10 元
下载资源

上网行为管理培训

上传人:沈*** 文档编号:242498603 上传时间:2024-08-25 格式:PPTX 页数:67 大小:7.45MB
返回 下载 相关 举报
上网行为管理培训_第1页
第1页 / 共67页
上网行为管理培训_第2页
第2页 / 共67页
上网行为管理培训_第3页
第3页 / 共67页
点击查看更多>>
资源描述
,上网行为管理设备部署培训,部署模式介绍,深信服公司简介,典型部署模式与配置,其它功能介绍,SANGFOR,访问控制,SANGFOR AC部署模式介绍,部署模式_简介,1、部署模式是指设备以什么样的工作模式部署到客户网络中去,不同的部署方式对客户的网络影响各有不同,具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署模式对客户原有网络的影响各有不同。,2、AC支持路由、网桥、旁路三种工作模式。,SANGFOR AC部署模式介绍,路由模式_简介,1、路由模式时AC的工作层次基本与路由器相当,具备基本的路由转发及NAT功能,一般在客户原有网络环境中添加部署AC设备时不采用这种模式,因为这种部署模式需要对客户的网络环境作较大的改动。,2、一般此种部署模式是客户想用AC替换原有部署的防火墙或者是路由器,或者是客户在规划新网络建设时将AC部署为路由模式。,3、路由模式下支持AC所有的功能模式。,4、一般客户如果需要作NAT、VPN、DHCP等功能时,AC必须是路由模式,其它工作模式不支持实现这些功能。,SANGFOR AC部署模式介绍,网桥模式_简介,1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原有的网络设备配置。,2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP等功能,除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。,3、网桥模式部署AC时,对客户原有网络是透明的,因此当网络因为AC的原因而中断时可以马上绕开AC,即可恢复客户原有的网络。,SANGFOR AC部署模式介绍,网桥模式_3种类型,1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单出口防火墙(路由器)的情况下。,2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。,3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成单个网桥。,SANGFOR AC部署模式介绍,旁路模式_简介,1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机也不影响客户网络。,2、旁路模式AC只支持审计和基于TCP应用的控制功能,无法对任何基于UDP协议的应用作任何的控制。,3、旁路模式一般AC使用一个监听口单接部署在核心交换机或者是核心出口路由器上,需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。,部署模式介绍,深信服公司简介,典型部署模式与配置,其它功能介绍,SANGFOR,访问控制,路由,模式,旁路模式,网桥模式,典型部署模式与配置,典型部署模式与配置,路由模式_部署指导,1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应首先考虑网桥模式部署。,2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划,客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。,3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替换掉原有出口的防火墙或者路由器。,典型部署模式与配置,典型部署模式与配置,路由模式配置思路,1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;,2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机;,典型部署模式与配置,路由模式配置截图,典型部署模式与配置,网桥模式_部署指导,1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。,2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。典型的网络环境和部署方式:,客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥;,客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥;,客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;,典型部署模式与配置,典型部署模式与配置,网桥模式配置思路,1、网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口(DMZ)进行管理。,2、典型的前端防火墙和下面的核心交换机之间的链路配置了点到点的IP地址段,则AC串接进去后也无可用主机IP地址分配,因此这种情况下AC只能配置管理口(DMZ)进行管理。,典型部署模式与配置,网桥模式配置截图,典型部署模式与配置,旁路模式_部署指导,1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;,2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;,3、管理时采用管理口(DMZ)配置IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置的。,典型部署模式与配置,典型部署模式与配置,旁路模式部署配置思路,1、一般AC旁路接在核心交换机的镜像口上,核心交换机需要将上下行流量镜像到AC过来。,2、旁路模式部署时必须配置管理口IP地址进行管理,可以分配内网任意网段空闲IP地址进行管理,监听口可以接任意网口(除了配置为管理口接口之外),可以同时接多个进行监听。,3、需要确认内网所有需要进行审计的内网网段(监控网段),需要确认内网是否有服务器提供访问时需要也进行记录。,4、管理口不仅用于管理,还用于包括和外置数据中心同步、作TCP控制时发reset包使用。,部署模式介绍,深信服公司简介,典型部署模式与配置,其它功能介绍,SANGFOR AC,访问控制,三、访问控制,1,、组织结构管理,2,、上网策略管理,3,、流量管理,3.1,、,AC,组织结构管理,-,概念,组织结构:管理用户、设置分组和关联策略,组织,用户:,用户组,一般情况下,每个用户都必须有个所属组,子组,父组,root,根组,上网策略,一级组,二级组,用户,用户组,关联,三、访问控制,3.1,、,AC,组织结构管理,-,新建用户组,以,“,财务部,”,为例,财务部为一级组,下属有,“,回款部,”,和,“,统计部,”,两个子部门,可以同时建立多个子组,显示所属组路径,即父组路径,同时也是,AC,中组的表达方式。,三、访问控制,3.1,、,AC,组织结构管理,-,新增子组,建好,“,财务部,”,组后,建立其子组:,“,回款部,”,和,“,统计部,”,三、访问控制,3.1,、,AC,组织结构管理,-,新增用户,可以同时新增多个用户,但只能编辑公共属性,用于在用户在线列表等地方显示,三、访问控制,3.1,、,AC,组织结构管理,-,移动对象,对已经设置好的用户或者组,可以进行移动,移动在组织结构中的位置。,三、访问控制,3.1,、,AC,组织结构管理,查询对象,在,“,组成员列表,”,中进行查询,查询当前组包含的所有用户和子组。,可以查询当前组以及其子组的成员列表。,三、访问控制,3.2,、上网策略管理,概念,访问控制:对,内网用户,访问,外网,的数据进行控制。,通过什么实现:,上网策略对象,怎样进行控制:,用户组或用户关联相关策略,三、访问控制,策略对象:用于设置详细的上网策略。,包括:上网权限、网页过滤、邮件过滤、应用审计、流量统计与上网计时、准入系统。,一条策略中包含这六种控制方式,通过勾选,使此方式生效并进行设置。,接下来的章节将对这六种控制方式进行详细讲解,策略名称,策略描述,掌握:能做到什么?控制的原理?设置步骤?,3.2,、上网策略管理,-,策略对象设置,3.2.1,、上网权限,a,、应用服务控制:,对数据包的协议和特征字段等进行分析,判断数据类型。,b,、网络服务控制:,对数据包的,IP,和端口进行分析控制,相当于传统防火墙。,c,、高级配置:,控制使用代理等数据。,3.2,、上网策略管理,-,策略对象设置,3.2.1,、上网权限,a,、应用服务控制:,根据分析数据包特征字段,获取应用类型,内置大量规则,由研发根据目前常见应用分析出来的,并会进行实时更新。,选择应用类型,对应用类型下的子类进行选择,细分子类应用类型,应用类型,应用名称,规则名称,策略匹配顺序:由上至下,当涉及相同的规则时,注意将较细的规则放在前面。,策略叠加时,缺省动作以此条为准,还是继续往下匹配,如果以此条为准,则执行缺省动作,下面策略中的应用服务控制不再匹配到了,3.2,、上网策略管理,-,策略对象设置,3.2.1,、上网权限,b,、网络服务控制:,根据目标,IP,、端口和时间来控制上网数据。,功能和前面类似,不再赘述。,功能和前面类似,不再赘述。,3.2,、上网策略管理,-,策略对象设置,3.2.1,、上网权限,c,、高级配置:,检测代理数据,控制是否可以使用代理上网,识别某些使用,http,和,SSL,标准端口的非标准协议,例如,QQ,等。,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,a,、,URL,过滤:,对访问网页的,URL,进行过滤,内置研发收集的,URL,库,并可以进行定时更新。,b,、关键字过滤:,拒绝某些在搜索引擎或通过,http,协议上传的关键字。,c,、文件类型过滤:,拒绝通过,http,或,FTP,下载和上传的文件类型。,d,、,SSL,控制:,通过证书控制,保证访问,SSL,协议的安全性。,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,a,、,URL,过滤:,根据访问网页的,URL,进行过滤,策略叠加时,缺省动作以此条为准,还是继续往下匹配,如果以此条为准,则执行缺省动作,下面策略中的,URL,控制不再匹配到了,URL,组,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,a,、,URL,过滤:,URL,组设置(自定义,URL,组过滤),内置,URL,由研发收集并提供网上定时更新,内置,URL,无法编辑,导出等操作,用户根据自身情况自定义,URL,组,查询内置和外置,url,,不支持模糊查询,支持一级通配符,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,b,、关键字过滤:,搜索引擎:对知名搜索引擎上搜索关键字进行控制,HTTP,上传:对通过,HTTP,协议上传的其他关键字进行控制,包括发贴、,webmail,等。,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,b,、关键字过滤:关键字组设置,关键字:一行一个,不支持通配符和权重等。,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,c,、文件类型过滤:,过滤通过,HTTP,协议上传和下载的文件类型,勾选是否同时适用于,FTP,传输的文件类型,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,c,、文件类型过滤:,文件类型组设置,根据文件后缀名进行控制,3.2,、上网策略管理,-,策略对象设置,3.2.2,、网页过滤,d,、,SSL,控制,SSL,证书的颁发机构,受信任的根证书,应用于证书链控制,导入受信任的根证书,3.2,、上网策略管理,-,策略对象设置,3.2.3,、邮件过滤,邮件过滤用于过滤使用,SMTP,和,POP3,协议收发的邮件,对,webmail,无效。,发邮件,收邮件,3.2,、上网策略管理,-,策略对象设置,3.2.3,、邮件过滤,邮件延迟审计:,设置策略,将匹配条件的邮件,延迟发送,,AC,通知管理员查看审核此邮件,由管理员决定是否将此邮件发出,还是删除不发送。,3.2,、上网策略管理,-,策略对象设置,3.2.3,、邮件过滤,邮件延迟审计:设置延迟审计策略,查看未审计和已审计的邮件。,管理员在此处审计延迟发送的邮件,3.2,、上网策略管理,-,策略对象设置,3.2.4,、应用审计,应用审计:用于记录用户的上网行为,勾选相关选项即可实现某项日志的记录。记录的日志可在数据中心中进行查询。,3.2,、上网策略管理,-,策略对象设置,3.2.5,、流量统计与上网计时,用于设置统计流量和上网时长,并对单个用户的上网时间和连接数进行控制。,设置是否统计用户各种应用的流量和上网时长,控制单个用户的上网时间,以有流量就计时,注:在线不一定有流量,根据时间段进行控制,设置上网时间和排除端口,连接数:检测实时连接数进行控制,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,通过在用户终端安装准入控件,从而监控到用户,PC,上的相关信息,并进行控制管理,可以对操作系统类型、进程、文件等进行检测,并且实现对加密聊天软件的内容监控。,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,准入规则:包含内置和自定义两种规则,内置规则主要是监控,IM,聊天内容的软件,由研发设置并定期更新,内置规则不允许编辑和删除。,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,操作系统控制:检测客户端电脑的操作系统,包括是否打过补丁,对违反规则的客户可,“,禁止用户上网,”,或,“,提交报告,”,。,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,进程控制:检测客户端进程信息,违反规则的客户采取,“,禁止用户上网,”,、,“,停止,启用进程,”,或,“,提交报告,”,。,进程名称,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,文件控制:检测客户端文件信息,违反规则的客户采取,“,禁止用户上网,”,、,“,删除文件,”,或,“,提交报告,”,等操作。,填写文件完整路径,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,注册表控制:用于检测终端注册表的信息,违反规则的客户采取,“,禁止用户上网,”,、,“,添加,删除该项,”,或,“,提交报告,”,操作。,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,其他:禁止用,Admin,身份登录系统,,跨三层绑定,IP/MAC,。,3.2,、上网策略管理,-,策略对象设置,3.2.6,、准入系统,准入客户端:用户关联准入策略后,用户在第一次经过,AC,上网时,,AC,会重定向页面自动安装准入客户端。,3.2,、上网策略管理,-,策略对象设置,3.2,、上网策略管理,策略对象关联,用户组关联策略:,选择预先已经设置好的策略对象,勾选此项后,完全继承父组的策略,本组无法编辑策略。,注意“强制子组继承”和“使用父组策略”,用户关联策略:用户默认情况下是勾选,“,使用父组策略,”,的,也可以取消勾选,单独设置策略。设置方法和用户组相同。,3.2,、上网策略管理,策略对象关联,策略匹配依照由上之下的顺序,逐个模块匹配,其他选项以第一条生效的策略为准。,3.2,、上网策略管理,策略匹配顺序,生成策略报告,:可以列出所选用户组使用的策略设置,并且会列出各个设置的详细信息。此报告可以以网页的形式保存下来,。,3.2,、上网策略管理,生成策略报告,流量管理系统用于对内网访问公网的流量进行控制或保障,可以细化到针对用户组和用进行控制,控制类型包括:应用类型、文件类型和网站类型。,3.3,、流量管理,三、访问控制,3.3.1,、配置正确的线路带宽信息:,一定要和实际带宽符合,因为带宽分配以此为基数。,首先要准确配置,AC,串接网络的实际带宽(注意单位是,bit,,即与运营商分配带宽的单位一致),3.3,、流量管理,3.3.2,、配置管理策略,通道名称,选择此通道适用的服务,选择此通道是做带宽限制还是带宽保证的,限制通道:设置组的最大上行、下行带宽,限制通道:设置用户组中单个用户的最大上行、下行带宽,选择时间、生效线路、目标,IP,等条件。,选择通道优先级,即优先级高的优先占用空闲带宽。,设置保证带宽值和最大带宽值,保证通道:设置用户组中单个用户的最大上行、下行带宽,选择此通道适用的用户或用户组,3.3,、流量管理,3.3.3,、流量状态,查看各通道的流量状态:,3.3,、流量管理,SANGFOR AC,部署模式介绍,深信服公司简介,典型部署模式与配置,其它功能介绍,SANGFOR AC,访问控制,防DOS攻击功能简介及配置,防DOS攻击功能介绍,1、防DOS攻击是设备对于DOS攻击的防护作用,通过设备能够阻止此类攻击,不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。,2、DOS攻击常见类型有:单个主机IP对某个目标IP发起大量的TCP连接握手、单个IP对某个目标IP发送大量的小包。,3、防DOS攻击配置建议:建议如果客户对安全方面有要求的话可以启用,但需要谨慎配置;如果客户网络中已有安全防护设备,并且客户不关注设备此功能,则不建议在设备上配置该功能。,防DOS攻击功能简介及配置,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!