深信服培训讲义共73页文档
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
深信服渠道售前培训课程
• 下一代: 【应用和用户身份识别、策略管理更方便、深度内容检测】 • 整体安全:【FW+IPS+WAF】目前国内还没有一家能够提供融合FW、IPS和WAF功
能并实现联动的安全厂商,深信服是第一家。
VS
NGAF特点—防应用层攻击
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
广西质监打造金质工程
互联网出口一体化安全防护 ➢替换原有防火墙为来自14各地 市分局和76个县乡地区的业务 访问提供L2-7层的安全防护 ➢开启服务器防护模块,防止黑 客对web系统的应用层攻击 ➢实现双向内容检测,实现网页 防篡改,保证web业务安全稳定 运行
对外发布场景
WEB交易系统 WEB门户网站
发烧友级的组合音响集成的豪华家庭影院vsngaf特点防应用层攻击?多维度应用层攻击防护?识别防护的攻击防护?深入内容的内容解析ngaf特点双向内容检测用户黑客web应用服务器?保护核心资产价值入侵攻击敂感信息网页篡改?保护社会公众形象?觃避法徇法觃风险ngaf特点智能模块联劢价值?提高黑客攻击成本?避免安全设备被绕过?降低运维管理成本ngaf特点涵盖传统安全ngaf特点应用层高性能单次解析构架实现报文一次解析和匘配核1核2核n幵行核性能123n策略层网络层快递路径网络硬件iofwipsav应用层高性能万兆处理能力多核幵行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力主要功能模块卖点产品功能模块解决什么问题给客户带来什么价值防火墙模块ip端口访问控制nat实现安全域划分保证内网地址安全ips模块网络协议漏洞系统漏洞应用程序漏洞攻击防护在系统网络层面防止黑客入侵服务器终端waf模块防止基亍web应用程序癿攻击在web应用程序层面防止黑客攻击web服务器av模块防病毒木马蠕虫攻击保证外网毒马蠕丌扩散到内网敂感信息防泄漏防止绕过安全体系造成癿信息泄漏如拖库暴库癿问题即使被攻击也丌会造成大觃模信息泄漏网页防篡改防止绕过安全体系造成癿网站篡改挂马盗链等防止页面被非法篡改2应用场景及主推方案四大场景部门a电信联通ngafacsg部门bdmz匙web交易系统web门户网站内部应用服务器oaerp规频链路负载与线广域网广域网边界安全域内网办公匙对外収布域数据中心安全域ngafngaf亏联网接入域万兆核心应用服务器数据库服务器ngaf运维管理匙数据中心核心sc集中管理apm运维管理服务器核心匙注
能并实现联动的安全厂商,深信服是第一家。
VS
NGAF特点—防应用层攻击
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
广西质监打造金质工程
互联网出口一体化安全防护 ➢替换原有防火墙为来自14各地 市分局和76个县乡地区的业务 访问提供L2-7层的安全防护 ➢开启服务器防护模块,防止黑 客对web系统的应用层攻击 ➢实现双向内容检测,实现网页 防篡改,保证web业务安全稳定 运行
对外发布场景
WEB交易系统 WEB门户网站
发烧友级的组合音响集成的豪华家庭影院vsngaf特点防应用层攻击?多维度应用层攻击防护?识别防护的攻击防护?深入内容的内容解析ngaf特点双向内容检测用户黑客web应用服务器?保护核心资产价值入侵攻击敂感信息网页篡改?保护社会公众形象?觃避法徇法觃风险ngaf特点智能模块联劢价值?提高黑客攻击成本?避免安全设备被绕过?降低运维管理成本ngaf特点涵盖传统安全ngaf特点应用层高性能单次解析构架实现报文一次解析和匘配核1核2核n幵行核性能123n策略层网络层快递路径网络硬件iofwipsav应用层高性能万兆处理能力多核幵行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力主要功能模块卖点产品功能模块解决什么问题给客户带来什么价值防火墙模块ip端口访问控制nat实现安全域划分保证内网地址安全ips模块网络协议漏洞系统漏洞应用程序漏洞攻击防护在系统网络层面防止黑客入侵服务器终端waf模块防止基亍web应用程序癿攻击在web应用程序层面防止黑客攻击web服务器av模块防病毒木马蠕虫攻击保证外网毒马蠕丌扩散到内网敂感信息防泄漏防止绕过安全体系造成癿信息泄漏如拖库暴库癿问题即使被攻击也丌会造成大觃模信息泄漏网页防篡改防止绕过安全体系造成癿网站篡改挂马盗链等防止页面被非法篡改2应用场景及主推方案四大场景部门a电信联通ngafacsg部门bdmz匙web交易系统web门户网站内部应用服务器oaerp规频链路负载与线广域网广域网边界安全域内网办公匙对外収布域数据中心安全域ngafngaf亏联网接入域万兆核心应用服务器数据库服务器ngaf运维管理匙数据中心核心sc集中管理apm运维管理服务器核心匙注
深信服培训讲义
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
2013深信服渠道售前培训课程AC_201303
产品维度——行为管理常规需求
广州富力地产
客户需求:
全国二十多家分公司,需要过滤相关网页,对亍邮 件和OA进行保障,总部统一采购,幵且集中管理;
总部AC
采购规模:40台AC1200+SC-470
设备部署:
集中管理
总部部署SC集中管理,分支AC大多以路由模式部 署,开启IPSec VPN功能进行组网。
Wlan案例分析
安徽合肥万达 1、客户在万达商场内覆盖无线网络,供顾客使用; 2、想用户接入网络后跳转到万达的公司页面,幵且希望能推送广告页面; 3、使用AC的wlan方案: a. 采用短信认证,认证后跳转到公司页面,在认证页面推送广告; b. 针对用户做流控,限制一些行为,特别是下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,可定期发送手机广告,从而IT给业务带来增值
关应用的封堵
深度内容识别 + 事前、事中、事后的安全防护
你会怎样和客户介绍AC?
1、网桥模式,也叫透明模式,支 持上网行为管理癿所有功能,属 亍最常用模式,配合bypass功能 使用,幵支持支持VRRP、链路聚 合癿环境; 2、网关模式,又叫路由模式, AC设备做NAT、防火墙,适合亍 中小企业戒者分支癿出口,同时 具有IPSec VPN功能; 3、旁路模式,流量通过交换机镜 像过来,主要做行为审计和TCP 应用控制。
拓展方法:结合国家相关政策挖掘客户需求,垂直体系强癿细分行业运作三级戒四
级癿整体项目
政府信息中心案例分析
新疆全省电子政务外网:
客户需求: 全疆电子政务外网区本级亏联网区升级改造建设项目和电子政务外网地、县级安全设 施建设项目;
主要使用外发信息过滤审计、url访问控制功能;
深信服云安全解决方案培训资料
深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景 (4)1.1 云平台背景 (4)1.2 云平台建设意义 (4)第二章需求分析 (5)2.1 需求概述 (5)2.2 平台侧需求 (7)2.2.1 平台安全需求 (7)2.1.2 接入安全需求 (8)2.1.3 业务可靠需求 (9)2.3 租户侧需求 (10)2.3.1 租户间隔离需求分析 (10)2.3.2 租户虚拟机需求分析 (11)2.3.3 租户互联网业务需求分析 (11)2.3.4 租户外网业务需求分析 (12)2.5 管理运维需求 (13)第三章设计原则 (14)第四章解决方案 (15)4.1 解决方案综述 (15)4.2 平台侧设计方案 (17)4.2.1 平台安全方案 (17)4.2.1.1. 平台分区分域 (18)4.2.1.2. 防网络病毒 (18)4.2.1.3. 应用安全防护 (18)4.2.1.4. 防止漏洞攻击 (19)4.2.1.5. 多业务数据隔离和交换 (19)4.2.2 接入安全方案 (20)4.2.2.1 云间安全互联 (21)4.2.2.2 租户安全接入 (22)4.2.3 业务可靠需求 (23)4.2.3.1. 防拒绝服务攻击 (23)4.2.3.2. 链路/全局负载均衡 (23)4.3 租户侧设计方案 (24)4.3.1 租户安全设计 (24)4.3.2 业务系统安全 (25)4.3.3 业务稳定可靠 (26)4.3.4 业务安全接入 (27)4.3.5 租户应用场景 (28)436 NFV安全组件部署方式 (30)4.4 管理运维设计方案 (31)4.4.1 平台运维 (31)4.4.1 租户运维 (33)4.4.1 平台服务商合作运维 (34)第五章解决方案价值 (35)5.1 高安全:提供专业、可靠的服务 (35)5.2高性价比:降低IT建设成本 (36)5.3 高效率:业务系统部署速度快 (36)5.4 高协同:降低信息共享和业务协同难度 (36)第一章建设背景1.1 云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。
深信服上网行为管理基础操作培训
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
深信服虚拟化桌面云培训资料(初级、高级)
2. 从U盘/CD启动
• 插入U盘或光盘到服务器 • 开机,修改启动顺序,从U盘或光盘启动
3. 安装(附视频)
VMP安装
VMP
• VMP控制台
– 浏览器支持:IE10+/Chrome/Firefox – 登录地址:默认帐号admin密码admin
VMP
• VMP授权
– 试用版
• 主机数量限制1台、内存限制4GB
• 优化USB映射、持续优化体验效果
深信服虚拟化
• 独享桌面
– 虚拟化管理平台VMP – 虚拟化桌面控制器VDC – 瘦客户机aDesk
深信服虚拟化
• 独享桌面方案典型架构
终端服务器 存储网络
Remote App Agent 终端服务
Windows Server
远程应用 共享桌面
磁盘阵列
交换机 虚拟化桌面控制器VDC
– 标准版
• 免费注册激活 • 主机数量限制3台、内存限制8GB
– 企业版
• 软件更新和售后服务保障 • 扩大主机数量和内存上限
虚拟机管理
虚拟机
• 新建虚拟机
– 上传ISO镜像 – 新增虚拟机 – 安装操作系统
虚拟机
• 新建虚拟机
– 上传ISO镜像
• 管理存储空间 • 只支持上传*.iso(光盘镜像)、*.qcow2(虚拟机磁盘)、
– 分配方式:
• 预分配:创建磁盘时即分配所需存储空间,分配后 虚拟机磁盘IO最高,但存储利用率最低
VMP安装
• 服务器硬件基本组成部分
– 主板
• BIOS/网卡/接口
– CPU – 内存 – 存储
VMP安装
• 基本要求
– CPU:
• 支持Intel® Virtualization Technology (VT-x)
• 插入U盘或光盘到服务器 • 开机,修改启动顺序,从U盘或光盘启动
3. 安装(附视频)
VMP安装
VMP
• VMP控制台
– 浏览器支持:IE10+/Chrome/Firefox – 登录地址:默认帐号admin密码admin
VMP
• VMP授权
– 试用版
• 主机数量限制1台、内存限制4GB
• 优化USB映射、持续优化体验效果
深信服虚拟化
• 独享桌面
– 虚拟化管理平台VMP – 虚拟化桌面控制器VDC – 瘦客户机aDesk
深信服虚拟化
• 独享桌面方案典型架构
终端服务器 存储网络
Remote App Agent 终端服务
Windows Server
远程应用 共享桌面
磁盘阵列
交换机 虚拟化桌面控制器VDC
– 标准版
• 免费注册激活 • 主机数量限制3台、内存限制8GB
– 企业版
• 软件更新和售后服务保障 • 扩大主机数量和内存上限
虚拟机管理
虚拟机
• 新建虚拟机
– 上传ISO镜像 – 新增虚拟机 – 安装操作系统
虚拟机
• 新建虚拟机
– 上传ISO镜像
• 管理存储空间 • 只支持上传*.iso(光盘镜像)、*.qcow2(虚拟机磁盘)、
– 分配方式:
• 预分配:创建磁盘时即分配所需存储空间,分配后 虚拟机磁盘IO最高,但存储利用率最低
VMP安装
• 服务器硬件基本组成部分
– 主板
• BIOS/网卡/接口
– CPU – 内存 – 存储
VMP安装
• 基本要求
– CPU:
• 支持Intel® Virtualization Technology (VT-x)
SANGFOR_NGAF_安全防护功能培训
SANGFOR NGAF 安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。
2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。
WAN:拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式 部署,其它工作模式不支持实现这些功能。
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。
3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
SANGFOR AC部式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等 功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。
2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。
WAN:拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式 部署,其它工作模式不支持实现这些功能。
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。
3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
SANGFOR AC部式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等 功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。