深信服上网行为管理-典型环境的安装部署
深信服上网行为管理-典型环境的安装部署
部署在网络出口处。 3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC
替换掉原有的防火墙或者路由器并代理内网用户上网。
典型部署模式与配置
➢ 路由模式_配置思路 1、网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地 址及网关;如果是ADSL拔号上网,则填写运营商给的拨号账号和密码;确 定内网口的IP; 2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路 由,将到内网各网段的数据回指给设备下接的三层设备。 3、用户是否需要通过AC设备上网,如果是的话,需要设置地址转换规则。 4、检查并放通防火墙规则。
➢单臂模式部署环境(举例):
eth0
SANGFOR SG部署模式介绍
➢SG单臂模式部署环境(举例):
AC/SG典型部署模式配置
典型部署模式与配置
➢ 路由模式_部署指导 首选需要了解用户的实际需求,以下几种情况 必须使用路由模式部署: 1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP
根据客户需求及环境不同,AC/SG设备支持路由、网桥、旁路、单臂四种 部署模式。其中SG支持上述四种部署,AC支持前三种部署。
• SANGFOR AC/SG部署模式介绍
路由模式/网关模式_简介 ➢ 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的
路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。 ➢ 路由模式下支持AC所有的功能。 ➢ 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部 署,其它工作模式没有这些功能。
深信服上网行为管理 典型环境的安装部署
深信服上网行为管理-系统管理配置指南
策略路由配置
3、导入各运营商的策略路由表 新发货的设备一般策略路由表都是空的,怎样导入初始策略路由表?
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由,导入后,内网PC经设备上网的 数据流,即可实现根据目标地址选路走同一个运营商的线路出去,如访 问电信的网站走电信线路,从而解决了跨运营商之间访问速度慢的问题。 同时也能实现当其中一条 线路故障,流量自动切换到其它线路,直到故 障线路恢复,从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip,oid(1.3.6.1),community,这样可以读取所有信 息,如下图:
这种方法读出所有信息,并不知道每个值具体意义,因oid不具体,很难找 到我们需要的信息。
SNMP配置
下载mib库,导入网管软件, 方便管理查看设备信息 设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能,当触发告警条件时,设备就会通过邮件 告警及登录控制台界面右下角小喇叭告警,以便能及时通知到管理员。设 备支持的告警事件类型如下。
深信服上网行为管理解决方案
深信服上网行为管理解决方案篇一:深信服上网行为管理部署方式及功能实现配置说明深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,WAN口和LAN口LINK 灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是/24,在电脑上配置一个此网段的IP地址,通过https://登录设备,默认登录用户名/密码是:admin/admin。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC 的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:● IT管理员如何对企业网络效能行为进行统计、分析和评估?● IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?● IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?● IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手――SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
深信服上网行为管理-安装部署指南
TRUNK环境部署:路由模式_配置步骤
LAN口(eth0)填写 任一个不存在的IP 配置完成后可看到配置汇总信息
启用VLAN并据实 填写VLAN地址信 息
TRUNK环境部署:路由模式_配置步骤
TRUNK环境部署:网桥模式
不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案)
TRUNK环境部署:网桥模式_配置思路
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好 设备。
2、网桥IP配置为不属于任何VLAN的IP,网桥的网关指向任意一个 VLAN的网关。配置启用VLAN,并按格式填写每个VLAN可用的IP。
TRUNK环境部署:网桥模式_配置步骤
填写配任置一完个成不后存可在看的到网汇桥总I信P息 据实填写其中一个能与互 联网通信的VLAN的网关 IP和准确的DNS信息
常见代理环境中的部署方式
2. 代理服务器双网卡(AC/SG设备旁路模式部署)
如果主要用于审计,设备可 采取旁路模式部署,用于监 听内网发往代理服务器的所 有数据。
常见代理环境中的部署方式
3. 代理服务器单网卡(AC/SG设备网桥模式部署) 如左图所示,代理服务器以单臂模 式接在核心交换机上。
内网用户上网数据先通过交换机到 达代理服务器,再由代理服务器经 核心交换机和防火墙到公网。
适用环境:用户通过内网代理服务器上 网,并且需要准确识别用户通过代理服 务器上网的数据和分权限控制。
常见代理环境中的部署方式
1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署)
设备可采取路由模式或网桥模式部署在客户 端与代理服务器之间,考虑到内网改动的大 小,建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过 AC/SG设备,也就是代理服务器应该部署于 AC/SG设备的WAN口方向。
SOHO无线路由器与深信服上网行为管理结合案例
一.网络部署图
二.部署步骤
1.上网行为管理(以下简称AC)以网关模式部署在网络出口,做ADSL拨号
2.AC上面开启DHCP服务,并做DHCP地址保留,建议保留地址数量≥ AP数量
3.AC认证策略启用MAC地址认证,认证适用范围 = AC的DHCP服务管理范围
4.AP(无线路由器),WAN口配置为内网不存在的IP和网段(如127.0.0.1);LAN口配置为AC的DHCP服务保留的IP,并关闭AP(无线路由器)上的DHCP服务
5.AC的LAN口通过交换机,与AP(无线路由器)的LAN口区域连接,AP(无线路由器)的WAN口区域不接线
三.配置说明
1.家用级AP(无线路由器)默认就开启了NAT,并且无法关闭,所以AC与AP(无线路由器)的LAN口区域连接,AP(无线路由器)只有工作在二层网络,在AC上才能检测到连接AP终端的MAC地址
2.AP(无线路由器)LAN口区域,只能使用固定IP,所以要在AC的DHCP中设置保留地址,避免AP(无线路由器)与AC的DHCP分配IP产生冲突
3.关闭AP(无线路由器)上的DHCP,避免AP(无线路由器)与AC的DHCP分配IP产生冲突
4.假设某内网某服务器地址是192.168.100.100,AP(无线路由器)的WAN口地址也配置为192.168.100.100,移动终端连接AP就无法访问到相应的服务器,只会访问到AP(无线路由器),为避免出现这样的情况,WAN口配置为内网不存在的IP和网段。
深信服上网行为管理配置详解
第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
深信服WIFI系统上网行为管理解决方案
谢谢
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
深信服WIFI系统上网行为管理解决方案
应用背景
随着智能手机、pad智能终端的普及,我们已经习惯了随时随地的连
接网络,使用网络。各大型商场,酒店大厅,银行营业厅已经部署了无
线网络。
需求分析
• 上网用户身份确定
• 发ห้องสมุดไป่ตู้免责声明,推送广告页面 • 统计客户信息,挖掘潜在商机 • 保障上网体验 • 提供健康上网环境
典型案例
安徽合肥万达商场
a. 采用短信认证,认证后跳转到公司页面,在认 证页面推送广告; b. 针对用户做流控,限制不当网络行为,特别是 下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,定期发送 手机广告,从而IT给业务带来增值 。
山西大酒店
采用AC无线网络管理和业务增值方案: a. 采用短信认证,认证后跳转到酒店的广告页面; b. 做无线网络的行为管控; c. 实名认证+审计,满足公安部的审查需求。
保障上网体验
上网流量控制: 建议可限制下载类的大流量
应用,限制单用户使用网络的流量,保障用户的 上网体验。
提供健康上网环境
行为管理:
利用上网行为管理设备过滤不良网页和应用,提供 健康绿色的上网环境。对部分敏感信息进行记录,满足 公安部82号令的要求。
AC-SC集中管理