系统诊断工具-深信服上网行为管理AC
深信服AC系列介绍
深信服AC上网行为管理系统介绍1)AC产品简况深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。
深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力,除了识别普通的明文数据外,AC还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。
由于采用了高性能的硬件平台,以及不受硬盘空间限制、可独立部署的数据中心,深信服AC的性能领先于其他同类产品,更好的满足了大规模网络的苛刻要求。
目前,在中国上网行为管理的高端市场中,深信服AC拥有着极高的占有率,其客户包括:中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。
2)AC功能特点高性价比✓百兆设备,多WAN口设计;✓支持2条Internet线路的带宽叠加,扩大网络出口带宽;主要技术特点:✓深度内容检测技术,封堵所有P2P软件✓邮件延迟审计专利,保证所有邮件先延迟、后发送;✓监控所有即时通讯软件(QQ、MSN等)聊天记录;✓独有的网络访问准入规则,只允许符合上网策略的用户连接Internet;✓详细的日志中心,记录所有上网行为;✓分组管理,对特定组启用监控/不监控;三.产品安装及测试1.AC核心价值介绍下面介绍AC为用户带来的几大核心价值:1)网络带宽管理网络流量管理AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能,协助管理者全面分析和优化广域网带宽资源。
AC 的数据中心(Network Data Center, NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。
借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是P2P 下载。
同样,我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃,哪些部门在上班时间观看了最多的在线影片。
深信服上网行为管理
深信服上网行为管理由于互联网的普及,人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。
虽然这样的便利给我们的生活带来了很多乐趣,但是也带来了不少问题。
其中最重要的问题是如何管理上网行为,以保护个人和企业的隐私和安全。
这就是深信服上网行为管理所要解决的问题。
根据深信服的介绍,上网行为管理是指对企业和机构内部网络使用情况进行监控和管理,以确保网络资源的安全和有效利用。
一般而言,上网行为管理可以分为以下几个方面:1. 访问控制。
这个方面是指通过设置网络防火墙和访问控制规则,禁止一些不安全或不必要的网络连接,以避免病毒、背景音乐等对网络的破坏和浪费。
2. 员工监控。
这个方面是指通过网络监控软件,实时监测企业的内部网络使用情况,记录员工的网络活动,包括网站访问、打印和复制文件等操作。
这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。
3. 数据保护。
这个方面是指对企业机密信息进行加密和存储,防止黑客、病毒等非法入侵和窃取。
此外,深信服还提供了异地备份和自动恢复等功能,保障企业在网络灾难和硬件故障时仍能保持数据安全。
4. 网络优化。
这个方面是指通过访问统计和流量分析等工具,了解网络使用情况,判断网络流量波峰和波谷,调整网络带宽,使网络资源的利用率最大化。
综上所述,深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私,同时还可以提高网络资源的利用效率,增强企业的生产力和竞争力。
但是,由于监控和管理员工的上网活动涉及个人隐私,企业在使用上网行为管理的时候应该遵循以下几个原则:1. 进行明确的告知。
企业在使用上网行为管理之前,应该事先向员工做出相关的告知,让他们明白使用网络的条件和限制。
2. 合理使用。
在使用上网行为管理时,企业应该根据工作需要和风险评估的结果,制定合理、科学的网络管理策略,避免滥用和误用网络监控和管理的权利。
3. 保护员工隐私。
在进行员工监控时,企业应该保证员工个人隐私的保护,合法使用网络监控软件,不违反相关法律法规和规定。
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服AC基本功能介绍
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)
上网行为管理标准
OA
应用分析
SANGFOR AC能为我们带来什么?
应用授权
网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒
带宽管理
多线路流控 用户/组流控 应用流控 网站流控 文件流控
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道 +
虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服Sinfor-AC上网行为管理解决方案
深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1: (5)网络拓扑图2: (6)四、深信服AC上网行为管理功能介绍 (7)1,细致的访问控制功能,有效管理用户上网 (7)2,完善的内容过虑和访问审计功能,防止机密信息泄漏 (7)3,强大的数据报表中心,提供直观的上网数据统计 (7)4,强大的QOS及流量分析功能 (8)5,集成丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1,深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2,邮件的延迟审计(专利技术) (9)3,独有的网络访问准入规则(专利技术) (9)4,WEB认证技术 (9)5,高度集成,部署灵活 (9)6,模块化设计,性能强大 (9)六、成功典型案例 (10)附1:深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:●IT管理员如何对企业网络效能行为进行统计、分析和评估?●IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?●IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
深信服AC功能介绍
深信服科技:产品系列
自2007年上网行为管理获市场第一 自2008年SSL VPN获市场第一
自2005年IPSec VPN获市场第一
2002 2005 2006 2007
2008
2009 2010 …
深信服科技:市场份额
“能够提供VPN硬件的厂商不 在少数,从数量对比上看仍然以 国际厂商居多,但是从市场份额 上看,国内厂商深信服一枝独秀,
深信服科技:客户满意
服务理念
客户至上 满意第一
“深信服”在‘满足用 户需求’和‘ROI’两项 均获得突出得分,说明深 信服在安全市场的努力获 得了中国企业用户的认可。
此外,深信服提供的 服务也得到了用户肯定。
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
以30.5%的市场占比排在第一
位”
来源: IDC
“在安全内容管理硬件市场,有 超过17家主流安全厂商可以提 供该产品;排在第一位是深信
服,市场占比为33.8%。”
来源: Frost & Sullivan
深信服科技:服务体系
37 个城市,设立直
属办事处
8 个大区备品备件库 60 坐席的CTI呼叫
中心
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-全面报表
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-快速检索
基于多关键字快速检索海量日志(支持附件正文检索),精确定位事 件源和责任人
上网行为安全-危险插件与恶意脚本过滤
避免无安全防护的终端染毒、被劫持,提升内网安全
上网行为安全-危险插件与恶意脚本过滤
与AD域进行无缝集成,支持细致的管理员分级管 理功能,方便各部门、地市公司自行调整各自的上 网权限
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上网故障排除功能介绍
开启实时拦截日志:
将打开拒绝列表,此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会 被设备拒绝掉,同时会将符合策略设置应该被拒绝数据包的情况显示出来
设置开启拦截日志的协议和端口
设置针对哪些IP地 成功开启上 址开启拦截日志 网拦截日志
上网故障排除功能介绍
开启实时拦截日志与数据直通:
SANGFOR AC&SG 系统诊断工具
培训内容
SANGFOR AC 上网故障 排除功能介绍
培训目标
1.了解上网故障排除功能的作用 2.掌握开启数据直通的方法 3. 掌握分析拒绝日志的方法
SANGFOR AC 命令控制台
1.掌握AC命令控制台支持的命令和操作方法
SANGFOR AC 抓包工具的 使用
网口的数据包
通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标 IP是 只抓取符合 否正确等) 条件的数据
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
格式 。 2. 如果对Linux命令不熟悉的话,可以参照示例中的格式“host 200.200.20.1
route(显示设备的路由表)
traceroute(跟踪数据包转发路径) 在命令行页面直接输入命令回车即可
命令控制台的使用
1. arp(查看设备的ARP表)
命令控制台的使用
2. mii-tool(查看设备网口的连接情况)
命令控制台的使用
3. ifconfig(查看设备网口信息)
命令控制台的使用
5. 根据拦截日志的提示修改策略,再关闭直通功能,测试故障是否恢复。
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页,再到 上网故障排除中刷新实时拦截日志,如下图:
故在排查问题的过程中使用比较广泛。
简易(抓取未知流量)和高级(TCPDUMP)抓包抓包的使用
设置抓包个数
设置简易抓 包的条件
抓包工具的使用
2. 高级(TCPDUMP)抓包的使用
设置抓包个数
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 选择抓取哪个
其他排错工具
其他排错工具——全局排除地址
启用全局排除地址,针对排除的地址,设备设置的上网策略将不生效, 也不进行审计。
说明:
1.排除地址可以是内网ip,或者外网IP。只要源IP或者 目的IP在排除地址列表,就不做控制和审计。
2.排除地址对防火墙规则和准入监控IM聊天无效。 3.排除地址支持填写域名。
命令控制台的使用
命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面,
可用于对设备的一些简单信息进行查看,支持的命令包括: arp(查看设备的arp表)
mii-tool(查看设备网口的连接情况)
ifconfig(查看设备网口信息) ping(测试主机地址的连通性) telnet(测试端口连通性) ethtool(查看设备网卡信息)
其他排错工具——系统日志
系统日志实时记录着设备所有程序的运行情况,当程序有异常时对应模 块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常,可 以先查看系统日志进行确认!
筛选日 志类型 筛选要显 示的日志
可将系统日志截图给 400协助处理
其他排错工具——控制台操作日志
通过在数据中心查看控制台操作日志,可以很清晰的看出哪一个账号在 什么时间段修改/增加/删除了哪一个模块,是查看是否有人为更改配置的 依据。
问题思考
1.某客户使用我们的AC产品,客户反馈昨天还能上QQ,今天早上就上不去了,但 是能打开网页,请问有什么方法可以快速定位该问题原因? 2.某客户使用我们的AC产品网桥模式部署,发现AC的应用识别库升级不了,请问 如何排查? 3.AC里面的简易抓包和高级抓包有什么区别?
1.掌握简易抓包和高级抓包的方法
1.掌握全局排除地址、系统日志、控制台操作日志 SANGFOR AC 其他排错工 的用法 具
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
4. 删除错误的规则,并关闭数据直通,内网电脑打开网页看问题是否修
复。
上网故障排除常见丢包源说明
AppControl: URLFilter: SSL: FluxCtrl: Web authen: Ingress: 应用控制丢包 URL过滤丢包 SSL控制丢包(包括HTTPS URL 过滤) 流控丢包 用户认证丢包 准入丢包
1. 设置拦截日志开启条件。
如果选择内网某一台电脑做测试,可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用,看故障是否恢复,如果恢 复,说明是AC设备上的策略拦截了数据包。 4. 再查看实时拦截日志(一般可通过查看第一个包的日志,第一个包的 拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据 包)。
开启实时拦截日志同时开启数据直通,此时设备设置的上网策略将不生效。符合策 略设置应该被拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝的数 据包拦截情况显示出来 。
成功开启拦截日志与数据直通 勾选即开启 数据直通 设置流控模块是 需要开启数据 否进行数据直通 直通的地址
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.168.5.3 MASK:255.255.255.0
上网故障排除功能使用案例
上网故障排除功能使用步骤和思路:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中URL过滤的规则。
上网故障排除功能使用案例
3. 拦截日志提示被URL过滤规则丢弃,检查用户使用的上网策略规则。
所测试的电脑使用 的上网权限策略 检查出在上网权限策略中, 确实设置了全天拒绝访问 部分URL。
上网故障排除功能使用案例
4. ping(测试主机地址连通)
命令控制台的使用
5. telnet(测试端口连通性)
命令控制台的使用
6. ethtool(查看设备网卡信息)
命令控制台的使用
7. route(显示设备的路由表)
命令控制台的使用
8. traceroute(跟踪数据包转发路径)
抓包工具的使用
抓包工具的使用
SANGFOR AC&SG控制台界面的抓包工具分为简易抓包和高级抓包。
and port 53” , 即抓取所有源IP和目标IP为200.200.20.1,源端口和目标端口为
53的数据包。常用命令举例:
抓取192.168.1.1的ping包: host 192.168.1.1 and icmp 抓取192.168.1.1的UDP 1773的包: host 192.168.1.1 and udp port 1773 抓取192.168.1.1和192.168.1.2之间TCP 80的交互包: host 192.168.1.1 and host 192.168.1.2 and tcp port 80
简易抓包只抓取来自内网且设备识别不了的包。如果是来自外网的, 设备能识别的数据包,是不会被抓取的。一般不适用简易抓包。
高级抓包则是用TCPDUMP的方式抓包,将抓取的数据包保存在设备
的控制台界面,需要在电脑上安装Sniffer或Ethereal等抓包软件,才能 打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据,