深信服上网行为管理配置ppt
合集下载
深信服上网行为管理-无线管理指南
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
路由
网桥
Lan
Lan
Lan
Lan
AP AP
AP接入网络当中,AP是否需要做配置?有无WEB登录界面?
AP无需配置
①
AP发现AC
Lan AP
Lan AP
②
AC下发配置给
AP
Lan AP
Lan AP
PART 3 AP发现与激活
14
部署完AC和AP后,紧接的过程是AP发现与激活。AP发现与激活,对用户 是完全透明的,程序自动完成。无需手动激活。
证,但终端用户上网会受AC认证策略的影响。
客户需求无线结合微信认证可以使用此种认证方案!AC认证策略配 置为微信认证。
配置步骤
1.【无线配置】—新建开放式无线网络,认证方式选择无需认证 2.【用户与策略管理】—【认证策略】—新建认证策略,认证方式选择微信认证 3.【用户与策略管理】—【认证选项】—选择微信认证的认证方案,配置相应的 信息
PART 2
授权与部署
7
1.授权
6.0版本开始,有无线功能,通过序列号授权激活
AP外观
AP后面板
后视图
从左到右依次说明: 电源口:48V DC的直流电源,配备电源适配器,接入110~230V电压范围, Console:控制口,用于工程师和测试工程师调试用 LAN:出厂默认dhcp获取地址,支持PoE(Power over Ethernet)供电 Reset:重置按钮,长按RESET按钮5-15秒,除了power灯以外,所有灯都会 灭一段时间,然后AP会重启,并恢复默认出厂配置
深信服上网行为管理部署方式及功能实现配置说明.
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
深信服上网行为管理-无线管理指南
本高
认证单一,多用户 授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值??
顾客 商户 组网方便:已经购买AC的客户。这些客户只需要升级下软件,在购买几个
AP,就可以快速组建无线网络
降低成本:AC合入无线功能,无需购买WAC,少了WAC的购买和IT管理成本 认证授权多样化:二维码扫描,微信认证,短信认证,WEB认证.... 无线数据可安全管控:利用AC的上网控制功能,可分析无线上网的数据提 供给商户做数据收集。可加入SC集中管理
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
深信服上网行为管理 无线管理指南
培训内容
培训目标
无线需求
授权与部署 AP发现与激活 无线模块与AC模块交互过程
1、了解当前无线环境存在的问题,及AC合入 无线后给客户带来的价值 1、掌握AC哪些部署模式支持无线
1、掌握AP发过程
1、了解无线与AC模块的交互过程
无线网络配置
1、掌握无线配置,并能根据实际环境配置开放
开放式无线网络共有三种认证方式,密码认证,二维码审核和无 需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求,实名上网,则可以选用此认证方式。智能终端接入AP,不需要授 权,但上网时会弹portal页面, 要求认证后才可以上网。如下图。
认证单一,多用户 授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值??
顾客 商户 组网方便:已经购买AC的客户。这些客户只需要升级下软件,在购买几个
AP,就可以快速组建无线网络
降低成本:AC合入无线功能,无需购买WAC,少了WAC的购买和IT管理成本 认证授权多样化:二维码扫描,微信认证,短信认证,WEB认证.... 无线数据可安全管控:利用AC的上网控制功能,可分析无线上网的数据提 供给商户做数据收集。可加入SC集中管理
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
深信服上网行为管理 无线管理指南
培训内容
培训目标
无线需求
授权与部署 AP发现与激活 无线模块与AC模块交互过程
1、了解当前无线环境存在的问题,及AC合入 无线后给客户带来的价值 1、掌握AC哪些部署模式支持无线
1、掌握AP发过程
1、了解无线与AC模块的交互过程
无线网络配置
1、掌握无线配置,并能根据实际环境配置开放
开放式无线网络共有三种认证方式,密码认证,二维码审核和无 需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求,实名上网,则可以选用此认证方式。智能终端接入AP,不需要授 权,但上网时会弹portal页面, 要求认证后才可以上网。如下图。
电子课件-任务3.5基于深信服设备进行网络行为控制.
计算机网络安全技术与实施
教学课件
学习情境3:任务3.5 基于深信服设备进行网络行为控制
专业务实
学以致用
3.5 任务-目录
3.5 任务5-基于深信服设备进行网络行为控制 3.5.1 任务描述
3.5.2 引导文本
3.5.3 设计部署深信服设备 3.5.4 利用深信服设备实施企业内部网络保护 3.5.5 进行防护效果检测 3.5.6 知识技能要点测评
专业务实 学以致用
3.5.2 引导文本 5、上网策略匹配原则
若用户/组关联多条上网权限策略,策略的匹配顺序如下:
专业务实
学以致用
专业务实 学以致用
3.5.2 引导文本
4、上网策略分类
AC将上网策略分为六大类。
终端提醒策略: 提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流 量提醒,公告页面。
流量配额与时长控制策略: 限制用户能使用网络资源的流量和时长,包括流量配额, 上网时长 控制,并发连接数控制。 准入策略: 终端用户满足特定条件准许使用网络资源,审计加密的IM软件的聊 天内容,组织外线路检测。
WAN:IP4 LAN:IP3
IP1
导文本
2、SANGFOR AC防火墙基本功能
端口映射 : 端口映射即DNAT,用来设置对 数据包目标IP地址进行转换的规则。常用来实现 客户内网有服务器需要发布到公网,或者内网用 户需要通过公网地址访问内部服务器的需求。
专业务实
学以致用
3.5.1 工作任务总体描述(表)
学习情境 任务名称 企业工作情境描述 学习情境3-对网络访问行为进行控制 工作任务5-基于深信服设备进行网络行为控制 建议课内学时 4学时(理论实践一体)
对中等规模以上的企业事业单位的网络安全防护手段中,较多采用硬件防火墙技来实施对网络的保护,同时提
教学课件
学习情境3:任务3.5 基于深信服设备进行网络行为控制
专业务实
学以致用
3.5 任务-目录
3.5 任务5-基于深信服设备进行网络行为控制 3.5.1 任务描述
3.5.2 引导文本
3.5.3 设计部署深信服设备 3.5.4 利用深信服设备实施企业内部网络保护 3.5.5 进行防护效果检测 3.5.6 知识技能要点测评
专业务实 学以致用
3.5.2 引导文本 5、上网策略匹配原则
若用户/组关联多条上网权限策略,策略的匹配顺序如下:
专业务实
学以致用
专业务实 学以致用
3.5.2 引导文本
4、上网策略分类
AC将上网策略分为六大类。
终端提醒策略: 提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流 量提醒,公告页面。
流量配额与时长控制策略: 限制用户能使用网络资源的流量和时长,包括流量配额, 上网时长 控制,并发连接数控制。 准入策略: 终端用户满足特定条件准许使用网络资源,审计加密的IM软件的聊 天内容,组织外线路检测。
WAN:IP4 LAN:IP3
IP1
导文本
2、SANGFOR AC防火墙基本功能
端口映射 : 端口映射即DNAT,用来设置对 数据包目标IP地址进行转换的规则。常用来实现 客户内网有服务器需要发布到公网,或者内网用 户需要通过公网地址访问内部服务器的需求。
专业务实
学以致用
3.5.1 工作任务总体描述(表)
学习情境 任务名称 企业工作情境描述 学习情境3-对网络访问行为进行控制 工作任务5-基于深信服设备进行网络行为控制 建议课内学时 4学时(理论实践一体)
对中等规模以上的企业事业单位的网络安全防护手段中,较多采用硬件防火墙技来实施对网络的保护,同时提
深信服上网行为管理-单点登录指南
深信服上网行为管理 单点登录指南
培训内容
单点登录介绍
单点登录实现方式
单点登录配置举例
培训目标
1. 了解单点登录功能的应用场景和概念 2. 掌握AC/SG设备支持的单点登录方式 1. 了解单点登录功能的几种实现方式
1. 掌握常见网络环境中web单点登录方式的部署和 配置
2. 掌握常见网络环境中数据库单点登录的部署和 配置
数据库单点登录配置举例--同步组织结构
如要同步组织结构,则在“用户自动同步”---新增一个“数据库同步”,填写可 以获取用户的sql语句和组路径分隔符,组路径分隔符是指客户的数据表中如果有 多个组,是以什么符号来分隔组和子组,如上述示例是以短横线分隔的:
点同击步"过测来试之有后效,性看"到,的可组以织列结出构可信以息获如取下的:信息:
的流量是PPPOE封堵,需要开启协议剥离才能识别 3、配置PPPOE单点登录
PPPOE单点登录配置示例
第一步:新建认证策略,认证方式为“不需要认证/单点登录”
PPPOE单点登录配置示例
2. 开启PPPOE协议剥离。
如果网络环境中由其 他协议的数据包封装 PPPOE的数据,则也 要开启其他协议的协 议剥离,如pppoe外层 再由vlan封装,则需
WEB单点登录: 适用场景:适用于内网有一套WEB认证系 统(如办公OA),PC上网前会先通过内网 WEB认证系统认证,客户希望部署AC后, 用户上网通过现有的web系统认证后自动通 过AC认证。
PC
OA
①
实现过程:AC监听PC和WEB认证系统之间 的认证交互过程 ,当PC通过WEB认证系统 认证时,自动通过AC认证上线
PPPOE单点登录配置示例
PPPOE单点登录多用于高校场景, 高校学生上网,多数采用拨号上 网,客户希望学生PPPOE拨号成 功后,即能自动通过AC认证可以 直接上网。需要注意,拨号服务 器需要部署在设备wan口方向, 如图
培训内容
单点登录介绍
单点登录实现方式
单点登录配置举例
培训目标
1. 了解单点登录功能的应用场景和概念 2. 掌握AC/SG设备支持的单点登录方式 1. 了解单点登录功能的几种实现方式
1. 掌握常见网络环境中web单点登录方式的部署和 配置
2. 掌握常见网络环境中数据库单点登录的部署和 配置
数据库单点登录配置举例--同步组织结构
如要同步组织结构,则在“用户自动同步”---新增一个“数据库同步”,填写可 以获取用户的sql语句和组路径分隔符,组路径分隔符是指客户的数据表中如果有 多个组,是以什么符号来分隔组和子组,如上述示例是以短横线分隔的:
点同击步"过测来试之有后效,性看"到,的可组以织列结出构可信以息获如取下的:信息:
的流量是PPPOE封堵,需要开启协议剥离才能识别 3、配置PPPOE单点登录
PPPOE单点登录配置示例
第一步:新建认证策略,认证方式为“不需要认证/单点登录”
PPPOE单点登录配置示例
2. 开启PPPOE协议剥离。
如果网络环境中由其 他协议的数据包封装 PPPOE的数据,则也 要开启其他协议的协 议剥离,如pppoe外层 再由vlan封装,则需
WEB单点登录: 适用场景:适用于内网有一套WEB认证系 统(如办公OA),PC上网前会先通过内网 WEB认证系统认证,客户希望部署AC后, 用户上网通过现有的web系统认证后自动通 过AC认证。
PC
OA
①
实现过程:AC监听PC和WEB认证系统之间 的认证交互过程 ,当PC通过WEB认证系统 认证时,自动通过AC认证上线
PPPOE单点登录配置示例
PPPOE单点登录多用于高校场景, 高校学生上网,多数采用拨号上 网,客户希望学生PPPOE拨号成 功后,即能自动通过AC认证可以 直接上网。需要注意,拨号服务 器需要部署在设备wan口方向, 如图
深信服SG上网行为管理简介共34页
– SSL VPN:08、09连续两年 中国市场占 有率第一(Forst&Sullivan)
– 上网行为管理:中国上网行为管理第一品 牌;亚太第二、中国第一 (Forst&Sullivan&IDC)
– 广域网加速产品:亚州第一个推出产品, 最完整,Internet环境下加速效果最好
为什么和深信服合作?
减少病毒/木马 改善Proxy代理
Si
创造更多价值
让网络更快速、安全、高效
SANGFOR SG优势
完整、专业的上网优化方案
SG:上网加速效果最好
SG:部署最智能
组织内部网络
WEB网站
用户区
OA
Email
服务器区
SANGFOR SG 网桥模式部署
下载网站 流媒体网站
SG:性能最强
深信服科技简介
开启上网加速、上网优化新时代
--深信服SG上网优化网关简介
内容概要
SANGFOR
上网优化的必要性 SANGFOR SG 简介 SANGFOR SG 优势 深深信信服服科公技司简简介介
上网优化的必要性
普及的互联网
• 互联网正改变着人们的生产和生活方式! • “更高、更快、更强”同样是网络的追求!
MAC IP头 TCP头 应用协议/内容
– 网络层的防火墙、应用层的管理网关等无缓存加速特性 – 通常只支持QoS等基本流控措施,未能实现带宽有效管理 – 往往缺乏上网安全保障措施,不属上网优化范畴
SG上网优化网关
• SG:开启一个全新的上网优化时代
– 无需扩容组织的上网带宽! – 内网用户无需调整任何配置! – 提升上网速度! – 改善网络安全环境,让网络更好的为业务服务!
– 上网行为管理:中国上网行为管理第一品 牌;亚太第二、中国第一 (Forst&Sullivan&IDC)
– 广域网加速产品:亚州第一个推出产品, 最完整,Internet环境下加速效果最好
为什么和深信服合作?
减少病毒/木马 改善Proxy代理
Si
创造更多价值
让网络更快速、安全、高效
SANGFOR SG优势
完整、专业的上网优化方案
SG:上网加速效果最好
SG:部署最智能
组织内部网络
WEB网站
用户区
OA
服务器区
SANGFOR SG 网桥模式部署
下载网站 流媒体网站
SG:性能最强
深信服科技简介
开启上网加速、上网优化新时代
--深信服SG上网优化网关简介
内容概要
SANGFOR
上网优化的必要性 SANGFOR SG 简介 SANGFOR SG 优势 深深信信服服科公技司简简介介
上网优化的必要性
普及的互联网
• 互联网正改变着人们的生产和生活方式! • “更高、更快、更强”同样是网络的追求!
MAC IP头 TCP头 应用协议/内容
– 网络层的防火墙、应用层的管理网关等无缓存加速特性 – 通常只支持QoS等基本流控措施,未能实现带宽有效管理 – 往往缺乏上网安全保障措施,不属上网优化范畴
SG上网优化网关
• SG:开启一个全新的上网优化时代
– 无需扩容组织的上网带宽! – 内网用户无需调整任何配置! – 提升上网速度! – 改善网络安全环境,让网络更好的为业务服务!
深信服上网行为管理-上网策略介绍
启用ssl内容识别后,打开https网站, 首先弹出证书告警对话框,如果要 数据中心记消录除下此来对用话户框s,up可po以rt从发设送备的下测载试证邮件 在测试P书C安上装下载到此PC证上书安安装
注意
1、SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网 SSL内容识别才生效。
3建立上网权限策略启用ssl内容识别并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别填写mailqqcom支持通配也可以写成qqcomweb加密内容识别后的动作可以审计关键字过滤客户端加密发送接收邮件识别如smtpspop3s默认识别加密客户端所有发送接收邮件如果有例外情况在这里排除服务器地址识别后的动作要以审计或邮件过滤
用户support位于渠道认证测试组,且已通过设备认证
2、需要先确认多功能序列号已激活SSL内容识别,默认是激活的。如下图。
3、建立上网权限策略启用SSL内容识别,并和用户support关联
https协议加密识别
默认识别加密客户端所有发送接收邮 w键件 务加e字b, 器密加过如 地客识网密滤果 址户别站内有端(容域加如例识名密s外别m在发后情t域p送的况s名/接动p,列o收作p在表邮,3这s件中可)里才以排审会除计识服,别关,
终端用户连接数如果超过限制,则异常(如网页打不开),不会给终端弹提示页面。
注意:连接数控制不区分具体应用,可能会导致打不开网页。所以实际场景中,建 议不要使用此功能,如有连接数控制需求的,建议使用流控,也能达到预期效果。
练练手
本章PPT在介绍SSL内容识别时,只介绍了web加密邮件审计,你结合本节 所学内容,尝试自己动手完成加密客户端发送邮件审计及加密客户端发送 邮件过滤实验。
注意
1、SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网 SSL内容识别才生效。
3建立上网权限策略启用ssl内容识别并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别填写mailqqcom支持通配也可以写成qqcomweb加密内容识别后的动作可以审计关键字过滤客户端加密发送接收邮件识别如smtpspop3s默认识别加密客户端所有发送接收邮件如果有例外情况在这里排除服务器地址识别后的动作要以审计或邮件过滤
用户support位于渠道认证测试组,且已通过设备认证
2、需要先确认多功能序列号已激活SSL内容识别,默认是激活的。如下图。
3、建立上网权限策略启用SSL内容识别,并和用户support关联
https协议加密识别
默认识别加密客户端所有发送接收邮 w键件 务加e字b, 器密加过如 地客识网密滤果 址户别站内有端(容域加如例识名密s外别m在发后情t域p送的况s名/接动p,列o收作p在表邮,3这s件中可)里才以排审会除计识服,别关,
终端用户连接数如果超过限制,则异常(如网页打不开),不会给终端弹提示页面。
注意:连接数控制不区分具体应用,可能会导致打不开网页。所以实际场景中,建 议不要使用此功能,如有连接数控制需求的,建议使用流控,也能达到预期效果。
练练手
本章PPT在介绍SSL内容识别时,只介绍了web加密邮件审计,你结合本节 所学内容,尝试自己动手完成加密客户端发送邮件审计及加密客户端发送 邮件过滤实验。
深信服上网行为管理-安装部署指南
多机部署配置
3. 按图如下拓扑接线上架
4.配置完成后,点击向其它设备同步配置,配置会同步至另一台设备。
多机部署注意事项
1、多机部署的设备,要求软件版本一致,硬件平台无要求。 2、多机部署的设备同时工作,没有主备之分 3、两台或两台以上的设备可以部署多机 4、多机配置无法实时同步,需要人为点击同步按钮 5、多机部署的设备通过网口同步配置
双机维护环境只有一台主设备处于正常 工作状态,另一台备设备处于监听状态。
适用环境:对网络稳定性要求较高的客 户环境。两台设备路由、网桥或旁路部 署时,都 支持双机,但通常情况双机 的两台设备多为路由模式。
常见网络环境中的双机部署方式
路由模式下的双机部署(常见方式):
连接方式: 两台SANGFOR AC/SG设备的 CONSOLE口通过双机心跳线相 连,设备的内外网口各自连接到 内外网的二层交换机或三层交换 机的同一个VLAN。
SANGFOR AC&SG
双机部署 多机部署 内网代理环境部署 TRUNK环境部署 网桥无可用桥地址环境部署
双机部署
双机部署环境
双机维护指两台设备通过心跳线连接, 实现热备份(保持心跳和配置同步)。 正常情况下,只有主设备工作,如果主 设备故障,则自动切换到备设备,备设 备接替换主设备工作。从而保证客户的 业务不受影响,网络不中断。
内网代理服务器环境部署
内网代理服务器环境部署应用场景
内网通过代理服务器上网,由于用户所 有数据是发往代理服务器的,目标IP是 代理服务器的IP,真实的上网数据通过 代理服务器封装后转发到公网。 在这样的网络环境下,如果要对上网用 户采用不同的上网策略,记录真实的访 问公网的数据,AC/SG的部署和其他网 络环境中的部署就有区别
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
控制台功能说明
2.4.2.2用户导入
『用户导入』用于把用户批量导入,它提供三种方式: 『CSV格式文件导入』:是通过一个CSV的文件导入用户,导入时可以同 时导入显示名、认证方式、绑定IP/MAC信息、密码等。 『扫描IP导入』:当导入 IP/MAC绑定的用户时,可 以通过[扫描IP导入]扫描 内网用户的MAC地址,方便 此类用户的导入。 『从外部LADP服务器上导入 用户』:用于将LDAP服务器 中的用户同步到设备中,支 持从MS Active Diretory服 务器上导入用户。
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【安全状态】主要用于显示设备检测到不的行为
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.2安全状态
『安全状态』主要用于显示设备检测到不安全的行为
分别有[病毒行为]、[DOS和ARP攻击]、[端口扫描]、[异常外发邮件(频繁外发 )]、[标准端口异常流量]、[协议异常]、[恶意脚本]、[拦截插件]、[恶意网 址]、[不受信任的ssl网站访问]、[组织外线路],会列出发生总数量,还有最 后发生的时间,和最后发生的用户/IP,以及最近发生的10条不安全日志及详 细事件信息。点击发生次数中的数值可以自动链接到数据中心,查看到对应的 详细日志。
控制台功能说明
2.4.1.1上网权限策略
『上网权限策略』包括应用控制、WEB过滤、SSL管理和邮件过滤。
控制台功能说明
2.4.1.2上网审计策略
『上网审计策略』包括应用审计、外发文件告警、流量与上网时长审计 和网页内容审计。
控制台功能说明
2.4.1.3上网权限策略
『上网安全策略』包括危险行为识别、Active X插件过滤、恶意网页过 滤和安全桌面。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控ห้องสมุดไป่ตู้台功能说明
2.4.2.3用户自动同步
用户自动同步可使用三种不同的同步方法:LDAP同步、 数据库同步、 H3C CAMS同步 要使用同步必须在『用户认证』→『外部认证服务器』增加所需要的同 步服务器。
返回
控制台功能说明
2.4.3用户认证
『用户认证』用于设置用户认证的相关设置,包括『认证策略』、『认 证选项』、『外部认证服务器』。所有计算机上网前,都必须经过用户 认证,以识别上网计算机的身份 『认证策略』决定了某个IP/网段/MAC地址上计算机的认证方式。通过 『认证策略』设置内网用户的认证方式,以及新用户添加的策略。。 有以下选项:1、不需要认证;2、密码认证(包括本地密码认证和外部 服务器认证);3、单点登录;4、DKEY 『认证选项设置』主要是用来设置设备上用户认证的相关配置信息,包 括『单点登录选项』、『认证通过跳转』、『认证冲突』、『跨三层 MAC识别』『其他认证选项』。 『外部认证服务器』用来设置第三方认证服务器的信息,设备支持定义 LDAP,RADIUS,POP3、数据库、H3C CAMS五种第三方认证服务器。
控制台功能说明
2.4.2.1.3新增用户
举例:在“/工程师”组设置一个用户:主管,此用户不需要认证,并 且将此用户和主管电脑的IP/MAC进行双向绑定,即只有主管的电脑才可 以使用此账号上网。主管电脑的IP/MAC是:192.168.1.117(00-1C-25AC-4C-44)。 步聚:
第一步:在『用户认证』→『认证策略』中 设置认证策略,设置此用户的IP或者MAC范 围,勾选认证方式为[不需要认证/单点登录]。
控制台功能说明
2.4用户与策略管理
『用户与策略管理』的作用是管理用户和上网策略。
用户与策略管理包括 【上网策略】 【用户管理】 【用户认证】
控制台功能说明
2.4.1上网策略
『上网策略』页面用于对进行管理,管理员可以根据内户的权限分配情 况设置不同的上网策略。 上网策略分六种类型,其中包括 『上网权限策略』 『上网审计策略』 『上网安全策略』 『终端提醒策略』 『流量配额与时长控制』 『准入策略』
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
控制台功能说明
2.4.2.1.1新建用户组
第一步:在【组织结构】中选择需要添加子组的用户组,右边进入管理页面,在【成员 管理】窗口中,点击新增按钮,然后选择新增类型[组] 第二步:进入【添加组】窗口。设置 [组名列表]即用户组的名称;设置 [描述]即用户组的描述信息。点击 [添加策略],可以添加该组策略。 第三步:点击[提交],完成子组添加
控制台功能说明
2.4.2.1.3新增用户
第二步:在【组织结构】中选择需要添加用户的用户组,右边进入管理页面,在【成员 管理】窗口中,点击新增按钮,然后选择新增类型[用户] 第三步:进入【添加用户】窗口。勾选[启用该用户],填写[登录名],[描述],[显示名 ]和[当前所属组]。
控制台功能说明
2.4.2.1.3新增用户
2.4.2.1.3新增用户
第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
返回
控制台功能说明
2.4.2用户管理
上网行为管理设备所管理的对象是终端的上网用户,因此用户是网络权 限分配的基本单元。管理员可以通过【组/用户】页面来对上网用户以 及上网权限进行统一管理。 用户管理包括 【组/用户】 【用户导入】 【用户自动同步】
控制台功能说明
2.4.2.1组/用户
『组/用户』页面可查看设备中已经存在的用户和组信息,在【组织结 构】中选择需要查看的用户组,右边的【组织成员及上网策略设置】页 面显示对应用户组的信息,包括:所属组、描述信息、组信息、上网策 略等信息。
【应用流速趋势叠加图】主要用于动态显示各个应用流速趋势叠加,不 同的应用用不同的颜色显示。
点击 可以在[选择流量单位]设置显示的流速单位,在[选择线路]选 择显示所有线路,线路1或者线路2等,在[流速类型]设置显示的是总流 速,上行或者下行。
控制台功能说明
2.2.1运行状态
【应用流量排名】用于显示前十名的应用排名情况,可以根据上下行流 量和总流量来排名,界面如下:选中上行则显示上行流量的百分比,选 中下行则显示下行流量的百分比。
控制台功能说明
2.2.3流量状态、上网行为监控
『流量状态』主要用于显示设备的在线用户的流量信息、各个应用的流 量信息、流量管理的通道状态信息和连接监控等信息。 『上网行为监控』主要用于查看最近产生的用户上网行为。
控制台功能说明
2.2.4在线用户管理、邮件延迟审计、DHCP运行 状态
『在线用户管理』主要用于管理已经通过设备认证的在线用户。 『邮件延迟审计』主要用于查看被延迟审计的邮件以及对其进行相关操 作,前提是『用户与策略管理』里有用户启用了邮件延迟审计的功能。 界面如下: 『DHCP运行状态』主要用于查看DHCP的分配情况,前提『DHCP』已经进 行了相关启用的配置,界面如下:
控制台功能说明
2.3对象定义
『对象定义』中定义的各种对象是设备做上网行为过滤、上网行为审计 和流量管理的基础,各种控制和审计都是基于对象来做的。
对象定义中包括: 『应用特征识别库』、『应用智能识别库』、『自定义应用』、『URL 分类库』、『准入规则库』、『网络服务』、『IP组』、『时间计划组 』、『黑白名单组』 、『关键字组』、『文件类型组』、『上网权限 策略』、『信任的证书颁发机构』
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
第四步:设置『用户属性』,勾选[绑定IP/MAC地址]用于将该用户和IP/MAC地址绑定。 点击[绑定方式],在弹出的页面中选择[用户和地址双向绑定] 勾选[绑定IP和MAC],在输入框中填入192.168.1.117(00-1C-25-AC-4C-44)。
[过期时间]用于设置该用户的过期时间。