系统诊断工具-深信服上网行为管理AC
深信服AC系列介绍
深信服AC上网行为管理系统介绍1)AC产品简况深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。
深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力,除了识别普通的明文数据外,AC还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。
由于采用了高性能的硬件平台,以及不受硬盘空间限制、可独立部署的数据中心,深信服AC的性能领先于其他同类产品,更好的满足了大规模网络的苛刻要求。
目前,在中国上网行为管理的高端市场中,深信服AC拥有着极高的占有率,其客户包括:中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。
2)AC功能特点高性价比✓百兆设备,多WAN口设计;✓支持2条Internet线路的带宽叠加,扩大网络出口带宽;主要技术特点:✓深度内容检测技术,封堵所有P2P软件✓邮件延迟审计专利,保证所有邮件先延迟、后发送;✓监控所有即时通讯软件(QQ、MSN等)聊天记录;✓独有的网络访问准入规则,只允许符合上网策略的用户连接Internet;✓详细的日志中心,记录所有上网行为;✓分组管理,对特定组启用监控/不监控;三.产品安装及测试1.AC核心价值介绍下面介绍AC为用户带来的几大核心价值:1)网络带宽管理网络流量管理AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能,协助管理者全面分析和优化广域网带宽资源。
AC 的数据中心(Network Data Center, NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。
借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是P2P 下载。
同样,我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃,哪些部门在上班时间观看了最多的在线影片。
深信服上网行为管理
深信服上网行为管理由于互联网的普及,人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。
虽然这样的便利给我们的生活带来了很多乐趣,但是也带来了不少问题。
其中最重要的问题是如何管理上网行为,以保护个人和企业的隐私和安全。
这就是深信服上网行为管理所要解决的问题。
根据深信服的介绍,上网行为管理是指对企业和机构内部网络使用情况进行监控和管理,以确保网络资源的安全和有效利用。
一般而言,上网行为管理可以分为以下几个方面:1. 访问控制。
这个方面是指通过设置网络防火墙和访问控制规则,禁止一些不安全或不必要的网络连接,以避免病毒、背景音乐等对网络的破坏和浪费。
2. 员工监控。
这个方面是指通过网络监控软件,实时监测企业的内部网络使用情况,记录员工的网络活动,包括网站访问、打印和复制文件等操作。
这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。
3. 数据保护。
这个方面是指对企业机密信息进行加密和存储,防止黑客、病毒等非法入侵和窃取。
此外,深信服还提供了异地备份和自动恢复等功能,保障企业在网络灾难和硬件故障时仍能保持数据安全。
4. 网络优化。
这个方面是指通过访问统计和流量分析等工具,了解网络使用情况,判断网络流量波峰和波谷,调整网络带宽,使网络资源的利用率最大化。
综上所述,深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私,同时还可以提高网络资源的利用效率,增强企业的生产力和竞争力。
但是,由于监控和管理员工的上网活动涉及个人隐私,企业在使用上网行为管理的时候应该遵循以下几个原则:1. 进行明确的告知。
企业在使用上网行为管理之前,应该事先向员工做出相关的告知,让他们明白使用网络的条件和限制。
2. 合理使用。
在使用上网行为管理时,企业应该根据工作需要和风险评估的结果,制定合理、科学的网络管理策略,避免滥用和误用网络监控和管理的权利。
3. 保护员工隐私。
在进行员工监控时,企业应该保证员工个人隐私的保护,合法使用网络监控软件,不违反相关法律法规和规定。
深信服上网行为管理配置详解
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使 用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间 和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网 口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下 行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比 ,选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
(AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表:
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网 电脑连接,对AC设备进行配置。 用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接 入设备相连接,如路由器、光纤收发器或ADSL Modem等 。 多线路的AC设备可以支持多条Internet线路,此时将 WAN2口与第二条Internet接入设备相连,WAN3口与第三 条Internet线路相连,依此类推。
深信服AC基本功能介绍
智能提醒: 指定应用时间\流 速超额后自动提醒
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多、隐蔽和病毒感染技术越来越先进)
上网行为管理标准
OA
应用分析
SANGFOR AC能为我们带来什么?
应用授权
网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒
带宽管理
多线路流控 用户/组流控 应用流控 网站流控 文件流控
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
带宽管理
最细致流控
多线路流控
合理流控
父子通道 +
虚拟通道
•基于用户/时间 /应用/网站/文件 •WAN LAN
•虚拟线路 •多线路复用 •多线路选路
•带宽限制 •带宽保障 •带宽借用
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服Sinfor-AC上网行为管理解决方案
深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1: (5)网络拓扑图2: (6)四、深信服AC上网行为管理功能介绍 (7)1,细致的访问控制功能,有效管理用户上网 (7)2,完善的内容过虑和访问审计功能,防止机密信息泄漏 (7)3,强大的数据报表中心,提供直观的上网数据统计 (7)4,强大的QOS及流量分析功能 (8)5,集成丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1,深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2,邮件的延迟审计(专利技术) (9)3,独有的网络访问准入规则(专利技术) (9)4,WEB认证技术 (9)5,高度集成,部署灵活 (9)6,模块化设计,性能强大 (9)六、成功典型案例 (10)附1:深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:●IT管理员如何对企业网络效能行为进行统计、分析和评估?●IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?●IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
深信服AC功能介绍
深信服科技:产品系列
自2007年上网行为管理获市场第一 自2008年SSL VPN获市场第一
自2005年IPSec VPN获市场第一
2002 2005 2006 2007
2008
2009 2010 …
深信服科技:市场份额
“能够提供VPN硬件的厂商不 在少数,从数量对比上看仍然以 国际厂商居多,但是从市场份额 上看,国内厂商深信服一枝独秀,
深信服科技:客户满意
服务理念
客户至上 满意第一
“深信服”在‘满足用 户需求’和‘ROI’两项 均获得突出得分,说明深 信服在安全市场的努力获 得了中国企业用户的认可。
此外,深信服提供的 服务也得到了用户肯定。
深信服公司介绍 上网行为管理系统
需求分析 方案规划 解决方案 方案总结 深信典服型公客司户简介
以30.5%的市场占比排在第一
位”
来源: IDC
“在安全内容管理硬件市场,有 超过17家主流安全厂商可以提 供该产品;排在第一位是深信
服,市场占比为33.8%。”
来源: Frost & Sullivan
深信服科技:服务体系
37 个城市,设立直
属办事处
8 个大区备品备件库 60 坐席的CTI呼叫
中心
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-全面报表
了解应用现状,验证管理效果,是制定、调整策略的依据
报表-快速检索
基于多关键字快速检索海量日志(支持附件正文检索),精确定位事 件源和责任人
上网行为安全-危险插件与恶意脚本过滤
避免无安全防护的终端染毒、被劫持,提升内网安全
上网行为安全-危险插件与恶意脚本过滤
与AD域进行无缝集成,支持细致的管理员分级管 理功能,方便各部门、地市公司自行调整各自的上 网权限
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能1) 控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
SINFOR AC具有国内最大的应用协议识别库。
针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
上网行为的管理必须以识别为基础。
SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
表1:访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构,支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类;关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤;可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件;可控制哪些用户使用哪些邮箱外发邮件;附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱(如Gmail)识别和控制Webmail 控制可限制指定用户使用指定Webmail ; 基于正文关键字过滤用户的Webmail 行为; 延迟审计支持延迟缓存外发邮件,人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email 等) IM 控制 可分组、分用户、分时段封堵所有聊天软件如:QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件;并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组,并支持强制继承,即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理;对HTTP/HTTPS端口中封装的其他协议进行封堵;可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长;支持对用户上网时长进行统计2 带宽及流量管理功能:强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
深信服AC--设备简单的--故障排查--方法
首先网络中遇见问题,我们需要向办法先确认下问题大概是出在哪台设备上。
首先查看设备的接口灯是否正常(电口左边的灯会闪,右边的灯长亮)右上角的红色的警告灯是否长亮-------长亮则不正常,闪是正常的。
AC网桥部署网关部署排查方法都一样
在设备控制台----系统诊断-----上网故障排除------点击开启
拦截日志过滤条件中添加0.0.0.0-255.255.255.255
勾选上同时开启数据直通填写有问题的那台电脑的IP 地址
开启好,再测试下,不能访问的网站应用等的网络问题有没有解决
1.可以访问了,则说明该网络中的问题就是我们设备的策略等因素导致的问题,可以选择
给我们打电话联系我们帮你们处理。
具体方法后续跟进说明。
2.如果还是不能访问则说明和我们设备没关系,可以选择找其他设备的问题。
对于情况一问题排查方法
案例:我自己做了一个策略禁止百度所有相关的网站。
现在我不能访问百度等相关的网站。
这个时候查看下我自己PC 的地址为
然后进入设备的控制台开启上网故障排查,测试!
测试结果为我可以访问百度类的网站了
这个时候确认问题出在我们设备上。
这个时候进入设备的数据中心,同时让该用户多访问几次不能访问的应用这样就更便于查找到具体被什么策略挡住了。
填写好我们需要查找的用户只需要查找被拒绝的就好了。
这样我们会查到很多的内容
就可以看到用户被什么策略挡住了,然后进行相应的修改就好了。
深信服_AC_部署模式
Page12
2.2 网桥模式设置 (1)网桥多网口配置---单网桥配置
前置设备
路由器(FW)
AC
交换机
SINFOR TECHNOLOGIES CO.,LTD.
Page13
(1)网桥多网口配置(续)---单网桥配置
如果交换机和前置单设备网走桥非模式下配 trunk协议,此处禁置用管即理可口IP地址
SINFOR TECHNOLOGIES CO.,LTD.
Page18
3.1、简单网络
路由器(FW) 二层交换机 LAN IP: 192.168.1.254
ip:192.168.1.2/24 gw:192.168.1.254
客户环境: 路由器(FW)NAT代理 上网,单一网络,无多 网段
客户需求: 1、URL过滤、IM监控、 上网行为记录…
新、网关杀毒可用), 并在添加回包路由。
3、前置设备上的 DHCP、IP/MAC绑 定不可用
SINFOR TECHNOLOGIES CO.,LTD.
Page21
保留原网关,网桥模式部署
AC 二层交换机 路由器(FW) 网桥IP: LAN IP: 192.168.1.253 192.168.1.254 GW:192.168.1.254
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
IP:192.168.2.2/24 GW:192.168.2.254
启用这类功能时实 际是AC代理访问。
SINFOR TECHNOLOGIES CO.,LTD.
深信服AC基本功能简介
如果交叉线连接设备的eth1口,请配置电脑IP为和eth1口IP同网段的IP,并使 用eth1口IP地址登录网关控制台。 一般情况下,eth0和eth1口是登录设备的常用接口。
1、带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无 法有效的分配和利用)
2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥) 3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提
供了通道,泄密后无据可查,责任难追究) 4、违法网络行为为企业带来法律风险(肆意浏览色情、反动网站,无具体日志记录,无法
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
上网权限管理
上网策略对象化
树形的组织结构
灵活的权限管控
“策略”与“用 户、用户组”灵 活关联
分级的网络管 理员,制定分 级的上网策略
与组织的行政 架构保持一致
控制维度: 用户/应用/内容 /时间
基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件,提交人工审核
管理SSL 2
加密邮件
过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
(完整版)上网行为管理AC-1200实际配置管理手册
附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。
3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。
图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。
设备端口IP地址分配见表1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。
如图3所示。
图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
4.2.1 系统信息系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息4.2.2 管理员帐户本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
深信服ac管理方案
深信服AC管理方案1. 引言深信服AC(Access Control)是一种网络设备,用于管理和控制网络上各种终端设备的接入和访问。
深信服AC管理方案是基于深信服AC设备的网络接入管理解决方案,可以有效地提供网络接入管理功能,确保网络的安全和稳定。
本文将详细介绍深信服AC管理方案的架构、功能和特点,帮助读者全面了解和应用该解决方案。
2. 方案架构深信服AC管理方案由以下几个关键组件构成:2.1 AC设备AC设备是深信服AC管理方案的核心组件,用于控制和管理网络终端设备的接入和访问。
AC设备具有强大的接入控制和用户认证功能,可以对接入网络的设备进行身份验证和访问控制,保护网络的安全。
2.2 AP设备AP设备(Access Point)是用于提供无线网络覆盖的设备。
在深信服AC管理方案中,AP设备与AC设备相连,通过AC设备进行管理和控制。
通过AP设备,用户可以接入网络并享受无线网络服务。
2.3 用户终端设备用户终端设备是指连接网络的终端设备,包括电脑、手机、平板等。
用户终端设备通过AP设备接入网络,并通过AC设备进行访问控制。
3. 方案功能深信服AC管理方案提供以下功能:3.1 接入控制AC设备可以对接入网络的终端设备进行接入控制,通过设定接入策略,限制终端设备的接入权限,避免未授权设备接入网络。
3.2 用户认证AC设备支持多种用户认证方式,包括基于用户名和密码的认证、基于证书的认证等。
用户在接入网络时,需要进行身份验证,确保只有合法用户可以访问网络。
AC设备可以对接入网络的流量进行管理和控制,包括上传和下载流量的限制、流量优先级的调整等。
通过流量管理,可以合理分配网络资源,提高网络的整体性能。
3.4 安全防护AC设备提供多种安全防护机制,包括入侵检测、防火墙、虚拟专用网(VPN)等。
这些安全防护机制可以有效地保护网络免受各种威胁和攻击。
4. 方案特点深信服AC管理方案具有以下特点:4.1 高可靠性AC设备具有高可靠性和冗余性设计,可以实现设备的备份和冗余,从而保证网络的稳定运行。
深信服AC系列上网行为管理
深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。
深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。
深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场(上网行为管理市场)报告中占有率达到40%,在2009年占有率达到33.8%,蝉联市场占有率第一。
深信服上网行为管理为您解决以下问题:防止带宽资源滥用深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
防止无关网络行为影响工作效率深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
记录上网轨迹满足法规要求深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
管控外发信息,降低泄密风险深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
掌握组织动态、优化员工管理深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。
风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
基础认证培训深信服上网行为管理ACPPT课件
认证方式介绍
3、单点登录
当客户有自己的第三方认证服务器对内网用户进行认证时,单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认 证,并且获取到相关的权限上网。
SANGFOR AC支持域单点登录,POP3单点登录,PROXY单点登录, WEB单点登录、PPPOE单点登陆,数据库单点登陆,第三方设备单点登陆 (包括锐捷SAM系统,城市热点,H3C CAMS系统等),《单点登录功能 培训》PPT将详细介绍相关功能和配置,此PPT不再赘述。
SANGFOR AC 基础 认证技术
培训内容 SANGFOR AC 认证 功能介绍
培训目标 1. 掌握AC设备支持的认证方式
SANGFOR AC 认证 功能配置
密码认证加强 用户注销功能介绍
1.掌握AC设备IP/MAC认证(跨三层环境)的配 置步骤 2.掌握AC设备用户名密码认证的配置步骤 3.掌握AC设备DKEY认证的配置步骤
配置步骤二(用户名密码认证)
2、新增用户名密码认证的用户,设置用户名密码
勾选后,该账号可供多 人使用,也可不勾选, 为每个用户单独建立 用 户名和密码
配置步骤二(用户名密码认证)
3、客户端输入用户名密码认证
认证方式介绍
绿色的是认证KEY,紫色 的是免审计KEY,这两种 KEY不能混淆。
AC还有一种咖啡色的KEY, 用于数据中心查询。
认证功能配置
典型应用场景与配置
IP/MAC 认证场景
用户名 密码认 证场景
DKEY 认证场
景
案例背景
总经理
办公区
防火墙 核心交换
公共上网区
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网不 能修改IP和MAC地址,公共上 网区(192.168.2.0/24)则需要 输入账号和密码才能上网,确 保网络行为能跟踪到,另外总 经理的上网数据要保证安全, 不能被审计。
深信服上网行为管理-系统诊断工具介绍
命令控制台的使用场景及操作
排查方法:
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之前的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网口收到的错误的 包和错误的帧数
网卡的工作模式full 全双工,100Mb
eth0、eth2网口有no link,检查网口接线 情况
排查方法:
a) 电脑单机接SG设备的dmz口,用DMZ
口地址登陆设备
DMZ
b) 查看设备网口接线状况
c) 接线状态 状态正常,检查设备的arp表, 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.25X/24
查看网口ip
命令控制台的使用场景及操作
排查方法:
e) 检查设备的路由,跟踪设备上外网的路径,测试设备去外网的端口连通性。
成功开启拦截日志与数据直通
勾选即开启 数据直通 设置需流要控开模启块数是据 否进直行通数的据地直址通
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3
IP : 192.168.5.3
设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。
开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
深信服AC上网行为管理优势
深信服的上网行为管理:在流控来说,深信服相对比较强些,在技术层面更加具有优势,功能比较全面些,在P2P 的监控和流量控制,比较有优势网康的对比:1、网康的上网行为管理URL库是比较强的,但是对于流量管理和行为审计不如深信服。
深信服的设备,URL库不能说差,做的也不错,在流量管理和不良数据封堵更能体现它的价值。
深信服AC1200上网行为管理设备功能介绍与特性:识别作为管理的基础,是上网行为管理产品功能是否健全的有利保障。
SANGFOR AC上网行为管理具有强大的识别功能。
基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证,同时支持LDAP认证、Radius认证、POP3认证、WEB 认证等等,其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web认证。
其次SANGFOR AC还能够对终端进行识别,包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。
面对互联网应用的不断扩大,SANGFOR AC具备强大的应用识别功能,能帮助客户识别各种互联网应用,特别是目前SSL加密网页越来越多。
基于关键字、流特征、深度内容检测、关联识别等等技术的应用,能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。
而经过SSL加密的论坛/BBS发帖、webmail外发邮件、SMTP/POP3,AC都能对其进行识别。
控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
常用问题排错指导-深信服上网行为管理AC
5. 如果系统日志有其他告警或者错误日志,请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来(对应mysqld-nt.exe进
程),可以尝试手动启动该服务。需要注意的是,引起SangforMySql服务无法启 动的原因较多,下面总结常见的会引起SangforMySql服务无法启动的情况: 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上,他们可以不在一个磁盘分区 。(但是支持RAID磁盘阵列)。 2. 服务器上已安装了其他数据库(比如SQL SEREVER) 建议服务器上不要安装其他数据库,以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤
深信服ac基本功能介绍
报表分析
了解应用现状,验证管理效果,是制定和调整策略的依据
安全防护
识别异常流量,阻断网络攻击与异常外发行为 过滤恶意脚本与危险插件、过滤挂马网页,避免无安全防护的终端 感染病毒、被劫持,提升内网安全
新手上路
新手上路
一、如何登录设备控制台 二、如何恢复AC设备出厂配置 三、如何使用命令控制台做简单调试
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险 管控与业务无关的上网行为,提升员工工作效率 过滤不良信息,防止法律风险
行为管理:应用授权--应用服务
行为管理:应用授权--应用服务
行为管理:应用授权--WEB应用
千万级 静态URL库
如何登录设备控制台?
新发货的SANGFOR AC 3.0设备,各网口默认的出厂IP为: eth0 (LAN) :10.251.251.251/24 eth1 (DMZ) :10.252.252.252/24 eth2 (WAN1):200.200.20.61
使用一根交叉线连接设备和电脑,如果连接电脑和设备的eth0口,电脑配置 一个10.251.251.0网段的IP地址(10.251.251.251除外),确保电脑和设备 eth0口IP在同网段后,在电脑的浏览器中输入https://10.251.251.251 登录设 备的网关控制台,控制台默认的账号密码为Admin/Admin
行为
封堵QQ等 IM传文件
识别并告警: 篡改/删除扩展名 压缩/加密再外发
行为管理:应用授权—带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
行为管理:应用授权—带宽管理
策略不生效排错指导-深信服上网行为管理AC
上网策略不生效
步骤3 检查应用规则库是否已经更新到最新版本,若不是请更新
更新应用规则库前请先更新网关补丁!
上网策略不生效
步骤4 检查是否有自定义应用,不建议自己定义应用,容易引起应用识别异常
删除!
上网策略不生效
步骤5 检查“迅雷封堵”策略拒绝的应用,是否存在与迅雷下载时识别出来的应用不 一致,或者不完整的情况!
10.10.10.100 GW:10.10.10.254 MAC;B8-70-F4-3A-42-2B
上网策略不生效
步骤1 检查用迅雷封堵的策略和用户是否已关联,该策略是否启用,是否开启直通或 者排除IP
步骤2 检查用户是否关联了多条策略,如果有,请注意多条策略的匹配顺序 1. 多条策略间的匹配顺序为从上往 下匹配 2. 可以在上网策略调节策略间的顺 序
SANGFOR AC&SG策略 不生效排错指导
培训内容
上网策略不生效 流控策略不生效
培训目标 1.掌握上网策略不生效的排查思路和排查方法 2.掌握流控策略不生效的排查思路和排查方法
上网策略不生效
上网策略不生效
如图,AC路由部署在公网出口,内网用户通过AC进行上网行为控制,客户要求封堵迅 雷下载,结果发现通过迅雷还是可以下载资源。如何排查?
步骤2检查是否开启直通或者排除ip流控通道是否有排除策略影响到限制迅雷下载需要删除流控策略不生效步骤3检查是否有多条流控通道注意流控通道之间的影响步骤4检查应用规则库是否为最新步骤5检查是否有自定义应用步骤6检查流控的应用不实际识别出的应用是否对应步骤7在迅雷客户端查看下载的速率或者通过实时状态下流量状态中的流量管理状态观察各个流量通道内的瞬时速率和用户数等检查流量控制是否生wwwsangforcomcn11机智应变的猴子
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上网故障排除功能介绍
开启实时拦截日志:
将打开拒绝列表,此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会 被设备拒绝掉,同时会将符合策略设置应该被拒绝数据包的情况显示出来
设置开启拦截日志的协议和端口
设置针对哪些IP地 成功开启上 址开启拦截日志 网拦截日志
上网故障排除功能介绍
开启实时拦截日志与数据直通:
SANGFOR AC&SG 系统诊断工具
培训内容
SANGFOR AC 上网故障 排除功能介绍
培训目标
1.了解上网故障排除功能的作用 2.掌握开启数据直通的方法 3. 掌握分析拒绝日志的方法
SANGFOR AC 命令控制台
1.掌握AC命令控制台支持的命令和操作方法
SANGFOR AC 抓包工具的 使用
网口的数据包
通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标 IP是 只抓取符合 否正确等) 条件的数据
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
格式 。 2. 如果对Linux命令不熟悉的话,可以参照示例中的格式“host 200.200.20.1
route(显示设备的路由表)
traceroute(跟踪数据包转发路径) 在命令行页面直接输入命令回车即可
命令控制台的使用
1. arp(查看设备的ARP表)
命令控制台的使用
2. mii-tool(查看设备网口的连接情况)
命令控制台的使用
3. ifconfig(查看设备网口信息)
命令控制台的使用
5. 根据拦截日志的提示修改策略,再关闭直通功能,测试故障是否恢复。
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页,再到 上网故障排除中刷新实时拦截日志,如下图:
故在排查问题的过程中使用比较广泛。
简易(抓取未知流量)和高级(TCPDUMP)抓包抓包的使用
设置抓包个数
设置简易抓 包的条件
抓包工具的使用
2. 高级(TCPDUMP)抓包的使用
设置抓包个数
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 选择抓取哪个
其他排错工具
其他排错工具——全局排除地址
启用全局排除地址,针对排除的地址,设备设置的上网策略将不生效, 也不进行审计。
说明:
1.排除地址可以是内网ip,或者外网IP。只要源IP或者 目的IP在排除地址列表,就不做控制和审计。
2.排除地址对防火墙规则和准入监控IM聊天无效。 3.排除地址支持填写域名。
命令控制台的使用
命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面,
可用于对设备的一些简单信息进行查看,支持的命令包括: arp(查看设备的arp表)
mii-tool(查看设备网口的连接情况)
ifconfig(查看设备网口信息) ping(测试主机地址的连通性) telnet(测试端口连通性) ethtool(查看设备网卡信息)
其他排错工具——系统日志
系统日志实时记录着设备所有程序的运行情况,当程序有异常时对应模 块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常,可 以先查看系统日志进行确认!
筛选日 志类型 筛选要显 示的日志
可将系统日志截图给 400协助处理
其他排错工具——控制台操作日志
通过在数据中心查看控制台操作日志,可以很清晰的看出哪一个账号在 什么时间段修改/增加/删除了哪一个模块,是查看是否有人为更改配置的 依据。
问题思考
1.某客户使用我们的AC产品,客户反馈昨天还能上QQ,今天早上就上不去了,但 是能打开网页,请问有什么方法可以快速定位该问题原因? 2.某客户使用我们的AC产品网桥模式部署,发现AC的应用识别库升级不了,请问 如何排查? 3.AC里面的简易抓包和高级抓包有什么区别?
1.掌握简易抓包和高级抓包的方法
1.掌握全局排除地址、系统日志、控制台操作日志 SANGFOR AC 其他排错工 的用法 具
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
4. 删除错误的规则,并关闭数据直通,内网电脑打开网页看问题是否修
复。
上网故障排除常见丢包源说明
AppControl: URLFilter: SSL: FluxCtrl: Web authen: Ingress: 应用控制丢包 URL过滤丢包 SSL控制丢包(包括HTTPS URL 过滤) 流控丢包 用户认证丢包 准入丢包
1. 设置拦截日志开启条件。
如果选择内网某一台电脑做测试,可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用,看故障是否恢复,如果恢 复,说明是AC设备上的策略拦截了数据包。 4. 再查看实时拦截日志(一般可通过查看第一个包的日志,第一个包的 拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据 包)。
开启实时拦截日志同时开启数据直通,此时设备设置的上网策略将不生效。符合策 略设置应该被拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝的数 据包拦截情况显示出来 。
成功开启拦截日志与数据直通 勾选即开启 数据直通 设置流控模块是 需要开启数据 否进行数据直通 直通的地址
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.168.5.3 MASK:255.255.255.0
上网故障排除功能使用案例
上网故障排除功能使用步骤和思路:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中URL过滤的规则。
上网故障排除功能使用案例
3. 拦截日志提示被URL过滤规则丢弃,检查用户使用的上网策略规则。
所测试的电脑使用 的上网权限策略 检查出在上网权限策略中, 确实设置了全天拒绝访问 部分URL。
上网故障排除功能使用案例
4. ping(测试主机地址连通)
命令控制台的使用
5. telnet(测试端口连通性)
命令控制台的使用
6. ethtool(查看设备网卡信息)
命令控制台的使用
7. route(显示设备的路由表)
命令控制台的使用
8. traceroute(跟踪数据包转发路径)
抓包工具的使用
抓包工具的使用
SANGFOR AC&SG控制台界面的抓包工具分为简易抓包和高级抓包。
and port 53” , 即抓取所有源IP和目标IP为200.200.20.1,源端口和目标端口为
53的数据包。常用命令举例:
抓取192.168.1.1的ping包: host 192.168.1.1 and icmp 抓取192.168.1.1的UDP 1773的包: host 192.168.1.1 and udp port 1773 抓取192.168.1.1和192.168.1.2之间TCP 80的交互包: host 192.168.1.1 and host 192.168.1.2 and tcp port 80
简易抓包只抓取来自内网且设备识别不了的包。如果是来自外网的, 设备能识别的数据包,是不会被抓取的。一般不适用简易抓包。
高级抓包则是用TCPDUMP的方式抓包,将抓取的数据包保存在设备
的控制台界面,需要在电脑上安装Sniffer或Ethereal等抓包软件,才能 打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据,