06.AD与深信服AC设备账号整合操作说明
设备部署深信服上网行为管理AC
其它工作模式不支持实现这些功能。
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
➢路由模式部署环境(举例):
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
• 网桥模式_简介
➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部 署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
设备部署深信服上网行为管理AC
练练手
情景2
客户原有网络拓扑如右图所示,由于 某方面的原因,客户想购买一台AC替 换掉原有防火墙,请根据图示拓扑信 息动手配置一下,完成设备部署。
设备部署深信服上网行为管理AC
练练手
情景3
某大型集团公司网络拓扑如右图所示, 客户主要需求是对内网上网行为进行 审计和内网用户上网时的URL过滤, 并且要求对WEB SERVER的访问进行 记录,请根据客户的实际网络讨论以 哪种部署方式最适合该客户,并动手 完成配置部署。
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 网桥模式_配置管理口
•与DMZ口直连 的交换机接口IP
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种 部署方式,常见于高校、大型国有企业专门用于AC作审计;
深信服AC 配置手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 与路由器G0/0/0连接图2WEB登录页面4. 配置管理WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
图5管理员帐户列表如需对管理员帐户进行配置,直接单击蓝色用户名,如需创建新管理员,单击左上角“新增”图标,即可进入创建页面。
系统时间系统时间设置界面如图6所示。
深信服序列号激活向导--AC产品规则库
1、登陆设备控制台。
2、进入菜单“系统配置”-“序列号”页面,在“网关杀毒授权序列号”项点击“修改序列号”,输入新的网关杀毒序列号。
如图:
3、进入菜单“系统配置”-“自动升级”页面,选择“URL库”和“应用识别”,点击后面
的“立即更新”按钮,将库更新至最新版本。
如遇,点击“立即更新”后无法更新至最新版本,可以按照如下方式操作:
1)点击此页面“升级服务器配置”,重新选择其他的服务器(需要先测试选择的服务器可用性)。
选择其他服务器后再次进行“立即更新”
2)如果“应用识别库”重新选择其他服务器更新后还是不能更新到最新版本,考虑先“回滚”,再进行“立即更新”。
若还是存在问题,请联系工程师协助。
深信服AD常用功能介绍
其他功能
• 服务器负载IPV4/IPV6混合部署
– 支持NAT46/NAT64
– 网络接口混配
– IP组混配
IPv6数据包
NAT64
– 节点池混配 IPV6客户端
IPv6数据包
– 会话保持混配
IPv4数据包
– SNAT混配
NAT64
IPV4客户端
NET1 NET2 防火墙-A
NET4 NET3 防火墙-B
内网用户
交换网口、端口聚合、VLAN
交换网口配置方法与截图
自定义交换网 口组合的名称
可看到所有 物理接口
选择组合成交 换口的网卡
自定义的交换网口 状态。
启用STP可以避免产生环路
交换网口、端口聚合、VLAN
端口聚合
端口聚合可将多物理连接当作一个单一的逻辑连接来处理,它允许两个交换机之间通 过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技 术。主要有如下几个优点: (1)增加带宽,带宽相当于组成组的端口的带宽总和。 (2)增加冗余,只要组内不是所有的端口都down掉,两个交换机之间仍然可以继续 通信。 (3)负载均衡,可以在组内的端口上配置,使流量可以在这些端口上自动进行负载 均衡。
• 不支持混配(4转6、6转4)
– 支持映射MANAGE口
• 不支持IPV6
– 支持映射所有WAN口
其他功能
• 源地址转换(SNAT) – 支持IPV6转换
• 不支持混配(4转6、6转4)
– 支持MANAGE口为出接口
• 不支持IPV6
– 支持映射所有WAN口
其他功能
• NAT日志
深信服AC6.0快速配置手册
SANGFOR SG快速安装手册技术支持说明为了让您在安装,调试、配置、维护和学习SANGFOR设备时,能及时、快速、有效的获得技术支持服务,我们建议您:1.参考本快速安装手册图文指导,帮助你快速的完成部署、安装SANGFOR设备。
如果快速安装手册不能满足您的需要,您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料,以便你获得更详尽的信息。
2.致电您的产品销售商(合同签约商),寻求技术支持。
为了更快速的响应您的服务要求和保证服务质量,您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师,会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。
3.在不紧急的情况下,您可以访问SANGFOR的技术论坛,寻求技术问题的解决方案和办法。
4.致电SANGFOR客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。
SANGFOR技术论坛:公司网址:技术支持服务热线:400-630-6430(手机、固话均可拨打)邮箱:support@目录技术支持说明 (1)目录 (2)声明 (3)前言 (4)第1章SG系列硬件设备的安装 (5)1.1环境要求 (5)1.2电源 (5)1.3产品接口说明 (5)1.4配置与管理 (6)1.5单设备接线方式 (8)1.6双机备份接线方式 (9)第2章SG系列硬件设备部署 (11)2.1路由模式 (12)2.1.1路由模式部署配置案例 (13)2.2网桥模式 (19)2.2.1网桥多网口 (19)2.2.2多网桥 (25)2.2.3DMZ口重定向 (32)2.3旁路模式 (37)2.3.1旁路模式部署配置案例 (38)2.4单臂模式 (43)2.4.1单臂模式部署配置案例 (43)2.5高可用性配置案例 (46)2.5.1多机同步 (46)2.5.2双机维护 (50)第3章基本功能配置 (55)3.1封堵P2P应用配置案例 (55)3.2审计用户上网行为配置案例 (59)3.3限制下载工具的网络流量配置案例 (61)3.4保证重要应用网络流量配置案例 (67)3.5上网加速配置案例 (73)3.6上网代理配置案例 (74)3.7防共享功能配置案例 (75)3.8无线管理配置案例 (78)3.8.1客户网络环境与需求 (78)3.8.2无线基本配置 (79)3.8.3配置开放式无线网络案例 (79)3.8.4配置企业级认证无线网络案例 (82)第4章密码安全风险提示 (86)4.1修改控制台登录密码 (86)声明Copyright©2015深圳市深信服电子科技有限公司及其许可者版权所有,保留一切权利。
深信服AD演示介绍
服务器性能优化
TCP复用 RAM Cache
SSL加速
HTTP压缩
深信服AD设备可为服务器分担任务,减去压力负载 • 降低服务器负载 • 减少服务器访问量 • 集中卸载管理SSL • 有效提升用户访问速度
TCP连接复用
HTTP 1.1
基于连接的 TCP复用机制
提供基于连接的TCP复用机制
• 通过将众多客户端连接请求捆绑后,复用相对较少的服务器TCP连接。 • 不需要改变任何网络构造,也不需要增加组织的硬件投资成本。 • 适用与大量的连接建立/拆卸的应用。
• 入站负载:智能DNS选路 • 出站负载:DNS透明代理 • 链路健康检测:所有的用户引导到仍然可以对外提供服务的链路上 • 静态、动态负载算法:链路使用率最大化
ISP 2
链路健康检查
动态链路探测
ISP 1 ISP 2
提供链路健康检查机制
• 深信服AD设备通过多个Internet站点的可达性,来共同判断一条链路的状况 • 内置多种协议TCP、UDP、ICMP、HTTP等 • 支持用户自定义,基于内容的链路健康检测机制 • 一旦链路出现问题,立即切换。
在不影响业务访问的情况下,最大限度的提升虚拟机资源的利用率
虚拟机故障感知与应急处理
VMware ESXi & ESX
自动重启 VM上线
业务故障 VM离线
VM Health Monitor
vCenter Server
定时获取VM健康状态
深信服负载均衡
虚拟机本身运行正常,而应用出现故障,Vcenter不会对VM进行处理
• 静态就近性:根据目标网络进行NAT,内置全球地址库,实时动态更新 • 动态就近性:通过综合考虑与目标网络之间的网络延迟(Latency)和链路的实时负载(Load),
深信服上网行为管理系统用户手册
深信服上网行为管理系统用户手册深信服上网行为管理系统用户手册AC 12.0.18用户手册目录前言 (2)手册内容 (2)本书约定 (2)图形界面格式约定 (2)各类标志 (3)技术支持 (3)致谢 (3)第1 章安装指南 (4)1.1.环境要求 (4)1.2.电源 (4)1.3.产品外观 (4)1.4.配置与管理 (5)1.5.单设备接线方式 (5)1.6.双机备份接线方式 (7)第2 章控制台的使用 (8)2.1.登录WebUI配置界面 (8)2.1.1.AC的web 登录方式 (8)2.1.2.统一认证中心的登录方式 (11)2.2.配置和使用 (12)第3 章功能说明 (15)3.1.增值服务导航 (15)3.1.1.激活设备 (15)3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)3.2.3.泄密追溯分析 (33) 3.2.4.离职倾向分析 (36) 3.2.5.工作效率分析 (40) 3.2.6.未关机检测分析 (42) 3.3.实时状态 (43)3.3.1.实时状态 (43)3.4.对象定义 (89)3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)3.4.7.网络服务 (129)3.4.8.IP 地址库 (131)3.4.9.时间计划组 (139)3.4.10.关键字组 (141)3.4.11.文件类型组 (143) 3.4.12.位置对象组 (144) 3.5.用户认证与管理 (147) 3.5.1.原理 (147)3.5.2.用户认证 (151)3.5.3.用户管理 (220)3.5.4.认证高级选项 (259) 3.6.策略管理 (277)3.6.1.上网策略 (278)3.6.2.策略高级选项 (368)3.7.流量管理 (375)3.7.1.概述 (375)3.7.3.通道配置 (377)3.7.4.线路带宽配置 (414)3.7.5.虚拟线路配置 (415)3.7.6.流量可视化 (425)3.8.终端接入管理 (425)3.8.1.共享接入管理 (426)3.8.2.移动终端管理 (430)3.8.3.代理工具管理 (433)3.9.上网安全 (438)3.9.1.安全状态 (438)3.9.2.安全配置 (441)3.10.VPN配置 (457)3.10.1.DLAN运行状态 (457) 3.10.2.多线路设置 (458)3.10.3.SDWAN智能选路 (460) 3.10.4.基本设置 (472)3.10.5.用户管理 (474)3.10.6.连接管理 (488)3.10.7.虚拟IP 池 (491)3.10.8.本地子网列表 (492) 3.10.9.隧道间路由设置 (494) 3.10.10.第三方对接 (497)3.10.11.通用设置 (509)3.10.12.证书管理 (511)3.10.13.高级设置 (515)3.11.系统管理 (527)3.11.1.防火墙 (527)3.11.2.网络配置 (544)3.11.3.系统配置 (633)3.12.网络安全法 (693)第4 章案例集 (696)4.1.单点登录配置案例 (696)4.1.1AD域单点登录功能配置案例 (696)4.1.2PROXY单点登录配置案例 (723)4.1.3POP3单点登录配置案例 (732)4.1.4Web单点登录配置案例 (737)4.1.5与第三方设备结合单点登录配置案例 (741)4.1.6深信服设备结合认证 (756)4.1.7数据库系统结合认证 (759)4.2.不需要认证用户配置案例 (762)4.3.密码认证用户配置案例 (769)4.3.1短信认证 (769)4.3.2微信及二维码认证 (787)4.3.3密码认证 (801)4.4.其他认证配置案例 (810)4.5.与cas第三方认证配置案例 (825)4.6.策略配置案例 (828)4.6.1针对某用户组设置封堵P2P 和P2P流媒体的策略 (828) 4.6.2针对某用户组设置IM 监控的策略 (832)4.6.3针对某用户组设置开启审计功能 (836)4.7.终端管理配置案例 (838)4.7.1防共享功能配置案例 (838)4.7.2移动终端管理配置案例 (840)4.7.3代理工具理配置案例 (841)4.8.SNMPTRAP配置案例 (842)4.9.综合案例 (846)4.9.1客户网络环境与需求 (846)4.9.2配置思路 (847)附录:SANGFOR设备升级系统的使用 (865)产品升级步骤 (868)前言手册内容第1 部分SANGFOR AC 产品概述。
深信服上网行为管理-单点登录指南
培训内容
单点登录介绍
单点登录实现方式
单点登录配置举例
培训目标
1. 了解单点登录功能的应用场景和概念 2. 掌握AC/SG设备支持的单点登录方式 1. 了解单点登录功能的几种实现方式
1. 掌握常见网络环境中web单点登录方式的部署和 配置
2. 掌握常见网络环境中数据库单点登录的部署和 配置
数据库单点登录配置举例--同步组织结构
如要同步组织结构,则在“用户自动同步”---新增一个“数据库同步”,填写可 以获取用户的sql语句和组路径分隔符,组路径分隔符是指客户的数据表中如果有 多个组,是以什么符号来分隔组和子组,如上述示例是以短横线分隔的:
点同击步"过测来试之有后效,性看"到,的可组以织列结出构可信以息获如取下的:信息:
的流量是PPPOE封堵,需要开启协议剥离才能识别 3、配置PPPOE单点登录
PPPOE单点登录配置示例
第一步:新建认证策略,认证方式为“不需要认证/单点登录”
PPPOE单点登录配置示例
2. 开启PPPOE协议剥离。
如果网络环境中由其 他协议的数据包封装 PPPOE的数据,则也 要开启其他协议的协 议剥离,如pppoe外层 再由vlan封装,则需
WEB单点登录: 适用场景:适用于内网有一套WEB认证系 统(如办公OA),PC上网前会先通过内网 WEB认证系统认证,客户希望部署AC后, 用户上网通过现有的web系统认证后自动通 过AC认证。
PC
OA
①
实现过程:AC监听PC和WEB认证系统之间 的认证交互过程 ,当PC通过WEB认证系统 认证时,自动通过AC认证上线
PPPOE单点登录配置示例
PPPOE单点登录多用于高校场景, 高校学生上网,多数采用拨号上 网,客户希望学生PPPOE拨号成 功后,即能自动通过AC认证可以 直接上网。需要注意,拨号服务 器需要部署在设备wan口方向, 如图