SANGFOR_AC&SG_V5.X_2014年度渠道初级认证培训04_基础认证培训

LAN to LAN 端口映射配置步骤
注：本文只讲解详细配置过程，原理请参看《LAN--LAN 端口映射原理》。

适用版本：AC/SG 3.0。

（界面类似也同样适用）
应用背景：
局域网内网有服务器对外发布，基于对服务器的保护，内网用户需通过域名或者公网ip 来访问内网服务器。

如下图所示：
由于AC/SG 3.0版本的【发布服务器】功能是对全局生效的。

所以，如果内网有多个端口映射，而其中有个别是不需要做源端口转换的情况下，不能勾选此功能。

只能对各个需要源端口转换的端口按本文的配置方法配置。

1、首先，做DNAT。

如下图：
效果如下：
2、其次，做SNAT。

如下图：
效果如下：
至此，LAN to LAN配置完成。

深信服客服部
2011年4月27日。

SANGFORAC设备部署培训一、背景介绍SANGFORAC设备是一种用于网络访问控制的企业级硬件设备，能够提供安全、高效的网络访问管理和流量控制服务。

为了能够正确地配置和部署SANGFORAC设备，使其能够发挥最佳效果，对设备的部署与培训显得尤为重要。

本文主要针对SANGFORAC设备的部署培训进行详细介绍，包括设备的基本功能、部署前的准备工作、设备的设置与配置、故障排除等内容。

二、设备简介SANGFORAC设备是一种能够实现企业内外网络隔离的硬件设备。

它使用网络地址转换（NAT）技术，结合访问控制列表（ACL）和用户认证功能，提供了对网络用户的精细控制机制，保证了企业网络的安全性与可管理性。

SANGFORAC设备具备以下主要功能：1.精细访问控制：能够根据企业需求，对不同用户或用户组设置不同的访问权限。

2.流量控制：能够限制用户的带宽使用，保证企业关键业务的稳定运行。

3.用户认证：能够通过用户认证，对接入网络的用户进行身份确认，增加网络的安全性。

4.应用识别：能够识别网络中的应用程序，对不同应用的流量进行分类和管理。

5.故障排除：能够检测并修复网络中的故障，确保网络正常运行。

三、部署前的准备工作在开始部署SANGFORAC设备之前，需要进行一些准备工作，以确保部署过程的顺利进行。

1.网络拓扑规划：根据企业的网络需求，确定SANGFORAC设备的部署位置和网络拓扑结构。

2.IP地址规划：为SANGFORAC设备和其他网络设备规划IP地址，避免IP地址冲突。

3.设备选型：根据企业的需求选择合适的SANGFORAC设备型号。

4.设备接入准备：确保SANGFORAC设备的电源、网线等接入设备的准备工作已完成。

四、设备的设置与配置4.1 设备初始化在正式开始设备的设置与配置之前，需要对SANGFORAC设备进行初始化操作，以将设备恢复到初始状态。

初始化的步骤如下：1.连接设备：将电源和网线连接到SANGFORAC设备上，并确保设备电源已打开。

AC应用封堵设置检查方法目录AC应用封堵设置检查方法 (1)第一步：确认AC设备是否处于直通状态 (1)第二步：确认用户是否受到AC设备管控 (2)第三步：确认规则库是否为最新 (4)第四步：确认上网策略配置是否正确 (5)第一步：确认AC设备是否处于直通状态图1.1确认AC设备是否处于直通状态如图1.1所示执行以下步骤，确认AC设备是否处于直通状态1.登陆网关控制台，并在导航菜单选择系统诊断（图1.1，框1）2.选择Bypass与拦截定位（图1.1，框2）3.若当前操作状态显示为当前操作状态：实时拦截日志关闭或当前操作状态：实时拦截日志开启（图1.1，框3），请转到第二步：确认用户受到AC设备管控；4.若当前操作状态为：当前操作状态：实时拦截日志开启，数据直通开启（图1.1，框3），请点击关闭实时拦截日志（图1.1，框4）5.再次确认应用是否收到AC设备的封堵，若还未能封堵，请转到第二步：确认用户受到AC设备管控第二步：确认用户是否受到AC设备管控图2.1确认用户是否受到AC设备管控如图2.1所示，执行以下步骤确认用户是否受到AC设备管控1.在导航菜单选择实时状态（图2.1，框1）2.选择在线用户管理（图2.1，框2）3.点击以登录名搜索（图2.1，框3）4.选择以IP地址搜索（图2.1，框4）5.在（图2.1，框5）中输入无法封堵应用的用户IP地址并回车6.若用户列表（图2.1，框6）中出现了该IP的用户，请转至规则库7.若用户列表（图2.1，框6）中未出现该IP的用户，请按照图2.2执行步骤图2.2确认用户是否在自定义排除地址中8.在导航菜单中选择系统配置（图2.2，框8）9.选择全局排除地址（图2.2，框9）10.选择自定义排除地址（图2.2，框10）11.在排除地址（图2.2，框11）中查找应用不受控的用户IP12.在排除地址（图2.2，框11）若能找到该用户IP，或是IP IP或IP范围，再次确认应用是否能够被封堵，若无法封堵且在线用户管理中有该IP，请转第13.在排除地址（图2.2，框11）若不存在该用户IP或是IP范围，请确认该用户正在通过AC上网14.若该用户不通过AC上网，则不受AC控制；若该用户确实通过AC上网，请联系经销商或者售后800协助处理第三步：确认规则库是否为最新图3.1确认规则库是否为最新如图3.1步骤所示操作，确认规则库是否为最新1.在导航菜单点击系统配置（图3.1，框1）2.选择自动升级（图3.1，框2）3.若（图3.1框3）中，应用识别规则已为最新的，转入第四步：确认上网策略配置正确4.若（图3.1框3）中，应用识别规则不是最新的规则库，请点击“”（图3.1，框4），立即更新规则库，并确认操作5.若（图3.1框3）中，应用识别规则的最新版本为“无法获取信息”，请联系经销商或者售后800协助处理6.规则库更新需要5~10分钟不等，若更新后应用识别规则日期不变，请联系经销商或者售后800协助处理第四步：确认上网策略配置是否正确图4.1编辑无法封堵应用的用户如图4.1所示步骤操作，编辑无法封堵应用的用户1.在导航菜单中选择用户与策略管理（图4.1，框1）2.展开用户管理，选择组/用户（图4.1，框2）3.在成员管理中找到无法封堵应用的用户，并点击该用户的名称，进入编辑模式（图4.4.11框3）图4.2查看用户的策略列表4.在编辑模式中，选择策略列表，请确认有相应的上网策略控制该用户，并点击查看用户的策略结果集（图4.2，框4）；若该用户确实未应用上网策略，请对其添加相应上网策略，并再次确认应用封堵效果，仍然无效请继续下一步图4.3查看用户的策略结果集5.策略结果集如图4.3所示，请确认您需要封堵的应用在应用控制中的动作为“”，若应用控制中无您要封堵的应用，请修改相应的上网策略，并再次确认应用封堵效果，仍然无效请继续下一步图4.4查看用户的活动连接6.在导航菜单中选择实时状态（图4.4，框6）7.展开流量状态（图4.4，框7）8.选择连接监控（图4.4，框8）9.确认用户正在使用应被封堵的应用后，在（图4.4，框9）中输入该用户IP，并查询该用户的当前活动链接10.若连接监控中未识别到您要封堵的应用，但是识别到了代理工具应用，请更改您的上网策略，封堵相应的代理工具，并再次并再次确认应用封堵效果，仍然无效请继续下一步11.若连接监控中应被封堵的应用被识别为的应用类型和名称与您策略中配置的不同（如您封堵的是IM/QQ，连接监控中显示的为IM/Web-QQ），请更改您的上网策略，并再次并再次确认应用封堵效果，仍然无效请继续下一步12.若连接监控中应被封堵的应用被准确识别，却仍未有效封堵，请联系经销商或者售后800协助处理13.若连接监控中将应被封堵的应用识别为其他，请联系经销商或者售后800协助处理。

测试指导书SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 实现方式 (3)4 测试环境 (3)4.1 测试条件 (3)5 测试过程 (3)6 测试效果 (12)7 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果，减少现场测试出现问题机率。

2 需求背景客户自己的服务器上安装并使用了我司的外置日志中心，最早安装时，日志和附件可能都保存在C盘某路径下，后续日志增多，C盘存储不够，客户想将所有日志迁移到新的磁盘或新的外置服务器上使用，保证新旧日志不受影响。

3 实现方式1.通过重装DC程序实现快速迁移2.通过修改DC配置文件路径实现快速迁移4 测试环境4.1 测试条件一台安装了AC11.0外置日志中心的服务器，并有空闲可供迁移的磁盘。

5 测试过程方法1.保留日志重装外置日志中心程序（推荐）1.客户原来日志存放在C盘DClog下，现在由于C盘存储不够，想全部迁移到服务器上的D盘下面2. 直接选择卸载外置日志中心程序3.卸载的时候，选择保留数据4.卸载完成后，在之前的日志保存路径下可以看到保留下来的日志5.重装外置日志中心程序，重新选择新的存储路径6.将旧日志迁入到新的路径下即可将原C盘下的DClog下的所有文件夹迁移到新的D盘目录的DClog下即可。

1.停掉外置日志中心所有服务2.修改日志中心配置文件中的路径信息一共修改三个配置文件：第一个，/外置日志中心程序安装路径/mysql_path.ini第二个，/外置日志中心程序安装路径/dc/config/sys_config.js第三个，/外置日志中心程序安装路径/ldb/bin/mdb.ini3. 将旧日志迁移到新的路径下4.启动外置日志中心所有服务日志迁移后，旧的日志可以正常查询，新的日志可以正常同步查询。

如图，迁移后，旧日志可以正常查询，说明迁移成功。

SANGFOR_AC SG_v5.6R1_多机部署测试指导书【说明】：AC/SG的多机同步主要应用于内网设备启用VRRP的环境，既可以起到设备冗余又可以起到负载均衡的作用,一般网桥模式建议部署多机。

多机环境下所有的设备都是同时工作的，同时实现在VRRP环境下某条线路断掉，无缝切换到另一条线路，且策略和用户状态保持一致，用户上网不需要重新认证。

一．准备工作1．以两台软件版本相同为AC5.6R1M5100作为测试设备，网桥模式部署。

软件版本必须相同，硬件型号不作要求。

2．以192.168.1.10用户作为测试用户，需要通过设备认证。

3．准备一根交叉线（一头按T568A线序连接，一头按T568B线序连接）二．测试拓扑实现拓扑如下：客户的网络两台三层交换机和防火墙启用vrrp的冗余协议，两侧防火墙，交换机可以配置热备冗余或负载均衡，互为主备”，鉴于这种环境两台AC单网桥多机部署在防火墙和核心交换机之间，分配给两台设备的地址分别为192.200.200.140/24，192.200.200.233/24由于内网接的是核心交换机，所以用空闲网口dmz口作为两台设备多机的通信网口，用交叉线连接。

三．测试需求及预期结果测试需求：1.一台设备的配置修改可以同步至另一台设备。

2.主链路上的交换机，防火墙和AC设备异常时（网口掉线，设备宕机等），业务流量可以正常切换至备份链路，不会引起断网。

测试结果：1.在主链路AC设备上建用户，组，上网策略等配置，手动点【网络配置】->【高可用性】->【多机同步】中的“向其它设备同步配置”，可以将配置同步至备份链路的AC设备。

2.主链路防火墙下联口或交换机上联口down后，防火墙，交换机及客户业务流量同时切换至备份链路，不会造成断网四．配置步骤1.基本网络配置（1）在线下分别配置两台设备的部署模式，IP，网关，DNS等信息：本案例选择单网桥模式，并开启多网桥链路同步。

（2）分别配置两台设备的回包路由：内网是三层环境时，需要设置到内网网段的回包路由2.多机配置两台设备各选择一个空闲的网口，用交叉线直连。

SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上，较稳定。

XP系统对数据中心支持得不是很好，不建议安装。

注：所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。

b、安装盘磁盘格式必须是NTFS格式。

二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径，并点击应用，以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码；新建一个数据库并测试连通性；设置开始同步的日期
点击应用，使配置的同步账号生效！
用户在线表示正在同步数据，用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。

深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能，有效管理用户上网 (3)4.2防DOS攻击功能，有效防御内外网的DOS攻击 (3)4.3IPS系统，保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。

回顾2004年以来，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。

据统计，仅2005年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

与此同时，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。

据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。

比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。

不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。

此时，传统的防火墙已经显得无能为力。

例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。

传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。

深信服PT1认证AC一、简介深信服PT1认证AC，是深信服公司（Sangfor）针对其产品体系的认证体系之一。

该认证旨在评估参与者对于深信服产品的理解和应用能力，通过深入学习和实践，以掌握深信服产品的实际使用技巧和解决问题的能力。

二、认证要求为了获得深信服PT1认证AC，参与者需要满足以下要求：1. 基本知识参与者需要具备深信服产品的基本知识，包括但不限于网络安全、网络基础设施和网络运营等方面的知识。

参与者需要理解深信服产品与其他安全设备的区别和优势。

2. 实践经验参与者需要有一定的实践经验，能够熟练操作深信服产品并解决常见问题。

他们应该能够配置和管理网络设备、进行网络防御和监控，并能够应对各种网络安全事件。

3. 能力评估参与者需要通过一系列考试或实际操作来评估其对深信服产品的应用能力。

这些评估可能涉及产品的安装和配置，网络的部署和优化，以及故障排除和故障恢复等方面。

三、认证流程参与者想要获得深信服PT1认证AC，需要完成以下步骤：1.报名：参与者需要在深信服官方网站上报名参加认证考试。

报名时需填写个人信息和相关经验，并支付相应的认证费用。

2.培训：参与者将参加由深信服公司提供的认证培训课程。

培训课程将介绍深信服产品的特点、配置和管理方法，以及常见问题的解决方法。

3.学习和准备：参与者需要自主学习和准备，通过阅读相关文档、参与讨论和实践操作，以加深对深信服产品的理解和掌握。

4.考试：参与者将参加笔试或实际操作考试，以评估其对深信服产品的理解和应用能力。

考试内容将涉及深信服产品的各个方面。

5.认证颁发：通过考试后，参与者将获得深信服PT1认证AC的证书和徽章。

他们将被列入深信服官方网站的认证名单中，并享受一定的权益和优惠。

四、认证效益获得深信服PT1认证AC将带来以下效益：1.证明实力：认证证书和徽章将证明参与者对深信服产品的深入理解和应用能力，增强其在网络安全领域的专业声誉。

2.就业竞争力：认证是求职过程中的一项有力证明，拥有深信服PT1认证AC将提高参与者在就业市场上的竞争力。

【AC/SG】数据中心Key使用介绍
一、外观AC/SG数据中心Key的外壳颜色是咖啡色的。

见下图：
图片:图片1.png
二、功能
启用数据中心key后，只有使用key登陆的用户才能在数据中心进行日志的详细查询，提高了数据中心所存放日志的机密性，保证审计日志的安全。

有Key管理员：有日志中心全部权限，能查询到详细日志；
无Key管理员：只能查询报表，无具体日志查询权限；
三、使用步骤1、通过多功能序列号，激活AC/SG设备的“数据中心DKey查询”功能；见下图：
（请务必购买数据中心Key之后才激活该功能，否则激活后，无Key管理员将无法查询具体日志的）
图片:图片2.png
2、在AC/SG内置或外置数据中心，创建管理员用户，并生成数据中心Key；见下图
（外置数据中心Key是在外置数据中心的【系统管理】处建立管理员用户时生成。

）
图片:图片4.png
3、用数据中心Key，登录AC/SG的内置或外置数据中心，勾选“使用DKey登录”，并输入PIN码登录；见下图
图片:图片3.png
四、注意事项
1、内置数据中心和外置数据中心不能同时使用同一个Key进行登录；
2、VPN Key(蓝色)、认证Key(绿色)、免审计key(紫色)和数据中心Key(咖啡色)不能混用，即不能相互生成；
3、数据中心Key支持的浏览器有：IE6、IE7、IE8；
4、数据中心Key支持的操作系统有：Windows2000、Windows2003、Windows XP、Windows 7；。

“每周一案例”之一XXX市教育城域网解决方案一、整体解决方案二、互联网出口安全解决方案（AC+AF）AC上网行为管理：深信服AC产品放置于教育局互联网出口位置，主要负责对于师生上网行为的管理、审计、流控；同时AC也放置于XXX市各学校的网络出口，作网关使用。

教育局布放一台SC集中管理平台，对下属学区中小学的AC设备进行策略统一下发。

完善的网址、应用识别管控。

深信服AC具有全面的应用识别库与千万级的URL库，规范中小学学生在上课时段的上网行为，禁止上课时间进行QQ聊天、网络游戏等应用访问网络。

同时全时段拒绝其对反动、暴力等不良网站的访问，保护师生的身心成长。

性能稳定，多种认证方式。

帮助各学校IT管理员有效区分学校师生，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。

可以防止带宽资源滥用。

通过细致带宽分配策略，减小P2P等不良应用所占用的带宽，保障教育城域网上的教学业务获得足够的带宽支持，提升师生上网速度和教育系统业务的使用顺畅。

可以完善记录上网轨迹满足法规要求。

深信服AC可以详尽记录XXX市中小学师生的上网记录，满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险。

AF下一代应用防火墙：深信服NGAF产品放置于教育城域网的互联网出口的位置，代替传统防火墙实现教育内网的防护，保护了下属中小学校园内网中的终端电脑、教育教学数据中心的信息安全。

同时将教育局官网web服务器放置于NGAF的DMZ区，通过NGAF保护对外发布服务器的安全。

1.对校园内网的安全防护：全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用，同时通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段，避免因为用户无意中的网络访问行为将病毒、木马引入终端，完善内容级安全防护：灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。

SANGFOR_AC上网行为管理3 上网行为管理标准
应用分析
SANGFOR AC 功能
应用授权
网站访问言论发布文件传输邮件收发IM/P2P等应用控制与提醒
带宽管理
多线路流控用户/组流控应用流控网站流控文件流控
行为记录
网站访问外发言论SSL加密应用邮件、文件收发IM聊天等行为免审计Key
报表分析
独立数据中心统计/对比/趋势风险智能报表数据挖掘与分析内容快速检索日志权限Key
安全防护
终端安全检查网络准入控制过滤脚本、插件危险流量封堵查杀木马、病毒
AC为用户提供的核心价值
优化上网环境，提升用户用网体验优化带宽管理，保障核心业务、核心人员的访问速度管控网络应用，提高员工工作效率实现职权匹配，分配与职位相匹配的上网权限，防止越权访问防范信息泄露，保障组织信息安全过滤不良信息，规避由此带来的安全、管理与法律方面的问题修复安全短板，防止网络攻击，提升上网安全度支撑I T管理，优化组织IT管理环境
SANGFOR AC特点与优势
管理最全面
流控最精细智能提醒免审计key 日志审查key 智能报表快速搜索。

SANGFOR_AC SG_v5.6R1双机测试指导书【说明】：双机热备是AC中的高可靠设计部分，目的是保证在主机异常时（如设备掉电，网口掉线等），备机接替主机工作，起到冗余备份的作用，并且主机所有配置能实时同步至备机。

两台设备路由模式部署时常部署为双机。

一．准备工作1．以两台AC5.6R1M5100作为测试设备，路由模式部署。

2．以192.168.1.10电脑作为测试用户，需要通过设备认证。

测试当双机切换时网络连通性。

3．准备一根双机心跳线。

二．测试拓扑实验拓扑如下：互联出口网关地址192.200.200.199/255.255.255.0,分配给设备外网口的地址192.200.200.140/255.255.255.0。

两台AC wan口（图中eth2）接到同一个交换机同一个vlan，lan口(图中eth0)接到同一个交换机同一个vlan。

两台AC同时使用心跳线连接串口。

三．测试需求及预期结果测试需求1.主机修改配置可以实时同步至备机。

2.拨掉网口网线，主机切换成备机，备机接替主机工作。

主备切换过程，内同到外网丢包在5个包以内。

预期结果1.主机修改配置后，可以实时同步至备机，通过主机的系统日志查看，配置已经同步至备机。

2.拨掉主机网口网线，备机接替主机工作，正常完成主备切换，网络连通性正常。

四．配置步骤1.主机配置将认为需要部署为主机的设备按如下步骤配置好1.1.基本网络配置（1）配置设备的部署模式为路由模式，设置wan口ip，lan口ip，dns以及nat。

（2）检察需要放行的防火墙规则是否已放行。

（3）配置回包路由根据客户网络实际情况，如果内网是三层环境时，需要设置到内网各网段的回包路由。

1.2.双机配置（1）【网络配置】->【高可用性】->【双机维护】，点击“启用双机维护”，启用双机或者禁用双机设备都会重启。

（2）配置设备名称，以方便区分主机和备机，配置超时时间，通常保持默认即可。

SANGFOR AC：外发信息过滤、智能防范泄密互联网的挑战：网络的普及使得各行业纷纷连通Internet，随之而来的泄密风险，如组织人事调整、市场企划、研发代码等商业机密泄漏给组织造成严重损失，因泄密导致经济损失已成为互联网风险第一位。

防范泄密应该从“主动泄密、被动泄密、事后追踪”着重考虑：1.论坛博客发文泄密。

web2.0的兴起让每个人都成为信息发布者，办公室八卦和公司内幕赫然出现在互联网上，无意的泄密、SSL加密外发更难防范。

2.Email泄密。

”EMC大中华区总裁与女秘书事件”、”雅虎内部邮件泄漏事件”等，Email泄密管控迫在眉睫。

3.HTTP/FTP/IM等外发文件泄密。

泄密人员将核心机密文件篡改/删除文件扩展名、压缩/加密文件，通过HTTP、FTP、Email附件、IM传文件等方式外传，传统方案毫无防范能力。

4.受控电脑被动泄密。

明枪易挡，暗箭难防，由于感染木马、间谍软件、被黑客远程控制，或使用Foxy等P2P共享工具，组织机密在不知不觉中被窃取。

5.保存泄密证据。

若缺乏对泄密证据的留存，事件发生后无法定位责任人，安全管理漏洞依然存在，也不能对潜在泄密者形成威慑。

深信服科技解决方案：SANGFOR AC上网行为管理网关，凭借对用户、行为和内容的精准识别，为不同部门、不同用户灵活分配差异化的网络访问权限。

满足业务要求的最小化网络访问权限，AC从拦截主动泄密、防范被动泄密、以及泄密证据留存三方面全面防御组织信息资产泄漏风险，帮助组织最大化的保护信息安全。

SANGFOR AC支持多种部署方式以满足各种组织网络环境的要求，典型的包括网关模式、网桥模式、旁路模式、双主机模式、双进双出模式等：a)灵活控制论坛、博客外发内容。

AC基于海量预分类URL库和融合人工智能的“网页智能识别”技术，有效识别和封堵论坛、博客、BBS等网站，并采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护。

SANGFOR AC 第三方域认证及 AD 域同步配置一、第三方域认证配置:1.认证服务器设置:点击“ 新增” 按钮, “ 服务器类型” 选择 LDAP ,出现如下页面:IP 地址:填域服务器的 IP 地址认证端口:默认配置是 389端口,如果域服务器修改过端口,请填相应的端口。

超时:默认配置是 5秒,如果域用户较多,可以适当改大超时时间。

服务器用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员帐户, 格式为用户密码:填写的账号对应的密码类型:LDAP 服务器支持 Microsoft Active Directory 、 SUN LDAP 和 OPEN LDAP 三种 LDAP 服务器,可根据实际情况选取相应的服务器。

默认是 Microsoft Active Directory ,即常见的 AD 域类型。

其他配置请保持默认值,点击“ 确定” 保存配置。

2. 域用户认证(这里只介绍第三方域认证, 域单点登陆的配置请参见《域单点登陆配置文档》域用户添加分为三种方式:1手动添加:手动新增用户,登陆名为域用户名,认证方式选择密码认证,勾选 LDAP认证。

2通过新用户认证策略,自动添加:点击“ 新增”,新增新用户认证策略,或者点击新用户认证策略的名称进行编辑:选择新用户的处理方式 ---到服务器去验证,选择到 LDAP 服务器去验证,并勾选认证成功的新用户,自动添加到以上的组织结构中。

3通过 AD 域同步,把域用户自动同步到 AC 组织结构中,如下章节介绍。

二、 AD 域自动同步配置:AD 域同步目前只支持 MS Active Directory 。

同步方式分两类:“ 按 AD 域组织结构同步” 和“ 按 AD 域安全组同步” ,两种工作模式不能同时使用, 选择一种工作模式, 点击“ 保存” 即可完成选择。

1. 按照 AD 域组织结构同步“ 按 AD 域组织结构同步” 这种工作模式是按照 AD 域中的组织单元 OU 及其结构导入的。

SANGFOR AC老板KEY（防监控KEY）使用步骤
1.上网行为管理—>组织结构—>新增，填写好相关信息，在认证方式一栏中，选择“DKEY
认证”，勾选“启用DKEY防监控”，单击“生成DKEY”，出现下图所示内容，单击“下载DKEY驱动”。

2.下载DKEY驱动后安装，双机安装程序，提示“驱动安装成功”。

3.回到控制台新增用户界面，输入DKEY密码，然后在电脑上插入DKEY，点击“开始写
入DKEY”。

写入成功后，会提示“生成DKEY成功！”，点确定完成即可。

注：如果回到控制台新增用户界面，点击“开始写入DKEY”没有反应的话，需重新打开IE 登录到控制台，再到新增用户界面，这时点击“开始写入DKEY”就会没问题了。

最后别忘点“确定”，保存用户信息。

4.http://ACIP，打开在线用户列表，下载DKEY认证客户端，然后安装。

5.安装完成后再双机运行Sinfor AC DKEY认证客户端如桌面图标，或“开
通过Sinfor AC DKEY认证客户端可以注销、修改DKEY密码、登录到其它网关（必须
先注销现在登录的网关）。