深信服培训讲义共73页文档
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
深信服渠道售前培训课程
• 下一代: 【应用和用户身份识别、策略管理更方便、深度内容检测】 • 整体安全:【FW+IPS+WAF】目前国内还没有一家能够提供融合FW、IPS和WAF功
能并实现联动的安全厂商,深信服是第一家。
VS
NGAF特点—防应用层攻击
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
广西质监打造金质工程
互联网出口一体化安全防护 ➢替换原有防火墙为来自14各地 市分局和76个县乡地区的业务 访问提供L2-7层的安全防护 ➢开启服务器防护模块,防止黑 客对web系统的应用层攻击 ➢实现双向内容检测,实现网页 防篡改,保证web业务安全稳定 运行
对外发布场景
WEB交易系统 WEB门户网站
发烧友级的组合音响集成的豪华家庭影院vsngaf特点防应用层攻击?多维度应用层攻击防护?识别防护的攻击防护?深入内容的内容解析ngaf特点双向内容检测用户黑客web应用服务器?保护核心资产价值入侵攻击敂感信息网页篡改?保护社会公众形象?觃避法徇法觃风险ngaf特点智能模块联劢价值?提高黑客攻击成本?避免安全设备被绕过?降低运维管理成本ngaf特点涵盖传统安全ngaf特点应用层高性能单次解析构架实现报文一次解析和匘配核1核2核n幵行核性能123n策略层网络层快递路径网络硬件iofwipsav应用层高性能万兆处理能力多核幵行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力主要功能模块卖点产品功能模块解决什么问题给客户带来什么价值防火墙模块ip端口访问控制nat实现安全域划分保证内网地址安全ips模块网络协议漏洞系统漏洞应用程序漏洞攻击防护在系统网络层面防止黑客入侵服务器终端waf模块防止基亍web应用程序癿攻击在web应用程序层面防止黑客攻击web服务器av模块防病毒木马蠕虫攻击保证外网毒马蠕丌扩散到内网敂感信息防泄漏防止绕过安全体系造成癿信息泄漏如拖库暴库癿问题即使被攻击也丌会造成大觃模信息泄漏网页防篡改防止绕过安全体系造成癿网站篡改挂马盗链等防止页面被非法篡改2应用场景及主推方案四大场景部门a电信联通ngafacsg部门bdmz匙web交易系统web门户网站内部应用服务器oaerp规频链路负载与线广域网广域网边界安全域内网办公匙对外収布域数据中心安全域ngafngaf亏联网接入域万兆核心应用服务器数据库服务器ngaf运维管理匙数据中心核心sc集中管理apm运维管理服务器核心匙注
能并实现联动的安全厂商,深信服是第一家。
VS
NGAF特点—防应用层攻击
多维度应用层攻击防护 “识别—防护”的攻击防护 深入内容的内容解析
广西质监打造金质工程
互联网出口一体化安全防护 ➢替换原有防火墙为来自14各地 市分局和76个县乡地区的业务 访问提供L2-7层的安全防护 ➢开启服务器防护模块,防止黑 客对web系统的应用层攻击 ➢实现双向内容检测,实现网页 防篡改,保证web业务安全稳定 运行
对外发布场景
WEB交易系统 WEB门户网站
发烧友级的组合音响集成的豪华家庭影院vsngaf特点防应用层攻击?多维度应用层攻击防护?识别防护的攻击防护?深入内容的内容解析ngaf特点双向内容检测用户黑客web应用服务器?保护核心资产价值入侵攻击敂感信息网页篡改?保护社会公众形象?觃避法徇法觃风险ngaf特点智能模块联劢价值?提高黑客攻击成本?避免安全设备被绕过?降低运维管理成本ngaf特点涵盖传统安全ngaf特点应用层高性能单次解析构架实现报文一次解析和匘配核1核2核n幵行核性能123n策略层网络层快递路径网络硬件iofwipsav应用层高性能万兆处理能力多核幵行处理技术提升应用层分析速度全新技术构架实现应用层万兆处理能力主要功能模块卖点产品功能模块解决什么问题给客户带来什么价值防火墙模块ip端口访问控制nat实现安全域划分保证内网地址安全ips模块网络协议漏洞系统漏洞应用程序漏洞攻击防护在系统网络层面防止黑客入侵服务器终端waf模块防止基亍web应用程序癿攻击在web应用程序层面防止黑客攻击web服务器av模块防病毒木马蠕虫攻击保证外网毒马蠕丌扩散到内网敂感信息防泄漏防止绕过安全体系造成癿信息泄漏如拖库暴库癿问题即使被攻击也丌会造成大觃模信息泄漏网页防篡改防止绕过安全体系造成癿网站篡改挂马盗链等防止页面被非法篡改2应用场景及主推方案四大场景部门a电信联通ngafacsg部门bdmz匙web交易系统web门户网站内部应用服务器oaerp规频链路负载与线广域网广域网边界安全域内网办公匙对外収布域数据中心安全域ngafngaf亏联网接入域万兆核心应用服务器数据库服务器ngaf运维管理匙数据中心核心sc集中管理apm运维管理服务器核心匙注
深信服培训讲义
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
2013深信服渠道售前培训课程AC_201303
产品维度——行为管理常规需求
广州富力地产
客户需求:
全国二十多家分公司,需要过滤相关网页,对亍邮 件和OA进行保障,总部统一采购,幵且集中管理;
总部AC
采购规模:40台AC1200+SC-470
设备部署:
集中管理
总部部署SC集中管理,分支AC大多以路由模式部 署,开启IPSec VPN功能进行组网。
Wlan案例分析
安徽合肥万达 1、客户在万达商场内覆盖无线网络,供顾客使用; 2、想用户接入网络后跳转到万达的公司页面,幵且希望能推送广告页面; 3、使用AC的wlan方案: a. 采用短信认证,认证后跳转到公司页面,在认证页面推送广告; b. 针对用户做流控,限制一些行为,特别是下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,可定期发送手机广告,从而IT给业务带来增值
关应用的封堵
深度内容识别 + 事前、事中、事后的安全防护
你会怎样和客户介绍AC?
1、网桥模式,也叫透明模式,支 持上网行为管理癿所有功能,属 亍最常用模式,配合bypass功能 使用,幵支持支持VRRP、链路聚 合癿环境; 2、网关模式,又叫路由模式, AC设备做NAT、防火墙,适合亍 中小企业戒者分支癿出口,同时 具有IPSec VPN功能; 3、旁路模式,流量通过交换机镜 像过来,主要做行为审计和TCP 应用控制。
拓展方法:结合国家相关政策挖掘客户需求,垂直体系强癿细分行业运作三级戒四
级癿整体项目
政府信息中心案例分析
新疆全省电子政务外网:
客户需求: 全疆电子政务外网区本级亏联网区升级改造建设项目和电子政务外网地、县级安全设 施建设项目;
主要使用外发信息过滤审计、url访问控制功能;
深信服云安全解决方案培训资料
深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景 (4)1.1 云平台背景 (4)1.2 云平台建设意义 (4)第二章需求分析 (5)2.1 需求概述 (5)2.2 平台侧需求 (7)2.2.1 平台安全需求 (7)2.1.2 接入安全需求 (8)2.1.3 业务可靠需求 (9)2.3 租户侧需求 (10)2.3.1 租户间隔离需求分析 (10)2.3.2 租户虚拟机需求分析 (11)2.3.3 租户互联网业务需求分析 (11)2.3.4 租户外网业务需求分析 (12)2.5 管理运维需求 (13)第三章设计原则 (14)第四章解决方案 (15)4.1 解决方案综述 (15)4.2 平台侧设计方案 (17)4.2.1 平台安全方案 (17)4.2.1.1. 平台分区分域 (18)4.2.1.2. 防网络病毒 (18)4.2.1.3. 应用安全防护 (18)4.2.1.4. 防止漏洞攻击 (19)4.2.1.5. 多业务数据隔离和交换 (19)4.2.2 接入安全方案 (20)4.2.2.1 云间安全互联 (21)4.2.2.2 租户安全接入 (22)4.2.3 业务可靠需求 (23)4.2.3.1. 防拒绝服务攻击 (23)4.2.3.2. 链路/全局负载均衡 (23)4.3 租户侧设计方案 (24)4.3.1 租户安全设计 (24)4.3.2 业务系统安全 (25)4.3.3 业务稳定可靠 (26)4.3.4 业务安全接入 (27)4.3.5 租户应用场景 (28)436 NFV安全组件部署方式 (30)4.4 管理运维设计方案 (31)4.4.1 平台运维 (31)4.4.1 租户运维 (33)4.4.1 平台服务商合作运维 (34)第五章解决方案价值 (35)5.1 高安全:提供专业、可靠的服务 (35)5.2高性价比:降低IT建设成本 (36)5.3 高效率:业务系统部署速度快 (36)5.4 高协同:降低信息共享和业务协同难度 (36)第一章建设背景1.1 云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。
深信服上网行为管理基础操作培训
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
深信服虚拟化桌面云培训资料(初级、高级)
2. 从U盘/CD启动
• 插入U盘或光盘到服务器 • 开机,修改启动顺序,从U盘或光盘启动
3. 安装(附视频)
VMP安装
VMP
• VMP控制台
– 浏览器支持:IE10+/Chrome/Firefox – 登录地址:默认帐号admin密码admin
VMP
• VMP授权
– 试用版
• 主机数量限制1台、内存限制4GB
• 优化USB映射、持续优化体验效果
深信服虚拟化
• 独享桌面
– 虚拟化管理平台VMP – 虚拟化桌面控制器VDC – 瘦客户机aDesk
深信服虚拟化
• 独享桌面方案典型架构
终端服务器 存储网络
Remote App Agent 终端服务
Windows Server
远程应用 共享桌面
磁盘阵列
交换机 虚拟化桌面控制器VDC
– 标准版
• 免费注册激活 • 主机数量限制3台、内存限制8GB
– 企业版
• 软件更新和售后服务保障 • 扩大主机数量和内存上限
虚拟机管理
虚拟机
• 新建虚拟机
– 上传ISO镜像 – 新增虚拟机 – 安装操作系统
虚拟机
• 新建虚拟机
– 上传ISO镜像
• 管理存储空间 • 只支持上传*.iso(光盘镜像)、*.qcow2(虚拟机磁盘)、
– 分配方式:
• 预分配:创建磁盘时即分配所需存储空间,分配后 虚拟机磁盘IO最高,但存储利用率最低
VMP安装
• 服务器硬件基本组成部分
– 主板
• BIOS/网卡/接口
– CPU – 内存 – 存储
VMP安装
• 基本要求
– CPU:
• 支持Intel® Virtualization Technology (VT-x)
• 插入U盘或光盘到服务器 • 开机,修改启动顺序,从U盘或光盘启动
3. 安装(附视频)
VMP安装
VMP
• VMP控制台
– 浏览器支持:IE10+/Chrome/Firefox – 登录地址:默认帐号admin密码admin
VMP
• VMP授权
– 试用版
• 主机数量限制1台、内存限制4GB
• 优化USB映射、持续优化体验效果
深信服虚拟化
• 独享桌面
– 虚拟化管理平台VMP – 虚拟化桌面控制器VDC – 瘦客户机aDesk
深信服虚拟化
• 独享桌面方案典型架构
终端服务器 存储网络
Remote App Agent 终端服务
Windows Server
远程应用 共享桌面
磁盘阵列
交换机 虚拟化桌面控制器VDC
– 标准版
• 免费注册激活 • 主机数量限制3台、内存限制8GB
– 企业版
• 软件更新和售后服务保障 • 扩大主机数量和内存上限
虚拟机管理
虚拟机
• 新建虚拟机
– 上传ISO镜像 – 新增虚拟机 – 安装操作系统
虚拟机
• 新建虚拟机
– 上传ISO镜像
• 管理存储空间 • 只支持上传*.iso(光盘镜像)、*.qcow2(虚拟机磁盘)、
– 分配方式:
• 预分配:创建磁盘时即分配所需存储空间,分配后 虚拟机磁盘IO最高,但存储利用率最低
VMP安装
• 服务器硬件基本组成部分
– 主板
• BIOS/网卡/接口
– CPU – 内存 – 存储
VMP安装
• 基本要求
– CPU:
• 支持Intel® Virtualization Technology (VT-x)
SANGFOR_NGAF_安全防护功能培训
SANGFOR NGAF 安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
深信服网站业务安全即服务培训PPT
2019/3/24
3
如何应对上述安全问题?
2019/3/24
突破传统防护模式弊端
防御,从静态转向动态:24小时之内拦截未知威胁; 监测,从定期转向实时:5分钟内感知网站安全事件; 响应,由被动转向主动,主动处置服务垂手可得;
2019/3/24
构建“边界+云服务”的网站安全体系
通过持续监测、持续加 固、持续响应的“三位一体” 快速迭代,构建“边界安全 设备+云化安全服务”的交 付方式,防患于未然避免威 胁扩大。 通过安全云服务平台的 大数据关联、智能分析锁定 风险链条,及时感知隐藏的 入侵威胁。
持续 监测 持续 加固
• 让用户成为第一个知道也 是最后一个知道自己安全 问题的人
• 通过不断优化安全策略以 及及时给出加固建议,助 力用户抵御新型高级威胁
持续 响应
• 通过主动分钟级的事件响 应能在威胁扩大前及时处 置
2019/3/24
4
深信服“动态”网站安全防护解决方案
2019/3/24
深信服解决方案概述
以下一代防火墙构建防御核心,通过与深信服“智能云端服务”的 联动构建“防御、检测、响应”的综合网站“动态”安全体系
与云端智能联动的动态安全防御 智能分析平台+云端专家团构成的云端智能安全服务 分钟级的检测响应和问题处置能力
专业全面的服务内容和交付能力
2019/019/3/24
智能分析平台+云端专家团构成的云端智能安全服务
2019/3/24
分钟级的检测响应和问题处置能力
2019/3/24
专业全面的服务内容和交付能力
L2-7层防御 主动建模防御 防篡改事后防御 防网站漏洞扫描 未知威胁防御 可视化风险感知
深信服移动业务解决方案培训课件
深信服
互联网
远程应用发布
客户无需开发, 即可 通过轻松将各类应用 系统发布到和等智能 终端使用
出差员工
移动网点
拜访客户
移动
优点 :
用户 体验好
离线访问
个性化高
移动使用问题
安全性
开发难度
易用性
数据明文传输 ,数据易泄露, 威胁内部业务系 统安全
传统用户名密 码认证薄弱,易 被攻击
开发人员集成 难度大
成功案例
2020/12/3
20.12.300:41:1800: 4100:4120.12.320. 12.300:41
谢谢
00:4100:41:1 820.12.320.1 2.300:41:18
2020年12月3日星期四12时41分18秒
•
每一次的加油,每一次的努力都是为 了下一 次更好 的自己 。20.12. 320.12. 3Thursday, December 03, 2020
政府
小额贷款 信用卡开卡 银行厅堂管理
金融
• 移动销售系统 • 移动CRM系统 • 价格审批系统
企业
教育
• 电子书包 • 移动图书馆
政府/卫生行业典型应用场景
• 典型场景:
• 海关,需要为海关执法人员配备统一的终端,以供其进行移动执 法;对其他部门的人员实行策略,开放公文流转、行政审批系统 进行移动办公。
•
感情上的亲密,发展友谊;钱财上的 亲密, 破坏友 谊。20. 12.32020年12月3日星 期四12时41分 18秒20.12.3
谢谢大家!
系统建设需求: 所有终端统一管理 设备拒绝接入网络 专机专用 管理员群发通知
深信服解决方案: 设备注册 安全策略关联 应用安装禁止 即时消息推送
SANGFORADV基础知识培训
术语及原理
解部分AD常用技术的工作原理
SANGFOR AD
SANGFOR AD产品应用背景 SANGFOR AD基本功能介绍 SANG深FO信R服A公D常司用简术介语及原理
SANGFOR AD 产品应用背景
AD产品的应用背景
数据统一集中管理是趋势 1. 节省人力成本、管理成本、采购成本等 2. 改善多部门间的协调统一、分工合作 3. 提升工作效率和大型组织的竞争力
优先级:
优先级调度优先级高的节点,优先级高的节点不可用时才会调度到下一节点。
哈希:
根据hash的关键字(如URI、源IP等)经过hash运算得到哈希值,使不同的关键字尽可能平均调 度各节点池中各个节点。
3.2.4.会话保持
会话保持:一种援引之前的命中情况来选择命中服务器的方式。 会话保持有以下两方面作用: 1.对于同一个访问,保证数据分配到相同的节点。例如用户登录到某应用系统调度到服务器A, 然后点击另外一个链接,此时如果又调度到服务器B,那么B服务器会要求重新登录。 2.减少AD的重复运算,提高性能。
从远程用户的角度看,无论真正提供服务的服务器有多少,只存在一个逻辑上的 服务器——虚拟服务器。
链路负载: 让发布的服务能在多条链路上实现,提高发布 的可靠性和速度。
链路负载
服务器负载: 通过在负载均衡上作流量的分配和优化, 提高应用系统的可靠性,提高远程用户 访问的速度,降低应用服务器的负荷。
服务器负载
多台服务器提供同一种应用,AD设备根据设定的 方法智能的判断服务器是否正常。
1
2
3
检查服务器是否正常的方法有7种:
ICMP监视器、ICMPV6、CONNECT(TCP)监视器、
YSE
SANGFOR WOC初级认证培训(PPT 37张)
Exchange代理设置
Oracle EBS代理技术详解
Oracle EBS代理为应用代理层插件,没有对EBS自身协议进行优化,实 现方式就是截获客户端和Oracle EBS服务器协商的密钥,通过密钥对Oracle EBS的数据进行解密,经过解密后的数据可以利用压缩和流缓存算法将其进 行流量消减处理。 注意事项:支持http、https模式和socket模式的加速。
削减流量(流缓存技术)
1. 网络中有许多重复数据在来回传输,流缓存算法的根本目的就是用一
个标签代替已经传输过的重复数据,减少网间数据传输产生的相应流
量,从而提高网络吞吐率。
2. 流缓存是使用特征匹配的方式来搜索数据包的,当一个数据包到达的
时候,通过一定的策略,从这个数据包里提出几个特征值来,与已有 的特征库比较。如果有相似的特征值,则把相应的数据提取出来对比,
SANGFOR Test Mail2 编码
两者部分相同,流缓存生效。
Rm9yIFNJTkZPUi 加速设备进行解码, 流缓存记录下内容为 SANGFOR Test Mail2
SMTP/POP3代理设置
Exchange应用代理
什么是Exchange?
1. 简单而言,Exchange Server可以被用来构架应用于企业、学校的邮件 系统甚至于像Notes那样的邮件系统。
客户端在使用远程桌面进行访问时,客户端发出的数据包都是经过加密后传输 的。在不启用RDP代理的情况下,加速设备无法对数据进行解密,流缓存不生效; 启用RDP代理后,加速设备能够对通过RDP协议传输的数据进行解密,从而通过使
用流缓存来达到削减流量的目的。 注意事项:RDP代理不支持服务器为Windows Server2000的远程桌面应用。
深信服渠道售前培训课程
深信服渠道售前培训课程汇报人:2023-12-30•深信服公司介绍•售前技能培训•渠道政策与合作模式目录•案例分析与实战演练•总结与展望01深信服公司介绍深信服成立于XXXX年,是国内网络安全领域的领军企业之一。
公司成立时间从XXXX年的初创阶段,到XXXX年的快速发展,再到XXXX年的上市,深信服经历了多个关键发展节点。
公司发展历程致力于成为全球网络安全领域的领导者,为客户提供高效、安全的解决方案。
公司愿景与使命公司背景与发展历程公司产品与解决方案主要产品包括安全网关、安全云服务、安全移动办公等系列产品,覆盖网络安全、应用安全、终端安全等多个领域。
解决方案针对不同行业和场景,深信服提供定制化的解决方案,如企业安全、金融安全、政府安全等。
技术创新持续投入研发,不断推出具有自主知识产权的核心技术,保持产品在行业内的领先地位。
竞争优势具备完善的服务体系、强大的技术实力和创新能力、丰富的产品线以及卓越的客户体验等多方面的优势。
市场占有率在网络安全领域,深信服的市场占有率位居前列,是国内最具影响力的网络安全厂商之一。
合作伙伴与众多知名企业和机构建立了长期合作关系,共同推动网络安全产业的发展。
公司市场地位与竞争优势02售前技能培训了解客户的组织结构、业务需求和IT环境,收集并分析客户痛点和期望,为后续产品演示和技术交流提供依据。
客户需求分析根据客户行业、规模和业务特点,准确定位目标客户群体,提高销售效率。
定位目标客户群体客户需求分析与定位熟悉公司产品的功能、特点和优势,准备演示材料和工具,确保演示效果。
与客户进行技术交流,解答客户疑问,展示产品优势,提高客户对产品的认知度和信任度。
产品演示与技术交流技术交流能力产品演示准备商务谈判与投标技巧掌握商务谈判的基本原则和技巧,合理报价和谈判条件,争取最有利的合同条款。
投标技巧熟悉投标流程和规范,准备投标文件和标书,确保投标成功率和合同质量。
了解合同签订的基本流程和注意事项,确保合同内容准确无误,保障双方权益。
深信服AC初级认证培训,LDAP单点登录培训资料
PC
AD域 安装登录和注销脚本
AD 域免插件单点登录模式
AD域单点登录免插件模式: 在内网的一台电脑上安装单点登录客户
端程序,通过单点登录客户端程序定时
从域服务器上获取PC登录域成功的状 态,并将获取的信息上报AC/SG设备来 实现认证。 ① ②
PC SERVER 安装单点登录 客户端程序 AD域
①
域新组件单点登录配置示例
域新组件单点登录配置示例
某公司内网有一台AD域服务器,域名为Vlab.cti.local ,IP地址为
10.10.2.21。 要求内网域用户成功登录域之后,直接通过AC设备的认证
上网。同时要求将AD域中所有的OU和用户同步到AC设备的 “MSAD域 用户组”,域单点登录不成功的用户能够直接上网(不弹出用户名密码 输入框),与单点登录成功的用户上网权限相同。
只有微软AD的域单点登录支持免插件模式。
LDAP域单点登录监听模式
监听模式的单点登录无需在域服务器 上安装任何组件,通过监听UDP 88端 口用户登录域的信息,如果用户成功 登录域,AC/SG设备则把该用户加入 到在线用户列表,通过AC/SG的认证。
②
配置思路: 1、设备启用LDAP单点登录 2、设备配置单点登录信息 3、设备设置监听口
AD 域新组件单点登录模式
新组件模式需要在域服务器上配置logon.exe 和 logoff.exe脚本,用户登录域或从域注销时会运行 相应的脚本,并将获取的信息上报AC/SG。
① PC请求登录域
② 域认证成功后,PC执行logon.exe脚本 ③ PC运行logon.exe成功后,在PC本地的C盘 共享目录生成logon.txt日志文件,上报成功登 ② ① 录域的信息给AC/SG 配置思路: 1、设备启用LDAP单点登录 2、设备配置组件模式单点登录信息 3、服务器配置登录脚本
深信服上网行为管理基础操作培训
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2,10.3.。。。
如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0 口,通过https://128.127.125.252登录设备网关控制台。
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方ቤተ መጻሕፍቲ ባይዱ登录设备
如何登录设备控制台
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。
2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。
WAN:拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式 部署,其它工作模式不支持实现这些功能。
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。
3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
SANGFOR AC部式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等 功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。
2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。
WAN:拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式 部署,其它工作模式不支持实现这些功能。
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。
3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
SANGFOR AC部式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等 功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。