上网行为管理部署方案培训教材

SANGFOR AC
部署模式介绍 典型部署模式与配置 访问控制 其它功深能信介服绍公司简介
三、访问控制
1、组织结构管理 2、上网策略管理 3、流量管理
三、访问控制
3.1、AC组织结构管理-概念
组织结构：管理用户、设置分组和关联策略
用户： 一般情况下，每个用户都必须 有个所属组
组织
wk.baidu.com
父组 用户组
子组
3、网桥多网口，这种部署相对比较少。是指支持将多于两个以上的网口来组成 单个网桥。
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种，但也是所能实现功能较弱 的一种部署方式，此种部署模式对客户原有网络无任何影响，即使设备宕机 也不影响客户网络。 2、旁路模式AC只支持审计和基于TCP应用的控制功能，无法对任何基于 UDP协议的应用作任何的控制。 3、旁路模式一般AC使用一个监听口单接部署在核心交换机或者是核心出口 路由器上，需要路由器或者是核心交换机支持镜像功能，将流量上下行镜像 到AC上来。
典型部署模式与配置
路由器（FW）
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器（FW） AC 三层交换机
路由器（FW）
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
建好“财务部”组后，建立其子组：“回款部”和“统计部”
三、访问控制
3.1、AC组织结构管理-新增用户
可以同时新增多个用户， 但只能编辑公共属性
用于在用户在线列 表等地方显示
三、访问控制
3.1、AC组织结构管理-移动对象
对已经设置好的用户或者组，可以进行移动，移动在组织结构中的位置。
三、访问控制
典型部署模式与配置
➢ 网桥模式配置截图
典型部署模式与配置
➢ 旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种，但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时，可以考虑此种 部署方式，常见于高校、大型国有企业专门用于AC作审计；
2、旁路部署时一般设备是接在核心交换机上，核心交换机通过将镜像功能将需 要审计的流量镜像过来；
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小，当客户确定不需要使 用AC的VPN、NAT、DHCP功能时，则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式： 客户原有网络是单核心交换机、单出口防火墙情况下，AC用单网桥； 客户原有网络是单核心交换机、两台出口防火墙情况下，AC用双网桥； 客户原有网络是两台核心交换机、单台出口防火墙情况下，AC用双网桥；
关键字：一行一个，不 支持通配符和权重等。
3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤：
勾选是否同时适用于 FTP传输的文件类型
过滤通过HTTP协议上 传和下载的文件类型
3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤：文件类型组设置
策略匹配顺序：由上 至下，当涉及相同的 规则时，注意将较细 的规则放在前面。
应用类型 选择应用类型
策略叠加时，缺省动作以此条为准， 还是继续往下匹配，如果以此条为准， 则执行缺服省务动控作制应，不用下再名面匹称策配略到中 了的应用 规则名称
细分子类应用类型
对应用类型下的子类进 行选择
3.2、上网策略管理-策略对象设置 3.2.1、上网权限 b、网络服务控制：根据目标IP、端口和时间来控制上网数据。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作层次基本与路由器相当，具备基本的路由转发及 NAT功能，一般在客户原有网络环境中添加部署AC设备时不采用这种模式， 因为这种部署模式需要对客户的网络环境作较大的改动。 2、一般此种部署模式是客户想用AC替换原有部署的防火墙或者是路由器， 或者是客户在规划新网络建设时将AC部署为路由模式。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要作NAT、VPN、DHCP等功能时，AC必须是路由模式， 其它工作模式不支持实现这些功能。
典型部署模式与配置
➢ 旁路模式部署配置思路
1、一般AC旁路接在核心交换机的镜像口上，核心交换机需要将上下行流量 镜像到AC过来。 2、旁路模式部署时必须配置管理口IP地址进行管理，可以分配内网任意网段 空闲IP地址进行管理，监听口可以接任意网口（除了配置为管理口接口之 外），可以同时接多个进行监听。 3、需要确认内网所有需要进行审计的内网网段（监控网段），需要确认内网 是否有服务器提供访问时需要也进行记录。 4、管理口不仅用于管理，还用于包括和外置数据中心同步、作TCP控制时发 reset包使用。
2、客户新规划建设的网络中来部署AC，相当于一个全新的网络规划， 客户想把AC当作一台防火墙部署在出口上，可以部署成为路由模式。
3、客户网络中原有防火墙或者路由器了，出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN：拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
SANGFOR
部署模式介绍 典型部署模式与配置 访问控制 其它功深能信介服绍公司简介
典型部署模式与配置
路由 模式
网桥 模式
旁路 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求，客户是否必须要用到AC的VPN、 NAT（代理上网和端口映射）、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
功能和前面类似，不再赘述。
功能和前面类似，不再赘述。
3.2、上网策略管理-策略对象设置
3.2.1、上网权限 c、高级配置：
检测代理数据， 控制是否可以使
用代理上网 识别某些使用http和SSL 标准端口的非标准协议， 例如QQ等。
3.2、上网策略管理-策略对象设置
3.2.2、网页过滤 a、URL过滤：对访问网页的URL进行过滤，内置研发收集
3、管理时采用管理口（DMZ）配置IP地址进行管理，其它所有接口均可作为监 听口，可使用一个口或者是多个口同时作为监听口，监听口无需任何配置的。
典型部署模式与配置
三层交换机
路由器（FW）
镜像 监听口
DMZ（管理口） IP:192.168.1.2/24
192.168.3.0/24 192.168.2.0/24 192.168.1.0/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
WAN：拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置：确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式， 取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN 口）的IP地址信息； 2、确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机；
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动，不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功 能，除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时，对客户原有网络是透明的，因此当网络因为AC的原 因而中断时可以马上绕开AC，即可恢复客户原有的网络。
内置URL由支研持发一收级集通并配提符供网上定时更 新，内置URL无法编辑，导出等操作
3.2、上网策略管理-策略对象设置
3.2.2、网页过滤 b、关键字过滤：
搜索引擎：对知名搜索引擎 上搜索关键字进行控制
HTTP上传：对通过HTTP协 议上传的其他关键字进行控 制，包括发贴、webmail等。
3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 b、关键字过滤：关键字组设置
的URL库，并可以进行定时更新。
b、关键字过滤：拒绝某些在搜索引擎或通过http协议上传的 关键字。
c、文件类型过滤：拒绝通过http或FTP下载和上传的文件类 型。
d、SSL控制：通过证书控制，保证访问SSL协议的安全性。
3.2、上网策略管理-策略对象设置
3.2.2、网页过滤 a、URL过滤：根据访问网页的URL进行过滤
策略对象：用于设置详细的上网策略。 包括：上网权限、网页过滤、邮件过滤、应用审计、流量统计与上网计时、
准入系统。
策略名称
策略描述
一条策略中包含这六种控制方式，通过勾选，使此方式生效 并进行设置。
接下来的章节将对这六种控制方式进行详细讲解 掌握：能做到什么？控制的原理？设置步骤？
3.2、上网策略管理-策略对象设置
root根组 一级组
二级组
上网策略
关联
用户 用户组
三、访问控制
3.1、AC组织结构管理-新建用户组
以“财务部”为例，财务部为一级组，下属有“回款部”和“统计部” 两个子部门
可以同时建立多个子组 显示所属组路径，即父组路径，同时也是AC中 组的表达方式。
三、访问控制
3.1、AC组织结构管理-新增子组
3.1、AC组织结构管理—查询对象
在“组成员列表”中进行查询，查询当前组包含的所有用户和子组。
可以查询当前组以及其子组 的成员列表。
三、访问控制
3.2、上网策略管理—概念
访问控制：对内网用户访问外网的数据进行控制。 通过什么实现：上网策略对象 怎样进行控制：用户组或用户关联相关策略
3.2、上网策略管理-策略对象设置
典型部署模式与配置
➢ 网桥模式配置思路
1、网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换机之间 网段是否存在空闲的主机IP地址，如果有则分配一个该网段的IP地址给AC作 为网桥的IP地址，如果没有空闲IP的话则配置管理口（DMZ）进行管理。
2、典型的前端防火墙和下面的核心交换机之间的链路配置了点到点的IP地址 段，则AC串接进去后也无可用主机IP地址分配，因此这种情况下AC只能配 置管理口（DMZ）进行管理。
3.2.1、上网权限
a、应用服务控制：对数据包的协议和特征字段等进 行分析，判断数据类型。
b、网络服务控制：对数据包的IP和端口进行分析控 制，相当于传统防火墙。
c、高级配置：控制使用代理等数据。
3.2、上网策略管理-策略对象设置
3.2.1、上网权限
a、应用服务控制：根据分析数据包特征字段，获取应用类型，内置大量 规则，由研发根据目前常见应用分析出来的，并会进行实时更新。
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥，这种部署模式是最常见的。AC部署在出口网关设备（防火墙或者路 由器）和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙（路由器）的情况下。
2、多网桥，一般情况下两进两出是最常见的。AC部署在出口网关设备（防火墙 或者路由器）和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙（路由器）的情况下。
URL组
策略叠加时，缺省动作以此条为准， 还是继续往下匹配，如果以此条为准， 则执行缺省动作，下面策略中的URL
控制不再匹配到了
3.2、上网策略管理-策略对象设置
3.2.2、网页过滤 a、URL过滤：URL组设置（自定义URL组过滤）
查询内置和外置url， 不支持模糊查询
用户根据自身情况 自定义URL组
上网行为管理设备部署培训
SANGFOR
部署模式介绍 典型部署模式与配置 访问控制 其它功深能信介服绍公司简介
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署 方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的 网络环境和客户的功能需求而定，不同的部署模式对客户原有网络的影响各 有不同。 2、AC支持路由、网桥、旁路三种工作模式。