深信服上网行为管理AC涉密资质证书
深信服AC行为管理初级认证培训11_上网代理
1 2 3 4 5 6 7 8 9
显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能
PAC脚本
需求:内网访问内网服务器不走代理,内网通过代理服务器上外网
Contents
1 2 3 4 5 6 7 8 9
(4)根据客户需求设置认证策略,此处使用设备默认认证策略。
(5)客户DLP服务器上实现做好过滤策略,此处以关键字过滤测试
1.2 效果
(1)PC打开网页搜索关键字symantec_dlp_refuse_test会弹出拒绝页面。
2、ssl代理
ssl代理:SG透传https 的流量给icap服务器处 理
SG解密https数据后传给icap服务器
4、注意事项 (1)一个ICAP服务器中,可以新增多台服务器,一般客户环境中多台服务器属于 同一类型时这样使用,比如客户有多台DLP服务器用来做负载使用。此时SG会 采用轮询机制来调度到不同的服务器。 (2)一个代理服务器可以同时选择多个ICAP服务器组,一般客户环境中有多台不 同类型的ICAP服务器这样使用,比如客户有DLP、Websence,SG在转发数据 的时候,每个请求只能匹配一个ICAP组,不同的请求可以匹配不同的ICAP组。 根据代理策略规则按照从上到下的顺序选择第一个满足条件的ICAP服务器组进 行数据转发,如Get请求会匹配第一个支持Get的ICAP服务器组。
ICAP协议
ICAP是一种应用层协议,ICAP客户端传送请求数据到ICAP服务器做校验,常 用于金融客户,常见的ICAP服务器有Macfee(杀毒),赛门铁克, websense(url过滤)。
深信服上网行为管理-无线管理指南
认证单一,多用户 授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值??
顾客 商户 组网方便:已经购买AC的客户。这些客户只需要升级下软件,在购买几个
AP,就可以快速组建无线网络
降低成本:AC合入无线功能,无需购买WAC,少了WAC的购买和IT管理成本 认证授权多样化:二维码扫描,微信认证,短信认证,WEB认证.... 无线数据可安全管控:利用AC的上网控制功能,可分析无线上网的数据提 供给商户做数据收集。可加入SC集中管理
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
深信服上网行为管理 无线管理指南
培训内容
培训目标
无线需求
授权与部署 AP发现与激活 无线模块与AC模块交互过程
1、了解当前无线环境存在的问题,及AC合入 无线后给客户带来的价值 1、掌握AC哪些部署模式支持无线
1、掌握AP发过程
1、了解无线与AC模块的交互过程
无线网络配置
1、掌握无线配置,并能根据实际环境配置开放
开放式无线网络共有三种认证方式,密码认证,二维码审核和无 需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求,实名上网,则可以选用此认证方式。智能终端接入AP,不需要授 权,但上网时会弹portal页面, 要求认证后才可以上网。如下图。
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服AC基本功能介绍
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)
上网行为管理标准
OA
应用分析
SANGFOR AC能为我们带来什么?
应用授权
网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒
带宽管理
多线路流控 用户/组流控 应用流控 网站流控 文件流控
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道 +
虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服上网行为管理-上网策略介绍
注意
1、SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网 SSL内容识别才生效。
3建立上网权限策略启用ssl内容识别并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别填写mailqqcom支持通配也可以写成qqcomweb加密内容识别后的动作可以审计关键字过滤客户端加密发送接收邮件识别如smtpspop3s默认识别加密客户端所有发送接收邮件如果有例外情况在这里排除服务器地址识别后的动作要以审计或邮件过滤
用户support位于渠道认证测试组,且已通过设备认证
2、需要先确认多功能序列号已激活SSL内容识别,默认是激活的。如下图。
3、建立上网权限策略启用SSL内容识别,并和用户support关联
https协议加密识别
默认识别加密客户端所有发送接收邮 w键件 务加e字b, 器密加过如 地客识网密滤果 址户别站内有端(容域加如例识名密s外别m在发后情t域p送的况s名/接动p,列o收作p在表邮,3这s件中可)里才以排审会除计识服,别关,
终端用户连接数如果超过限制,则异常(如网页打不开),不会给终端弹提示页面。
注意:连接数控制不区分具体应用,可能会导致打不开网页。所以实际场景中,建 议不要使用此功能,如有连接数控制需求的,建议使用流控,也能达到预期效果。
练练手
本章PPT在介绍SSL内容识别时,只介绍了web加密邮件审计,你结合本节 所学内容,尝试自己动手完成加密客户端发送邮件审计及加密客户端发送 邮件过滤实验。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
SC-AC上网行为管理集中管理平台
SC-AC上网行为管理集中管理平台针对大型组织在全网部署上网行为管理产品时所遇到的问题——管理策略无法得到统一执行、分支设备状况无法实时及时查看、分支设备出现故障无法及时准确定位、权限分散的管理模式使管理维护成本居高不下等问题,深信服提供了业界最为领先的管理和技术手段,彻底解决了大型组织机构面临的部署、管理、升级以及日志方面的问题。
深信服SC-AC上网行为管理设备集中管理平台除能进行全网策略下发、上网行为日志管理、全网设备状态操控等基本功能外,还支持分支机构自行设置个性化管理策略,实现“个性化管理”与“集中统一管理”相结合。
SC-AC集中管理平台可实现管理员分级管理,通过将各分支上网行为管理设备划入到不同“区域”中,将不同“区域”的管理权限分配给不同级别的管理员,使管理职责更清晰,总部和分支的管理员协作更加高效,能有效降低管理成本和沟通成本。
SC-AC内置有强大的防火墙功能,能有效防范非善意的端口嗅探、DOS攻击、泛洪流量、入侵等威胁,可有效保障SC的安全。
产品功能集中管理组织机构通过使用SC集中管理平台,总部可以将全网的成百上千台AC上网行为管理网关设备集中管理。
总部的IT管理人员通过编辑SC“复制模板”上的相关配置,并通过一次鼠标点击实现全网指定上网行为管理设备上相关配置的统一和更新,既方便了管理同时又确保了策略的一致性。
而对于某些分支上网行为管理设备上部分配置较“个性化”而与其他分支上网行为管理不同时,I T管理者同样可以通过SC对此类上网行为管理设备进行单独编辑和配置的单独下发。
从而实现集中化和个性化的灵活性要求。
分级管理SC集中管理平台支持管理员分级管理。
将分支上网行为管理设备划分到SC的不同“区域”中,SC上配置的不同管理员将具有不同“区域”的管理权限,具体权限划分包括Read-Only只读权限和Read-Write读写权限之分;同时SC支持将指定的分支上网行为管理设备的不同功能模块的修改权限下放给分支本地管理员,从而实现总部管理员、“区域”管理员、本地管理员的分级管理结构,强化了管理的灵活性。