图4.4,框9)中输入该用户IP,并查询该用户的当前活动链接10.若连接监控中未识别到您要封堵的应用,但是识别到了代理工具应用,请更改您的上网策略,封堵相应的代理工具,并再次并再次确认应用封堵效果,仍然无效请继续下一步11.若连接监控中应被封堵的应用被识别为的应用类型和名称与您策略中配置的不同(如您封堵的是IM/QQ,连接监控中显示的为IM/Web-QQ),请更改您的上网策略,并再次并再次确认应用封堵效果,仍然无效请继续下一步12.若连接监控中应被封堵的应用被准确识别,却仍未有效封堵,请联系经销商或者售后800协助处理13.若连接监控中将应被封堵的应用识别为其他,请联系经销商或者售后800协助处理。
SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书
测试指导书SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 实现方式 (3)4 测试环境 (3)4.1 测试条件 (3)5 测试过程 (3)6 测试效果 (12)7 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果,减少现场测试出现问题机率。
2 需求背景客户自己的服务器上安装并使用了我司的外置日志中心,最早安装时,日志和附件可能都保存在C盘某路径下,后续日志增多,C盘存储不够,客户想将所有日志迁移到新的磁盘或新的外置服务器上使用,保证新旧日志不受影响。
3 实现方式1.通过重装DC程序实现快速迁移2.通过修改DC配置文件路径实现快速迁移4 测试环境4.1 测试条件一台安装了AC11.0外置日志中心的服务器,并有空闲可供迁移的磁盘。
5 测试过程方法1.保留日志重装外置日志中心程序(推荐)1.客户原来日志存放在C盘DClog下,现在由于C盘存储不够,想全部迁移到服务器上的D盘下面2. 直接选择卸载外置日志中心程序3.卸载的时候,选择保留数据4.卸载完成后,在之前的日志保存路径下可以看到保留下来的日志5.重装外置日志中心程序,重新选择新的存储路径6.将旧日志迁入到新的路径下即可将原C盘下的DClog下的所有文件夹迁移到新的D盘目录的DClog下即可。
1.停掉外置日志中心所有服务2.修改日志中心配置文件中的路径信息一共修改三个配置文件:第一个,/外置日志中心程序安装路径/mysql_path.ini第二个,/外置日志中心程序安装路径/dc/config/sys_config.js第三个,/外置日志中心程序安装路径/ldb/bin/mdb.ini3. 将旧日志迁移到新的路径下4.启动外置日志中心所有服务日志迁移后,旧的日志可以正常查询,新的日志可以正常同步查询。
如图,迁移后,旧日志可以正常查询,说明迁移成功。
SANGFOR_ACSG_v5.6R1_多机部署测试指导书
SANGFOR_AC SG_v5.6R1_多机部署测试指导书【说明】:AC/SG的多机同步主要应用于内网设备启用VRRP的环境,既可以起到设备冗余又可以起到负载均衡的作用,一般网桥模式建议部署多机。
多机环境下所有的设备都是同时工作的,同时实现在VRRP环境下某条线路断掉,无缝切换到另一条线路,且策略和用户状态保持一致,用户上网不需要重新认证。
一.准备工作1.以两台软件版本相同为AC5.6R1M5100作为测试设备,网桥模式部署。
软件版本必须相同,硬件型号不作要求。
2.以192.168.1.10用户作为测试用户,需要通过设备认证。
3.准备一根交叉线(一头按T568A线序连接,一头按T568B线序连接)二.测试拓扑实现拓扑如下:客户的网络两台三层交换机和防火墙启用vrrp的冗余协议,两侧防火墙,交换机可以配置热备冗余或负载均衡,互为主备”,鉴于这种环境两台AC单网桥多机部署在防火墙和核心交换机之间,分配给两台设备的地址分别为192.200.200.140/24,192.200.200.233/24由于内网接的是核心交换机,所以用空闲网口dmz口作为两台设备多机的通信网口,用交叉线连接。
三.测试需求及预期结果测试需求:1.一台设备的配置修改可以同步至另一台设备。
2.主链路上的交换机,防火墙和AC设备异常时(网口掉线,设备宕机等),业务流量可以正常切换至备份链路,不会引起断网。
测试结果:1.在主链路AC设备上建用户,组,上网策略等配置,手动点【网络配置】->【高可用性】->【多机同步】中的“向其它设备同步配置”,可以将配置同步至备份链路的AC设备。
2.主链路防火墙下联口或交换机上联口down后,防火墙,交换机及客户业务流量同时切换至备份链路,不会造成断网四.配置步骤1.基本网络配置(1)在线下分别配置两台设备的部署模式,IP,网关,DNS等信息:本案例选择单网桥模式,并开启多网桥链路同步。
(2)分别配置两台设备的回包路由:内网是三层环境时,需要设置到内网网段的回包路由2.多机配置两台设备各选择一个空闲的网口,用交叉线直连。
SANGFOR_AC(外置数据中心)
SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上,较稳定。
XP系统对数据中心支持得不是很好,不建议安装。
注:所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。
b、安装盘磁盘格式必须是NTFS格式。
二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径,并点击应用,以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码;新建一个数据库并测试连通性;设置开始同步的日期
点击应用,使配置的同步账号生效!
用户在线表示正在同步数据,用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。
SANGFOR_AC_内网安全解决方案
深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能,有效管理用户上网 (3)4.2防DOS攻击功能,有效防御内外网的DOS攻击 (3)4.3IPS系统,保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能,保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。
回顾2004年以来,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。
据统计,仅2005年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。
与此同时,越来越多的企业发现,安全威胁不仅来自外部,企业内部的不当互联网访问、滥用互联网以及泄密行为等等,同样会带来安全问题。
据IDC报告,70%的安全损失是由企业内部原因造成的,而不当的资源利用及员工上网行为往往是“罪魁祸首”。
比如:网页浏览、BT下载、IM实时通信、P2P文件共享等行为。
不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒,导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。
此时,传统的防火墙已经显得无能为力。
例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。
传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。
SANGFOR_AC上网行为管理功能列表
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构;海外有5个分支机构(香港、泰国、印度、新加波 品备件;
深圳总部设有60个座席的CTI中心,两路800电话提供7*24小时不间断服务;客户服务
对互联网应用的识别广泛度,正是考验各厂商技术实力的关键所在,不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库,帮助客户有效识别所有主流互联网应用; 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库,专业团队维护,支持自动更新。 允许管理者手工创建新URL分类; 通过网址关键字识别URL及其分类; 根据管理者提供的关键字、或网址等学习材料,网关实现未知网页的自动识别和分类; 对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); 网关能够过滤搜索引擎输入的指定关键字; 网关能够过滤正文含有指定关键字的网页访问行为; 网关能够过滤含有指定关键字的网络发贴行为; 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为; 网关能够基于关键字过滤SSL加密的网络发贴行为; 允许用户浏览论坛、BBS上的帖子,但不允许发送网络帖子; 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; 对于通过HTTP/HTTPS端口传输非网页流量的行为,支持识别并过滤; 能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 包含24个大类,500多条应用识别规则,涵盖主流互联网应用,国内最大; 管理者可通过协议类型、IP、端口、域名、数据包特征字段等,自定义应用识别规则; 基于数据包应用层特征字段实现对应用的识别; 基于数据包与域名之间的关联实现应用的识别; 基于应用协议行为特征实现应用的识别; 当网关完成数据包的强特征识别后,后续数据包通过若特征识别技术即可完成识别,效率更好、速度 更快; 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; 识别超过37种IM聊天软件; 识别超过10种IM传文件行为; 识别超过75种网络游戏软件; 识别常见的23种P2P应用,同时可识别加密P2P应用; 针对P2P软件种类多、版本杂、更新快的问题,网关通过对P2P软件行为的分析和统计,智能识别各 种P2P软件并封堵; 识别超过36种在线流媒体软件; 识别超过27种网络炒股软件; 识别超过18种远程登录和木马软件; 识别超过6种加密代理、翻墙软件; 识别超过16种网上银行访问行为; 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件,网关将主动 拦安截 装,Em并a在il客人户工端审软核件后,再配外置发使;用SSL加密的POP3和SMTP行为,网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件; 基于正文关键字过滤外发Webmail邮件行为; 允许用户登录webmail邮箱接收邮件,但不准外发; 即使通过SSL加密的webmail外发邮件,网关仍然能基于关键字过滤; 网关能过滤来自互联网的垃圾邮件;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置步骤三(DKEY认证的用户)
1、新增DKEY认证的用户,手动生成DKEY
设置DEY的 初始密码 勾选后,会弹出提示 信息,要求生成KEY, 点关闭即可。 使用免审计KEY时,
需要勾选此项
点写入DKEY前 请先在本机安装 KEY驱动
配置步骤三(DKEY认证的用户)
2、使用DKEY认证的用户,需下载并安装DKEY客户端
注意事项:
1. 仅对设备本地密码认证的用户有效 2. 用户认证后会自动跳转到修改密码窗口,若不修改则无法上网。
强制客户端初次认证修改密码
配置方法: 1. 添加用户时:在【用户与策略管理】-【用户管理】-【组/用户】 中,点击 新增,在【本地密码】设置的下方勾选“初次认证修改密码”。
强制客户端初次认证修改密码
绿色的是认证KEY,紫色 的是免审计KEY,这两种 KEY不能混淆。 AC还有一种咖啡色的KEY, 用于数据中心查询。
认证功能配置
典型应用场景与配置
IP/MAC 认证场景
用户名 密码认 证场景
短信认 证场景
DKEY 认证场 景
案例背景一
某集团公司内部有办公区和公
防火墙
共上网区, 要求实现办公区 (192.168.1.0/24)用户上网不 能修改IP和MAC地址,公共上
三层交换机接口地址
此处显示搜索结果
如果知道三层交换机的MAC 地址,OID和community, 可以直接填入该框中,格式 为: IP/MAC/OID/community
配置步骤二(用户名密码认证)
1、配置认证策略:在【用户与策略管理】-【用户认证】-【认证策略】中,
点击【新增】,如图,配置完成后点提交。
权限策略及应用审计提供基础。
AC/SG 设备支持的认证方式
不需要认证(IP/MAC绑定)
本地密码认证
密码认证
第三方服务器认证 LDAP单点登录
SANGFOR AC的 认证方式
单点登录
....
数据库单点登录 内置短信认证
短信认证 DKEY认证
外部结合认证
认证方式介绍
1、不需要认证 设备根据数据包的源IP地址、源MAC地址、上网PC的计算机名来识
2. 导入用户时:【用户与策略管理】-【用户管理】-【用户导入】, 点击 CSV格式文件导入时,勾选初次认证修改密码。
强制客户端初次认证修改密码
启用了初次认证修改密码,用户第一次认证通过后会跳转到修改密 码页面,修改完成后出现如下页面: 提示: 1. 此页面为静态页面, 不会自动跳转到之前访 问的internet页面。
配置步骤二(外置短信认证)
1、配置认证策略和内置短信认证认证策略一致(忽略)
2、外置短信网关的安装及配置
在服务器上安装短 信网关服务器软件
接线注意事项: a) 将一手机SIM卡放入短信Modem 内。 b) 短信Modem 通过发货时自带的串口线连接到短信服务器(电脑)的COM1 口。 注意:短信猫接在电脑上,从com1口开始设置。(非linux系统COM1开始)
案例背景二
某银行业务大厅,分布人员有
防火墙
银行职员和受理业务客户。要求 实现公共上网区接入到无线AP 上网的用户(192.168.3.0/24)
核心交换
1、职员通过输入用户名里的客户使用短信认证
然后上网。
办公区 职员 公共上网区--业务大厅 192.168.3.0/24
核心交换
网区(192.168.2.0/24)则需要
输入账号和密码才能上网,确 保网络行为能跟踪到,另外总
经理的上网数据要保证安全,
不能被审计。
总经理 办公区 公共上网区
解决方案
防火墙
根据客户需求,我们可以将AC
部署在防火墙与核心交换机之间,
并通过如下认证设置来满足需求: 1、办公区用户采用IP/MAC认证方 式
密码认证加强
1.掌握如何设置用户密码强度 2.掌握如何强制客户端初次认证修改密码 1.掌握如何注销已经通过认证的用户
用户注销功能介绍
认证功能介绍
SANGFOR AC 认证功能介绍
概述:认证功能主要用于对经过AC设备上网的用户进行身份的验证。通
过认证功能可识别内网上网用户的身份,为后续的流量管理、用户上网
配置步骤一(内置短信认证)
2、内置短信猫的安装及配置
配置内置短信认证的参数,在【用户与策略管理】-【用户认证】-【认证选项】【短信认证】中配置如图的参数。
接线注意事项: a) 将一张手机SIM卡放入短信Modem 内。 b) 短信Modem 通过发货时自带的串口线连接到设备的com口。 短信猫,短信网关及 webservice短信模板参数 配置, GSM 和CDMA短信 注意:短信猫接在设备上,从com0口开始设置(LINUX 系统com0 开始) 猫的波特率均为115200 测试短信发送是否成 功
配置步骤二(用户名密码认证)
2、新增用户名密码认证的用户,设置用户名密码
勾选后,该账号可供多 人使用,也可不勾选, 为每个用户单独建立 用 户名和密码
配置步骤二(用户名密码认证)
3、客户端输入用户名密码认证
当用户访问网站时,AC会
重定向到这个认证的页面,
用户输入正确的用户名密码 认证后,才可以继续上网。
配置步骤二(短信认证)
3、职员选择用户名密码认证,客户选择手机短信认证。
配置步骤二(短信认证)
4、导出手机用户 新建一条短信认证策略或混合认证策略时,会自动创建名称为“验证码已发 送未使用”的组,记录短信已发送,但未使用短信认证的手机号,支持导出。
配置步骤二(短信认证)
5、导出手机用户 数据中心统计日志上网行为统计增加“手机验证活跃用户排行”统计,记录 成功通过短信认证的用户,支持导出。
单点登录功能培训》PPT将详细介绍相关功能和配置,此PPT不再赘述。
认证方式介绍
4、短信认证
银行、电信营业厅、商场、机场、企事业单位外来人员上网需要实名 制认证客户,需要将用户的真实身份信息和网络行为进行匹配。短信认证 将手机号作为用户名,结合获取到的手机验证码通过AC的认证。
SANGFOR AC支持内置短信认证(GSM短信猫,CDMA短信猫)和外 部短信认证(SmsService外置短信服务软件、第三方短信网关
3、统计出客户的手机号。
配置思路
1、新建认证策略 设置公共上网区所属网段认证策略为“手机短信认证/密码认证/单点登录”, 新用户选项设置为“临时用户,不添加到本地”并且设置改组所具有的组织 结构权限。 2、短信猫的安装及设置
短信认证分内置短信认证和外置短信认证。
a )短信猫可以直接连接到设备上面,配置内置短信认证的相关参数. b)找一台服务器安装外置短信软件(SmsServices),短信猫接服务器,这种 方式到设备上配置设备和外置服务器通信的相关参数。
配置步骤一(内置短信认证)
1、配置认证策略,在【用户与策略管理】-【用户认证】-【认证策略】中,点 新增,定义认证策略的名称,认证的方式以及新用户选项的配置。本例中的认证方式 需求选择是“手机短信认证/密码认证选项”,由于外来客户不固定而且手机数量比较 大防止用户组充满,在新用户选项中选择“仅作为临时账号,不添加本地组织结构”。
定义需要使 用IP/MAC认 证的IP范围
配置完成,点击确定 这里也可以用MAC地址或 计算机名做为新用户
选择用户组
勾选后,客户端登陆 时自动绑定IPMAC
配置步骤一(IP/MAC认证的用户)
注:如果AC和内网用户是跨三层环境,需要内网三层设备开启SNMP功能,AC设
备在【用户与策略管理】-【用户认证】-【认证选项】-【跨三层MAC识别】进行 配置,实现IP和MAC的绑定。
在内网用户通过第三方认证服务器认证时自动通过AC设备的认证,并且获取到相
关的权限上网。
SANGFOR AC支持域单点登录,POP3单点登录,PROXY单点登录,
WEB单点登录、PPPOE单点登陆,数据库单点登陆,第三方设备单点登陆 (包括锐捷SAM系统,城市热点,H3C CAMS系统等),高级认证培训《
设置用户密码强度
客户端登陆修改密码:
点击确定时会再次 检测,若不符合要 求,则修改不成功, 并会弹出相应提示
输入密码的时候会实时 检测并根据输入情况在 右边显示相应的提示
强制客户端初次认证修改密码
应用背景:用户批量导入或者大量加入的时候,初始密码是一致的, 这样很不安全
解决思路:强制要求用户初次登录时自行修改密码。
别用户。
不需要认证的方式,优点是用户上网前浏览器中不会弹出认证框,不 需要通过用户名密码验证才能上网。因此用户不会感知到设备的存在。
认证方式介绍
2、密码认证(包括本地密码认证和第三方服务器认证)
当用户首次通过AC上网时,AC会要求用户提交用户名密码信息,如 果用户提交的用户名密码信息和AC本机保存的信息一致时,给予认证通过。 用户名密码认证适用于内网用户IP/MAC不固定,或者内网存在第三方
证KEY和紫色的免审计KEY。
DKEY认证过程:管理员生成DKEY,然后分发给用户。 用户上网时,把DKEY插入个人电 脑,使用DKEY认证客 户端提交认证信息,通过认证后才允许接入互联网。 DKEY 认证适用于对认证安全要求较高的网络环境,也 适用于公司高层机密信息不被随意审计的情况。
认证方式介绍
息, 启用DKEY以及IP/MAC绑定。
如果采用自动添加新用户,在认证策略里开启和定义即可。 AC几种认证方式中,DKEY认证在对应的用户属性中设置即可,不需要设置认 证策略,且DKEY认证的优先级最高。 不需要认证、密码认证、单点登录这几种认证方式需要到认证策略中设置。
配置步骤一(IP/MAC认证的用户)
Webservice)。