深信服上网行为管理-无线管理指南
深信服上网行为管理-系统管理配置指南
策略路由配置
3、导入各运营商的策略路由表 新发货的设备一般策略路由表都是空的,怎样导入初始策略路由表?
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由,导入后,内网PC经设备上网的 数据流,即可实现根据目标地址选路走同一个运营商的线路出去,如访 问电信的网站走电信线路,从而解决了跨运营商之间访问速度慢的问题。 同时也能实现当其中一条 线路故障,流量自动切换到其它线路,直到故 障线路恢复,从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip,oid(1.3.6.1),community,这样可以读取所有信 息,如下图:
这种方法读出所有信息,并不知道每个值具体意义,因oid不具体,很难找 到我们需要的信息。
SNMP配置
下载mib库,导入网管软件, 方便管理查看设备信息 设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能,当触发告警条件时,设备就会通过邮件 告警及登录控制台界面右下角小喇叭告警,以便能及时通知到管理员。设 备支持的告警事件类型如下。
深信服上网行为管理-基本功能介绍
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
定向至指定网页ipmac认证自建帐号密码usbkey认证短信认证ldapradiuspop3ipmac认证pop3proxyad单点登录微信认证web单点登录pppoe单点登陆数据库认证第三方设备单点登陆新用户认证自动分组自动认证自动授权用户身份识别有效区分用户分层次管理的组织架构是部署差异化管理策略的依据用户身份识别用户身份识别映射组织结构网关控制台用户与上网策略对应策略列表用户与行为一一对应数据中心网络应用识别识别网络应用了解用户行为是管控措施的基础和对象国内最大的应用识别库超过2000多种主流应用注
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服上网行为管理系统用户手册
深信服上网行为管理系统用户手册深信服上网行为管理系统用户手册AC 12.0.18用户手册目录前言 (2)手册内容 (2)本书约定 (2)图形界面格式约定 (2)各类标志 (3)技术支持 (3)致谢 (3)第1 章安装指南 (4)1.1.环境要求 (4)1.2.电源 (4)1.3.产品外观 (4)1.4.配置与管理 (5)1.5.单设备接线方式 (5)1.6.双机备份接线方式 (7)第2 章控制台的使用 (8)2.1.登录WebUI配置界面 (8)2.1.1.AC的web 登录方式 (8)2.1.2.统一认证中心的登录方式 (11)2.2.配置和使用 (12)第3 章功能说明 (15)3.1.增值服务导航 (15)3.1.1.激活设备 (15)3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)3.2.3.泄密追溯分析 (33) 3.2.4.离职倾向分析 (36) 3.2.5.工作效率分析 (40) 3.2.6.未关机检测分析 (42) 3.3.实时状态 (43)3.3.1.实时状态 (43)3.4.对象定义 (89)3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)3.4.7.网络服务 (129)3.4.8.IP 地址库 (131)3.4.9.时间计划组 (139)3.4.10.关键字组 (141)3.4.11.文件类型组 (143) 3.4.12.位置对象组 (144) 3.5.用户认证与管理 (147) 3.5.1.原理 (147)3.5.2.用户认证 (151)3.5.3.用户管理 (220)3.5.4.认证高级选项 (259) 3.6.策略管理 (277)3.6.1.上网策略 (278)3.6.2.策略高级选项 (368)3.7.流量管理 (375)3.7.1.概述 (375)3.7.3.通道配置 (377)3.7.4.线路带宽配置 (414)3.7.5.虚拟线路配置 (415)3.7.6.流量可视化 (425)3.8.终端接入管理 (425)3.8.1.共享接入管理 (426)3.8.2.移动终端管理 (430)3.8.3.代理工具管理 (433)3.9.上网安全 (438)3.9.1.安全状态 (438)3.9.2.安全配置 (441)3.10.VPN配置 (457)3.10.1.DLAN运行状态 (457) 3.10.2.多线路设置 (458)3.10.3.SDWAN智能选路 (460) 3.10.4.基本设置 (472)3.10.5.用户管理 (474)3.10.6.连接管理 (488)3.10.7.虚拟IP 池 (491)3.10.8.本地子网列表 (492) 3.10.9.隧道间路由设置 (494) 3.10.10.第三方对接 (497)3.10.11.通用设置 (509)3.10.12.证书管理 (511)3.10.13.高级设置 (515)3.11.系统管理 (527)3.11.1.防火墙 (527)3.11.2.网络配置 (544)3.11.3.系统配置 (633)3.12.网络安全法 (693)第4 章案例集 (696)4.1.单点登录配置案例 (696)4.1.1AD域单点登录功能配置案例 (696)4.1.2PROXY单点登录配置案例 (723)4.1.3POP3单点登录配置案例 (732)4.1.4Web单点登录配置案例 (737)4.1.5与第三方设备结合单点登录配置案例 (741)4.1.6深信服设备结合认证 (756)4.1.7数据库系统结合认证 (759)4.2.不需要认证用户配置案例 (762)4.3.密码认证用户配置案例 (769)4.3.1短信认证 (769)4.3.2微信及二维码认证 (787)4.3.3密码认证 (801)4.4.其他认证配置案例 (810)4.5.与cas第三方认证配置案例 (825)4.6.策略配置案例 (828)4.6.1针对某用户组设置封堵P2P 和P2P流媒体的策略 (828) 4.6.2针对某用户组设置IM 监控的策略 (832)4.6.3针对某用户组设置开启审计功能 (836)4.7.终端管理配置案例 (838)4.7.1防共享功能配置案例 (838)4.7.2移动终端管理配置案例 (840)4.7.3代理工具理配置案例 (841)4.8.SNMPTRAP配置案例 (842)4.9.综合案例 (846)4.9.1客户网络环境与需求 (846)4.9.2配置思路 (847)附录:SANGFOR设备升级系统的使用 (865)产品升级步骤 (868)前言手册内容第1 部分SANGFOR AC 产品概述。
深信服上网行为管理
深信服上网行为管理随着互联网的快速发展和普及,让人们更加容易上网,高端甚至普通的手机设备也给大众带来了便利。
每个人都可以随时随地上网,获取各种信息和服务。
同时,也存在一些不良上网行为,这些行为有可能侵犯其他人的权益和利益,对个人和社会都会造成很大的影响。
为了规范和管理上网行为,深信服上网行为管理应运而生。
接下来,就让我们来详细地了解一下深信服上网行为管理的相关内容。
深信服上网行为管理是一个完整的网络上网管理方案,它包括网络上网行为监控、网络上网流量管理、上网行为审计、过滤与控制等方面。
其目的是规范和保障网络操作的安全性、合法性和合理性,确保网络资源的合理利用。
首先,网络上网行为监控是深信服上网行为管理的重要一环,它可以对网络用户的上网行为进行实时、准确、全面的监控和记录。
通过实时监控,可以及时发现和阻止不良上网行为,避免网络犯罪或其他不法行为的发生。
通过准确记录,可以为后续网络管理和维护提供重要的数据支持。
其次,网络上网流量管理是指对网络上网流量进行有效的管理和控制。
此管理可以精确测算网络上网用户的流量消耗情况,从而合理规划和利用网络带宽,减少网络瘫痪的情况产生。
同时,对于不合理的流量操作,如高流量、过度的流量等,我们可以通过一系列的控制措施进行管理和控制,保证网络正常运行。
第三,上网行为审计是深信服上网行为管理中的另一个重要部分。
通过对上网行为进行审计,我们可以对用户的上网情况进行精确评估,进而发现和消除潜在的网络风险。
同样,该审计还可以为网络管理人员提供有用的信息和数据,支持网络管理人员制定更加合理的网络管理计划。
最后,对于不良网络行为和不良内容,我们可以通过过滤和控制的方式来防止和消除。
深信服上网行为管理会通过各种先进的技术手段来过滤和控制网络上不良内容、欺诈交易、病毒等有害内容,保障网络环境的规范化、健康化,为用户带来更高品质的网络体验。
总之,深信服上网行为管理是一种完整和高效的上网管理方案,它旨在规范和保障网络操作的安全性、合法性和合理性。
深信服上网行为管理-安装部署指南
TRUNK环境部署:路由模式_配置步骤
LAN口(eth0)填写 任一个不存在的IP 配置完成后可看到配置汇总信息
启用VLAN并据实 填写VLAN地址信 息
TRUNK环境部署:路由模式_配置步骤
TRUNK环境部署:网桥模式
不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案)
TRUNK环境部署:网桥模式_配置思路
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好 设备。
2、网桥IP配置为不属于任何VLAN的IP,网桥的网关指向任意一个 VLAN的网关。配置启用VLAN,并按格式填写每个VLAN可用的IP。
TRUNK环境部署:网桥模式_配置步骤
填写配任置一完个成不后存可在看的到网汇桥总I信P息 据实填写其中一个能与互 联网通信的VLAN的网关 IP和准确的DNS信息
常见代理环境中的部署方式
2. 代理服务器双网卡(AC/SG设备旁路模式部署)
如果主要用于审计,设备可 采取旁路模式部署,用于监 听内网发往代理服务器的所 有数据。
常见代理环境中的部署方式
3. 代理服务器单网卡(AC/SG设备网桥模式部署) 如左图所示,代理服务器以单臂模 式接在核心交换机上。
内网用户上网数据先通过交换机到 达代理服务器,再由代理服务器经 核心交换机和防火墙到公网。
适用环境:用户通过内网代理服务器上 网,并且需要准确识别用户通过代理服 务器上网的数据和分权限控制。
常见代理环境中的部署方式
1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署)
设备可采取路由模式或网桥模式部署在客户 端与代理服务器之间,考虑到内网改动的大 小,建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过 AC/SG设备,也就是代理服务器应该部署于 AC/SG设备的WAN口方向。
深信服WIFI系统上网行为管理解决方案
谢谢
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
深信服WIFI系统上网行为管理解决方案
应用背景
随着智能手机、pad智能终端的普及,我们已经习惯了随时随地的连
接网络,使用网络。各大型商场,酒店大厅,银行营业厅已经部署了无
线网络。
需求分析
• 上网用户身份确定
• 发ห้องสมุดไป่ตู้免责声明,推送广告页面 • 统计客户信息,挖掘潜在商机 • 保障上网体验 • 提供健康上网环境
典型案例
安徽合肥万达商场
a. 采用短信认证,认证后跳转到公司页面,在认 证页面推送广告; b. 针对用户做流控,限制不当网络行为,特别是 下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,定期发送 手机广告,从而IT给业务带来增值 。
山西大酒店
采用AC无线网络管理和业务增值方案: a. 采用短信认证,认证后跳转到酒店的广告页面; b. 做无线网络的行为管控; c. 实名认证+审计,满足公安部的审查需求。
保障上网体验
上网流量控制: 建议可限制下载类的大流量
应用,限制单用户使用网络的流量,保障用户的 上网体验。
提供健康上网环境
行为管理:
利用上网行为管理设备过滤不良网页和应用,提供 健康绿色的上网环境。对部分敏感信息进行记录,满足 公安部82号令的要求。
AC-SC集中管理
深信服WIFI系统上网行为管理解决方案
谢谢
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
保障上网体验
上网流量控制: 建议可限制下载类的大流量
应用,限制单用户使用网络的流量,保障用户的 上网体验。
提供健康上网环境
行为管理:
利用上网行为管理设备过滤不良网页和应用,提供 健康绿色的上网环境。对部分敏感信息进行记录,满足 公安部82号令的要求。
AC-SC集中管理
集中管理解决方案
1.方便快速的部署 2.集中管理 3.分级管理 4.实时监控 5.智能升级 6.日志集中
深信服WIFI系统上网行为管理解决方案
应用背景
随着智能手机、pad智能终端的普及,我们已经习惯了随时随地的连
接网络,使用网络。各大型商场,酒店大厅,银行营业厅已经部署了无
线网络。
需求分析
• 上网用户身份确定
• 发表免责声明,推送广告页面 • 统计客户信息,挖掘潜在商机 • 保障上网体验 • 提供健康上网环境
典型案例
安徽合肥万达商场
a. 采用短信认证,认证后跳转到公司页面,在认 证页面推送广告; b. 针对用户做流控,限制不当网络行为,特别是 下载,保பைடு நூலகம்访问速度; c. 搜集手机号作为目标客户数据来源,定期发送 手机广告,从而IT给业务带来增值 。
山西大酒店
采用AC无线网络管理和业务增值方案: a. 采用短信认证,认证后跳转到酒店的广告页面; b. 做无线网络的行为管控; c. 实名认证+审计,满足公安部的审查需求。
深信服上网行为管理--wifi项目实施变更SOP
CPIC IT中心上网行为管理变更信息安全与内控管理部2018年08月22日目录目录 (II)1 基本信息 (3)1.1变更说明 (3)1.2执行时间及人员 (3)1.3操作对象 (3)1.4提前准备信息 (3)1.5风险控制 (3)2 实施方案 (4)2.1准备工作 (4)2.2方案拓扑 (4)2.3操作步骤及命令 (4)2.4验证及检查方案 (9)2.5所需更新的CMDB信息 (10)3 应急步骤/回退步骤 (11)4 异常情况升级报告路径 (11)1基本信息1.1 变更说明##变更内容、目标以及本文档适用情况/范围的简要说明##由于WIFI审计要求需要,现需要再wifi网络中部署行为管理设备,用于无线网络中所有用户上网行为的审计记录,同时在规定时间内留存,以实现wifi网络的合规。
1.2 执行时间及人员##变更执行的时间,人员##CPIC变更窗口,操作人员----信息安全与内控管理部白银,深信服工程师。
1.3 操作对象1.4 提前准备信息1.5 风险控制2实施方案2.1 准备工作##变更执行前需要进行的操作系统环境检查,相关软件参数配置检查,网络连通性检查,堡垒机节点及帐号检查确认,容量检查确认,介质准备,帐号申请,备件准备等步骤##确认近期是否有变更窗口,2.2 方案拓扑2.3 操作步骤及命令##执行变更操作的步骤和操作命令,各主要步骤执行后确认执行成功的检查方法和命令。
其中高危操作步骤需提供详细的操作命令,并用红色标示出##1.交换机配置镜像流量:(镜像wifi用户上公网的所有流量)2.配置行为管理部署模式系统管理-->网络配置-->部署模式,点击开始配置。
选择旁路模式选择管理口:eth0,配置IP等信息选择镜像口,配置IP地址列表点击<提交>系统管理-->网络配置-->网络协议扩展,点击提交4.配置审计策略策略管理-->上网策略,新增上网审计策略(有一条上网审计的示例策略,使用这条策略也可以)5、接线上架,参照准备表格接线ETH0接镜像口ETH2作管理口6、加入集中管理SC系统管理-->系统配置-->高级配置-->加入集中管理6、新建管理员账号&密码,账号:CPICadmin,密码:根据当地去设置。
深信服上网行为管理
深信服上网行为管理由于互联网的普及,人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。
虽然这样的便利给我们的生活带来了很多乐趣,但是也带来了不少问题。
其中最重要的问题是如何管理上网行为,以保护个人和企业的隐私和安全。
这就是深信服上网行为管理所要解决的问题。
根据深信服的介绍,上网行为管理是指对企业和机构内部网络使用情况进行监控和管理,以确保网络资源的安全和有效利用。
一般而言,上网行为管理可以分为以下几个方面:1. 访问控制。
这个方面是指通过设置网络防火墙和访问控制规则,禁止一些不安全或不必要的网络连接,以避免病毒、背景音乐等对网络的破坏和浪费。
2. 员工监控。
这个方面是指通过网络监控软件,实时监测企业的内部网络使用情况,记录员工的网络活动,包括网站访问、打印和复制文件等操作。
这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。
3. 数据保护。
这个方面是指对企业机密信息进行加密和存储,防止黑客、病毒等非法入侵和窃取。
此外,深信服还提供了异地备份和自动恢复等功能,保障企业在网络灾难和硬件故障时仍能保持数据安全。
4. 网络优化。
这个方面是指通过访问统计和流量分析等工具,了解网络使用情况,判断网络流量波峰和波谷,调整网络带宽,使网络资源的利用率最大化。
综上所述,深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私,同时还可以提高网络资源的利用效率,增强企业的生产力和竞争力。
但是,由于监控和管理员工的上网活动涉及个人隐私,企业在使用上网行为管理的时候应该遵循以下几个原则:1. 进行明确的告知。
企业在使用上网行为管理之前,应该事先向员工做出相关的告知,让他们明白使用网络的条件和限制。
2. 合理使用。
在使用上网行为管理时,企业应该根据工作需要和风险评估的结果,制定合理、科学的网络管理策略,避免滥用和误用网络监控和管理的权利。
3. 保护员工隐私。
在进行员工监控时,企业应该保证员工个人隐私的保护,合法使用网络监控软件,不违反相关法律法规和规定。
用深信服上网行为管理禁止360WIFI的使用
“对象定义”---“准入规则库”---“新增”---“进程规则”(图1)
“规则名称”手动填入“360WIFI进程”,“规则类型”手动填入“小型路由器进程”,“违规操作”选择“禁止用户上网”,“进程名称”手动填入“360AP.exe”,“运行状态”选择“正在运行”,点击“提交”(图2)
(图1)
(图2)
“用户与策略管理”---“上网策略”---“准入策略”(图3)
勾选“准入策略”---“添加”,选择“小型路由器进程”,“策略名称”手动填入“禁止使用360WIFI”,点击“确定”,再点击“提交”(图4)
(图3)
(图4)
3.将策略指派给相应的用户或用户组
“用户与策略管理”可以看到刚刚做好的策略(图5)
点击“禁止使用360WIFI”这条策略,再点击“适用组和用户”勾选要指派这策略的组或用户,点击“提交”(图6)
(图5)
(图6)
策略效果说明:
1.指派了这一条策略的用户,都会提示安装准入插件,如果准入插件没安装或被卸
载,用户就不能上网,但内网通信不受影响;
2.准入插件检测用户电脑在运行“360AP.exe”这个进程时,上网行为管理就会自
动切断用户电脑与Internet的连接,但内网通信不受影响。
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
深信服上网行为管理操作步骤(傻瓜版)
深信服上⽹⾏为管理操作步骤(傻⽠版)
⼀.建⽴应⽤⿊名单库
1.点击“对象定义”---“⾃定义应⽤”(图1)
(图1)
2.点击“新增”,新增相应的应⽤内容,添加后点击“提交”(图2)(图3)
(图2)
(图3)
3.添加完成后可以看到在“⾃定义应⽤”表中多了⼀个“禁⽌⽹上交易”的类型,(图4),请注意:必须勾选“⽤户⾃定义规则优先”
(图4)
⼆.制定应⽤过滤策略并指派给⽤户或组
1.点击“⽤户与策略管理”----“新增”---“上⽹权限策略”(图5)
2.勾选“应⽤控制”(图6)
(图6)
3.点击应⽤分类的添加键“”添加应⽤“禁⽌⼴发WEB交易”分类(图7)
(图7)
4.填⼊相应的策略名称,动作选择“拒绝”,⽣效时间选择“全天”(图8)
(图8)
5.点击“适合的组和⽤户”,将策略指派给某个⽤户或组(图8)
6.完成以上所有操作,即可以在“上⽹策略“中看到刚刚所做的策略(图9)
(图9)。
深信服SINFORAC上网行为管理解决方案
深信服SINFORAC上网行为管理解决方案12深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改进,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT 管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:·IT管理员如何对企业网络效能行为进行统计、分析和评估?3·IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?·IT管理员如何杜绝员工经过电子邮件、MSN等途径泄漏企业内部机密资料?·IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手——SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
特别值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
深信服上网行为管理-终端接入管理介绍
移动终端管理配置
发现移动终端后的操作,如 果不选,则只识别记录日志。
移动终端管理配置
配置完成后,当有移动终端流量接入并经过AC时,会被AC识别并拦截,且 终端提示如下
注意
移动终端管理是全局开关,开启后,只要识别为共享行为 的,会统一处理(如封堵),如果有个别用户是允许接入 移动终端,应该怎样处理?可以通过下面的方法将例外用 户或IP地址添加至信任列表。信任列表中的用户不作处理。
内网私接路由器,终端通过路由器NAT上网场景
共享接入管理配置
场景一:企业经常会用360wifi等随身wifi,可以共享给任何终端接入,要 做到防止任何终端共享接入。企业防共享一般按如下图设置,统计方式选择 “统计所有终端类型”,冻结选项选择“冻结IP地址”。
配置自动冻结条件,如果 不启用,则只识别不冻结
共享接入管理日志
历史日志显示近期被发现共享上网的用 户,更多日志可以从数据中心查询
注意
共享接入管理是全局开关,开启后,只要识别为共享行为 的,会统一处理(如封堵),如果有个别用户是允许共享 上网的,应该怎样处理?可以通过下面的方法将例外用户 或IP地址添加至信任列表。信任列表中的用户不作处理。
注意
移动终端管理
移动终端管理介绍
由于平板电脑、手机等智能终端的流行和他们本身只能采用无线网 络,员工可能自己拿一些无线AP接入公司有线网络,无线终端(如 手机)再通过无线AP接入公司网络。这样可能导致内网暴漏,信息 安全遭受威胁。移动终端管理,能够识别无线智能终端的接入,防 范无线智能终端设备接入引起引起的安全风险。
6.0版本支持的共享接入管理场景如下
场景 2台及以上windows pc共享上网 windows pc和移动端(如ios,android)
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
深信服上网行为管理-系统管理配置指南
培训内容 策略路由和多线路 选路 事件告警功能
SNMP
培训目标
掌握策略路由适用场景,能够根据实际场景正确配置 策略路由并达到效果
掌握事件告警功能种类,能够根据实际场景配置事件 告警功能并达到效果
掌握设备支持SNMP版本,并且能够正确配置SNMP 网管软件管理设备
7、通过邮件客户端发送一封带病毒的原始邮件
8、设备检测到病毒效果
首页,运行状态页面,右下角小喇叭提示发现病毒。如下图
管理员告警邮箱志,如下图
SNMP
SNMP介绍
客户机房有很多不同厂商的网络设备,不便于管理,希望通过网管软件对 所有网络设备进行监控和管理。AC&SG默认支持snmp协议(支持snmp v1 v2 v3),并提供mib库,通过网管软件导入mib库,从而实现对设备状 态监控和管理。
SANGFOR AC&SG
策略路由和多线路选路 事件告警功能 SNM深P 信服公司简介
策略路由和多线路选路
策略路由和多线路选路介绍
应用背景:随着企业的不断壮大和发展,一个企业所拥有的互联网线路往往不止一 条,而每条线路的带宽又是非常有限的。如何设置才能够更合理的利用线路带宽, 提高访问公网的速度呢?
经过设备的数据流会先按策略路由选路,如果没有配置策略路由规则或按策 略路由没有查到对应的选路规则,则会进行多线路选路。多线路选路是由程 序自动选路,无须配置策略路由规则,共有四种多线路选路策略。
注意
1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路,在序列号中至少开启2条外网线路的授权。 3. 外网每条线路配置的DNS地址必须可以解析域名,策略路由程序会根据线路的DNS是否 可以解析域名线路是否故障,DNS无法解析域名,则策略路由程序会检测此线路故障。 4.静态路由,策略路由和多线路选路的优先级关系。静态路由优先策略路由,策略路由优 先多线路选路。 5.设备有多线路时,如果一条线路出现故障,则流程会切换到其它线路,直到故障线路恢 复,从而实现线路智能切换。现场测试线路切换时,建议使用拨线路,浏览器打开网页的 方式测试。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
认证单一,多用户 授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值??
顾客 商户 组网方便:已经购买AC的客户。这些客户只需要升级下软件,在购买几个
AP,就可以快速组建无线网络
降低成本:AC合入无线功能,无需购买WAC,少了WAC的购买和IT管理成本 认证授权多样化:二维码扫描,微信认证,短信认证,WEB认证.... 无线数据可安全管控:利用AC的上网控制功能,可分析无线上网的数据提 供给商户做数据收集。可加入SC集中管理
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
深信服上网行为管理 无线管理指南
培训内容
培训目标
无线需求
授权与部署 AP发现与激活 无线模块与AC模块交互过程
1、了解当前无线环境存在的问题,及AC合入 无线后给客户带来的价值 1、掌握AC哪些部署模式支持无线
1、掌握AP发过程
1、了解无线与AC模块的交互过程
无线网络配置
1、掌握无线配置,并能根据实际环境配置开放
开放式无线网络共有三种认证方式,密码认证,二维码审核和无 需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求,实名上网,则可以选用此认证方式。智能终端接入AP,不需要授 权,但上网时会弹portal页面, 要求认证后才可以上网。如下图。
该无线网络在哪些 ap上创建
终端打开网页的认证方
AP前面板
前视图
双频
从左到右依次说明: 『WLAN2G』:当AP有启用2G频段的网络时,改标识灯会亮起来 『WLAN5G』:当AP有启用5G频段的网络时,改标识灯会亮起来 『STATUS』:AP状态灯,数据转发时会闪烁 『POWER』:电源灯,接上电源就会亮起来。
2.部署
AC使用无线功能时,支持的部署模式有路由和网桥,不支持多机,双机, 旁路,单臂及AC和WAC(深信服无线控制器)混合部署场景。
DHCP
AP
server
AC
1、获取ip地址、DNS server地址 2、DNS解析经过设备,AC拦截此 解析返回1.2.3.4的地址给ap实现激活
3、AP向AC UDP7777发送单播请求
4、AP发送二层广播发现请求
注意:由于AC作为DHCP服务器不支持option 43字段,AC作为DHCP服 务不支持这种方式
1.2 开放式+二维码审核 开放式+二维码审核认证方式适用访客上网,当访客需要接入外网时,接待人 (即审核人)扫描二维码后,访客即可上网。
认证方式:选择二维码审核 审核人:指定具有审核上网 权限的个人或组。审核人必 须先通过认证。
企业、商户营销需求 需成本低廉、营销定位精准、互动性强的营销推广方式
式,可选密码认证,二
维码,无需认证
可选本地用户第三方
可以设置允许通过无线
服务器
网络认证的用户范围,
可以选择AC中的组
2.开放式+密码认证效果 接入AP无线网络时不需要验证,打开网页时需要认证,如下图
移动终端接入无线网络后,在“接入用户”列表可以查到当前接入用户状态
移动终端接入无线通过AC无线模块认证后,会同时发送认证信息给AC认 证模块 ,通过AC的认证,如下图所示AC在线用户管理
1. 快速、便捷的上网接入 2. 安全、高速的上网体验
简单、易用的精准营销
1. 用户信息收集与挖掘 2. 推送商户广告信息
2、存在问题
免费wifi基 本没有带来
价值
无价值
无线上 网缺乏 管控
当前无线使 用存在的问
题
成本高
对无线缺乏管理,只 能做到接入和访问控 制,对上网行为缺乏
管控
认证授 权单一
组网耗时,需同时 管理wac众多AP 管理麻烦,管理成
PART 2
授权与部署
7
1.授权
6.0版本开始,有无线功能,通过序列号授权激活
AP外观
AP后面板
后视图
从左到右依次说明: 电源口:48V DC的直流电源,配备电源适配器,接入110~230V电压范围, Console:控制口,用于工程师和测试工程师调试用 LAN:出厂默认dhcp获取地址,支持PoE(Power over Ethernet)供电 Reset:重置按钮,长按RESET按钮5-15秒,除了power灯以外,所有灯都会 灭一段时间,然后AP会重启,并恢复默认出厂配置
①
⑤无线模块发送认证信息给AC,终端从AC认证
AP
AP
上线
③
PART 5
无线网络配置
19
无线网络
密码认证
开放式无线网络
二维码认证
无需认证
WPA-PSK/ WPA2-PSK(个人)
密码认证 二维码认证
无需认证
WPA/WPA2(企业)
本地用户 Radius中继
1.开放式无线网络
开放式无线网络指终端接入AP不受限制,不需要授权,安全性 低,一般适用安全性要求不高的客户。
AP发现并激活后,默认以mac地址作为用户名,加入默认组,在无线 状态和接入点管理可以看到AP状态,如下图:
PART 4 无线模块与AC模块交互
17
无线相 关配置
AC6.0
AC模块 பைடு நூலகம் 无线模块
AP发现AC ②AC配置无线SSID等配置,自动下发给AP ③终端通过无线网络接入AP
交换机 ④
②
④终端通过密码认证,二维码认证或无需认证等 通过无线认证
路由
网桥
Lan
Lan
Lan
Lan
AP AP
AP接入网络当中,AP是否需要做配置?有无WEB登录界面?
AP无需配置
①
AP发现AC
Lan AP
Lan AP
②
AC下发配置给
AP
Lan AP
Lan AP
PART 3 AP发现与激活
14
部署完AC和AP后,紧接的过程是AP发现与激活。AP发现与激活,对用户 是完全透明的,程序自动完成。无需手动激活。
互动性强 可节约人力成本
营销广告推广
定位精确,关注者 都是潜在消费者
微信应用趋势
越来越多的企业、商户选择微信公众号来做推广!!
如何推广微信公众号? 能否让wifi发挥价值,想获取上网权限必须关注公众号? 无线能否结合微信认证?
1.3 开放式+无需认证 开放式+无需认证认证方式指的是终端接入AP及AC无线模块不需要认