深信服上网行为管理-典型环境的安装部署
深信服上网行为管理-典型环境的安装部署
部署在网络出口处。 3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC
替换掉原有的防火墙或者路由器并代理内网用户上网。
典型部署模式与配置
➢ 路由模式_配置思路 1、网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地 址及网关;如果是ADSL拔号上网,则填写运营商给的拨号账号和密码;确 定内网口的IP; 2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路 由,将到内网各网段的数据回指给设备下接的三层设备。 3、用户是否需要通过AC设备上网,如果是的话,需要设置地址转换规则。 4、检查并放通防火墙规则。
➢单臂模式部署环境(举例):
eth0
SANGFOR SG部署模式介绍
➢SG单臂模式部署环境(举例):
AC/SG典型部署模式配置
典型部署模式与配置
➢ 路由模式_部署指导 首选需要了解用户的实际需求,以下几种情况 必须使用路由模式部署: 1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP
根据客户需求及环境不同,AC/SG设备支持路由、网桥、旁路、单臂四种 部署模式。其中SG支持上述四种部署,AC支持前三种部署。
• SANGFOR AC/SG部署模式介绍
路由模式/网关模式_简介 ➢ 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的
路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。 ➢ 路由模式下支持AC所有的功能。 ➢ 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部 署,其它工作模式没有这些功能。
深信服上网行为管理 典型环境的安装部署
深信服上网行为管理-系统管理配置指南
策略路由配置
3、导入各运营商的策略路由表 新发货的设备一般策略路由表都是空的,怎样导入初始策略路由表?
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由,导入后,内网PC经设备上网的 数据流,即可实现根据目标地址选路走同一个运营商的线路出去,如访 问电信的网站走电信线路,从而解决了跨运营商之间访问速度慢的问题。 同时也能实现当其中一条 线路故障,流量自动切换到其它线路,直到故 障线路恢复,从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip,oid(1.3.6.1),community,这样可以读取所有信 息,如下图:
这种方法读出所有信息,并不知道每个值具体意义,因oid不具体,很难找 到我们需要的信息。
SNMP配置
下载mib库,导入网管软件, 方便管理查看设备信息 设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能,当触发告警条件时,设备就会通过邮件 告警及登录控制台界面右下角小喇叭告警,以便能及时通知到管理员。设 备支持的告警事件类型如下。
深信服上网行为管理解决方案
深信服上网行为管理解决方案篇一:深信服上网行为管理部署方式及功能实现配置说明深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,WAN口和LAN口LINK 灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是/24,在电脑上配置一个此网段的IP地址,通过https://登录设备,默认登录用户名/密码是:admin/admin。
深信服上网行为管理解决方案
深信服上网行为管理解决方案深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC 的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:● IT管理员如何对企业网络效能行为进行统计、分析和评估?● IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?● IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料?● IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手――SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
深信服上网行为管理-安装部署指南
TRUNK环境部署:路由模式_配置步骤
LAN口(eth0)填写 任一个不存在的IP 配置完成后可看到配置汇总信息
启用VLAN并据实 填写VLAN地址信 息
TRUNK环境部署:路由模式_配置步骤
TRUNK环境部署:网桥模式
不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案)
TRUNK环境部署:网桥模式_配置思路
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好 设备。
2、网桥IP配置为不属于任何VLAN的IP,网桥的网关指向任意一个 VLAN的网关。配置启用VLAN,并按格式填写每个VLAN可用的IP。
TRUNK环境部署:网桥模式_配置步骤
填写配任置一完个成不后存可在看的到网汇桥总I信P息 据实填写其中一个能与互 联网通信的VLAN的网关 IP和准确的DNS信息
常见代理环境中的部署方式
2. 代理服务器双网卡(AC/SG设备旁路模式部署)
如果主要用于审计,设备可 采取旁路模式部署,用于监 听内网发往代理服务器的所 有数据。
常见代理环境中的部署方式
3. 代理服务器单网卡(AC/SG设备网桥模式部署) 如左图所示,代理服务器以单臂模 式接在核心交换机上。
内网用户上网数据先通过交换机到 达代理服务器,再由代理服务器经 核心交换机和防火墙到公网。
适用环境:用户通过内网代理服务器上 网,并且需要准确识别用户通过代理服 务器上网的数据和分权限控制。
常见代理环境中的部署方式
1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署)
设备可采取路由模式或网桥模式部署在客户 端与代理服务器之间,考虑到内网改动的大 小,建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过 AC/SG设备,也就是代理服务器应该部署于 AC/SG设备的WAN口方向。
SOHO无线路由器与深信服上网行为管理结合案例
一.网络部署图
二.部署步骤
1.上网行为管理(以下简称AC)以网关模式部署在网络出口,做ADSL拨号
2.AC上面开启DHCP服务,并做DHCP地址保留,建议保留地址数量≥ AP数量
3.AC认证策略启用MAC地址认证,认证适用范围 = AC的DHCP服务管理范围
4.AP(无线路由器),WAN口配置为内网不存在的IP和网段(如127.0.0.1);LAN口配置为AC的DHCP服务保留的IP,并关闭AP(无线路由器)上的DHCP服务
5.AC的LAN口通过交换机,与AP(无线路由器)的LAN口区域连接,AP(无线路由器)的WAN口区域不接线
三.配置说明
1.家用级AP(无线路由器)默认就开启了NAT,并且无法关闭,所以AC与AP(无线路由器)的LAN口区域连接,AP(无线路由器)只有工作在二层网络,在AC上才能检测到连接AP终端的MAC地址
2.AP(无线路由器)LAN口区域,只能使用固定IP,所以要在AC的DHCP中设置保留地址,避免AP(无线路由器)与AC的DHCP分配IP产生冲突
3.关闭AP(无线路由器)上的DHCP,避免AP(无线路由器)与AC的DHCP分配IP产生冲突
4.假设某内网某服务器地址是192.168.100.100,AP(无线路由器)的WAN口地址也配置为192.168.100.100,移动终端连接AP就无法访问到相应的服务器,只会访问到AP(无线路由器),为避免出现这样的情况,WAN口配置为内网不存在的IP和网段。
深信服上网行为管理配置详解
第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
深信服WIFI系统上网行为管理解决方案
谢谢
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
深信服WIFI系统上网行为管理解决方案
应用背景
随着智能手机、pad智能终端的普及,我们已经习惯了随时随地的连
接网络,使用网络。各大型商场,酒店大厅,银行营业厅已经部署了无
线网络。
需求分析
• 上网用户身份确定
• 发ห้องสมุดไป่ตู้免责声明,推送广告页面 • 统计客户信息,挖掘潜在商机 • 保障上网体验 • 提供健康上网环境
典型案例
安徽合肥万达商场
a. 采用短信认证,认证后跳转到公司页面,在认 证页面推送广告; b. 针对用户做流控,限制不当网络行为,特别是 下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,定期发送 手机广告,从而IT给业务带来增值 。
山西大酒店
采用AC无线网络管理和业务增值方案: a. 采用短信认证,认证后跳转到酒店的广告页面; b. 做无线网络的行为管控; c. 实名认证+审计,满足公安部的审查需求。
保障上网体验
上网流量控制: 建议可限制下载类的大流量
应用,限制单用户使用网络的流量,保障用户的 上网体验。
提供健康上网环境
行为管理:
利用上网行为管理设备过滤不良网页和应用,提供 健康绿色的上网环境。对部分敏感信息进行记录,满足 公安部82号令的要求。
AC-SC集中管理
深信服上网行为管理-典型环境部署指南
配置外网接口地址, 可以自动获取, 手动配置或adsl拨号
填 段写 。需此要处代配理置上也网可的以网在定义网络接口
【防火墙】下的【NAT 代理上网】中添加。
配置完成, 点击提交, 设备重启
典型部署模式与配置
➢ 网桥模式_部署指导 1、网桥模式部署相比路由模式对客户的网络影响较小,当客户内网已有相应
深信服上网行为管理 安装部署
—典型环境部署
培训内容 AC/SG典型部署模式介绍
培训目标
了解AC/SG有几种部署模式以及每处部署模式 适用场景
AC/SG典型部署模式配置 能根据客户不同场景选择恰当的部署模式并独
立完成部署配置
AC/SG典型部署模式总结 掌握不同部署模式的区分别及注意事项
SANGFOR AC&SG
SANGFOR AC/SG部署模式介绍
➢路由模式部署环境(举例):
SANGFOR AC/SG部署模式介绍
• 网桥模式_简介 ➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部
署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
根据客户需求及环境不同,AC/SG设备支持路由、网桥、旁路、单臂 四种部署模式。其中SG支持上述四种部署,AC支持前三种部署。
SANGFOR AC/SG部署模式介绍
• 路由模式/网关模式_简介 ➢ 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的
路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。 ➢ 路由模式下支持AC所有的功能。 ➢ 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署, 其它工作模式没有这些功能。
深信服SINFORAC上网行为管理解决方案
深信服SINFORAC上网行为管理解决方案12深信服SINFOR AC上网行为管理解决方案一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改进,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。
据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。
这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT 管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括:·IT管理员如何对企业网络效能行为进行统计、分析和评估?3·IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和引导员工正确使用网络?·IT管理员如何杜绝员工经过电子邮件、MSN等途径泄漏企业内部机密资料?·IT管理员如何在万一发生问题时有一个证据或依据?二、互联网管理的好帮手——SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。
随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。
特别值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。
深信服上网行为管理-终端接入管理介绍
移动终端管理配置
发现移动终端后的操作,如 果不选,则只识别记录日志。
移动终端管理配置
配置完成后,当有移动终端流量接入并经过AC时,会被AC识别并拦截,且 终端提示如下
注意
移动终端管理是全局开关,开启后,只要识别为共享行为 的,会统一处理(如封堵),如果有个别用户是允许接入 移动终端,应该怎样处理?可以通过下面的方法将例外用 户或IP地址添加至信任列表。信任列表中的用户不作处理。
内网私接路由器,终端通过路由器NAT上网场景
共享接入管理配置
场景一:企业经常会用360wifi等随身wifi,可以共享给任何终端接入,要 做到防止任何终端共享接入。企业防共享一般按如下图设置,统计方式选择 “统计所有终端类型”,冻结选项选择“冻结IP地址”。
配置自动冻结条件,如果 不启用,则只识别不冻结
共享接入管理日志
历史日志显示近期被发现共享上网的用 户,更多日志可以从数据中心查询
注意
共享接入管理是全局开关,开启后,只要识别为共享行为 的,会统一处理(如封堵),如果有个别用户是允许共享 上网的,应该怎样处理?可以通过下面的方法将例外用户 或IP地址添加至信任列表。信任列表中的用户不作处理。
注意
移动终端管理
移动终端管理介绍
由于平板电脑、手机等智能终端的流行和他们本身只能采用无线网 络,员工可能自己拿一些无线AP接入公司有线网络,无线终端(如 手机)再通过无线AP接入公司网络。这样可能导致内网暴漏,信息 安全遭受威胁。移动终端管理,能够识别无线智能终端的接入,防 范无线智能终端设备接入引起引起的安全风险。
6.0版本支持的共享接入管理场景如下
场景 2台及以上windows pc共享上网 windows pc和移动端(如ios,android)
深信服上网行为管理产品的部署方式
深信服上网行为管理产品的部署方式
深信服上网行为管理产品的部署方式包括网关、网桥、旁路、双进双出等。
下面是店铺收集整理的深信服上网行为管理产品的部署方式,希望对大家有帮助~~
深信服上网行为管理产品的部署方式
工具/原料
深信服
上网行为管理
方法/步骤
a) 精准识别上网用户身份
深信服上网行为管理产品支持内建上网账户、或与组织现有LDAP、AD、Radius等第三方认证服务器结合,通过弹出Web窗口实现上网用户身份认证与识别。
该产品也支持无需用户手工操作的透明认证:如以用户的IP地址、MAC地址认证,以绑定的IP和MAC地址认证,或与组织原有AD域认证、代理认证、POP3邮箱认证结合实现透明认证等。
为避免领导上网帐号被盗用的风险,深信服上网行为管理产品还提供USB-Key方式的双因素身份认证。
b) 精准识别各种上网行为
深信服上网行为管理产品还可彻底封堵上传下载文件行为,但此措施推行阻力大、且妨碍了正常上传下载的使用。
该产品支持只允许用户到指定网站上传下载指定类型的文件,如只允许到华军软件园、新浪下载等站点下载应用程序。
c) 灵活而全面的上网授权
以精准的用户识别、应用识别为基础,深信服上网行为管理产品可以根据用户身份、应用行为、行为内容、时间、目标IP等灵活分配上网权限。
4d) 预知/阻止效率低下风险
管理者通过该产品的上网日志统计、分析工具掌控组织上网行为分布、时间分布、某用户上网明细等。
深信服AD设备典型网络的部署
旁路模式部署案例与配置
旁路模式部署案例配置思路:
1. 配置AD WAN口信息。 2. AD上启用代理上网功能(使服务器看到的源IP是AD,服务器回包会回给
AD,保证来回数据都经过AD) 3. 启用远程维护,【系统配置】-【设备管理】-【管理网口】-启用远程维护。
AD典型部署案例及配置
1.路由模式部署案例 2.旁路模式部署案例
路由模式部署案例与配置
用户需求: 希望实现代理内网上网和智能选路,内 网访问网通服务器走网通线路,访问电 信服务器走电信线路。同时要实现外网 用户访问内部服务器的时候能够做自动 选路快速访问。
网络环境: 两条外网线路,内网有服务器群,防火 墙透明部署
路由模式部署案例与配置
配置思路:
通过manage口(https://10.252.252.252 或者https://10.254.254.254)登录设备 ( admin/admin ),做基本网口配置,再把设备架入网络中。
1. 配置设备外网口(WAN口)和内网口(LAN口)地址。 2. 内网若有多网段环境,添加静态路由回指给设备下接的核心交换机。 3. 配置代理上网 4. 配置智能路由。
AD部署模式介绍
2.路由模式介绍
常见的部署方式,可以同时实现服务器负 载和多链路负载,设备直接接入网络边界, 启用NAT代理上网,防火墙做透明模式, 适合新建网络或者替代原有出口路由器或 者防火墙。部署时改动较大,需内网规划 IP段和添加相应的路由。
路由模式下可实现入站链路负载、出站链 路负载、服务器负载。
问题思考
1.请说出AD有哪几种部署模式?几种部署模式之间有什么区别?
启用后内网用户才可以从WAN口管理到AD设备。 4. 配置默认路由。 5. 前置防火墙上做端口映射(映射内网服务器的服务端口或者全映射到AD
设备部署深信服上网行为管理AC
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 旁路模式配置步骤
•若设备需要跟外网 通关讯和•计填,D的写N需内S需配网要网置审段好网
•配置完成 点击提交
设备部署深信服上网行为管理AC
练练手
情景1
客户原有网络如右图,在出口位置部 署了一台防火墙,下接三层交换机, 现在购买了一台AC,客户需要实现流 控、审计、网页过滤等功能,请问根 据这样的需求,在对原有的环境改动 最小的情况 下AC应该如何部署? 请根据左边拓扑图手动配置一下,完 成设备部署。
SANGFOR AC部署模式介绍
• 路由模式_简介
➢ 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的 路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将 AC做网关使用时,建议以路由模式部署。
➢ 路由模式下支持AC所有的功能。 ➢ 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
➢旁路模式部署环境(举例):
设备部署深信服上网行为管理AC
•典型部署模式与配置
设备部署深信服上网行为管理AC
典型部署模式与配置
•路由 •模式
•网桥 模式
•旁路 模式
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 路由模式_部署指导
设备部署深信服上网行 为管理AC
2020/12/8
设备部署深信服上网行为管理AC
培训内容 AC部署模式介绍
培训目标
1. 掌握AC支持的部署模式 2. 掌握AC各种模式的适用环境和支持的功能。
设备部署深信服上网行为管理
设备部署深信服上网行为管理简介深信服上网行为管理是一种面向企业网络的行为管理和内容审查解决方案。
它通过实时监控企业网络的流量和行为,提供细粒度的访问控制和内容过滤,帮助企业实现网络安全管理和资源优化。
本文档将重点介绍设备部署深信服上网行为管理的步骤和注意事项。
步骤1. 硬件选购首先需要根据企业的规模和需求,选择适合的深信服上网行为管理设备。
深信服提供多款不同规格和性能的设备,根据企业的网络规模和用户数量,选择合适的型号和配置。
2. 网络规划在部署深信服上网行为管理设备前,需要进行网络规划。
确定设备的位置和连接方式,保证设备能够覆盖到企业内的所有网络流量。
3. 设备接入将设备按照网络规划的要求接入企业的网络中。
一般情况下,将设备接入企业的核心交换机或网络边界设备。
4. 配置设备接入设备后,需要按照深信服提供的操作手册和技术文档,对设备进行配置。
主要配置包括网络接口设置、防火墙规则配置、访问控制策略配置等。
5. 日常运维设备部署完成后,需要进行日常的运维管理。
定期对设备进行升级和维护,监控设备运行状态,及时处理设备故障和异常。
注意事项1. 安全性在设备部署过程中,需要注意设备的安全性。
设备应放置在安全的物理环境中,防止被未经授权的人员物理访问。
同时,需要对设备进行安全配置,设置合适的访问控制策略,防止未经授权的访问。
2. 网络可用性在部署深信服上网行为管理设备时,需要确保网络的可用性。
设备应该能够满足企业的网络带宽需求,并且不影响网络的正常运行。
3. 管理权限设备部署完成后,需要合理设置管理员权限。
只允许授权的人员具备设备管理权限,防止未经授权的访问和操作。
4. 定期备份定期备份设备的配置文件和数据是非常重要的。
在设备出现故障或损坏时,可以通过备份文件快速恢复设备的配置和数据,减少系统停机时间。
总结设备部署深信服上网行为管理是企业网络安全管理和资源优化的重要环节。
本文档介绍了设备部署的步骤和注意事项,希望能够帮助您顺利完成设备部署,并确保网络的安全和稳定运行。
深信服上网行为管理部署方式及功能实现配置说明
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过登录设备,默认登录用户名/密码是:admin/admin。
深信服上网行为管理-数据中心安装指南
数据中心介绍
3、当内置数据中心日志量很大时,此时可能影响设备性能,建立使用外置数据中 心。内置数据中心和外置数据中心可以共存,但如果因日志量大而影响了设备性能 ,建立关闭内置数据中心,只使用外置数据中心。内置数据中心关闭方法如下:
数据中心介绍
外置数据中心由以下三部分组成: 1、数据中心主程序:用于数据同步 2、数据库程序:用于存储数据 3、 WEB服务:用于用户查询数据
自定义报表-网络概况与风险报表
外置数据中心使用
查看已生成的报表
下载已生成的报表,报表为pdf格式
外置数据中心使用
报表发送到管理员邮箱。周期性报表自动生成后,可以发送到管理员邮箱,通过查询邮件就可以了 解当前网络情况,如下图,需要先邮件服务器地址
设置邮箱的账号密码
外置数据中心使用
报表发送至管理员邮箱
空,点击登录
点击应用保存,这
时会重启Apache服
勾选需要同步的日志类型 务,点击确定即可
点击确定保存
配置完成 点击应用
外置数据中心安装
外置数据中心同步配置
进入【系统配置】->【数据中心配置】页面,点击【新增】进行外置数据中心同步配置
配置完成, 点提交
点击立即将数据同步 填写到安外装置外数置据数中据心中 心的服务器IP地址; 点击可测试与数据所中配置好的同步账号 心服务器的连通性和置定密 数 的码据页点置;中面击数以心访可据及软问以中安件端直心装时口接登外指。进录入界外面
生成报表时,选择“订阅此报 表”,并填写接收邮件地址
外置数据中心使用
查看日志库大小
可以查看到数据中心记录了哪些天的日志。同时可以按天选中需要删除的 日志库。
外置数据中心使用
查看磁盘空间使用情况