收藏
下载资源

深信服-功能描述

上传人:资****亨 文档编号:144274097 上传时间:2020-09-07 格式:PPT 页数:73 大小:6.76MB
返回 下载 相关 举报
深信服-功能描述_第1页
第1页 / 共73页
深信服-功能描述_第2页
第2页 / 共73页
深信服-功能描述_第3页
第3页 / 共73页
深信服-功能描述_第4页
第4页 / 共73页
深信服-功能描述_第5页
第5页 / 共73页
点击查看更多>>
资源描述

《深信服-功能描述》由会员分享,可在线阅读,更多相关《深信服-功能描述(73页珍藏版)》请在金锄头文库上搜索。

1、SANGFOR AC 基本功能培训,SANGFOR AC培训大纲 一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统,一、设备部署模式,SANGFOR AC部署模式介绍,部署模式_简介 1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署模式对客户原有网络的影响各有不同。 2、AC支持路由、网桥、旁路三种工作模式。,SANGFOR AC部署模式介绍,路由模式_简介 1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加AC设备时不建议采用这

2、种模式,因为这种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式部署,其它工作模式不支持实现这些功能。,SANGFOR AC部署模式介绍,网桥模式_简介 1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能,除此之外AC的其它功能如URL过滤、流

3、控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass功能的说法。,SANGFOR AC部署模式介绍,网桥模式_3种类型 1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单出口防火墙(路由器)的情况下。 2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙或者路由器)和内网的主交换机存在多个核心链路之

4、间。常见于客户原有的网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。 3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成单对网桥。,SANGFOR AC部署模式介绍,旁路模式_简介 1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器

5、上,需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。,路由 模式,网桥模式,典型部署模式与配置,典型部署模式与配置,路由模式_部署指导 1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应首先考虑网桥模式部署。 2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划,客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。 3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替换掉原有出口的防火墙或者路由器。,典型部

6、署模式与配置,典型部署模式与配置,路由模式配置思路 1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机;,典型部署模式与配置,路由模式配置截图,典型部署模式与配置,网桥模式_部署指导 1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。 2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。典

7、型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;,典型部署模式与配置,典型部署模式与配置,网桥模式配置思路 网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口(DMZ)进行管理。,典型部署模式与配置,网桥模式配置截图,二、用户认证技术,SANGFOR AC 认证功能介绍,所有计算机上网前必

8、须通过SANGFOR AC的认证才可上网。通过认证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权限策略及应用审计提供基础。,SANGFOR AC的认证方式: 1、不需要认证(IP/MAC绑定) 2、密码认证(包括本地密码认证和第三方服务器认证) 3、单点登录,认证方式介绍,1、不需要认证 设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。 不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框,要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存在。,认证方式介绍,当用户首次通过AC上网时,AC会要求用户提交用户名密码信息,如果用户提交的用户名

9、密码信息和AC本机保存的信息一致时,给予认证通过。 用户名密码认证适用于内网用户IP/MAC不固定、上网需要身份识别,或者内网存在第三方用户名密码认证服务器的网络环境。 可以手动在AC上新建用户名和密码,也可以直接沿用第三方认证服务器上的账号和密码(SANGFOR AC与第三方认证服务器结合,支持LDAP,RADIUS, POP3第三方服务器认证)。,2、密码认证(包括本地密码认证和第三方服务器认证),认证方式介绍,3、单点登录 当客户有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认证,并且获取到相关的权限上网。 SANGF

10、OR AC支持域单点登录,POP3单点登录,PROXY单点登录,WEB单点登录。,IP/MAC认证场景,用户名密码认证场景,典型应用场景与配置,案例背景,某集团公司内部有办公区和公共上网区, 要求实现办公区(192.168.1.0/24)用户上网不能修改IP和MAC地址,公共上网区(192.168.2.0/24)则需要输入账号和密码才能上网,确保网络行为能跟踪到。,核心交换,防火墙,DMZ服务器,解决方案,根据客户需求,我们可以用如下方式来满足: 1、办公区用户采用IP/MAC认证方式 2、公共上网区采用密码认证,设置用户名和密码,核心交换,防火墙,DMZ服务器,配置思路,1、新建认证策略 认

11、证策略决定了某个IP/网段/MAC地址上计算机的认证方式。通过认证策略设置内网用户的认证方式,以及新用户添加的策略。 2、手动新建用户或者自动添加新用户 新建用户,可编辑用户属性,定义用户具体的认证信息。包括用户名密码信息, 启用IP/MAC绑定 如果采用自动添加新用户,在认证策略里开启和定义即可。,AC几种认证方式中,不需要认证、密码认证、单点登录这几种认证方式是由认证策略设置决定的。,配置步骤一(IP/MAC认证的用户),1、首先为办公区的用户建一个用户组,办公区用户,配置步骤一(IP/MAC认证的用户),2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绑定IP/MAC,因此

12、选择IP/MAC绑定,且绑定方式为用户和地址双向绑定。 开启新用户选项,自动添加新用户到办公区用户组。,配置步骤一(IP/MAC认证的用户),注意: 如果AC和内网用户是跨三层环境,请开启SNMP功能实现IP和MAC的绑定,配置步骤二(用户名密码认证),1、新建密码认证用户的认证策略,配置步骤二(用户名密码认证),2、手动新增用户名密码认证的用户,设置用户名密码,配置步骤二(用户名密码认证),3、客户端输入用户名密码认证,当用户访问网站时,AC会重定 向一个认证的页面,如左图所示 ,用户输入正确的用户名密码认 证后,才可以继续上网。,添加/修改认证策略,添加/编辑用户信息,实际应用环境演示与互

13、动,三、组织结构与上网策略,组织结构和上网策略功能介绍,组织结构 组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树形的组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时又可以对相同的上网策略进行继承。,上网策略介绍 上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网络的行为进行审计,从而构建一个可管理、可视化的网络环境。 简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么,知道用户正在做什么、以及用户做了什么的功能。,上网策略分类,上网权限策略: 主要控制用户能够使用网络资源的权限(能

14、做什么),包括上网应 用控制,网页过滤,SSL控制,邮件过滤功能 上网审计策略: 审计用户上网行为(做了什么),包括应用审计,外发文件告警,流量与上网时长统计,网页内容审计 上网安全策略: 防止用户使用不安全的网络资源,包括危险行为识别,ActiveX插件过滤和脚本过滤,AC 3.0开始将上网策略分为六大类,分别如下:,上网策略分类,终端提醒策略: 提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流量提醒,公告页面 流量配额与时长控制策略: 限制用户能使用网络资源的流量和时长,包括流量配额, 上网时长控制,并发连接数控制 准入策略: 终端用户满足特定条件准许使用网络资源,审计加密的IM

15、软件的聊天内容,组织结构与上网策略的关联,策略与用户/组的关联: 1、可以在策略中选用户/组;方便一条策略需要关联给多个用户/组的设置,组织结构与上网策略的关联,2、可以在用户/组中选策略;实现不同类型策略的任意组合,上网策略典型应用场景及配置,上网策略典型应用场景,上网策略配置,上网策略典型应用场景及配置,某公司网络中充斥着各种流量,上班时间P2P下载导致致使办公应用很慢,员工上班时间炒股,QQ/MSN聊天,玩游戏使得办公效率不高。 公司决策层希望实现上班时间能封堵所有员工的P2P和迅雷等多线程下载,玩游戏和炒股,其余部门的人员不准上班时间使用QQ和MSN,只有技术支持和销售部门才能使用QQ

16、和MSN聊天,但是要审计聊天内容,下班时间所有的应用都能允许使用,另外所有人的上网行为需要被审计。,上网策略典型应用场景及配置,我们先来分析下客户的需求: 技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具下载,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN的聊天内容。 其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载,玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计,上网策略典型应用场景及配置,配置思路: 在AC的用户组织结构中建立两个用户组:技术支持和销售部门组,默认组。(也可以按照公司部门结构分别建立多个用户组,根据策略的情况,最少要建立两个用户组)具体配置在用户认证部分的PPT中介绍,这里不再累述。 新建两条上网权限策略: 技术支持和销售部门上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载,玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限:上班时

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号