深信服部署模式
深信服AD设备典型网络的部署
问题思考
1.请说出AD有哪几种部署模式?几种部署模式之间有什么区别?
路由模式部署案例与配置
配置截图:
1.配置LAN口地址
智能路由下一个PPT 讲解此处不要求掌握
2.配置WAN口接口地址和网关(配置链路带宽,健康检查机制等)
3.配置静态路由(保证AD能够和用户网段通信)4.配置代理上网 6.智能路由
旁路模式部署案例与配置
旁路模式部署案例
用户需求: 不希望改变原来的网络拓扑结构,内 网多台服务器要做服务器负载。此需 求可以选择旁路部署。
AD部署模式介绍
3.旁路模式介绍
旁路部署不需要改动原有网络结构。旁路环 境下AD设备可实现服务器负载和入站链路负 载,不支持出站链路负载。 AD设备旁路部署时,必须连接WAN口到交 换机。WAN口可以和服务器在同一网段,如 果不在同网段,则需要保证AD和服务器路由 可达。 若服务需要发布到公网,需要在边界出口设 备上做的端口映射给AD设备(全映射或者服 务器相关应用端口)
深信服AD设备典型网络的部署
培训内容
AD部署模式介绍 AD典型部署及配置
培训目标
了解AD各种部署模式的应用场景 了解AD各种部署模式的配置方法
深信服 AD
AD部署模式介绍 AD典型部署及配置
AD部署模式介绍
1.什么是部署模式 2.路由模式介绍 3.旁路模式介绍
AD部署模式介绍
ห้องสมุดไป่ตู้1.什么叫部署模式
启用后内网用户才可以从WAN口管理到AD设备。 4. 配置默认路由。 5. 前置防火墙上做端口映射(映射内网服务器的服务端口或者全映射到AD
WAN口IP地址)
旁路模式部署案例与配置
旁路模式部署案例配置截图:
设备部署深信服上网行为管理AC
其它工作模式不支持实现这些功能。
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
➢路由模式部署环境(举例):
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
• 网桥模式_简介
➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部 署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
设备部署深信服上网行为管理AC
练练手
情景2
客户原有网络拓扑如右图所示,由于 某方面的原因,客户想购买一台AC替 换掉原有防火墙,请根据图示拓扑信 息动手配置一下,完成设备部署。
设备部署深信服上网行为管理AC
练练手
情景3
某大型集团公司网络拓扑如右图所示, 客户主要需求是对内网上网行为进行 审计和内网用户上网时的URL过滤, 并且要求对WEB SERVER的访问进行 记录,请根据客户的实际网络讨论以 哪种部署方式最适合该客户,并动手 完成配置部署。
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 网桥模式_配置管理口
•与DMZ口直连 的交换机接口IP
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种 部署方式,常见于高校、大型国有企业专门用于AC作审计;
SANGFOR_AD部署指导(路由模式)
电信 NAT
注: 转换源 IP 地址建议只填一个 IP 地址,这样会话保持会比较稳定;1.6 以后版本出接口不能 选“应用于所有接口”
1.3 系统路由(回包路由)
1.4 策略路由 电信走电信,网通走网通,其他的走电信或者网通
网通策略路由
电信的策略路由
其他的策略路由
上面这条“其他的策略路由”在这个例子中就是当目标IP既不是电信也不是网通时,这些数 据走电信或者网通,那么它的选路策略是加权轮询,权值由链路的带宽决定。轮询是根据用 户的,也就是源IP,例如当两条线路的带宽比例是1:1时,源IP为IP1的数据到达AD设备, AD设备会从wan1口转发,当IP2的数据到达AD设备之后,数据会从wan2口转发,由此类推。 并且当AD设备为某个源IP的数据选择了一条线路,那么以这个IP为源的数据也将一直走这 条线路。也就是说对于这些数据设备是有一个根据源IP的会话保持,并且没有超时时间,要 去除这个会话保持只有重启设备。 注意:策略路由对设备自身发起的数据生效
一、实施前准备工作
详细了解客户的需求: 1、链路负载:
链路个数; 带宽大小,是否需做带宽控制; 主要业务需用到的链路; 是否使用 DNS,如果使用请按照《AD 产品域名申请说明.docx》进行申请,并了解详 细需求; 链路类型:电信、网通、教育网等; 出站策略需求: 2、服务器负载:
服务器数量及处理能力:方便制定节点选择算法; 应用类型:方便以后的配置 实际业务需求:是否需做 4、7 层处理; 3、AD 部署位置确认 AD 前面是否存在路由器和防火墙,如存在,前置网关需做端口映射、透明代理、直 通、SNAT: 比如:DNS 策略需开放 tcp、udp53 端口,映射目的 IP 为 AD 设备 DSN 服务器开放 的 IP 地址;
深信服上网行为管理部署方式及功能实现配置说明.
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
深信服部署模式
一、AC\SG部署模式:1.1部署模式拓扑图:1.1.1路由部署1.1.2网桥部署:1.1.3旁路部署:1.2部署指导1.2.1 路由模式_部署指导首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
1.2.2 网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:a.设备一进一出做单网桥b.客户内网有VRRP或HSRP环境1.2.3 旁路模式_部署指导1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。
当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
二、AF部署模式:2.1 部署模式拓扑图:2.1.1 路由模式:2.1.2 透明模式2.1.3 虚拟网线2.1.4旁路模式:2.1.5混合模式三、SSL VPN部署模式:3.1 部署模式拓扑图3.1.1 网关部署:3.1.2 单臂部署:3.2部署指导3.2.1 网关单线路配置思路1、网关模式配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
深信服培训讲义
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
深信服-AC-部署模式
Page7
1.2 网桥模式(续)
功能特点:
(1)AC做网桥部署,相当于网线,平滑架到网络中,不改变客户网络 结构。 (2)单网桥模式下,只有lan口和wan1口可用,dmz口为管理口;多网 桥部署时,设备所有接口均可做网桥接口。 (3)需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关 和DNS,并保证 AC本身访问外网(可通过升级控制台工具“ping”测 试 )。 (4)如 启用WEB认证 、准入规则 、URL过滤 ,同时 内网有多网段时, 须添加 到内网非直连网段的路由指向内网路由设备。 (5)网桥模式下不能实现NAT(代理上网和端口映射),vpn、dhcp功 能不可用,不能自定义网口。 (6)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境, 相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的 支持 。 (7)支持802.1Q vlan协议。
Page4
1.1 路由模式(续)
功能特点:
(1)可以实现AC所有功能,对客户网络结构改变较大。 (2)内外网口不能在同一网段,可以自定义网口。 (3)有前置设备情况下,启用网关杀毒、邮件过滤等 功能,或AC需要自动升级URL等内置库时,需要正确设 置前置设备规则(防火墙、路由等),保证AC设备可访 问外网 (所有部署模式下均需注意) (4)客户需要使用nat、vpn和dhcp功能时使用路由模 式。 (5)支持802.1Q vlan协议。
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
SANGFOR WANO 部署模式介绍_ZXW
在分支分布较广的情况下,可以采用总部双线路接入,实现电信分支从 总部电信线路接入为主,电信分支与总部网通线路接入为备;网通分支 从总部网通线路接入为主,网通分支与总部电信线路接入为备;既能避 免跨运营导致慢,又可以实现线路冗余。
四、部署注意事项
专线环境推荐用网桥部署;VPN+WANO环境推荐总部用 单臂,分支视具体环境采用单臂或者网关部署。此部署方 式对网络改劢和影响较小。
I
4、单臂纯加速模式
专线
INTE RNET
ET IN TE RN
应用场景: SANGFOR WANO做单臂部署在核心交换机中,通过PBR或者WCCPv2把要加速的 流量引到加速设备上来进行加速。丌但削减了重复流量,而且优化业务的访问速 度。
**此部署模式需要控制好数据流向,避免环路。 **此部署模式可以使用PBR+CDP或者WCCP实现设备故障时自劢恢复原有网络。
2、网桥纯加速模式
RN INTE ET
专线
RN IN TE ET
应用场景: SANGFOR WANO网桥部署在专线路由器和核心交换机中,在丌改劢原有网络结构 的同时,既能对专线上的应用配置丌同优先级的流量策略,又削减了总部分支间 大量的重复流量。丌但保障了重要业务的流量优先,而且优化了总部分支的访问 体验,使有限的带宽发挥更大的价值。
配置VPN连接,具体见用户手册。
网桥纯加速模式配置思路
1、服务模式:只启用加速 部署模式:网桥模式
网桥纯加速模式
A、配置本地子网 2、加速配置 B、配置回包路由 C、加速连接配置(具体见手册)
网桥纯加速模式配置
添加本地加速网段,类似VPN的本地子网功能。
如果启用 了MAC跟踪,网桥 模式下可以不配置回包路由。
深信服上网行为管理-典型环境部署指南
配置外网接口地址, 可以自动获取, 手动配置或adsl拨号
填 段写 。需此要处代配理置上也网可的以网在定义网络接口
【防火墙】下的【NAT 代理上网】中添加。
配置完成, 点击提交, 设备重启
典型部署模式与配置
➢ 网桥模式_部署指导 1、网桥模式部署相比路由模式对客户的网络影响较小,当客户内网已有相应
深信服上网行为管理 安装部署
—典型环境部署
培训内容 AC/SG典型部署模式介绍
培训目标
了解AC/SG有几种部署模式以及每处部署模式 适用场景
AC/SG典型部署模式配置 能根据客户不同场景选择恰当的部署模式并独
立完成部署配置
AC/SG典型部署模式总结 掌握不同部署模式的区分别及注意事项
SANGFOR AC&SG
SANGFOR AC/SG部署模式介绍
➢路由模式部署环境(举例):
SANGFOR AC/SG部署模式介绍
• 网桥模式_简介 ➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部
署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
根据客户需求及环境不同,AC/SG设备支持路由、网桥、旁路、单臂 四种部署模式。其中SG支持上述四种部署,AC支持前三种部署。
SANGFOR AC/SG部署模式介绍
• 路由模式/网关模式_简介 ➢ 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的
路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。 ➢ 路由模式下支持AC所有的功能。 ➢ 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署, 其它工作模式没有这些功能。
深信服-AC-部署模式ppt课件
ip:192.168.1.2/24 gw:192.168.1.254
注意事项: 1、如不需要启用 网关杀毒、准入规 则等功能,网桥IP 可设置与内网不同 网段; 2、启用杀毒等功 能则网桥IP必须配 置为同网段,网关、 DNS配置正确,前 置设备须放行AC上 网数据(保证AC本 身可以访问外网)
2、AC三种模式设置
2.1 路由模式设置
至网此,关A当C已前配所成在运 路19行由2.1模模6式8式.1,2配5并.0代置/2理4信息
网段上网。最后还 需要放通防火墙 lan->wan规则, 默认是放通的。
2.2 网桥模式设置 (1)网桥多网口配置---单网桥配置
前置设备
路由器(FW)
AC
交换机
新、网关杀毒可用), 并在添加回包路由。
3、前置设备上的 DHCP、IP/MAC绑 定不可用
保留原网关,网桥模式部署
AC 二层交换机 路由器(FW) 网桥IP: LAN IP: 192.168.1.253 192.168.1.254 GW:192.168.1.254
部署方法: 1、将网关运行模式切换为“网桥 模式”; 2、配置网桥IP ,网关指向前置 设备; 3、WAN1口连接路由器,
1.2 网桥模式(AC相当于交换机,平滑部署到客户网络)
应用环境:AC网桥模式分为网桥多网口和多网桥, 一般适用于客户已经有FW或路由器代理上网,需 要用到AC做访问控制和监控,无需用到vpn,nat, dhcp等功能,并且希望不改变客户网络原有结构, AC可以平滑部署到网络中,即使设备宕机,对客 户网络影响不大。或客户内网原有VRRP或HSRP 环境,架上AC做多网桥实现基本审计控制功能的 同时,不影响客户原有主备的切换。建议用网桥模 式部署。
深信服学习指南P5
SANGFO署 IAM SANGFO署 IAMSANGFOR IAM 部署模式介紹SANGFOR深信服公司簡介典型部署模式與配置練練手IAMSANGFOR IAM部署模式介紹•部署模式_簡介1、部署模式是指設備以什麼樣的工作模式部署到客戶網路中去,不同的部署方式對客戶的網路影響各有不同,具體以何種部署方式需要綜合客戶具體的網路環境和客戶的功能需求而定,不同的部署模式對客戶原有網路的影響各有不同。
2、IAM支持路由、網橋、旁路、單臂四種工作模式。
SANGFOR IAM部署模式介紹•路由模式_簡介應用環境:1、客戶需要用IAM替換掉原來的路由器或防火牆2、新網絡建設,需要用IAM作為網関3、需要使用NAT、VPN、DHCP功能4、需要對客戶原有網絡有較大改動,一般不建議採用該模式功能:1、路由模式下支持IAM所有的功能模式。
SANGFOR IAM部署模式介紹•網橋模式_簡介應用環境:1、網橋多網口:a、出口網関設備和內網主交換機之間只有一條核心鏈路b、在用戶原有網絡中透明部署2、多網橋:a、出口網関設備和內網主交換機之間存在多條核心鏈路b、VRRP與HSRP環境c、在用戶原有網絡中透明部署SANGFOR IAM部署模式介紹•網橋模式_簡介功能及注意事項:1、除NAT、VPN、DHCP功能外,其他功能都支持2、 bypass(與設備型號有關)3、使網橋IP可以上網,確保設備能完成定期更新4、所有接口都可以定義為網橋口,DMZ口為默認manage口5、lan口和wan口不允許接到同一個2層交換機上SANGFOR IAM部署模式介紹•旁路模式_簡介應用環境:1、客戶路由器與交換機支持鏡像口,IAM旁接于鏡像口2、客戶網絡中有hub,IAM旁接在hub上3、不對客戶網絡做任何改動,即使宕機都不會影響網絡功能及注意事項:1、只支持审计和基于TCP应用的控制功能,無法控制UDP應用2、部署簡單,但功能較弱,不常用SANGFOR IAM部署模式介紹•單臂模式_簡介應用環境:1、主要用IAM做代理服務器2、可替換原有客戶的代理服務器功能及注意事項:1、除NAT、VPN、DHCP、准入系统外,其他功能都可实现2、必须用lan口连接内网交换机典型部署模式與配置路由模式_部署指導1、首選需要瞭解客戶的實際需求,客戶是否必須要用到IAM的VPN、NAT(代理上網和端口映射)、DHCP這幾個功能。
深信服NGAF-路由模式单VRRP部署方案
• 三层交换机下联口【2】故障导致三
1
层交换机切换而防火墙未切换
三层交换A
2
Internet
单vrrp主/备 单vrrp主/备
1 防火墙B
2
1 三层交换B
2
部署方案总结
方案建议:
交换机开启track(cisco)、NQA
深信服培训VPN总结
深信服SSL VPN总结VPN 是一种能够通过共享的网络基础设施,如:在因特网上提供安全、可靠连接的服务。
VPN 定义为专用网络之间通过公共网络实现的加密连接。
Vpn 默认地址:https://10.254.253.254:1000,账户名/密码:Admin/Admin,默认eth0口ip:10.254.253.254,默认eth1口ip:10.254.254.254VPN的部署模式:1)网关(多线路、单线路)模式2)单臂(多线路、单线路)模式1.网关(多线路、单线路)模式对客户的环境做比较大的改动,用SSL设备替换原有部署在出口处的路由器。
2.单臂(多线路、单线路)模式对客户的网络环境无变动,宕机也不影响网络,只连接LAN口到内网,防火墙、DHCP、NAT等功能无法使用认证方式:1)用户名、密码认证2)数字证书/DKEY认证3)LDAP认证4)RADIUS认证5)短信认证6)硬件特征码认证7)令牌认证1.用户名、密码认证基于用户名和密码的认证,用户登录正确的用户名和密码即可登录2.数字证书/DKEY认证数字证书认证包括自建CA和第三方CA,自建和第三方CA包括数字证书和DKEY,DKEY包括有驱DKEY和无驱DKEY(注意:生成了无驱DKEY不能再生成有驱DKEY;有驱DKEY可生成无驱DKEY)3.LDAP认证轻量级目录访问协议TCP 3894.RADIUS认证:远程用户拨号系统(目前最广泛的AAA认证)UDP 1812(认证) UDP1813(计费)5.短信认证:SSL 设备通过发送短信校验码至用户绑定的手机号码上, 用户正确输入短信校验码后才能登陆SSL。
短信认证需开通序列号才能使用。
(短信认证属于辅助认证,必须同时使用一种主要认证)6.硬件特征码认证:实现SSL VPN 账号和计算机硬件绑定,一个账号只能使用一台或者几台特定的电脑才能登陆,实现账号的安全性(硬件特征码属于辅助认证,必须同时使用一种主要认证)读取接入电脑硬件信息顺序:硬盘ID->网卡MAC>C盘ID>D盘ID>E盘ID...7.令牌认证:(令牌认证属于辅助认证,必须同时使用一种主要认证)VPN设备安全包括:1)多种方式组合认证2)主从账号绑定(专利)3)客户端安全检查4)安全桌面5)防止中间人攻击6)可选消除缓存1.多种方式组合认证:用多种认证方式组合在一起认证2.主从账号绑定:将系统账号与VPN账号绑定,确保账号的安全性3.客户端安全检查:①准入:确保客户的网络环境安全方可登陆②授权:根据登陆账号的安全策略,放行符合策略的访问权限4.安全桌面:启用一个虚拟的桌面进行操作,避免泄露信息5.防止中间人攻击:针对伪造的证书和SSL通道进行检测,并给用户发送告警信息6.可选消除缓存退出SSL VPN是自动删除一切信息VPN设备速度包括:1)TCP快速传输协议2)多线路只能选路3)资源负载均衡4)WEB优化5)流缓存1.TCP快速传输协议基于UDP的可靠传输协议,提高TCP的传输效率2.多线路智能选路实时检测线路,确保线路稳定快速3.资源负载均衡动态选择接入的服务器,提高访问速度4.WEB优化通过图片缩小、过滤、模糊化策略对图片做优化处理,提高访问速度5.流缓存访问过后自动记录缓存,方便下次直接提取Sangfor SSL资源是指远程接入SSL VPN后可供访问的内网服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:
a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
深信服部署模式
————————————————————————————————作者:
————————————————————————————————日期:
一、AC\SG部署模式:
1.1部署模式拓扑图:
1.1.1路由部署
1.1.2网桥部署:
1.1.3旁路部署:
1.2部署指导
1.2.1路由模式_部署指导
2、上网配置:
代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
3.2.2网关多线路配置思路
1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权
2、网关模式配置:确定设备外网口是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码,给每条外网线路做配置;确定内网口(LAN口)的IP地址信息;
4.2.2单臂模式配置思路:
1.总部配置
1).选择部署模式并配置内网接口信息
2).在前置防火墙添加路由,目标IP为分支所在的网段(10.0.1.0/24),网关指向VPN设备(192.200.1.252),具体配置不再详细说明。
3.在前置防火墙配置端口映射(具体配置不再详细说明)
2.分支配置(参考网关模式部署配置)
2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;
3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
二、AF部署模式:
2.1部署模式拓扑图:
2.1.1路由模式:
首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:
1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
2.1.2透明模式
2.1.3虚拟网线
2.1.4旁路模式:
2.1.5混合模式
三、SSL VPN部署模式:
3.1部署模式拓扑图
3.1.1网关部署:
3.1.2单臂部署:
3.2部署指导
3.2.1网关单线路配置思路
1、网关模式配置:
确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:
a.设备一进一出做单网桥
b.客户内网有VRRP或HSRP环境
1.2.3旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;
3、配置SSL VPN多线路
四、IPsecVPN部署模式:
4.1部署模式拓扑图:
4.1.1网关模式部署
4.1.2单臂模式部署:
4.2配置思路
4.2.1网关模式部署配置思路:
1.选择部署模式并配置内,外网接口信息
2.配置代理上网同时放通防火墙规则
3.本案例内网有三层环境,还需配置回包路由
4.若设备还提供SANGFOR VPN服务,VPN连进来后需要访问内网所有的网段,还需要添加本地子网(VPN的具体配置请参考《DLAN互联基础配置》。
2、前置网关做TCP 443和80端口映射(如果用到IPSEC VPN还需要映射TCP / UDP 4009端口)
3.2.4单臂Biblioteka 线路部署配置思路:1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS;
2、前置网关分别做两条线路的TCP 443和80端口映射(如果用到IPSEC VPN还需要映射TCP / UDP 4009端口)
3、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
4、多线路配置:可根据客户需求设置IPSEC VPN多线路,SSL VPN多线路传输,上网数据的多线路选路策略。
3.2.3单臂单线路部署配置思路
1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址,填写正确的网关IP、DNS;