SANGFORAC

SANGFORAC多机部署技术专题文档AC/SG多机部署技术专题文档1.1多机部署环境描述AC/SG多机功能主要是用于支持客户VRRP环境的，既可以起到设备冗余又可以起到负载均衡的作用。

在这种VRRP部署环境中，AC/SG架在中间是透明的，主要是口模式和多网桥模式，路由模式基本不会用到。

以下是客户那边主要部署的网络拓扑之一：AC/SG启用多网桥架在客户路由器前面，客户那边的前端路由器启用VRRP，数据流可以直走其中一个路由器起热备冗余作用，也可以2台路由器根据虚拟多个VLAN互为主备，起到负载均衡的作用。

1.2多机在AC/SG控制台的配置配置说明：1.多机同步的和功能，禁用状态设备不会向同一组播域内其他设备发心跳包。

2.【通信网口】功能，区分路由模式和网桥模式。

路由模式下只要选择通信网口，不IP地址，就引用路由模式下本身的网口配置IP地址；网桥模式下因为只有桥IP，而单独网卡上并没有配置IP，所以需要配置一个单独的IP进行发送组播心跳和同步文件。

（注意的就是这个IP 不要和局域网内的IP冲突）3.【通信IP地址】，该功能只有在网桥模式下才有，仅作为向其他设备同步数据的一个源IP。

4.【组播IP地址】，只要是224.X.X.X之后的IP均可以。

不同的设备需要能互相同步配置的话，需要设置为同一个组播IP地址。

5.【在线列表】，只要不同设备配置上相同的组播IP地址，并且每台设备上指定的通信网口在同一个局域网内，设备的心跳包可以互相到达对方，则2台设备的在线列表均可以看到对方，即可以进行多机同步了。

1.3同步消息处理流程当多机同步触发之后，分为3种方式：用户认证数据同步，手动同步、库文件同步。

用户认证同步的数据因为是直接从认证驱动中抓包，所以没有了对比MD5值的流程，直接封装然后加入到发送数据的队列中；手动配置和库同步的配置，都需要先对比MD5值然后再进行封装，加入到发送队列中。

1.4几种同步方式实现原理1.4.1手动同步配置手动同步配置主要是同步设备控制台的一些配置，保持多机切换后部署在VRRP环境下的AC/SG设备配置一致，从而不影响到客户那边的上网业务。

SANGFORAC设备部署培训一、背景介绍SANGFORAC设备是一种用于网络访问控制的企业级硬件设备，能够提供安全、高效的网络访问管理和流量控制服务。

为了能够正确地配置和部署SANGFORAC设备，使其能够发挥最佳效果，对设备的部署与培训显得尤为重要。

本文主要针对SANGFORAC设备的部署培训进行详细介绍，包括设备的基本功能、部署前的准备工作、设备的设置与配置、故障排除等内容。

二、设备简介SANGFORAC设备是一种能够实现企业内外网络隔离的硬件设备。

它使用网络地址转换（NAT）技术，结合访问控制列表（ACL）和用户认证功能，提供了对网络用户的精细控制机制，保证了企业网络的安全性与可管理性。

SANGFORAC设备具备以下主要功能：1.精细访问控制：能够根据企业需求，对不同用户或用户组设置不同的访问权限。

2.流量控制：能够限制用户的带宽使用，保证企业关键业务的稳定运行。

3.用户认证：能够通过用户认证，对接入网络的用户进行身份确认，增加网络的安全性。

4.应用识别：能够识别网络中的应用程序，对不同应用的流量进行分类和管理。

5.故障排除：能够检测并修复网络中的故障，确保网络正常运行。

三、部署前的准备工作在开始部署SANGFORAC设备之前，需要进行一些准备工作，以确保部署过程的顺利进行。

1.网络拓扑规划：根据企业的网络需求，确定SANGFORAC设备的部署位置和网络拓扑结构。

2.IP地址规划：为SANGFORAC设备和其他网络设备规划IP地址，避免IP地址冲突。

3.设备选型：根据企业的需求选择合适的SANGFORAC设备型号。

4.设备接入准备：确保SANGFORAC设备的电源、网线等接入设备的准备工作已完成。

四、设备的设置与配置4.1 设备初始化在正式开始设备的设置与配置之前，需要对SANGFORAC设备进行初始化操作，以将设备恢复到初始状态。

初始化的步骤如下：1.连接设备：将电源和网线连接到SANGFORAC设备上，并确保设备电源已打开。

SANGFOR AC老板KEY（防监控KEY）使用步骤
1.上网行为管理—>组织结构—>新增，填写好相关信息，在认证方式一栏中，选择“DKEY
认证”，勾选“启用DKEY防监控”，单击“生成DKEY”，出现下图所示内容，单击“下载DKEY驱动”。

2.下载DKEY驱动后安装，双机安装程序，提示“驱动安装成功”。

3.回到控制台新增用户界面，输入DKEY密码，然后在电脑上插入DKEY，点击“开始写
入DKEY”。

写入成功后，会提示“生成DKEY成功！”，点确定完成即可。

注：如果回到控制台新增用户界面，点击“开始写入DKEY”没有反应的话，需重新打开IE 登录到控制台，再到新增用户界面，这时点击“开始写入DKEY”就会没问题了。

最后别忘点“确定”，保存用户信息。

4.http://ACIP，打开在线用户列表，下载DKEY认证客户端，然后安装。

5.安装完成后再双机运行Sinfor AC DKEY认证客户端如桌面图标，或“开
通过Sinfor AC DKEY认证客户端可以注销、修改DKEY密码、登录到其它网关（必须
先注销现在登录的网关）。

AC应用封堵设置检查方法目录AC应用封堵设置检查方法 (1)第一步：确认AC设备是否处于直通状态 (1)第二步：确认用户是否受到AC设备管控 (2)第三步：确认规则库是否为最新 (4)第四步：确认上网策略配置是否正确 (5)第一步：确认AC设备是否处于直通状态图1.1确认AC设备是否处于直通状态如图1.1所示执行以下步骤，确认AC设备是否处于直通状态1.登陆网关控制台，并在导航菜单选择系统诊断（图1.1，框1）2.选择Bypass与拦截定位（图1.1，框2）3.若当前操作状态显示为当前操作状态：实时拦截日志关闭或当前操作状态：实时拦截日志开启（图1.1，框3），请转到第二步：确认用户受到AC设备管控；4.若当前操作状态为：当前操作状态：实时拦截日志开启，数据直通开启（图1.1，框3），请点击关闭实时拦截日志（图1.1，框4）5.再次确认应用是否收到AC设备的封堵，若还未能封堵，请转到第二步：确认用户受到AC设备管控第二步：确认用户是否受到AC设备管控图2.1确认用户是否受到AC设备管控如图2.1所示，执行以下步骤确认用户是否受到AC设备管控1.在导航菜单选择实时状态（图2.1，框1）2.选择在线用户管理（图2.1，框2）3.点击以登录名搜索（图2.1，框3）4.选择以IP地址搜索（图2.1，框4）5.在（图2.1，框5）中输入无法封堵应用的用户IP地址并回车6.若用户列表（图2.1，框6）中出现了该IP的用户，请转至规则库7.若用户列表（图2.1，框6）中未出现该IP的用户，请按照图2.2执行步骤图2.2确认用户是否在自定义排除地址中8.在导航菜单中选择系统配置（图2.2，框8）9.选择全局排除地址（图2.2，框9）10.选择自定义排除地址（图2.2，框10）11.在排除地址（图2.2，框11）中查找应用不受控的用户IP12.在排除地址（图2.2，框11）若能找到该用户IP，或是IP IP或IP范围，再次确认应用是否能够被封堵，若无法封堵且在线用户管理中有该IP，请转第13.在排除地址（图2.2，框11）若不存在该用户IP或是IP范围，请确认该用户正在通过AC上网14.若该用户不通过AC上网，则不受AC控制；若该用户确实通过AC上网，请联系经销商或者售后800协助处理第三步：确认规则库是否为最新图3.1确认规则库是否为最新如图3.1步骤所示操作，确认规则库是否为最新1.在导航菜单点击系统配置（图3.1，框1）2.选择自动升级（图3.1，框2）3.若（图3.1框3）中，应用识别规则已为最新的，转入第四步：确认上网策略配置正确4.若（图3.1框3）中，应用识别规则不是最新的规则库，请点击“”（图3.1，框4），立即更新规则库，并确认操作5.若（图3.1框3）中，应用识别规则的最新版本为“无法获取信息”，请联系经销商或者售后800协助处理6.规则库更新需要5~10分钟不等，若更新后应用识别规则日期不变，请联系经销商或者售后800协助处理第四步：确认上网策略配置是否正确图4.1编辑无法封堵应用的用户如图4.1所示步骤操作，编辑无法封堵应用的用户1.在导航菜单中选择用户与策略管理（图4.1，框1）2.展开用户管理，选择组/用户（图4.1，框2）3.在成员管理中找到无法封堵应用的用户，并点击该用户的名称，进入编辑模式（图4.4.11框3）图4.2查看用户的策略列表4.在编辑模式中，选择策略列表，请确认有相应的上网策略控制该用户，并点击查看用户的策略结果集（图4.2，框4）；若该用户确实未应用上网策略，请对其添加相应上网策略，并再次确认应用封堵效果，仍然无效请继续下一步图4.3查看用户的策略结果集5.策略结果集如图4.3所示，请确认您需要封堵的应用在应用控制中的动作为“”，若应用控制中无您要封堵的应用，请修改相应的上网策略，并再次确认应用封堵效果，仍然无效请继续下一步图4.4查看用户的活动连接6.在导航菜单中选择实时状态（图4.4，框6）7.展开流量状态（图4.4，框7）8.选择连接监控（图4.4，框8）9.确认用户正在使用应被封堵的应用后，在（图4.4，框9）中输入该用户IP，并查询该用户的当前活动链接10.若连接监控中未识别到您要封堵的应用，但是识别到了代理工具应用，请更改您的上网策略，封堵相应的代理工具，并再次并再次确认应用封堵效果，仍然无效请继续下一步11.若连接监控中应被封堵的应用被识别为的应用类型和名称与您策略中配置的不同（如您封堵的是IM/QQ，连接监控中显示的为IM/Web-QQ），请更改您的上网策略，并再次并再次确认应用封堵效果，仍然无效请继续下一步12.若连接监控中应被封堵的应用被准确识别，却仍未有效封堵，请联系经销商或者售后800协助处理13.若连接监控中将应被封堵的应用识别为其他，请联系经销商或者售后800协助处理。

SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上，较稳定。

XP系统对数据中心支持得不是很好，不建议安装。

注：所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。

b、安装盘磁盘格式必须是NTFS格式。

二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径，并点击应用，以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码；新建一个数据库并测试连通性；设置开始同步的日期
点击应用，使配置的同步账号生效！
用户在线表示正在同步数据，用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。

深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能，有效管理用户上网 (3)4.2防DOS攻击功能，有效防御内外网的DOS攻击 (3)4.3IPS系统，保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。

回顾2004年以来，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。

据统计，仅2005年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

与此同时，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。

据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。

比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。

不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。

此时，传统的防火墙已经显得无能为力。

例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。

传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。

深信服SANGFOR AC网关杀毒功能简介一、网关杀毒时代的来临从单机版走向网络版，再到网关，杀毒市场正悄然面临一场新的变革——网关杀毒。

这项被誉为能够守住病毒第一道关口的技术，可谓“一夫当关，万毒莫开”。

市场是因需求而定，网关杀毒也是如此。

早在1995年，网关防毒技术就已经在美国面市。

但此后的几年，用户并没有太多关注它。

伴随着互联网技术的发展，网关杀毒市场也日趋成熟。

直至今天，从桌面杀毒到网关杀毒已是互联网发展的必然。

从用户的角度来看，他们对安全的意识已经由最初的被动杀病毒转变为主动防护，因此他们需要的是一个“Total Solution”。

由于病毒具有不可预知性，当有病毒攻击时，他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。

此外，当他们通过电子邮件与外界沟通时，他们还希望不被那些与自己无关的信息打扰。

而所有这些正是网关杀毒软件所要做的工作。

正是网关杀毒承担着“一夫当关，万毒莫开”的重要角色。

我们相信，伴随着互联网技术的成熟，网关杀毒时代已经来临！二、深信服SANGFOR AC网关杀毒功能模块简介SANGFOR UTM安全网关是集防火墙、VPN、IPS、网关杀毒、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关；为用户提供了一体化的Internet安全解决方案，极大的降低了用户在网络安全方面的总体投资，并拥有强大的访问控制和内网审计功能，能有效管理用户上网，防止机密信息泄漏。

在网关杀毒方面，SANGFOR AC的网关杀毒模块采用了灵活的设计手段，经过实际的测试和应用效果检验，深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块，杀毒速度达到50Mb/s，远远超过大多数杀毒厂商的网络杀毒速度，也超过一般用户的Internet带宽。

该病毒引擎获得国际权威机构VB 100%的认证，不仅可以查杀普通病毒，还可以检查出各种压缩包(zip，rar，gzip等)内部隐藏的病毒。

【AC/SG】数据中心Key使用介绍
一、外观AC/SG数据中心Key的外壳颜色是咖啡色的。

见下图：
图片:图片1.png
二、功能
启用数据中心key后，只有使用key登陆的用户才能在数据中心进行日志的详细查询，提高了数据中心所存放日志的机密性，保证审计日志的安全。

有Key管理员：有日志中心全部权限，能查询到详细日志；
无Key管理员：只能查询报表，无具体日志查询权限；
三、使用步骤1、通过多功能序列号，激活AC/SG设备的“数据中心DKey查询”功能；见下图：
（请务必购买数据中心Key之后才激活该功能，否则激活后，无Key管理员将无法查询具体日志的）
图片:图片2.png
2、在AC/SG内置或外置数据中心，创建管理员用户，并生成数据中心Key；见下图
（外置数据中心Key是在外置数据中心的【系统管理】处建立管理员用户时生成。

）
图片:图片4.png
3、用数据中心Key，登录AC/SG的内置或外置数据中心，勾选“使用DKey登录”，并输入PIN码登录；见下图
图片:图片3.png
四、注意事项
1、内置数据中心和外置数据中心不能同时使用同一个Key进行登录；
2、VPN Key(蓝色)、认证Key(绿色)、免审计key(紫色)和数据中心Key(咖啡色)不能混用，即不能相互生成；
3、数据中心Key支持的浏览器有：IE6、IE7、IE8；
4、数据中心Key支持的操作系统有：Windows2000、Windows2003、Windows XP、Windows 7；。

SANGFOR_AC上网行为管理3 上网行为管理标准
应用分析
SANGFOR AC 功能
应用授权
网站访问言论发布文件传输邮件收发IM/P2P等应用控制与提醒
带宽管理
多线路流控用户/组流控应用流控网站流控文件流控
行为记录
网站访问外发言论SSL加密应用邮件、文件收发IM聊天等行为免审计Key
报表分析
独立数据中心统计/对比/趋势风险智能报表数据挖掘与分析内容快速检索日志权限Key
安全防护
终端安全检查网络准入控制过滤脚本、插件危险流量封堵查杀木马、病毒
AC为用户提供的核心价值
优化上网环境，提升用户用网体验优化带宽管理，保障核心业务、核心人员的访问速度管控网络应用，提高员工工作效率实现职权匹配，分配与职位相匹配的上网权限，防止越权访问防范信息泄露，保障组织信息安全过滤不良信息，规避由此带来的安全、管理与法律方面的问题修复安全短板，防止网络攻击，提升上网安全度支撑I T管理，优化组织IT管理环境
SANGFOR AC特点与优势
管理最全面
流控最精细智能提醒免审计key 日志审查key 智能报表快速搜索。

SANGFOR AC 第三方域认证及 AD 域同步配置一、第三方域认证配置:1.认证服务器设置:点击“ 新增” 按钮, “ 服务器类型” 选择 LDAP ,出现如下页面:IP 地址:填域服务器的 IP 地址认证端口:默认配置是 389端口,如果域服务器修改过端口,请填相应的端口。

超时:默认配置是 5秒,如果域用户较多,可以适当改大超时时间。

服务器用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员帐户, 格式为用户密码:填写的账号对应的密码类型:LDAP 服务器支持 Microsoft Active Directory 、 SUN LDAP 和 OPEN LDAP 三种 LDAP 服务器,可根据实际情况选取相应的服务器。

默认是 Microsoft Active Directory ,即常见的 AD 域类型。

其他配置请保持默认值,点击“ 确定” 保存配置。

2. 域用户认证(这里只介绍第三方域认证, 域单点登陆的配置请参见《域单点登陆配置文档》域用户添加分为三种方式:1手动添加:手动新增用户,登陆名为域用户名,认证方式选择密码认证,勾选 LDAP认证。

2通过新用户认证策略,自动添加:点击“ 新增”,新增新用户认证策略,或者点击新用户认证策略的名称进行编辑:选择新用户的处理方式 ---到服务器去验证,选择到 LDAP 服务器去验证,并勾选认证成功的新用户,自动添加到以上的组织结构中。

3通过 AD 域同步,把域用户自动同步到 AC 组织结构中,如下章节介绍。

二、 AD 域自动同步配置:AD 域同步目前只支持 MS Active Directory 。

同步方式分两类:“ 按 AD 域组织结构同步” 和“ 按 AD 域安全组同步” ,两种工作模式不能同时使用, 选择一种工作模式, 点击“ 保存” 即可完成选择。

1. 按照 AD 域组织结构同步“ 按 AD 域组织结构同步” 这种工作模式是按照 AD 域中的组织单元 OU 及其结构导入的。

深信服AC网关杀毒功能介绍深信服SANGFOR AC网关杀毒功能简介一、网关杀毒时代的来临从单机版走向网络版，再到网关，杀毒市场正悄然面临一场新的变革——网关杀毒。

这项被誉为能够守住病毒第一道关口的技术，可谓“一夫当关，万毒莫开”。

市场是因需求而定，网关杀毒也是如此。

早在1995年，网关防毒技术就已经在美国面市。

但此后的几年，用户并没有太多关注它。

伴随着互联网技术的发展，网关杀毒市场也日趋成熟。

直至今天，从桌面杀毒到网关杀毒已是互联网发展的必然。

从用户的角度来看，他们对安全的意识已经由最初的被动杀病毒转变为主动防护，因此他们需要的是一个“Total Solution”。

由于病毒具有不可预知性，当有病毒攻击时，他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。

此外，当他们通过电子邮件与外界沟通时，他们还希望不被那些与自己无关的信息打扰。

而所有这些正是网关杀毒软件所要做的工作。

正是网关杀毒承担着“一夫当关，万毒莫开”的重要角色。

我们相信，伴随着互联网技术的成熟，网关杀毒时代已经来临！二、深信服SANGFOR AC网关杀毒功能模块简介SANGFOR UTM安全网关是集防火墙、VPN、IPS、网关杀毒、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关；为用户提供了一体化的Internet安全解决方案，极大的降低了用户在网络安全方面的总体投资，并拥有强大的访问控制和内网审计功能，能有效管理用户上网，防止机密信息泄漏。

在网关杀毒方面，SANGFOR AC的网关杀毒模块采用了灵活的设计手段，经过实际的测试和应用效果检验，深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块，杀毒速度达到50Mb/s，远远超过大多数杀毒厂商的网络杀毒速度，也超过一般用户的Internet带宽。

该病毒引擎获得国际权威机构VB 100%的认证，不仅可以查杀普通病毒，还可以检查出各种压缩包(zip，rar，gzip等)内部隐藏的病毒。