《深信服上网行为管理配置详解ppt课件.ppt》由会员分享,可在线阅读,更多相关《深信服上网行为管理配置详解ppt课件.ppt(116页珍藏版)》请在三一办公上搜索。
1、深信服上网行为管理配置(AC v4.5),硬件安装控制台功能说明案例分析,硬件安装,1.1产品外观,设备出厂的默认IP见下表:,硬件安装,1.2单设备接线方式,用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网电脑连接,对AC设备进行配置。用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接入设备相连接,如路由器、光纤收发器或ADSL Modem等。多线路的AC设备可以支持多条Internet线路,此时将WAN2口与第二条Internet接入设备相连,WAN3口与第三条Internet线路相连,依此类推。,硬件安装,1.3双机备份接线方式,若采用 若采用 AC 双机
2、热备的工作方式,按以下接线,控制台功能说明,2.1WebUI 配置界面,AC 支持安全的HTTPS 登录,使用的是HTTPS 协议的标准端口登录。如果初始登录从LAN 口登录,那么登录的URL 为:https:/10.251.251.251首先为本机器配置一个10.251.251.X网段的IP(如配置10.251.251.100),然后在IE浏览器中输入网关的默认登陆IP及端口https:/10.251.251.251。出现一个证书告警框提示,点击是后出现登录界面。在登陆框输入用户名和密码,点击登录按钮即可登录AC设备进行配置,默认情况下的用户名和密码均为Admin。登录控制台不需要安装任何控
3、件,支持用非IE的浏览器登录控制台。,控制台功能说明,2.1WebUI 配置界面,登录界面如下图所示:,控制台功能说明,2.1WebUI 配置界面,如何消除登录控制台的证书告警框?首先,登录控制台,进入系统配置高级配置WebUI选项页面,点击下载证书,将证书下载到本地安装。,控制台功能说明,主界面,控制台功能说明,2.2实时状态,【实时状态】主要用于查看设备的基本状态信息,包括:运行状态安全状态流量状态上网行为监控在线用户管理邮件延迟审计DHCP运行状态,控制台功能说明,2.2.1运行状态,运行状态主要用于查看设备的资源信息,接口吞吐率折线图,应用流量排名,用户流量排名,应用流速趋势叠加图,接
4、口信息,安全状态和上网行为监控信息。,控制台功能说明,2.2.1运行状态,【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间和当天日志汇总等信息。点击 可以设置是否启用自动刷新以及自动刷新的时间。,控制台功能说明,【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网口发送和接收实时流量。 代表网口状态是已连接状态, 代表网口状态是未连接状态,点击 可以设置自动刷新的时间。,2.2.1运行状态,控制台功能说明,【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送和接收数据的情况。点击 可以设置选择时间
5、段来显示相应时间段接口转发数据的情况,在选择流量单位,2.2.1运行状态,控制台功能说明,【应用流速趋势叠加图】主要用于动态显示各个应用流速趋势叠加,不同的应用用不同的颜色显示。点击 可以在选择流量单位设置显示的流速单位,在选择线路选择显示所有线路,线路1或者线路2等,在流速类型设置显示的是总流速,上行或者下行。,2.2.1运行状态,控制台功能说明,【应用流量排名】用于显示前十名的应用排名情况,可以根据上下行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比,选中下行则显示下行流量的百分比。点击 可以设置自动刷新的时间。,2.2.1运行状态,控制台功能说明,【用户流量排名】用于显示前
6、十名的用户流量排名情况,可以根据上下行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比,选中下行则显示下行流量的百分比。点击 可以设置自动刷新的时间。,2.2.1运行状态,控制台功能说明,【上网行为监控】主要用于显示实时的用户上网行为。点击 可以设置自动刷新的时间。,2.2.1运行状态,控制台功能说明,【安全状态】主要用于显示设备检测到不的行为点击 可以设置自动刷新的时间。,2.2.1运行状态,控制台功能说明,安全状态主要用于显示设备检测到不安全的行为分别有病毒行为、DOS和ARP攻击、端口扫描、异常外发邮件(频繁外发)、标准端口异常流量、协议异常、恶意脚本、拦截插件、恶意网址、不
7、受信任的ssl网站访问、组织外线路,会列出发生总数量,还有最后发生的时间,和最后发生的用户/IP,以及最近发生的10条不安全日志及详细事件信息。点击发生次数中的数值可以自动链接到数据中心,查看到对应的详细日志。,2.2.2安全状态,控制台功能说明,流量状态主要用于显示设备的在线用户的流量信息、各个应用的流量信息、流量管理的通道状态信息和连接监控等信息。上网行为监控主要用于查看最近产生的用户上网行为。,2.2.3流量状态、上网行为监控,控制台功能说明,在线用户管理主要用于管理已经通过设备认证的在线用户。邮件延迟审计主要用于查看被延迟审计的邮件以及对其进行相关操作,前提是用户与策略管理里有用户启用
8、了邮件延迟审计的功能。界面如下:DHCP运行状态主要用于查看DHCP的分配情况,前提DHCP已经进行了相关启用的配置,界面如下:,2.2.4在线用户管理、邮件延迟审计、DHCP运行状态,控制台功能说明,对象定义中定义的各种对象是设备做上网行为过滤、上网行为审计和流量管理的基础,各种控制和审计都是基于对象来做的。对象定义中包括:应用特征识别库、应用智能识别库、自定义应用、URL分类库、准入规则库、网络服务、IP组、时间计划组、黑白名单组 、关键字组、文件类型组、上网权限策略、信任的证书颁发机构,2.3对象定义,控制台功能说明,用户与策略管理的作用是管理用户和上网策略。用户与策略管理包括【上网策略
9、】【用户管理】【用户认证】,2.4用户与策略管理,控制台功能说明,上网策略页面用于对进行管理,管理员可以根据内户的权限分配情况设置不同的上网策略。上网策略分六种类型,其中包括上网权限策略上网审计策略上网安全策略终端提醒策略流量配额与时长控制准入策略,2.4.1上网策略,控制台功能说明,上网权限策略包括应用控制、WEB过滤、SSL管理和邮件过滤。,2.4.1.1上网权限策略,控制台功能说明,上网审计策略包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。,2.4.1.2上网审计策略,控制台功能说明,上网安全策略包括危险行为识别、Active X插件过滤、恶意网页过滤和安全桌面。,2.4
10、.1.3上网权限策略,控制台功能说明,终端提醒策略包括上网时长提醒、上网流量提醒和公告页面。,2.4.1.4终端提醒策略,控制台功能说明,流量配额与时长控制包括流量配额、上网时长控制和并发连接数控制。,2.4.1.5流量配额与时长控制,控制台功能说明,准入策略包括准入策略、组织外线路检测和应用程序时长统计。,2.4.1.6准入策略,返回,控制台功能说明,上网行为管理设备所管理的对象是终端的上网用户,因此用户是网络权限分配的基本单元。管理员可以通过【组/用户】页面来对上网用户以及上网权限进行统一管理。用户管理包括【组/用户】【用户导入】【用户自动同步】,2.4.2用户管理,控制台功能说明,组/用
11、户页面可查看设备中已经存在的用户和组信息,在【组织结构】中选择需要查看的用户组,右边的【组织成员及上网策略设置】页面显示对应用户组的信息,包括:所属组、描述信息、组信息、上网策略等信息。,2.4.2.1组/用户,控制台功能说明,第一步:在【组织结构】中选择需要添加子组的用户组,右边进入管理页面,在【成员管理】窗口中,点击新增按钮,然后选择新增类型组 第二步:进入【添加组】窗口。设置组名列表即用户组的名称;设置描述即用户组的描述信息。点击添加策略,可以添加该组策略。第三步:点击提交,完成子组添加,2.4.2.1.1新建用户组,控制台功能说明,第一步:在【组织结构】中选择需要添加上网策略的用户组,
12、右边进入管理页面,在【策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。第二步:点击添加策略,在【添加策略】中选择需要关联的上网策略工程师上网策略,勾选递归应用于子组表示添加的策略同时也会关联给子组,不勾选则表示子组不会添加该策略。设置完成后点击确定。第三步:返回【策略列表】页面,查看用户组关联的。,2.4.2.1.2设置用户组的上网策略,控制台功能说明,举例:在“/工程师”组设置一个用户:主管,此用户不需要认证,并且将此用户和主管电脑的IP/MAC进行双向绑定,即只有主管的电脑才可以使用此账号上网。主管电脑的IP/MAC是:192.168.1.117(00-1C-25
13、-AC-4C-44)。步聚:第一步:在用户认证认证策略中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为不需要认证/单点登录。,2.4.2.1.3新增用户,控制台功能说明,第二步:在【组织结构】中选择需要添加用户的用户组,右边进入管理页面,在【成员管理】窗口中,点击新增按钮,然后选择新增类型用户第三步:进入【添加用户】窗口。勾选启用该用户,填写登录名,描述,显示名和当前所属组。,2.4.2.1.3新增用户,控制台功能说明,第四步:设置用户属性,勾选绑定IP/MAC地址用于将该用户和IP/MAC地址绑定。点击绑定方式,在弹出的页面中选择用户和地址双向绑定勾选绑定IP和MAC,在输入框
14、中填入192.168.1.117(00-1C-25-AC-4C-44)。过期时间用于设置该用户的过期时间。,2.4.2.1.3新增用户,控制台功能说明,第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在弹出的【添加策略】页面选择需要关联的策略。第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面,但客户端的现象是上不了网。,2.4.2.1.3新增用户,控制台功能说明,用户导入用于把用户批量导
15、入,它提供三种方式:CSV格式文件导入:是通过一个CSV的文件导入用户,导入时可以同时导入显示名、认证方式、绑定IP/MAC信息、密码等。扫描IP导入:当导入IP/MAC绑定的用户时,可以通过扫描IP导入扫描内网用户的MAC地址,方便此类用户的导入。从外部LADP服务器上导入用户:用于将LDAP服务器中的用户同步到设备中,支持从MS Active Diretory服务器上导入用户。,2.4.2.2用户导入,控制台功能说明,用户自动同步可使用三种不同的同步方法:LDAP同步、 数据库同步、 H3C CAMS同步要使用同步必须在用户认证外部认证服务器增加所需要的同步服务器。,2.4.2.3用户自动
16、同步,返回,控制台功能说明,用户认证用于设置用户认证的相关设置,包括认证策略、认证选项、外部认证服务器。所有计算机上网前,都必须经过用户认证,以识别上网计算机的身份认证策略决定了某个IP/网段/MAC地址上计算机的认证方式。通过认证策略设置内网用户的认证方式,以及新用户添加的策略。 有以下选项:1、不需要认证;2、密码认证(包括本地密码认证和外部服务器认证);3、单点登录;4、DKEY认证选项设置主要是用来设置设备上用户认证的相关配置信息,包括单点登录选项、认证通过跳转、认证冲突、跨三层MAC识别其他认证选项。外部认证服务器用来设置第三方认证服务器的信息,设备支持定义LDAP,RADIUS,P
17、OP3、数据库、H3C CAMS五种第三方认证服务器。,2.4.3用户认证,控制台功能说明,2.5流量管理,流量管理是通过建立流量管理通道对各种上网应用的流量大小进行控制。流量管理系统提供了带宽保证和带宽限制功能,通过带宽保证可以保证重要应用的访问带宽,通过带宽限制可以做到限制用户组/用户上下行总带宽、各种应用的带宽等。流量管理系统同时提供流量子通道的功能,可以根据需求建立流量子通道,对通道流量做更为细化的分配。【通道配置】【线路带宽配置】【虚拟线路配置】,控制台功能说明,2.5.1通道配置,控制台功能说明,2.5.1通道配置,【带宽通道设置】:用于设置生效线路、通道类型、限制或保证的带宽、单
18、个用户带宽等。生效线路用于选择通道适用的线路,也就是当数据走此条线路时才会匹配到此通道。带宽通道类型用于选择通道类型并定义带宽值,有保证通道和限制通道。启用限制单IP最大带宽用于限制匹配到此通道的单个IP占用的带宽值。用户间带宽分配策略用于设置匹配到此通道的用户,带宽怎样在用户间进行分配,默认选择的是平均分配,还可选择自由竞争 。高级选项设置勾选此项表示把每一个外网IP作为通道内的用户,使得通道的用户间公平分配带宽以及单用户最高带宽属性对外网IP有效。,控制台功能说明,2.5.1通道配置,【带宽使用范围】:用于设置哪些类型的数据会匹配到此通道,即通道的使用范围,此处设置的范围包括:应用类型、适
19、用对象、生效时间和目标IP组,这些条件需要全部满足才能匹配到此通道。适用应用用于设置应用类型,勾选所有应用表示针对所有类型的数据有效,勾选自定义选择特定的应用类型。适用对象用于设置此通道对哪些用户、用户组、IP生效,勾选所有用户表示对内网所有用户有效,勾选自定义用于指定特定的用户和用户组。生效时间用于设置此通道的生效时间。目标IP组用于设置目标IP条件。,控制台功能说明,2.5.2线路带宽配置,线路带宽配置用于配置公网线路的带宽值,设备根据配置的公网线路带宽值进行带宽分配。,控制台功能说明,2.5.3虚拟线路配置,设备在网桥模式下,无论前置设备上是否接了多条线路,或者设备做多网桥模式接了多个出
20、口,对于设备来讲经过设备的数据认为是一条线路的数据,设备的流控默认情况下是针对线路总和进行控制的,如果需要在网桥模式下对多条线路区分控制,需要借助虚拟线路现,控制台功能说明,2.6安全防护,【防DOS攻击】攻击功能既可以防止外网对内的 攻击功能既可以防止外网对内的攻击,也可以阻止内网的机器中毒或使用攻击工具发起DOS攻击。【防ARP欺骗】设备通过不接受有攻击特征的设备通过不接受有攻击特征的 ARP请求或回复来保护设备本身的请求或回复来保护设备本身的ARP缓存,实现自身的免疫。如果设备的访问控制用户有绑定IP/MAC,则设备会以绑定的IP/MAC信息为准。安装了准入客户端后,准入客户端会和设备通
21、讯,获取设备和网关的正确IP/MAC关系并静态绑定。【网关杀毒】网关杀毒主要用于对经过设备的数据进行病毒查杀,保护内网计算机的安全。设备能针对HTPP,FTP,POP3和SMTP这四种常用 协议进行查杀病毒。【无线热点发现】无线热点发现功能 能够帮助用户实现无线智能终端的管理,误国无线终端的接入,防范无线智能终端设备接入引起无线安全漏洞导致泄密。,控制台功能说明,2.7防火墙,过滤规则通过过滤规则的设置对设备各个接口之间的数据转发进行过滤,过滤的条件包括目标协议和端口、源IP、目标IP、时间等。NAT代理上网的主要作用是设置SNAT规则代理内网用户上网,也可以设置SNAT规则进行其他的源地址转
22、换。端口映射的主要作用是发布内网服务器到公网,通过设置DNAT规则进行目标地址转换。NAT代理上网、端口映射仅适用于设备做路由模式部署的情况下。,控制台功能说明,2.8网络配置,部署模式用于设置设备的工作模式,可把设备设定为路由模式、网桥模式或旁路模式。网口配置路由模式下,可以在这个界面配置网口的信息。多网桥模式下,可以在这个界面配置网桥信息。静态路由的作用是设置静态路由策略,当设备本身需要和不同网段的IP通信时,需要通过设置静态路由实现。策略路由主要用于设备做路由模式,并且外网口接多条外网线路时,根据源/目的IP、源/目的端口、协议等条件进行线路选择,以实现不同的数据走不同的外网线路的需求,
23、实现手动选路功能。高可用性包括多机同步和双机维护两个功能。DHCP是自动给内网电脑分配IP的服务,此服务只在设备做路由模式时可用。点网络协议扩展通过协议剥离功能,分析出特殊协议数据包的特点,并与内置特殊协议规则匹配。,控制台功能说明,2.9VPN配置,在DLAN运行状态页面可以查看当前的VPN连接和网络流量信息。页面如下:点击查找用户,输入用户名,可以快速找到当前用户的连接情况,页面如下:点击停止服务可暂时停止VPN服务。,控制台功能说明,2.9.1基本设置,基本设置用于设置VPN连接所需的Webagent信息、VPN数据的MTU值、最小压缩值、VPN监听端口、VPN连接模式、广播包和性能设置
24、,控制台功能说明,2.9.2用户管理,用户管理用于管理VPN接入账号信息,设置允许接入VPN的用户账号、密码,是否启用硬件捆绑鉴权或DKEY认证、是否启用虚拟IP、设置账号使用的加密算法、账号有效时间、账号的内网权限,对用户进行分组并设置组成员的公共属性等用户策略。,控制台功能说明,2.9.2.1新增用户选项,认证方式用于设置用户认证类型,可选本地认证(即硬件设备认证)、LDAP认证、Radius认证。启用硬件捆绑鉴权用于设置基于硬件特性的证书认证,启用后请选择对应此用户的证书文件(*.id)。启用DKEY用于设置是否对移动用户启用DKey认证,启用后请先将DKey插入计算机的USB接口再点击
25、生成DKEY。启用虚拟IP用于给移动用户分配虚拟IP。接入总部后禁止该用户上网 勾选该选项,则可以让移动用户在连通VPN后,只能访问服务端VPN内网,而不能访问互联网。启用多用户登录用于设置是否允许多用户同时共用该账号登录VPN。禁止在线修改密码用于设置移动用户是否能够在连上VPN后自行修改移动端登录密码,不勾选表示允许用户自行修改密码。权限设置用于设置用户接入VPN后的访问权限,即设置用户只能访问某些服务,默认不做限制。,控制台功能说明,2.9.3连接管理,为了实现多个网络节点的互联(组成“网状”网络),设备提供了对网络节点互联的自主管理和设置功能。可在连接管理中进行相关的设置。连接管理只有
26、此设备当分支使用需要连接其他总部设备时才需要启用,否则本端是总部设备情况下不需要启用连接管理。,控制台功能说明,2.9.4虚拟IP池,虚拟IP池是指由SANGFOR硬件设备指定设备内网中空闲的一段IP作为移动用户接入时的虚拟IP。当移动用户接入后,分配一个虚拟IP给移动用户,移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。例如使用虚拟IP的移动用户入后,可以访问总部局域网内的任何一台计算机,即使该计算机没有把网关指向总部SANGFOR网关。可以为接入的移动用户指定DNS等网络属性。,控制台功能说明,2.9.5多线路设置,在使用多条WAN口线路时,必须设置多线路设
27、置,这里可以对线路的信息进行增删和修改,以及修改多线路的选择策略。,控制台功能说明,2.9.6多线路选路策略,SANGFOR VPN网关提供了功能强大的VPN多线路选路策略,可基于多条线路的连接状况,动态的在多条线路中选择最优线路进行传输,并且可以设置多条线路同时进行传输,既能保证数据始终在连接状态较好的线路上传输,保证数据的传输质量,又能保证数据在多条链路同时传输,提高了线路的利用率。,控制台功能说明,2.9.7本地子网列表,本地子网列表用于硬件设备的内网有多个子网的情况下,VPN接入用户需要与总部内网的其它子网互访。,控制台功能说明,2.9.8隧道间路由,SANGFOR设备提供了强大的VP
28、N隧道间路由功能,通过设置隧道间路由,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。,控制台功能说明,2.9.9第三方对接,SANGFOR设备提供了与第三方VPN设备互联的功能,能与第三方的VPN设备建立标准IPSec VPN连接。,控制台功能说明,2.9.10通用设置,通用设置包含时间计划设置和算法列表设置两个子模块。时间计划设置用于定义常用的时间段组合,这些时间组合可在用户管理、内网权限中使用,该时间以设备上当前时间为准。 算法列表设置提供了对设备支持的数据加密算法进行查看和添加的功能,加密算法会在硬件设备所构建的VPN网络中对传输的所有数据进行加密,以保障数据的
29、安全性。,控制台功能说明,2.9.11高级设置,高级设置包括内网服务设置、VPN接口设置、 组播服务 、LDAP服务器设置和Radius服务器设置。,控制台功能说明,2.10系统配置,序列号管理员账号系统时间自动升级告警选项全局排除地址配置备份与恢复终端提示页面定制数据中心配置高级配置,控制台功能说明,2.10.1序列号,序列号设置包括:设备序列号、多功能项序列号、跨运营商序列号、网关杀毒授权序列号、应用识别&URL库升级序列号、软件升级序列号和安全桌面。点击修改序列号,填入序列号,即可激活相应功能的授权。,控制台功能说明,2.10.2管理员账号,管理员账户用来设置能够通过控制台管设备的登录用
30、户。,控制台功能说明,2.10.3系统时间,系统时间用于设定SANGFOR 设备的系统时间。可以直接在界面上修改时间,也可以选择与时间服务器进行时间的同步。,控制台功能说明,2.10.4自动升级,自动升级用于对设备的网关补丁和内置库(病毒库、URL库、智能识别URL库、应用识别库、准入规则库、恶意网址库、审计规则库)进行升级管理。,控制台功能说明,2.10.5告警选项,告警选项用于设置当设备检测到有攻击、发现病毒、有泄密文件、有需要延迟审计的邮件、发现危险行为、磁盘剩余空间不足或设备流量超过阀值时以邮件的方式通知管理员进行告警。,控制台功能说明,2.10.6全局排除地址,全局排除地址:当内网用
31、户IP或访问的目标服务器的IP属于全局排除地址列表中的IP时,内网用户上网或访问目标服务器,不受任何监控和控制,直接放行。排除地址支持填写域名。,控制台功能说明,2.10.7配置备份与恢复,配置备份与恢复用于将设备已有的配置下载保存,或者是将已备份的配置文件恢复到设备中。,控制台功能说明,2.10.8终端提示页面定制,终端提示页面定制用于对设备重定向到终端的页面进行自定义,可以定义的页面包括:认证结果页面、禁止访问页面、发现病毒页面、上网超时页面、网络准入客户端页面、修改密码页面、公告页面、Web认证页面、上网时长提醒页面、上网流量提醒页面、日流量配额页面、月流量配额页面、用户冻结提示页面、强
32、制单点登陆提示页面、防共享上网提示页面和无线热点拒绝提示页面。,控制台功能说明,2.10.9数据中心配置,数据中心配置用于设置同步日志的外置数据中心服务器IP、同步账号、同步密码、外置数据中心WEB服务端口信息,以及设置是否需要系统自动删除已记录的访问控制日志,,控制台功能说明,2.10.10高级配置,高级配置用于设置设备的一些其它系统配置,包括WebUI选项日志记录URL过滤代理服务器设置远程维护外部Syslog设置准入故障排除邮件延迟审计选项上网时长排除应用列表加入集中管理设置设备名称设置证书生成,控制台功能说明,2.10.10高级配置,WebUI选项下可以设定默认编码、全局流速单位、HT
33、TPS登录端口、控制超时、控制台SSL证书颁发给、点击下载证书,控制台功能说明,2.10.10高级配置,日志记录用于设置设备审计访问网站日志和准入IM传文件内容记录的详细程度。它包括日志记录、URL审计过滤规则和准入IM传文件内容记录。,控制台功能说明,2.10.10高级配置,URL过滤用于设置设备在进行URL过滤权限控制策略的匹配时,是否禁止直接以IP地址访问网站或者是否自动放行网页中包含的外部域名资源。,控制台功能说明,2.10.10高级配置,对于通过设置代理的方式上网的情况,因为用户所有数据是发往代理服务器的,而防火墙等模块是通过检测目的地址和端口来判断是否要拒绝该连接,所以很多功能会失
34、效。因此要使防火墙等模块有效,必须能正确识别出发往代理服务器的数据其真实要连接的目的地址和端口,供防火墙等模块使用该地址和端口。,控制台功能说明,2.10.10高级配置,远程维护用于设置是否允许从外网口远程登录设备,以及自动上报未识别URL、系统错误和未知应用信息。,控制台功能说明,2.10.10高级配置,外部Syslog设置用于将设备上的调试日志、信息日志、告警日志和错误日志同步到syslog服务器上。,控制台功能说明,2.10.10高级配置,准入故障排除用于设置对于不支持运行准入插件和安全桌面插件的计算机和移动终端,是否允许其上网。,控制台功能说明,2.10.10高级配置,邮件延迟审计选项
35、用于邮件审计策略的定义,包括审计超时动作和发送尝试限制。,控制台功能说明,2.10.10高级配置,上网时长排除应用列表用于设置在进行上网时长统计和上网时长控制时,排除某些应用不进行上网时长统计和上网时长控制。上网时长排除应用列表由内置列表和自定义列表两部分组成。,控制台功能说明,2.10.10高级配置,加入集中管理用于设置AC设备是否加入集中管理进行受控,加入集中管理后中心端管理员可以对该设备下发策略,并且受控端的权限也可以由中心端下发。例如可以不允许受控端修改流量管理界面。,控制台功能说明,2.10.10高级配置,设备名称设置用于设置设备的名称,主要作用是当有多台设备加入中心端时,可以通过设
36、备名称区分受控端设备,或者是当有多台设备使用同一账号同步数据到外置数据中心时,用于区分同步数据的设备。,控制台功能说明,2.10.10高级配置,证书生成是加入集中管理中心端的时候使用。硬件证书用于唯一识别本机器,加入中心端时为了防止其它机器与本机共用一个帐户,可以在这里生成硬件证书,并导入到集中管理中心端设备的帐户中。,控制台功能说明,2.11系统诊断,系统日志用于查看设备各模块运行状态日志,可通过日志判断设备各模块是否正常。抓包工具用于对经过设备的数据包进行抓取,以便快速定位问题,可以作为排错的辅助工具。命令控制台提供一个简单的控制台命令行,可用于对设备的一些简单信息进行查看,支持的命令包括
37、:arp(查看arp表)、mii-tool(列出网口的连接情况)、ifconfig(查看网口信息)、ping(测试主机地址连通)、telnet(测试端口连通性)、ethtool(查看网卡信息)、route(显示路由表)和traceroute(跟踪数据包转发路径),在命令行页面直接输入命令回车即可。上网故障排除用于查询一个数据包在通过设备时是被哪个模块拒绝,是什么原因被拒绝,以便快速定位配置错误,也可用来测试一些规则是否生效,点击设置并开启,出现【设置开启条件】界面,可设置各种过滤条件,包括拦截日志过滤条件和同时开启数据直通。重启操作页面提供重启网关和重启服务两个功能按钮。,案例分析,3.1背景
38、和要求,背景:某客户网络结构如下图,公网出口线路带宽10M,内网上网用户在500人左右。由于带宽本身不足,加上上班时间经常有人下载,看电影等导致全网打开网页也十分慢,员工上班效率很低。要求:1)尽量不改动原有的网络环境。2)要求实现IP/MAC地址的一一绑定。3)员工上班时间不允许P2P下载和观看在线流媒体,全天不允许访问非法及不良网站,对员工发邮件,论坛发帖,发微博及QQ聊天内容做审计。4)领导组不做控制和审计,开启恶意网页过滤来保证上网的安全。5)对HTTP应用做带宽保证,至少分配60%的带宽;上班时间对P2P,下载工具,在线流媒体应用带宽限制在20%以内。,案例分析,3.2思路分析,1)
39、根据客户的需求,将AC设备网桥模式部署在核心交换和防火墙之间。网桥模式配置:网桥模式,网桥IP,系统路由。2)用户组设置:根据客户的管理要求,将用户分为普通员工组和领导组。3)认证策略配置:新建两条认证策略,领导组绑定IP/MAC,自动加入到领导组;普通员工绑定IP/MAC,自动加入到普通员工组。4)普通员工组上网策略设置:新建上网权限策略,通过应用控制上班时间封堵P2P和在线流媒体;通过WEB过滤封堵非法及不良网站。新建上网审计策略,通过应用审计,审计所有HTTP外发内容和邮件内容。新建准入策略,添加IM聊天内容审计。5)领导组上网策略设置:新建上网安全策略,开启恶意网页过滤。6)流量管理策
40、略设置:新建保证通道,对HTTP应用分配60%-100%的通道带宽;新建限制通道,对P2P,下载工具和在线流媒体应用上班时间分配最高20%的带宽。,案例分析,3.3解决步骤,第一步,通过交叉线连接电脑与设备的ETH0(LAN)口,电脑配置10.251.251.X/24地址,使用https:/10.251.251.251 登录AC设备控制台。第二步,网桥模式设置,分配防火墙与三层交换机直连网段的地址10.10.10.3/29 给AC设备的网桥IP。通过网络配置部署模式进入配置界面,点击开始配置,选择网桥模式点击下一步,案例分析,3.3解决步骤,此处选择多网桥或者网桥多网口均可。点击下一步,案例分
41、析,3.3解决步骤,选择网桥的网口。此处采用ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。点击下一步,案例分析,3.3解决步骤,设置AC设备的网桥IP,网关和DNS地址,点击下一步,案例分析,3.3解决步骤,点击下一步,设置DMZ管理口的IP地址,可保持默认配置,案例分析,3.3解决步骤,点击下一步,设置DMZ管理口的IP地址,可保持默认配置,案例分析,3.3解决步骤,点击下一步,确认和提交配置,案例分析,3.3解决步骤,第三步:用户组设置,新增普通员工组和领导组,通过用户与策略管理用户管理组/用户进入配置界面,案例分析,3.3解决步骤,添加组,组名与组
42、名之间通过英文逗号隔开,可实现同时添加多个用户组,点击提交,保存和生效配置。,案例分析,3.3解决步骤,第四步:认证策略设置,新增普通员工组用户认证策略和领导组认证策略,通过用户与策略管理用户认证认证策略进入配置页面,点击新增,设置普通用户组和领导组认证策略,案例分析,3.3解决步骤,第五步:跨三层MAC识别设置,本案例中,AC设备与内网用户之间通过三层交换机转发数据,需要开启跨三层MAC识别,才能在AC设备上绑定用户正确的IP/MAC地址。通过用户与策略管理用户认证认证选项跨三层MAC识别进入配置。勾选启用SNMP设置,添加服务器,点击提交,保存和生效配置。,案例分析,3.3解决步骤,第六步
43、:普通用户组上网权限设置,通过用户与策略管理上网策略进入配置页面,点击新增,选择上网权限策略,在应用控制里勾选应用控制设置上班时间封堵P2P和在线流媒体应用,案例分析,3.3解决步骤,在WEB过滤里勾选HTTP URL过滤,全天拒绝非法及不良网站,案例分析,3.3解决步骤,HTTPS URL过滤中,勾选复用HTTP浏览网页过滤设置,拒绝HTTPS方式的非法及不良网站访问。,案例分析,3.3解决步骤,【适用组和用户】中,选择“普通用户组”,点击提交,保存和生效配置。,案例分析,3.3解决步骤,普通用户组上网审计策略设置:新增上网审计策略,勾选应用审计,添加审计的对象,点击确定,提交配置。,案例分
44、析,3.3解决步骤,【适用组和用户】中,选择“普通用户组”,点击提交,保存和生效配置。,案例分析,3.3解决步骤,普通用户组上网审计策略设置:新增上网审计策略,勾选应用审计,添加审计的对象,点击确定,提交配置。,案例分析,3.3解决步骤,普通用户组准入策略设置:新增准入策略,勾选准入策略,添加IM聊天内容监控,案例分析,3.3解决步骤,【适用组和用户】中,选择“普通用户组”,点击提交,保存和生效配置。,案例分析,3.3解决步骤,第七步:领导组上网安全策略设置:选择恶意网页过滤,勾选启用恶意网址库过滤和启用恶意脚本过滤 :,案例分析,3.3解决步骤,【适用组和用户】中,选择“领导组”,点击提交,
45、保存和生效配置。,案例分析,3.3解决步骤,第八步:流量管理策略设置,首先设置线路带宽,通过流量管理线路带宽配置,点击线路1,设置线路上下行带宽,10Mbps=1280KB/s,点击提交,保存和生效配置。,案例分析,3.3解决步骤,其次,再设置流量管理通道,通过流量管理通道配置进入配置界面,勾选启用流量管理系统,点击新增通道,选择新增一级通道,设置HTTP应用的保证通道,点击确定,保存和生效配置。,案例分析,3.3解决步骤,点击新增通道,选择新增一级通道,设置P2P,下载工具和在线流媒体应用的限制通道,点击确定,保存和生效配置。,案例分析,3.3解决步骤,第九步:AC设备上架。将AC设备的ETH0(LAN)口连接三层交换机,ETH2(WAN)口连接防火墙内网口。,THE END,谢谢!,