深信服上网行为管理AC涉密资质证书
深信服AC行为管理初级认证培训11_上网代理
1 2 3 4 5 6 7 8 9
显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能
PAC脚本
需求:内网访问内网服务器不走代理,内网通过代理服务器上外网
Contents
1 2 3 4 5 6 7 8 9
(4)根据客户需求设置认证策略,此处使用设备默认认证策略。
(5)客户DLP服务器上实现做好过滤策略,此处以关键字过滤测试
1.2 效果
(1)PC打开网页搜索关键字symantec_dlp_refuse_test会弹出拒绝页面。
2、ssl代理
ssl代理:SG透传https 的流量给icap服务器处 理
SG解密https数据后传给icap服务器
4、注意事项 (1)一个ICAP服务器中,可以新增多台服务器,一般客户环境中多台服务器属于 同一类型时这样使用,比如客户有多台DLP服务器用来做负载使用。此时SG会 采用轮询机制来调度到不同的服务器。 (2)一个代理服务器可以同时选择多个ICAP服务器组,一般客户环境中有多台不 同类型的ICAP服务器这样使用,比如客户有DLP、Websence,SG在转发数据 的时候,每个请求只能匹配一个ICAP组,不同的请求可以匹配不同的ICAP组。 根据代理策略规则按照从上到下的顺序选择第一个满足条件的ICAP服务器组进 行数据转发,如Get请求会匹配第一个支持Get的ICAP服务器组。
ICAP协议
ICAP是一种应用层协议,ICAP客户端传送请求数据到ICAP服务器做校验,常 用于金融客户,常见的ICAP服务器有Macfee(杀毒),赛门铁克, websense(url过滤)。
深信服上网行为管理-无线管理指南
认证单一,多用户 授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值??
顾客 商户 组网方便:已经购买AC的客户。这些客户只需要升级下软件,在购买几个
AP,就可以快速组建无线网络
降低成本:AC合入无线功能,无需购买WAC,少了WAC的购买和IT管理成本 认证授权多样化:二维码扫描,微信认证,短信认证,WEB认证.... 无线数据可安全管控:利用AC的上网控制功能,可分析无线上网的数据提 供给商户做数据收集。可加入SC集中管理
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
深信服上网行为管理 无线管理指南
培训内容
培训目标
无线需求
授权与部署 AP发现与激活 无线模块与AC模块交互过程
1、了解当前无线环境存在的问题,及AC合入 无线后给客户带来的价值 1、掌握AC哪些部署模式支持无线
1、掌握AP发过程
1、了解无线与AC模块的交互过程
无线网络配置
1、掌握无线配置,并能根据实际环境配置开放
开放式无线网络共有三种认证方式,密码认证,二维码审核和无 需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求,实名上网,则可以选用此认证方式。智能终端接入AP,不需要授 权,但上网时会弹portal页面, 要求认证后才可以上网。如下图。
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服AC基本功能介绍
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)
上网行为管理标准
OA
应用分析
SANGFOR AC能为我们带来什么?
应用授权
网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒
带宽管理
多线路流控 用户/组流控 应用流控 网站流控 文件流控
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道 +
虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服上网行为管理-上网策略介绍
注意
1、SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网 SSL内容识别才生效。
3建立上网权限策略启用ssl内容识别并和用户support关联https协议加密识别加密网站域名在域名列表中才会识别填写mailqqcom支持通配也可以写成qqcomweb加密内容识别后的动作可以审计关键字过滤客户端加密发送接收邮件识别如smtpspop3s默认识别加密客户端所有发送接收邮件如果有例外情况在这里排除服务器地址识别后的动作要以审计或邮件过滤
用户support位于渠道认证测试组,且已通过设备认证
2、需要先确认多功能序列号已激活SSL内容识别,默认是激活的。如下图。
3、建立上网权限策略启用SSL内容识别,并和用户support关联
https协议加密识别
默认识别加密客户端所有发送接收邮 w键件 务加e字b, 器密加过如 地客识网密滤果 址户别站内有端(容域加如例识名密s外别m在发后情t域p送的况s名/接动p,列o收作p在表邮,3这s件中可)里才以排审会除计识服,别关,
终端用户连接数如果超过限制,则异常(如网页打不开),不会给终端弹提示页面。
注意:连接数控制不区分具体应用,可能会导致打不开网页。所以实际场景中,建 议不要使用此功能,如有连接数控制需求的,建议使用流控,也能达到预期效果。
练练手
本章PPT在介绍SSL内容识别时,只介绍了web加密邮件审计,你结合本节 所学内容,尝试自己动手完成加密客户端发送邮件审计及加密客户端发送 邮件过滤实验。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
SC-AC上网行为管理集中管理平台
SC-AC上网行为管理集中管理平台针对大型组织在全网部署上网行为管理产品时所遇到的问题——管理策略无法得到统一执行、分支设备状况无法实时及时查看、分支设备出现故障无法及时准确定位、权限分散的管理模式使管理维护成本居高不下等问题,深信服提供了业界最为领先的管理和技术手段,彻底解决了大型组织机构面临的部署、管理、升级以及日志方面的问题。
深信服SC-AC上网行为管理设备集中管理平台除能进行全网策略下发、上网行为日志管理、全网设备状态操控等基本功能外,还支持分支机构自行设置个性化管理策略,实现“个性化管理”与“集中统一管理”相结合。
SC-AC集中管理平台可实现管理员分级管理,通过将各分支上网行为管理设备划入到不同“区域”中,将不同“区域”的管理权限分配给不同级别的管理员,使管理职责更清晰,总部和分支的管理员协作更加高效,能有效降低管理成本和沟通成本。
SC-AC内置有强大的防火墙功能,能有效防范非善意的端口嗅探、DOS攻击、泛洪流量、入侵等威胁,可有效保障SC的安全。
产品功能集中管理组织机构通过使用SC集中管理平台,总部可以将全网的成百上千台AC上网行为管理网关设备集中管理。
总部的IT管理人员通过编辑SC“复制模板”上的相关配置,并通过一次鼠标点击实现全网指定上网行为管理设备上相关配置的统一和更新,既方便了管理同时又确保了策略的一致性。
而对于某些分支上网行为管理设备上部分配置较“个性化”而与其他分支上网行为管理不同时,I T管理者同样可以通过SC对此类上网行为管理设备进行单独编辑和配置的单独下发。
从而实现集中化和个性化的灵活性要求。
分级管理SC集中管理平台支持管理员分级管理。
将分支上网行为管理设备划分到SC的不同“区域”中,SC上配置的不同管理员将具有不同“区域”的管理权限,具体权限划分包括Read-Only只读权限和Read-Write读写权限之分;同时SC支持将指定的分支上网行为管理设备的不同功能模块的修改权限下放给分支本地管理员,从而实现总部管理员、“区域”管理员、本地管理员的分级管理结构,强化了管理的灵活性。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求概述...................................................................... 错误!未定义书签。
背景介绍...................................................................... 错误!未定义书签。
需求分析...................................................................... 错误!未定义书签。
带宽效率风险.................................................... 错误!未定义书签。
工作效率风险.................................................... 错误!未定义书签。
泄密风险............................................................ 错误!未定义书签。
法律风险............................................................ 错误!未定义书签。
安全风险............................................................ 错误!未定义书签。
客户具体需求分析...................................................... 错误!未定义书签。
客户网络现状分析...................................................... 错误!未定义书签。
第2章上网行为管理标准...................................................... 错误!未定义书签。
深信服_AC_部署模式
Page12
2.2 网桥模式设置 (1)网桥多网口配置---单网桥配置
前置设备
路由器(FW)
AC
交换机
SINFOR TECHNOLOGIES CO.,LTD.
Page13
(1)网桥多网口配置(续)---单网桥配置
如果交换机和前置单设备网走桥非模式下配 trunk协议,此处禁置用管即理可口IP地址
SINFOR TECHNOLOGIES CO.,LTD.
Page18
3.1、简单网络
路由器(FW) 二层交换机 LAN IP: 192.168.1.254
ip:192.168.1.2/24 gw:192.168.1.254
客户环境: 路由器(FW)NAT代理 上网,单一网络,无多 网段
客户需求: 1、URL过滤、IM监控、 上网行为记录…
新、网关杀毒可用), 并在添加回包路由。
3、前置设备上的 DHCP、IP/MAC绑 定不可用
SINFOR TECHNOLOGIES CO.,LTD.
Page21
保留原网关,网桥模式部署
AC 二层交换机 路由器(FW) 网桥IP: LAN IP: 192.168.1.253 192.168.1.254 GW:192.168.1.254
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
IP:192.168.2.2/24 GW:192.168.2.254
启用这类功能时实 际是AC代理访问。
SINFOR TECHNOLOGIES CO.,LTD.
深信服AC基本功能简介
如果交叉线连接设备的eth1口,请配置电脑IP为和eth1口IP同网段的IP,并使 用eth1口IP地址登录网关控制台。 一般情况下,eth0和eth1口是登录设备的常用接口。
1、带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无 法有效的分配和利用)
2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥) 3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提
供了通道,泄密后无据可查,责任难追究) 4、违法网络行为为企业带来法律风险(肆意浏览色情、反动网站,无具体日志记录,无法
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
上网权限管理
上网策略对象化
树形的组织结构
灵活的权限管控
“策略”与“用 户、用户组”灵 活关联
分级的网络管 理员,制定分 级的上网策略
与组织的行政 架构保持一致
控制维度: 用户/应用/内容 /时间
基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件,提交人工审核
管理SSL 2
加密邮件
过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
深信服 M5400-AC-P 上网行为管理产品招标参数
必须能过滤内网用户外发垃圾邮件、支持向内外网用户发送垃圾邮件的行为
应用识别
应用识别
包括不少于450条以上的应用识别规则
IM识别:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、51挂挂、POCO、等不少于70种
游戏识别:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、联众好友、新浪游戏大厅不少于90种
2.必须能防范三层网络环境中的ARP欺骗问题
防火墙
具有防火墙功能模块
入侵防御
必须能防御来自外网的攻击和入侵,并提供不少于3000种攻击行为识别特征码
投标产品资质要求
中国信息安全产品测评认证中心《产品型号证书》
投标产品生产商资质要求
公安部信息安全产品检测中心《检验报告》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》
IM审计
支持记录QQ、MSNShell、Skype、等加密聊天内容
支持记录MSN、飞信、雅虎通等明文聊天内容
应用审计
审计P2P、流媒体、炒股、网络游戏、FTP、Telnet等应用行为
异常行为记录
必须记录木马、病毒、端口扫描等危险行为
反向审计
支持能审计外网访问内网网站、发帖、收发邮件、下载上传文件的行为;
支持网管员自定义规则
P2P智能识别
必须具有识别和管理P2P的新版本、不常见的P2P、和未识别P2P的技术(以上功能提供产品界面截图证明)
应用行为管理
代理封堵
支持禁用公网Web代理服务器的,并能封堵自由门、无界面浏览器等加密代理封堵用户代理他人上网的行为;(以上功能提供产品界面截图证明)
权限控制
支持基于时间段、基于用户/用户组、基于应用类型控制用户的上网权限;
(完整版)上网行为管理AC-1200实际配置管理手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
4.2.1 系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息4.2.2 管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
深信服AC介绍-概述篇V3.0
大企业
深信服上网行为管理产品(AC) 目前在大企业行业中 涉及客户达到1800家以上,涵盖央企、国资委下属 企业、航空公司、科技集团、烟草、汽车、钢铁、制 造业、房地产等多个细分行业
北京王府井通过深信服上网行为管理产品(AC) 的营 销增值方案,提高营销效率,实现O2O战略转型
运营商
深信服上网行为管理产品(AC)应用于移动、联通、 电信、广电四大运营商,涵盖全国18个省240个市 级分公司 中国移动通信集团广东省有限公司集中采购600台深 信服上网行为管理产品(AC);
品牌
2005年
首推
8年
No.1
唯一入围
Gartner SWG
上网行为管理产品价值
提高 工作效率
提高带宽 利用率
规避 违法风险
安全保障
客户案例
政府行业
政府行业已销售的客户过万,共计覆盖了60多个政 府的细分行业,其中在60%的电子政务外网都在使 用深信服上网行为管理产品(AC)。多款产品入围中 央政府采购清单 在新疆自治区14个地州,96个县的电子政务外网出 口部署110多台的深信服上网行为管理产品(AC)
金融行业
深信服上网行为管理产品(AC) 目前在金融行业中客 户数达到430家,其中银行客户有180家,包括四大 行、招商银行、交通银行等,80家保险类客户, 160多家基金和证券公司
河北省中国银行共部署466台深信服上网行为管理产 品(AC) ,实现营业网点的网络管控
教育
深信服上网行为管理产品(AC)目前在教育行业中客 户量达到9ห้องสมุดไป่ตู้0家以上,包括280多所高校、200多所 高/中职院校、300多个地区的教育局和50多个研究 机构等 中山大学隶属于全国211、985高校,互联网出口带 宽为7G,全校师生5万多,实际处理超过5G的流量, 同时包含IPV6和IPV4网络,设备运行稳定,性能和 功能上均满足了学校的要求
AC上网行为管理技术参数
支持针对上网权限策略进行检测分析,查看各个应用是否匹配相关策略;(提供产品界面截图)
用户认证故障排查
支持针对用户认证的故障进行分析,给出错误详情以及处置建议;(提供产品界面截图)
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持集中管理
多台设备支持通过统一平台集中管理、集中配置等;
加入集中管理时,支持身份认证,比如密码正确才能加入
解除集中管理时,要输入中心端的解控秘钥才允许解控
支持主备伴随升级
支持统一平台设备下发升级包,一次下发,2 台设备连续同时升级成功。升级过程中会进行双机切换来保证业务不中断。
智能组网
支持SDWAN 组网技术,统一平台下发策略邮件到多台设备,一键部署;
移动应用的细分控制
支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ:QQ传文件、QQ视频语音等。(提供产品界面截图)
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
QQ白名单
支持基于用户组、终端类型、位置的QQ白名单功能。(提供产品界面截图)
代理控制
支持链路故障检测;(提供产品界面截图)
排障工具
提供图形化排障工具,便于管理员排查策略错误等故障;
上网故障排除系统
支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大;
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、在线用户数、系统时间、网络接口等信息;
★首页可视化分析展示
1.不允许使用外部HTTP代理;
常用问题排错指导-深信服上网行为管理AC
5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进
程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启 动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况: 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区 。(但是支持RAID磁盘阵列)。 2. 服务器上已安装了其他数据库(比如SQL SEREVER) 建议服务器上不要安装其他数据库,以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤
深信服ac基本功能介绍
报表分析
了解应用现状,验证管理效果,是制定和调整策略的依据
安全防护
识别异常流量,阻断网络攻击与异常外发行为 过滤恶意脚本与危险插件、过滤挂马网页,避免无安全防护的终端 感染病毒、被劫持,提升内网安全
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
千万级 静态URL库
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
使用一根交叉线连接设备和电脑,如果连接电脑和设备的eth0口,电脑配置 一个10.251.251.0网段的IP地址(10.251.251.251除外),确保电脑和设备 eth0口IP在同网段后,在电脑的浏览器中输入https://10.251.251.251 登录设 备的网关控制台,控制台默认的账号密码为Admin/Admin
行为
封堵QQ等 IM传文件
识别并告警: 篡改/删除扩展名 压缩/加密再外发
行为管理:应用授权—带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
行为管理:应用授权—带宽管理