SINFOR_AC_测试实施培训实验
SANGFOR_AC_v10_XXXX年度渠道初级认证培训08_数据中心
外置数据中心安装
系统状态
这里可以看到同步的设备的情况
外置数据中心安装
系统状系态统状态 磁盘空间页面,可以看到磁盘占用情况和每天的日志大小。
外置数据中心安装
系统状系态统日志提供给管理员查看数据中心系统的“告警”“错误” 以及“信息”日志,方便管理员及时发现系统问题。
外置数据中心安装
登陆外置数据中心查询页面: 在浏览器输入安装外置数据中心服务器的IP地址以及所配置的端口,如图:
外置数据中心使用
外置数据中心使用
日志日查志询查询
查询模块,提供给管理员进行日志查询的功能,包含所有行为查询、访问网站 查询、即时聊天日志查询、邮件、发帖、发微博等日志查询,能够追查到各种 违反组织规定的行为。
录方式
默认账号密码 请即选可择跳“转打到开外点日置击志D安C中装页心,面”ad,min admin
完成安装过程
外置数据中心安装
外置数据中心同步策略 进入【系统管理】->【系统配置】->【同步策略】页面,点击【新增】进行外
置数据中心同步配置
外置数据中心安装
AC同步策略 进入【系统管理】->【系统配置】->【日志中心配置】页面,点击【新增】进行
数据中心介绍
数据中心介绍
数据中心用于存储用户产生的网络行为日志,通过数据中心,可以查 询用户任意时间的日志,或通过日志定位具体的责任人。另外,数据 中心还有强大的报表分析功能,通过报表能够分析网络及人员整体情 况,为网络和人员优化调整提供依据。
数据中心分为内置数据中心和外置数据中心,内置数据中心每种型号 设备默认自带。外置数据中心需要安装在windows服务器上。
外置数据中心服务器安装环境推荐选型
深信服安全产品 SINFOR_AC_(数据中心)
三、配置数据中心同步
4、查看同步状态
同步过的AC都会在这里显示出来。 状态离线表示当前数据中心没有向数 据插入数据。如果正在插入数据,状 态就是在线。
三、配置数据中心同步
5、查看数据中心日志,同步情况等
三、配置数据中心同步
I nt er net
200. 200. 0. 200 AC
192. 200. 200. 90
2、硬件条件 a、安装盘需要至少4GB的硬盘空间。 b、安装盘必须是NTFS格式。
二、数据中心的安装
下载DataCenterSetup2.0.exe安装程序,双击安装
二、数据中心的安装
数据中心WEB服务的缺省端口为TCP 80,如果本机的80端口 被占用,请改为其他端口。
二、数据中心的安装
提示安装数据中心的磁盘必须是NTFS格式,并且空间至 少要达到4G以上。
数据中心的安装及使用
目录
1、数据中心的概念 2、数据中心的安装 3、配置数据中心同步 4、数据中心的使用 5、与之前版本的对比
一、数据中心的概念
数据中心用于对用户上网数据进行记录和统计。
数据中心分为内置数据中心和外置数据中心两种。
内置数据中心是设备内置的,由于存储空间有限,所以如果客 户想要保存大量日志,建议安装外置数据中心。
数据中心服务器
目录
1、数据中心的概念 2、数据中心的安装 3、配置数据中心同步 4、数据中心的使用
二、数据中心的安装
1、系统条件 建议安装在windows 2000 server、windows 2003 server 系统上,较稳定。 XP系统对数据中心支持得不是很好,不建议安装。 注:所有64位系统都不支持安装
一、数据中心的概念
设备部署深信服上网行为管理AC
其它工作模式不支持实现这些功能。
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
➢路由模式部署环境(举例):
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
• 网桥模式_简介
➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部 署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
设备部署深信服上网行为管理AC
练练手
情景2
客户原有网络拓扑如右图所示,由于 某方面的原因,客户想购买一台AC替 换掉原有防火墙,请根据图示拓扑信 息动手配置一下,完成设备部署。
设备部署深信服上网行为管理AC
练练手
情景3
某大型集团公司网络拓扑如右图所示, 客户主要需求是对内网上网行为进行 审计和内网用户上网时的URL过滤, 并且要求对WEB SERVER的访问进行 记录,请根据客户的实际网络讨论以 哪种部署方式最适合该客户,并动手 完成配置部署。
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 网桥模式_配置管理口
•与DMZ口直连 的交换机接口IP
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种 部署方式,常见于高校、大型国有企业专门用于AC作审计;
深信服安全产品 SINFOR_AC_(数据中心)
数数数数数
数 数 数 数 (数 数 数 数 数数数
192. 20、配置同步帐号
4、配置AC数据中心相关配置
5、要求公网访问数据中心,还需要 在AC上做端口映射。
注:1.保证AC能正常的连接到数据中心的 TCP 810端口。例如AC和数据中心不在同 一网段,那就要保证AC和数据中心有到达 对方的路由。 2. 如AC是旁路模式,要保证DMZ口的IP 能和数据中心的PC通讯。 3.客户机能访问到数据中心Web服务器的 Web服务端口(缺省是80,如修改过请使 用改过的端口)
目录
1、数据中心的概念 2、数据中心的安装 3、配置数据中心同步 4、数据中心的使用
四、数据中心的使用
登录数据中心:
数据中心地址+WEB端口
默认密码:admin
四、数据中心的使用
登录数据中心:
三、配置数据中心同步
4、查看同步状态
同步过的AC都会在这里显示出来。 状态离线表示当前数据中心没有向数 据插入数据。如果正在插入数据,状 态就是在线。
三、配置数据中心同步
5、查看数据中心日志,同步情况等
三、配置数据中心同步
I nt er net
200. 200. 0. 200 AC
192. 200. 200. 90
2、硬件条件 a、安装盘需要至少4GB的硬盘空间。 b、安装盘必须是NTFS格式。
二、数据中心的安装
下载DataCenterSetup2.0.exe安装程序,双击安装
二、数据中心的安装
数据中心WEB服务的缺省端口为TCP 80,如果本机的80端口 被占用,请改为其他端口。
二、数据中心的安装
提示安装数据中心的磁盘必须是NTFS格式,并且空间至 少要达到4G以上。
SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书
测试指导书SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 实现方式 (3)4 测试环境 (3)4.1 测试条件 (3)5 测试过程 (3)6 测试效果 (12)7 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果,减少现场测试出现问题机率。
2 需求背景客户自己的服务器上安装并使用了我司的外置日志中心,最早安装时,日志和附件可能都保存在C盘某路径下,后续日志增多,C盘存储不够,客户想将所有日志迁移到新的磁盘或新的外置服务器上使用,保证新旧日志不受影响。
3 实现方式1.通过重装DC程序实现快速迁移2.通过修改DC配置文件路径实现快速迁移4 测试环境4.1 测试条件一台安装了AC11.0外置日志中心的服务器,并有空闲可供迁移的磁盘。
5 测试过程方法1.保留日志重装外置日志中心程序(推荐)1.客户原来日志存放在C盘DClog下,现在由于C盘存储不够,想全部迁移到服务器上的D盘下面2. 直接选择卸载外置日志中心程序3.卸载的时候,选择保留数据4.卸载完成后,在之前的日志保存路径下可以看到保留下来的日志5.重装外置日志中心程序,重新选择新的存储路径6.将旧日志迁入到新的路径下即可将原C盘下的DClog下的所有文件夹迁移到新的D盘目录的DClog下即可。
1.停掉外置日志中心所有服务2.修改日志中心配置文件中的路径信息一共修改三个配置文件:第一个,/外置日志中心程序安装路径/mysql_path.ini第二个,/外置日志中心程序安装路径/dc/config/sys_config.js第三个,/外置日志中心程序安装路径/ldb/bin/mdb.ini3. 将旧日志迁移到新的路径下4.启动外置日志中心所有服务日志迁移后,旧的日志可以正常查询,新的日志可以正常同步查询。
如图,迁移后,旧日志可以正常查询,说明迁移成功。
SANGFOR_ACSG_v6.1Radius单点登录测试指导书
SANGFOR_AC SG_6.1Radius单点登录测试指导【说明】:客户使用第三方Radius认证系统,此时需要第三方认证系统登录时AC能自动提取用户名及IP单点登录上线。
一.准备工作1.一台AC6.1作为测试设备,路由模式部署2.Radius认证数据不经过AC,需要在交换机镜像radius认证数据二.测试需求及预期结果PC通过Radius认证,即成功通过AC认证,AC在线用户列表可以看到认证的账号以及ip。
三.部署由第三方Radius作认证及计费,AC作为路由网关,Radius认证数据不经过AC。
此时AC 上需要设置好镜像口及Radius单点登录配置,并把Radius的认证数据镜像到AC镜像口。
四.配置1.基本网络配置【网络配置】—【部署模式】配置设备的部署模式为路由模式,设置wan口ip,lan口ip,dns以及nat。
2.配置认证策略【用户与策略管理】-【用户认证】-【认证策略】配置内网的认证策略为不需要认证/单点登录或强制单点登录。
3.Radius配置【认证选项】-【单点登录选项】—【Radius】填写Radius服务器的ip地址以及认证端口说明:Radius服务器地址列表里面填写具体的Radius服务器的ip以及端口,默认是监听1813五.测试方法及结果1.PC打开802.1x客户端输入账号密码认证。
2.AC监听到认证数据AuthenticationRequest即认证上线。
六.注意事项1、AC支持路由,网桥旁路模式部署,只要是认证或者计费的数据能被设备监听即可。
认证或计费数据经过设备不需要设置监听口。
2、radius单点登录,默认不支持radius注销从AC注销。
SANGFOR_AC__v11.0_脚本方式单点登录测试指导书
测试指导书SANGFOR_AC_v11.0_脚本方式单点登录测试指导书深信服科技有限公司目录1介绍 (3)1.1 总体说明 (3)1.2 文档目的 (3)1.3 缩写和约定 (3)2需求背景 (3)3实现方式 (4)4测试环境 (4)4.1 测试拓扑 (4)4.2 测试条件 (5)4.3 预期测试效果 (6)5测试过程 (6)6测试效果 (18)7高级用法 (19)8注意事项 (25)1 介绍1.1 总体说明完成该文档的过程中,不可删除文档结构,但撰写本文档时,可以自行进行内容和结构的扩展。
无内容可写的章节,请保持现有斜体字描述。
模板中现有的黑体字、非斜体字务必予以保留。
1.2 文档目的为了方便快速达到功能测试效果,减少现场测试出现问题机率。
1.3 缩写和约定AD域:Windows Active DirectoryLogon:单点登录上线脚本Logoff:单点登录下线脚本Gpmc.msc:windows 2008 server 打开域组策略命令Gpupate.exe /force:刷新组策略命令,更改组策略后,需执行此命令使更改立即生效Rsop.msc:加入域的PC上执行,可以通过此命令查看PC是否获取到域组策略Gpresult.exe:加入域的PC上报告,可以通过此命令查看PC是否获取到域的组策略Logon及logoff脚本方式单点登录兼容以下操作系统:2 需求背景2.1. AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后,希望AC 和AD域结合实现平滑认证(即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证,对终端用户透明)2.2. 希望以域用户的身份实名上网,实名记录用户上网日志。
3 实现方式脚本方式单点登录通过在域上配置组策略加载logon脚本(登录脚本)及logff(注销脚本),当域用户登录域时,获取到相应组策略,执行logon脚本向AC认证上线;当域用户从域中注销时,执行logff脚本向AC请求注销下线,整个过程对终端用户透明。
SANGFORAC度渠道培训用户认证
SINFOR TECHNOLOGIES CO.,LTD.
Page15
通过AC认证的 用户自动添加 到组织结构
通过AC认证的用 户自动添加到在 线用户列表
SINFOR TECHNOLOGIES CO.,LTD.
Page16
通过准入规则实现三层环境ip/mac绑定
AC通过准入实现三层环境下同时绑定客 房端电脑的ip/mac地址。在AC上建立相关帐号 并绑定电脑真实的ip和mac地址,在电脑上安 装准入客户端软件,从而实现验证pc真实的ip 和mac地址与AC上绑定 的IP和mac地址是否一 致,如果一致,则允许访问外网。
SINFOR TECHNOLOGIES CO.,LTD.
Page8
1.2.1、本机认证---二层环境同时绑定ip和mac
例:用户hbz上网前采用ip/mac绑定认证
只绑定ip或只 绑定mac认证 和同时绑定 ip/mac认证 类似,这里不 单独介绍。这 些认证可以与 用户名及密码 认证结合使用, 二者是“与” 的关系。
Page5
1.1、本机认证---用户名和密码认证(续)
SINFOR TECHNOLOGIES CO.,LTD.
Page6
1.1、本机认证---用户名和密码认证(续)
成功通过AC认证 的用户在在线用 户列表显示
备注:基于这种通过浏览器提交用户名和密码进行认证 的方式又称为web认证,包括后续介绍的第三方认证。
SINFOR TECHNOLOGIES CO.,LTD.
Page11
1.2.2、本机认证---跨三层同时绑定ip和mac(续)
案例
固定IP
网关lan ip:192.200.200.1
交换机
客户需求:内网 电脑IP统一分配, 不能随意更改, 更改后电脑上不 了网。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•
5、知人者智,自知者明。胜人者有力 ,自胜 者强。 20.9.15 20.9.15 01:23:3 901:23: 39Sept ember 15, 2020
•
6、意志坚强的人能把世界放在手中像 泥块一 样任意 揉捏。 2020年 9月15 日星期 二上午1 时23分 39秒01 :23:392 0.9.15
2005、2006、2007中国高科技高成长50强
使用策略故障排除开启直通
• 实验目标:新建一个用户名为group的访问控 制组,然后将之前建的用户user2添加到group 组中。
• 该组只开放HTTP和DNS服务,其他缺省拒绝。 • 观察user2用户上网是否可以上QQ。如果不可
以,开启拒绝列表直通,观察是否可以上QQ。
提醒
l为保证培训效果,请将手机 调为振动或者静音
l如无紧急事情,课堂期间不 得离开,请将需要处理的事 情留在课间休息时间解决
2005、2006、2007中国高科技高成长50强
AC 实验(渠道)
深信服科技客服部
2005、2006、2007中国高科技高成长50强
实验大纲 • AC 部署 • 新建访问控制用户 • 访问控制组权限设置 • 开启拒绝列表并直通
•
7、最具挑战性的挑战莫过于提升自我 。。20 20年9 月上午1 时23分 20.9.15 01:23S eptember 15, 2020
•
8、业余生活要有意义,不要越轨。20 20年9 月15日 星期二1 时23分 39秒01 :23:391 5 September 2020
•
9、一个人即使已登上顶峰,也仍要自 强不息 。上午 1时23 分39秒 上午1时 23分01 :23:392 0.9.15
• 4.设置代理网段,代理 192.168.10.0/24上网
2005、2006、2007中国高科技高成长50强
网桥模式部署
• 实验目标:在不改变原有网络拓扑的情 况下把AC加入到网络中并能记录到内网 的上网记录。拓扑如图,把AC接着路由 和交换机之间。
• 内网的网段为192.168.10.0/24, • GW 192.168.10.1
2005、2006、2007中国高科技高成长50强
路由模式部署
• 实验目标:AC路由部署于公网出口,做 NAT代理内网上外网。
• 1.若有公网环境,AC WAN口配置公网固 定IP或ADSL帐号和密码
• 2.若无公网环境,AC WAN口设置任意网 段IP,必须和LAN口网段区分开。
• 3.AC LAN口IP 配置192.168.10.1,充 当内网上网网关。
2005、2006、2007中国高科技高成长50强
旁路模式部署
• 实验目标:在不改变原有网络拓扑的情 况下把AC加入到网络中并能记录到内网 的上网记录。拓扑如左图,AC LAN口或 WAN1口接在HUB或交换机镜像口上做监 听。
• 配置内网监控网段:192.168.10.0/24 • 配置设备DMZ口管理ip和上网网关 • GW:192.168.10.1
2005、2006、2007中国高科技高成长50强
实验准备
• M5x00-AC一台 • 交换机或者HUB至少一线,交叉线均备)
2005、2006、2007中国高科技高成长50强
AC 部署 • 1、路由模式部署 • 2、网桥模式部署 • 3、旁路模式部署
2005、2006、2007中国高科技高成长50强
使用策略故障排除开启直通
2005、2006、2007中国高科技高成长50强
深信服科技,提升带宽价值
谢谢!
2005、2006、2007中国高科技高成长50强
•
1、有时候读书是一种巧妙地避开思考 的方法 。20.9. 1520.9. 15Tues day, September 15, 2020
• 13、无论才能知识多么卓著,如果缺乏热情,则无异 纸上画饼充饥,无补于事。Tuesday, September 15, 2020
15-Sep-2020.9.15
• 14、我只是自己不放过自己而已,现在我不会再逼自 己眷恋了。20.9.1501:23:3915 September 202001:23
• 新建的用户均能通过AC的认证。
2005、2006、2007中国高科技高成长50强
新建访问控制组
• 实验目标:新建一个用户名为group的 访问控制组,然后将之前建的用户 user2添加到group组中。
• 该组只开放HTTP和DNS服务,其他缺省 拒绝。
• 观察user2用户上网WEB认证输入正确的 密码和错误的密码上网权限的区别。
2005、2006、2007中国高科技高成长50强
访问用户及权限设置 • 新建访问控制用户 • 新建访问控制组和权限设置 • 策略故障排除功能的使用
2005、2006、2007中国高科技高成长50强
新建访问控制用户
• 实验目标: • 1.建立一个用户名为user1的IP-MAC绑
定用户,把该用户名和实验本机的IP和 MAC绑定起来。 • 2.建立一个用户名为user2的用户名密 码认证的用户。 • 3.建立一个用户名为user3的dkey认证 用户。
• 10、你要做多大的事情,就该承受多大的压力。9/15/2
020 1:23:39 AM01:23:392020/9/15
• 11、自己要先看得起自己,别人才会看得起你。9/15/2
谢 谢 大 家 020 1:23 AM9/15/2020 1:23 AM20.9.1520.9.15
• 12、这一秒不放弃,下一秒就会有希望。15-Sep-2015 S eptember 202020.9.15
•
2、阅读一切好书如同和过去最杰出的 人谈话 。01:2 3:3901: 23:3901 :239/1 5/2020 1:23:39 AM
•
3、越是没有本领的就越加自命不凡。 20.9.15 01:23:3 901:23 Sep-201 5-Sep-2 0
•
4、越是无能的人,越喜欢挑剔别人的 错儿。 01:23:3 901:23: 3901:2 3Tuesday, September 15, 2020