SANGFOR AC设备部署

典型部署模式与配置
典型部署模式与配置
路由模式配置思路
1、网口配置：确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式， 取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN 口）的IP地址信息； 2、确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机；
典型部署模式与配置
典型部署模式与配置
旁路模式部署配置思路
1、一般AC旁路接在核心交换机的镜像口上，核心交换机需要将上下行流量 镜像到AC过来。 2、旁路模式部署时必须配置管理口IP地址进行管理，可以分配内网任意网段 空闲IP地址进行管理，监听口可以接任意网口（除了配置为管理口接口之 外），可以同时接多个进行监听。 3、需要确认内网所有需要进行审计的内网网段（监控网段），需要确认内网 是否有服务器提供访问时需要也进行记录。 4、管理口不仅用于管理，还用于包括和外置数据中心同步、作TCP控制时发 reset包使用。
型
1、单网桥，这种部署模式是最常见的。AC部署在出口网关设备（防火墙或者路 由器）和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙（路由器）的情况下。 2、多网桥，一般情况下两进两出是最常见的。AC部署在出口网关设备（防火墙 或者路由器）和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙（路由器）的情况下。 3、网桥多网口，这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
典型部署模式与配置
路由 模式
网桥 模式 旁路 模式
典型部署模式与配置
路由模式_部署指导
1、首选需要了解客户的实际需求，客户是否必须要用到AC的VPN、 NAT（代理上网和端口映射）、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。 2、客户新规划建设的网络中来部署AC，相当于一个全新的网络规划， 客户想把AC当作一台防火墙部署在出口上，可以部署成为路由模式。 3、客户网络中原有防火墙或者路由器了，出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当，具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式，因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器，或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时，AC必须是路由模式 部署，其它工作模式不支持实现这些功能。
典型部署模式与配置
网桥模式配置截图
典型部署模式与配置
旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种，但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时，可以考虑此种 部署方式，常见于高校、大型国有企业专门用于AC作审计； 2、旁路部署时一般设备是接在核心交换机上，核心交换机通过将镜像功能将需 要审计的流量镜像过来； 3、管理时采用管理口（DMZ）配置IP地址进行管理，其它所有接口均可作为监 听口，可使用一个口或者是多个口同时作为监听口，监听口无需任何配置的。
典型部署模式与配置
路由模式配置截图
典型部署模式与配置
网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小，当客户确定不需要使 用AC的VPN、NAT、DHCP功能时，则应考虑部署网桥模式。 2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式： 客户原有网络是单核心交换机、单出口防火墙情况下，AC用单网桥； 客户原有网络是单核心交换机、两台出口防火墙情况下，AC用双网桥； 客户原有网络是两台核心交换机、单台出口防火墙情况下，AC用双网桥；
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动，不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT（代理上网和端口映射）、VPN、DHCP功能， 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时，对客户来说是个透明的设备，如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能（其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种，但也是所能实现功能较弱 的一种部署方式，此种部署模式对客户原有网络无任何影响，即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能，对基于 、旁路模式 只用于上网行为的审计和基于 应用的控制功能，对基于 UDP协议的应用无法控制。不支持流量管理，准入系统，NAT, VPN, DHCP 等功能。 3、旁路模式下，AC使用LAN/WAN口接核心交换机或者是核心出口路由器上， 需要路由器或者是核心交换机支持镜像功能，将流量上下行镜像到AC上来。
典型部署模式与配置
SANGFOR AC
防DOS攻击功能简介及配置
深信服公司简介
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去，具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定，不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
FW
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
典型部署模式与配置
网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址，如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址，如果没有空闲IP的话则配置管理口 （DMZ）进行管理。
典型部署模式与配置典型部署模式与配置?网桥模式配置思路网桥模式部署时需要考虑ac串接在前面防火墙和下面的核心交换机之间网段是否存在空闲的主机ip地址如果有则分配一个该网段的ip地址给ac作为网桥的ip地址如果没有空闲ip的话则配置管理口dmz进行管理
SANGFOR AC设备部 设备部 署培训
SANGFOR AC 部署模式介绍
防DOS攻击功能简介及配置
•防DOS攻击配置
1、内网网段要么留空，要配置则必须完整 将内网所有网段填写完整，否则少填的网 段将会无法上网。 2、如果内网是三层交换机多网段环境，则 左图中红色框选项一定不能勾选，如果内 网是二层交换机单网段环境，可以勾选此 项，不勾选也不会产生影响。 3、下面三个配置参数建议使用默认配置即 可。如果内网用户使用电驴，迅雷等下载 软件下载，可适当增大“最大攻击包次 数”，避免出现误判。
典型部署模式与配置
旁路模式配置截图
防DOS攻击功能简介及配置
• 防DOS攻击功能介绍
1、防DOS攻击是设备对于DOS攻击的防护作用，通过设备能够阻止此类攻击， 不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。 2、DOS攻击常见类型有：单个主机IP对某个目标IP发起大量的TCP连接握手、单 个IP对某个目标IP发送大量的小包。 个 对某个目标 发送大量的小包。 3、防DOS攻击配置建议：建议如果客户对安全方面有要求的话可以启用，但需 要谨慎配置；如果客户网络中已有安全防护设备，并且客户不关注设备此功 能，则不建议在设备上配置该功能。