深信服上网行为 管理设备功能介绍(2)
深信服AC-1200配置手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
4.2.1 系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息4.2.2 管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
深信服上网行为管理
深信服上网行为管理由于互联网的普及,人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。
虽然这样的便利给我们的生活带来了很多乐趣,但是也带来了不少问题。
其中最重要的问题是如何管理上网行为,以保护个人和企业的隐私和安全。
这就是深信服上网行为管理所要解决的问题。
根据深信服的介绍,上网行为管理是指对企业和机构内部网络使用情况进行监控和管理,以确保网络资源的安全和有效利用。
一般而言,上网行为管理可以分为以下几个方面:1. 访问控制。
这个方面是指通过设置网络防火墙和访问控制规则,禁止一些不安全或不必要的网络连接,以避免病毒、背景音乐等对网络的破坏和浪费。
2. 员工监控。
这个方面是指通过网络监控软件,实时监测企业的内部网络使用情况,记录员工的网络活动,包括网站访问、打印和复制文件等操作。
这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。
3. 数据保护。
这个方面是指对企业机密信息进行加密和存储,防止黑客、病毒等非法入侵和窃取。
此外,深信服还提供了异地备份和自动恢复等功能,保障企业在网络灾难和硬件故障时仍能保持数据安全。
4. 网络优化。
这个方面是指通过访问统计和流量分析等工具,了解网络使用情况,判断网络流量波峰和波谷,调整网络带宽,使网络资源的利用率最大化。
综上所述,深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私,同时还可以提高网络资源的利用效率,增强企业的生产力和竞争力。
但是,由于监控和管理员工的上网活动涉及个人隐私,企业在使用上网行为管理的时候应该遵循以下几个原则:1. 进行明确的告知。
企业在使用上网行为管理之前,应该事先向员工做出相关的告知,让他们明白使用网络的条件和限制。
2. 合理使用。
在使用上网行为管理时,企业应该根据工作需要和风险评估的结果,制定合理、科学的网络管理策略,避免滥用和误用网络监控和管理的权利。
3. 保护员工隐私。
在进行员工监控时,企业应该保证员工个人隐私的保护,合法使用网络监控软件,不违反相关法律法规和规定。
深信服上网行为管理-基本功能介绍
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
定向至指定网页ipmac认证自建帐号密码usbkey认证短信认证ldapradiuspop3ipmac认证pop3proxyad单点登录微信认证web单点登录pppoe单点登陆数据库认证第三方设备单点登陆新用户认证自动分组自动认证自动授权用户身份识别有效区分用户分层次管理的组织架构是部署差异化管理策略的依据用户身份识别用户身份识别映射组织结构网关控制台用户与上网策略对应策略列表用户与行为一一对应数据中心网络应用识别识别网络应用了解用户行为是管控措施的基础和对象国内最大的应用识别库超过2000多种主流应用注
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服上网行为管理系统用户手册
深信服上网行为管理系统用户手册深信服上网行为管理系统用户手册AC 12.0.18用户手册目录前言 (2)手册内容 (2)本书约定 (2)图形界面格式约定 (2)各类标志 (3)技术支持 (3)致谢 (3)第1 章安装指南 (4)1.1.环境要求 (4)1.2.电源 (4)1.3.产品外观 (4)1.4.配置与管理 (5)1.5.单设备接线方式 (5)1.6.双机备份接线方式 (7)第2 章控制台的使用 (8)2.1.登录WebUI配置界面 (8)2.1.1.AC的web 登录方式 (8)2.1.2.统一认证中心的登录方式 (11)2.2.配置和使用 (12)第3 章功能说明 (15)3.1.增值服务导航 (15)3.1.1.激活设备 (15)3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)3.2.3.泄密追溯分析 (33) 3.2.4.离职倾向分析 (36) 3.2.5.工作效率分析 (40) 3.2.6.未关机检测分析 (42) 3.3.实时状态 (43)3.3.1.实时状态 (43)3.4.对象定义 (89)3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)3.4.7.网络服务 (129)3.4.8.IP 地址库 (131)3.4.9.时间计划组 (139)3.4.10.关键字组 (141)3.4.11.文件类型组 (143) 3.4.12.位置对象组 (144) 3.5.用户认证与管理 (147) 3.5.1.原理 (147)3.5.2.用户认证 (151)3.5.3.用户管理 (220)3.5.4.认证高级选项 (259) 3.6.策略管理 (277)3.6.1.上网策略 (278)3.6.2.策略高级选项 (368)3.7.流量管理 (375)3.7.1.概述 (375)3.7.3.通道配置 (377)3.7.4.线路带宽配置 (414)3.7.5.虚拟线路配置 (415)3.7.6.流量可视化 (425)3.8.终端接入管理 (425)3.8.1.共享接入管理 (426)3.8.2.移动终端管理 (430)3.8.3.代理工具管理 (433)3.9.上网安全 (438)3.9.1.安全状态 (438)3.9.2.安全配置 (441)3.10.VPN配置 (457)3.10.1.DLAN运行状态 (457) 3.10.2.多线路设置 (458)3.10.3.SDWAN智能选路 (460) 3.10.4.基本设置 (472)3.10.5.用户管理 (474)3.10.6.连接管理 (488)3.10.7.虚拟IP 池 (491)3.10.8.本地子网列表 (492) 3.10.9.隧道间路由设置 (494) 3.10.10.第三方对接 (497)3.10.11.通用设置 (509)3.10.12.证书管理 (511)3.10.13.高级设置 (515)3.11.系统管理 (527)3.11.1.防火墙 (527)3.11.2.网络配置 (544)3.11.3.系统配置 (633)3.12.网络安全法 (693)第4 章案例集 (696)4.1.单点登录配置案例 (696)4.1.1AD域单点登录功能配置案例 (696)4.1.2PROXY单点登录配置案例 (723)4.1.3POP3单点登录配置案例 (732)4.1.4Web单点登录配置案例 (737)4.1.5与第三方设备结合单点登录配置案例 (741)4.1.6深信服设备结合认证 (756)4.1.7数据库系统结合认证 (759)4.2.不需要认证用户配置案例 (762)4.3.密码认证用户配置案例 (769)4.3.1短信认证 (769)4.3.2微信及二维码认证 (787)4.3.3密码认证 (801)4.4.其他认证配置案例 (810)4.5.与cas第三方认证配置案例 (825)4.6.策略配置案例 (828)4.6.1针对某用户组设置封堵P2P 和P2P流媒体的策略 (828) 4.6.2针对某用户组设置IM 监控的策略 (832)4.6.3针对某用户组设置开启审计功能 (836)4.7.终端管理配置案例 (838)4.7.1防共享功能配置案例 (838)4.7.2移动终端管理配置案例 (840)4.7.3代理工具理配置案例 (841)4.8.SNMPTRAP配置案例 (842)4.9.综合案例 (846)4.9.1客户网络环境与需求 (846)4.9.2配置思路 (847)附录:SANGFOR设备升级系统的使用 (865)产品升级步骤 (868)前言手册内容第1 部分SANGFOR AC 产品概述。
深信服上网行为管理产品功能
深信服上网行为管理主要作用:能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等独特的敏感内容拦截和安全审计功能,防止机密泄露全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果:1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率上班时间从事私人活动,是办公室皆知的秘密。
管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。
而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。
2.流量控制、带宽管理,提升带宽利用率对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。
基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。
3.修补安全漏洞、提升内网安全级别色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。
4.防范信息机密外泄、保护组织信息资产安全员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。
深信服上网行为管理流量管理系统配置说明
客户常见案例
配置图解: 1.设置公网线路的实际带宽
点击线路1进入 下面的配置框
注意KB/s,互联网 传输的单位是 bps,10M换算到大 B为:1250KB/S
客户常见案例
配置图解: 2. 新增策略1,对P2P等流媒体应用限制带宽
1,启用流量 管理系统
2,新增通道,选择新增 一级通道,建议所有的 策略均为一级通道
客户常见案例
配置图解: 两条策略配置完成后:
客户常见案例
流量管理策略效果验证方法:
1,客户端验证:
使用迅雷下载一个电影,看下载速度是不是小于50KB,小于50KB证 明流控策略有效,另外再关闭流控策略,看下载速度是不是可以上升, 以进一步证明流控策略有效。注意:不要用迅雷下载音乐软件,此类 下载可能为单线程下载,不在我们此次的流控范围。
客户常见案例
选择限制通道,设置20% 配置图解: 后,会自动根据线路带宽 配置换算为具体的带宽, 输入一个直观便 2. 新增策略1,对P2P等流媒体应用限制带宽 上行为上传,下行为下载 于理解的名称
通道内单用户的 带宽,设置为上 行下行50KB
客户常见案例
配置图解: 2. 新增策略1,对P2P等流媒体应用限制带宽
1,选择 自定义
2,选择后 点击确定
3,点击确定完成一 条有效的策略配置
客户常见案例
配置图解: 二,新增策略2,此策略是针对领导,配置步骤和上述新增步 骤一致,上下行带宽值不一样。
客户常见案例
配置图解: 二,新增策略2,此策略是针对领导,配置步骤和上述新增步 骤一致,上下行带宽值不一样。
选择领导 自定义客户10M上网线路,内网有200人,网络管理员抱怨内网上网 较慢,希望AC设备能够解决这个问题,但客户希望AC设备不 封堵任何人任何应用,还不要对领导限制太严。
深信服上网行为管理
深信服上网行为管理随着互联网的快速发展和普及,让人们更加容易上网,高端甚至普通的手机设备也给大众带来了便利。
每个人都可以随时随地上网,获取各种信息和服务。
同时,也存在一些不良上网行为,这些行为有可能侵犯其他人的权益和利益,对个人和社会都会造成很大的影响。
为了规范和管理上网行为,深信服上网行为管理应运而生。
接下来,就让我们来详细地了解一下深信服上网行为管理的相关内容。
深信服上网行为管理是一个完整的网络上网管理方案,它包括网络上网行为监控、网络上网流量管理、上网行为审计、过滤与控制等方面。
其目的是规范和保障网络操作的安全性、合法性和合理性,确保网络资源的合理利用。
首先,网络上网行为监控是深信服上网行为管理的重要一环,它可以对网络用户的上网行为进行实时、准确、全面的监控和记录。
通过实时监控,可以及时发现和阻止不良上网行为,避免网络犯罪或其他不法行为的发生。
通过准确记录,可以为后续网络管理和维护提供重要的数据支持。
其次,网络上网流量管理是指对网络上网流量进行有效的管理和控制。
此管理可以精确测算网络上网用户的流量消耗情况,从而合理规划和利用网络带宽,减少网络瘫痪的情况产生。
同时,对于不合理的流量操作,如高流量、过度的流量等,我们可以通过一系列的控制措施进行管理和控制,保证网络正常运行。
第三,上网行为审计是深信服上网行为管理中的另一个重要部分。
通过对上网行为进行审计,我们可以对用户的上网情况进行精确评估,进而发现和消除潜在的网络风险。
同样,该审计还可以为网络管理人员提供有用的信息和数据,支持网络管理人员制定更加合理的网络管理计划。
最后,对于不良网络行为和不良内容,我们可以通过过滤和控制的方式来防止和消除。
深信服上网行为管理会通过各种先进的技术手段来过滤和控制网络上不良内容、欺诈交易、病毒等有害内容,保障网络环境的规范化、健康化,为用户带来更高品质的网络体验。
总之,深信服上网行为管理是一种完整和高效的上网管理方案,它旨在规范和保障网络操作的安全性、合法性和合理性。
深信服上网行为管理功能参数
双因素认证
支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
URL智能识别
支持未知网页的自动识别与分类;
支持根据用户训练的关键字、url、自动分类未知网页;
SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持识别删除、篡改文件扩展名的邮件附件外发行为并报警;;
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台支持以硬件证书验证身份;
告警管理
支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;
加密连接
具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问;
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC 的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:● IT管理员如何对企业网络效能行为进行统计、分析和评估?● IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?● IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?● IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手――SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
网康、深信服上网行为管理功能对比
外发内容过滤
邮件过滤
可以控制用户禁止向某邮箱地址或某域名的邮箱发送邮件;
可以控制用户禁止发送主题或正文包含某关键字的邮件,且对主题和正文关键字可分别控制;
可禁止外发附件名称包含某关键字的邮件;
可控制允许外发邮件附件的大小范围;
能够审计用户通过搜索引擎输入的所有关键字,也可以只审计指定的敏感关键字;
提供专门的检索工具,对用户的搜索历史进行查询;
按照搜索类别/用户进行统计;
能够审计用户通过搜索引擎输入的所有关键字;
文件传输审计
可以记录用户通过HTTP、FTP协议上传或下载文件的内容;
可以记录指定下载源地、指定类型、指定大小的文件内容;
管理员密码修改支持不支持超级管理员定义的策略普通管理员无权更改支持不支持配置改变无需重支持不支持策略批量生效支持不支持实时在线帮助支持不支持保留用户日志的版本升级支持不支持支持日志中心支持独立日志中心实现审计日志的海量存储与离线查询保障日志数据的完整性与安全性
网康、深信服的功能对比
本文从产品的硬件、功能、性能等多方面比较了网康、深信服厂家的上网行为管理产品,仅供参考。
URL库每天更新300万条;客户可设置自动升级或手动更新;且支持客户未分类URL回传再分类;
支持URL库更新
URL过滤能力
支持基于预分类的URL类别进行过滤控制;支持用户自定义网站类别过滤;
支持URL类别的二级子类控制;
支持对以IP方式访问网站过滤控制;
支持基于网站分类过滤HTTPS加密的网站;
支持基于URL关键字进行过滤控制;
实时监控审计
设备运行监控
深信服上网行为管理-基本操作介绍
•如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为 128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用 交叉线连接电脑和设备eth0口,通过https://128.127.125.252登录 设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2
•如何登录设备控制台
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
设备部署深信服上网行为管理
设备部署深信服上网行为管理简介深信服上网行为管理是一种面向企业网络的行为管理和内容审查解决方案。
它通过实时监控企业网络的流量和行为,提供细粒度的访问控制和内容过滤,帮助企业实现网络安全管理和资源优化。
本文档将重点介绍设备部署深信服上网行为管理的步骤和注意事项。
步骤1. 硬件选购首先需要根据企业的规模和需求,选择适合的深信服上网行为管理设备。
深信服提供多款不同规格和性能的设备,根据企业的网络规模和用户数量,选择合适的型号和配置。
2. 网络规划在部署深信服上网行为管理设备前,需要进行网络规划。
确定设备的位置和连接方式,保证设备能够覆盖到企业内的所有网络流量。
3. 设备接入将设备按照网络规划的要求接入企业的网络中。
一般情况下,将设备接入企业的核心交换机或网络边界设备。
4. 配置设备接入设备后,需要按照深信服提供的操作手册和技术文档,对设备进行配置。
主要配置包括网络接口设置、防火墙规则配置、访问控制策略配置等。
5. 日常运维设备部署完成后,需要进行日常的运维管理。
定期对设备进行升级和维护,监控设备运行状态,及时处理设备故障和异常。
注意事项1. 安全性在设备部署过程中,需要注意设备的安全性。
设备应放置在安全的物理环境中,防止被未经授权的人员物理访问。
同时,需要对设备进行安全配置,设置合适的访问控制策略,防止未经授权的访问。
2. 网络可用性在部署深信服上网行为管理设备时,需要确保网络的可用性。
设备应该能够满足企业的网络带宽需求,并且不影响网络的正常运行。
3. 管理权限设备部署完成后,需要合理设置管理员权限。
只允许授权的人员具备设备管理权限,防止未经授权的访问和操作。
4. 定期备份定期备份设备的配置文件和数据是非常重要的。
在设备出现故障或损坏时,可以通过备份文件快速恢复设备的配置和数据,减少系统停机时间。
总结设备部署深信服上网行为管理是企业网络安全管理和资源优化的重要环节。
本文档介绍了设备部署的步骤和注意事项,希望能够帮助您顺利完成设备部署,并确保网络的安全和稳定运行。
深信服上网行为管理部署方式及功能实现配置说明
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过登录设备,默认登录用户名/密码是:admin/admin。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
IT 管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC 的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步IT 管理者就需要对非业务流量如P2P 行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC 智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS 优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
表2:带宽及流量管理功能一览表多线路支持支持复用至少四条外网线路,多线路间互为备份、负载均衡及智能选路(提供自主知识产权证明) 应用流控支持基于应用协议类型进行带宽划分与分配 网站流控支持基于被访问的网站类型进行带宽划分与分配 文件类型流控支持基于传输的文件类型进行带宽划分与分配宽分配 单用户带宽支持一个界面内为用户组内每用户分配带宽 时间控制 支持基于时间段的带宽划分与分配策略WAN->LAN 流控 支持WAN ÆLAN 方向访问行为的带宽划分与分配流量控制 带宽通道监控设备控制台界面实施显示流量TOP 10应用; 设备控制台界面实时显示各带宽通道使用情况3) 监控与审计功能 谈到安全时多数人只关注外网安全,但其实机构的信息资产更多的是通过内部泄漏的。
SINFOR AC 关完善的访问审计和监控功能有效防止信息通过Internet 泄漏。
对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送;对于通过Webmail 发送邮件,AC 全面记录邮件正文和附件等;对于QQ、MSN 等聊天内容提供全面记录功能;对于BBS、论坛发帖不仅根据关键字进行过滤,成功发布的内容也能全面记录;内网用户访问的URL 地址、网页标题、甚至整个网页内容,AC 也能完全监控和记录等。
SINFOR AC 的访问审计/监控模块为机构构筑了强大的内部安全屏障。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能:而高层领导的网络行为、收发的Email 等关乎机构的发展命运,AC 通过业界独有的“免审计Key”技术,从底层免除对其行为的监控和记录,达到全面和灵活的统一。
表3:访问审计功能一览表监控审计 实时会话监控对用户实时会话数进行排名;支持查看指定用户当前会话详细信息;实时流量监控 实时监控用户的上行、下行流量;详细显示指定用户各应用实时流量情况;支持用户实时流量排名实时连接监控 监控用户的实时连接,并能断开用户的指定连接;异常用户冻结 支持临时冻结异常用户,阻止其访问网络;并能在冻结时间结束后自动解冻网站访问记录 分用户记录访问的网址、网页标题、网页内容; 支持只记录含有指定关键字的网页正文内容网络言论记录 分用户记录通过BBS、WEBMail等外发网络言论外发文件记录 分用户记录通过HTTP、FTP等外发文件行为;并能将外发文件本身进行记录邮件记录 分用户记录发送、接收的所有邮件包含附件; 支持对Webmail正文及附件的监控和记录聊天内容记录 支持记录QQ、MSNShell、Skype等加密聊天内容;分时段记录MSN、Gtalk、新浪UC、网易泡泡等聊天内容其它行为记录 支持记录其他网络行为,包括IP、端口等信息WAN->LAN审计 支持审计WAN->LAN方向的应用行为,包括FTP、HTTP、Mail等行为,能审计文件名、文件类型、URL、邮件等流量审计 审计用户在指定时间段内产生的总流量;审计用户在指定时间段、使用指定应用协议产生的流量;时间审计 审计用户在指定时间段内产生的总上网时间;审计用户在指定时间段、使用指定应用协议的时间免审计功能 支持使用USB-Key实现对该用户网络行为的免审计功能4) 报表和检索:直观的上网数据统计、报表和海量日志检索机构内网用户每天的各种行为日志记录可达数十G,公安部82号令存储至少60天,SINFOR AC通过外置数据中心实现了日志的海量存储。
强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息,并可直接打印和导出报表。
SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出机构的Internet 的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
表4:数据中心功能一览表数据中心 支持内置和外置数据中心,并以数据库形式存储日志日志集中管理 一个数据中心支持以WEB方式查看多台设备的日志数据分级管理 指定管理员登录数据中心后只能审计该用户组的日志管理员认证 管理员接入数据中心必须支持通过Dkey认证无Dkey认证管理员只能查看统计和趋势,不能查询审计流量统计 支持统计用户、用户组、各种应用的流量和排名,并支持绘图与导出行为统计 支持基于用户、用户组、应用类型、网址、邮件地址的上网行为统计,并支持绘图与导出报表检索流量趋势 支持对用户、用户组、应用等的流量进行趋势绘图与导出对比报表 支持不同时间段、指定用户(用户组)的指定应用访问行为的对比报表;自定义报表 支持按照用户、用户组、IP、应用类型等进行上网行为的统计、趋势、汇总自定义报表报表订阅 将含有不同用户组的报表、统计自动发送到指定邮箱内容检索 提供类似百度的搜索工具,基于多关键字,秒级时间内实现上TB海量日志的快速检索与定位;支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索主题订阅 支持将含有管理者指定关键字的内容检索结果周期性发送到指定邮箱5) 丰富的安全增值功能,全面提升内网安全级别作为一个全面的内网管理设备,SINFOR AC还提供了丰富的安全增值功能。
除强大的防火墙模块外,SINFOR AC还集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
防DOS攻击功能,不仅防御来自公网的DOS攻击,对于发生于内网的DOS攻击同样提供了彻底的防御;防ARP欺骗,让机构遭遇的整个子网用户无法上网的故障得以根除。
AC具备的网络准入规则专利技术,将按照管理员预定策略,检测内网接入终端设备的操作系统版本,操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等,只有符合安全要求的终端设备才允许接入Internet,修复了内网的安全短板。
表5:安全增值功能一览表网关防毒功能 集成F-PORT的杀毒引擎;可支持HTTP、POP3、SMTP、FTP等协议数据的网络防杀毒功能查杀压缩文件 支持对压缩包的病毒查杀(包括zip、rar、gzip、tar、bz2等)杀毒豁免 支持对指定网站的免病毒检查;支持仅对指定的文件类型进行病毒查杀病毒库升级 支持杀毒引擎在线自动升级;支持用户手工升级病毒库防DOS攻击 不仅防止来自外网的DOS攻击行为,还能防范来自内网的DOS攻击,侦测出内部发起攻击的终端,并提供对该终端在指定时间段内的冻结和封锁防ARP欺骗 无需第三方软件,实现对终端用户和网关的双向防ARP欺骗功能网络准入规则 提供网络准入规则,保证只有安装了指定的防毒软件和指定系统补丁(和检查注册表,硬盘文件,后台进程等)的主机才能使用Internet,大大减少主机被植入钓鱼软件和木马的风险功能特点:1.内置预分类超过800万条的URL库将过滤大部分色情、反动网站,再通过搜索关键字过滤、网页正文关键字过滤等,阻挡“垃圾网站”对内网的感染;AC根据文件扩展名进行过滤,让非法软件、程序无法通过HTTP/FTP下载,避免了“无知用户”被木马、恶意程序等感染的可能。