深信服培训讲义
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
深信服IPSEC渠道高级认证培训01_SANGFOR DLAN互联进阶配置
配置说明: 1.配置总部与分支建立 VPN互联,请参考《 DLAN互联基础配置》,此处不再赘述 2.配置分支设备的隧道间路由
分别在分支 1和分支2配 置两条路由
如图,总部分别与两个分支建立VPN连接, 用户要求不能改变任何一端的IP地址,实 现分支与总部互访。 问题分析:
分支1与分支2内网均为192.168.1.0/24网段,
2.隧道内NAT功能的主要作用是什么?
本案例中,源IP为分支的内网网段,源端口必须选择1-65535,因为发起连接的端口均为随机端口。目标IP可为总部 的内网WEB服务器IP,目的端口为WEB端口80。
配置方法一:通过VPN内网权限实现。
第二步:在总部设备的『VPN信息设置』->『用户管理』页面编辑分支用户,点击权限设置,页面如下: 注意:一旦设置了VPN内网权限, 不光VPN对端访问本端受到限制,
本端访问VPN对端一样会受到内网
权限的控制。因为内网权限只检查 数据包的IP和端口,不管这个数据 包是VPN对端主动发起的还是本端 主动发起VPN对端响应的,只要符 合规则条件的数据包都会做相同的 处理。通过防火墙过滤规则可做到 更细化的控制。
配置方法二:通过防火墙过滤规则实现。
第一步:在总部的VPN设备『防火墙设置』->『IP组定义』定义好分支网段的IP组,与总部WEB服务器的IP组,界 面如下:
配置方法二:通过防火墙过滤规则实现。
第二步:在总部VPN设备的『防火墙设置』->『过滤规则设置』->『VPN<->LAN』,删除VPN->LAN的三条规则( 因为VPN->LAN默认是放通所有数据的),然后添加一条规则,界面如下:
问题思考
1.WEBAGENT有哪几种填写方式?什么情况下必须使
深信服培训讲义共73页文档
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
深信服云安全解决方案培训资料
深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景 (4)1.1 云平台背景 (4)1.2 云平台建设意义 (4)第二章需求分析 (5)2.1 需求概述 (5)2.2 平台侧需求 (7)2.2.1 平台安全需求 (7)2.1.2 接入安全需求 (8)2.1.3 业务可靠需求 (9)2.3 租户侧需求 (10)2.3.1 租户间隔离需求分析 (10)2.3.2 租户虚拟机需求分析 (11)2.3.3 租户互联网业务需求分析 (11)2.3.4 租户外网业务需求分析 (12)2.5 管理运维需求 (13)第三章设计原则 (14)第四章解决方案 (15)4.1 解决方案综述 (15)4.2 平台侧设计方案 (17)4.2.1 平台安全方案 (17)4.2.1.1. 平台分区分域 (18)4.2.1.2. 防网络病毒 (18)4.2.1.3. 应用安全防护 (18)4.2.1.4. 防止漏洞攻击 (19)4.2.1.5. 多业务数据隔离和交换 (19)4.2.2 接入安全方案 (20)4.2.2.1 云间安全互联 (21)4.2.2.2 租户安全接入 (22)4.2.3 业务可靠需求 (23)4.2.3.1. 防拒绝服务攻击 (23)4.2.3.2. 链路/全局负载均衡 (23)4.3 租户侧设计方案 (24)4.3.1 租户安全设计 (24)4.3.2 业务系统安全 (25)4.3.3 业务稳定可靠 (26)4.3.4 业务安全接入 (27)4.3.5 租户应用场景 (28)436 NFV安全组件部署方式 (30)4.4 管理运维设计方案 (31)4.4.1 平台运维 (31)4.4.1 租户运维 (33)4.4.1 平台服务商合作运维 (34)第五章解决方案价值 (35)5.1 高安全:提供专业、可靠的服务 (35)5.2高性价比:降低IT建设成本 (36)5.3 高效率:业务系统部署速度快 (36)5.4 高协同:降低信息共享和业务协同难度 (36)第一章建设背景1.1 云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。
深信服上网行为管理基础操作培训
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
深信服SSL渠道高级认证培训06_安全桌面功能进阶培训
安全桌面高级配置
2、安全桌面文件导出-功能介绍
SSL5.7版本之后安全桌面支持文件导出功能,需要配合外置数据中心 使用,如果没安装外置数据中心或者外置数据中心异常,则无法实现 文件导出功能。 安装外置数据中心的原因是审计保存从安全桌面中导出的文件。
注:SSL外置数据中心DC5.7的安装与配置请 参考《 SSL特殊需求配置指导培训》PPT。
6、安全桌面不支持代理环境、流缓存功能
7、建议使用1G以上内存电脑启用安全桌面。
练练手
某客户希望实现所有移动办公组的用户通过SSL VPN接入,只能在安 全桌面内访问远程应用发布资源,安装桌面内只能打开WORD程序, 且不允许安全桌面和本地内网进行通信。 如何配置实现客户的需求呢?
问题思考
1、SSL安全桌面实现的基本原理是什么? 2、 用户接入SSL VPN后,能否使用U盘拷贝走安全桌面中的资料?为
1、离线登录安全桌面-配置步骤 3、如果是之前已经创建好的DKEY用户,现在需要给他开启离线登录安全 桌面的功能,可以将该DKEY插入电脑,编辑该用户,在“离线访问”,点 击“绑定USB-KEY”:
绑定之后,该DKEY用户即被允许离线登录安全桌面:
安全桌面高级配置
1、离线登录安全桌面-客户端登录测试 客户端电脑通过开始---所有程序---SSLVPN登录客户端,点击离线登录安全桌面:
安全桌面中对注册表的修改都是对重定向 之后的注册表的修改,退出安全桌面即会 恢复。很好的保护了电脑系统和禁止用户 通过注册表泄漏数据。
安全桌面基本原理
2、文件重定向 用户在安全桌面中所产生或者所修改的文件,都是经过加密和重定向,被重定向 的文件以及重定向后的路径需要保存起来。重定向后的文件,被保存到当前磁盘 的$SD$目录下。在每个磁盘的根目录下,存在一个隐藏的文件夹,下面存放了 对应的重定向的 文件。 思考:打开安全桌面时,如果插入一 个U盘,能否把安全桌面里面的资料拷 走?
SANGFOR AC 11.0版本培训精讲
SANGFOR AC 11.0版本培训
2015.8.25
特别说明
AC 11.0版本又称三合一,三合一指的是将AC,IAM,AC10G三个版本 合成一个版本。 版本主要意义在于: 1、将AC的所有功能合入到IAM和10G产品,可以显著提升这两个产品 的竞争力。
2、完整支持IPv6.目前IPv6的推进进度在加快,国内的政府,高校,海 外的马来,新加坡等都提出了IPv6支持的要求
说明:此时如果终端修改了IP或MAC地址,终端上不了网,终端无提示页面。
3、如果认证策略选择录入本地组织结构,【用户管理】—【组/用户】可以查到 用户。
需求场景三:客户想终端用户上网认证的过程是透明的,但是用户上线过程中 希望能弹出免责申明的页面或广告页面?
说明:如果开启了显示免责声明,则每次上线的时候都会提示免责声明,没有 开启则直接上线
2.1 用户名密码认证 需求场景一:用户上网的时候要求重定向到密码认证页面,让用户进行密码认 证,密码认证通过后才可以上网,密码保存在本地。 密码认证方式: 本地密码认证
认证效果 1、终端打开网页,弹出免责申明,或包含广告的免责申明页面。
2、终端点登陆,弹出提示“认证成功,3s将跳转页面”
3、认证成功,跳转到了之前打开的页面
4、开启了免责申明提示,又开启了IP/MAC绑定,此时如果终端修改了IP或 MAC地址,终端上不了网是有提示页面的。
二、密码认证
密码认证需要选择密码认证服务器,密码认证服务器可以选择本地用户,也 可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、 radius服务器
对象定义及策略管理
培训内容 流量管理
培训目标 ①掌握流控惩罚通道的使用
终端提示页面
2015.8.25
特别说明
AC 11.0版本又称三合一,三合一指的是将AC,IAM,AC10G三个版本 合成一个版本。 版本主要意义在于: 1、将AC的所有功能合入到IAM和10G产品,可以显著提升这两个产品 的竞争力。
2、完整支持IPv6.目前IPv6的推进进度在加快,国内的政府,高校,海 外的马来,新加坡等都提出了IPv6支持的要求
说明:此时如果终端修改了IP或MAC地址,终端上不了网,终端无提示页面。
3、如果认证策略选择录入本地组织结构,【用户管理】—【组/用户】可以查到 用户。
需求场景三:客户想终端用户上网认证的过程是透明的,但是用户上线过程中 希望能弹出免责申明的页面或广告页面?
说明:如果开启了显示免责声明,则每次上线的时候都会提示免责声明,没有 开启则直接上线
2.1 用户名密码认证 需求场景一:用户上网的时候要求重定向到密码认证页面,让用户进行密码认 证,密码认证通过后才可以上网,密码保存在本地。 密码认证方式: 本地密码认证
认证效果 1、终端打开网页,弹出免责申明,或包含广告的免责申明页面。
2、终端点登陆,弹出提示“认证成功,3s将跳转页面”
3、认证成功,跳转到了之前打开的页面
4、开启了免责申明提示,又开启了IP/MAC绑定,此时如果终端修改了IP或 MAC地址,终端上不了网是有提示页面的。
二、密码认证
密码认证需要选择密码认证服务器,密码认证服务器可以选择本地用户,也 可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、 radius服务器
对象定义及策略管理
培训内容 流量管理
培训目标 ①掌握流控惩罚通道的使用
终端提示页面
深信服渠道售前培训课程
第 28 次中国互联网络发展状况统计报告
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
防止绕过安全体系造成的 信息泄漏如“拖库”、 “暴库”的问题
即使被攻击也不会造成大 规模信息泄漏
防止绕过安全体系造成的 防止页面被非法篡改 网站篡改、挂马、盗链等
2、应用场景及主推方案
专线 广域网
NGAF 广域网边界安全域
四大场景
电信
联通
互 联 网 接 入 域
AC/SG
链路负载
NGAF
NGAF
WEB交易系统 WEB门户网站
融合现网环境, 与传统安全形成 异构
深信服下一代防火墙NGAF是什么?
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能 • 模块智能联动
深信服下一代防火墙NGAF是什么?
• NGAF是新一代安全产品,可 替代FW、IPS、AV、WAF、 UTM、网页防篡改等安全产品, 可提供完整L2-L7安全防御功 能。
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
防止绕过安全体系造成的 信息泄漏如“拖库”、 “暴库”的问题
即使被攻击也不会造成大 规模信息泄漏
防止绕过安全体系造成的 防止页面被非法篡改 网站篡改、挂马、盗链等
2、应用场景及主推方案
专线 广域网
NGAF 广域网边界安全域
四大场景
电信
联通
互 联 网 接 入 域
AC/SG
链路负载
NGAF
NGAF
WEB交易系统 WEB门户网站
融合现网环境, 与传统安全形成 异构
深信服下一代防火墙NGAF是什么?
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能 • 模块智能联动
深信服下一代防火墙NGAF是什么?
• NGAF是新一代安全产品,可 替代FW、IPS、AV、WAF、 UTM、网页防篡改等安全产品, 可提供完整L2-L7安全防御功 能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司决策层希望实现上班时间能封堵所有员工 的P2P和迅雷等多线程下载,玩游戏和炒股, 其余部门的人员不准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN 的聊天内容。 其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
用户 名密 码认 证场 景
案例背景
DMZ服务器 防火墙
Si
核心交换
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网 不能修改IP和MAC地址,公共 上网区(192.168.2.0/24)则 需要输入账号和密码才能上网, 确保网络行为能跟踪到。
解决方案
当用户首次通过AC上网时,AC会要求用户提交用户名密码信息,如果 用户提交的用户名密码信息和AC本机保存的信息一致时,给予认证 通过。 用户名密码认证适用于内网用户IP/MAC不固定、上网需要身份识别, 或者内网存在第三方用户名密码认证服务器的网络环境。 可以手动在AC上新建用户名和密码,也可以直接沿用第三方认证服务 器上的账号和密码(SANGFOR AC与第三方认证服务器结合,支持 LDAP,RADIUS, POP3第三方服务器认证)。
上网策略分类
AC 3.0开始将上网策略分为六大类,分别如下: 上网权限策略: 主要控制用户能够使用网络资源的权限(能做什么),包括上网应 用控制,网页过滤,SSL控制,邮件过滤功能 上网审计策略: 审计用户上网行为(做了什么),包括应用审计,外发文件告警, 流量与上网时长统计,网页内容审计 上网安全策略: 防止用户使用不安全的网络资源,包括危险行为识别,ActiveX插件 过滤和脚本过滤
上网策略分类
终端提醒策略: 提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流量 提醒,公告页面 流量配额与时长控制策略: 限制用户能使用网络资源的流量和时长,包括流量配额, 上网时长 控制,并发连接数控制 准入策略: 终端用户满足特定条件准许使用网络资源,审计加密的IM软件的聊 天内容
组织结构与上网策略的关联
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 、旁路模式 只用于上网行为的审计和基于 应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP 等功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。
认证方式介绍
1、不需要认证
设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来 识别用户。 不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框, 要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存 在。
认证方式介绍
2、密码认证(包括本地密码认证和第三方服务器认证)
典型部署模式与配置
网桥模式配置截图
二、用户认证技术
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
SANGFOR AC的认证方式:
1、不需要认证(IP/MAC绑定) 2、密码认证(包括本地密码认证和第三方服务器认证) 3、单点登录
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。 2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。 3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
2.
上网策略典型应用场景及配置
配置思路: 1. 在AC的用户组织结构中建立两个用户组:技术支持和销售部门组 ,默认组。(也可以按照公司部门结构分别建立多个用户组,根据 策略的情况,最少要建立两个用户组)具体配置在用户认证部分的 PPT中介绍,这里不再累述。 新建两条上网权限策略: 技术支持和销售部门上网权限:上班时间封堵P2P和迅雷等多线程 下载工具下载,玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载 ,玩游戏和炒股,QQ/MSN。 关联默认组。
SANGFOR AC 基本功能培训
AC培训大纲 SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
典型部署模式与配置
路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
3、客户端输入用户名密码认证
当用户访问网站时,AC会重定 向一个认证的页面,如左图所示 ,用户输入正确的用户名密码认 证后,才可以继续上网。
实际应用环境演示与互动
添加/修 改认证 策略
添加/ 编辑 用户 信息
三、组织结构与上网策略
组织结构和上网策略功能介绍
组织结构 组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树 形的组织结构,通过树形用户结构管理,符合企业的人员结构划分, 同时又可以对相同的上网策略进行继承。 上网策略介绍 上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用 网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网 络的行为进行审计,从而构建一个可管理、可视化的网络环境。 简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么, 知道用户正在做什么、以及用户做了什么的功能。
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绑定IP/MAC,因 此选择IP/MAC绑定,且绑定方式为用户和地址双向绑定。 开启新用户选项,自动添加新用户到办公区用户组。
典型部署模式与配置
FW
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
典型部署模式与配置
网桥模式配ቤተ መጻሕፍቲ ባይዱ思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
路由模式配置截图
典型部署模式与配置
网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。 2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。 2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。 3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。