深信服培训讲义
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
深信服IPSEC渠道高级认证培训01_SANGFOR DLAN互联进阶配置
配置说明: 1.配置总部与分支建立 VPN互联,请参考《 DLAN互联基础配置》,此处不再赘述 2.配置分支设备的隧道间路由
分别在分支 1和分支2配 置两条路由
如图,总部分别与两个分支建立VPN连接, 用户要求不能改变任何一端的IP地址,实 现分支与总部互访。 问题分析:
分支1与分支2内网均为192.168.1.0/24网段,
2.隧道内NAT功能的主要作用是什么?
本案例中,源IP为分支的内网网段,源端口必须选择1-65535,因为发起连接的端口均为随机端口。目标IP可为总部 的内网WEB服务器IP,目的端口为WEB端口80。
配置方法一:通过VPN内网权限实现。
第二步:在总部设备的『VPN信息设置』->『用户管理』页面编辑分支用户,点击权限设置,页面如下: 注意:一旦设置了VPN内网权限, 不光VPN对端访问本端受到限制,
本端访问VPN对端一样会受到内网
权限的控制。因为内网权限只检查 数据包的IP和端口,不管这个数据 包是VPN对端主动发起的还是本端 主动发起VPN对端响应的,只要符 合规则条件的数据包都会做相同的 处理。通过防火墙过滤规则可做到 更细化的控制。
配置方法二:通过防火墙过滤规则实现。
第一步:在总部的VPN设备『防火墙设置』->『IP组定义』定义好分支网段的IP组,与总部WEB服务器的IP组,界 面如下:
配置方法二:通过防火墙过滤规则实现。
第二步:在总部VPN设备的『防火墙设置』->『过滤规则设置』->『VPN<->LAN』,删除VPN->LAN的三条规则( 因为VPN->LAN默认是放通所有数据的),然后添加一条规则,界面如下:
问题思考
1.WEBAGENT有哪几种填写方式?什么情况下必须使
深信服培训讲义共73页文档
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
深信服云安全解决方案培训资料
深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景 (4)1.1 云平台背景 (4)1.2 云平台建设意义 (4)第二章需求分析 (5)2.1 需求概述 (5)2.2 平台侧需求 (7)2.2.1 平台安全需求 (7)2.1.2 接入安全需求 (8)2.1.3 业务可靠需求 (9)2.3 租户侧需求 (10)2.3.1 租户间隔离需求分析 (10)2.3.2 租户虚拟机需求分析 (11)2.3.3 租户互联网业务需求分析 (11)2.3.4 租户外网业务需求分析 (12)2.5 管理运维需求 (13)第三章设计原则 (14)第四章解决方案 (15)4.1 解决方案综述 (15)4.2 平台侧设计方案 (17)4.2.1 平台安全方案 (17)4.2.1.1. 平台分区分域 (18)4.2.1.2. 防网络病毒 (18)4.2.1.3. 应用安全防护 (18)4.2.1.4. 防止漏洞攻击 (19)4.2.1.5. 多业务数据隔离和交换 (19)4.2.2 接入安全方案 (20)4.2.2.1 云间安全互联 (21)4.2.2.2 租户安全接入 (22)4.2.3 业务可靠需求 (23)4.2.3.1. 防拒绝服务攻击 (23)4.2.3.2. 链路/全局负载均衡 (23)4.3 租户侧设计方案 (24)4.3.1 租户安全设计 (24)4.3.2 业务系统安全 (25)4.3.3 业务稳定可靠 (26)4.3.4 业务安全接入 (27)4.3.5 租户应用场景 (28)436 NFV安全组件部署方式 (30)4.4 管理运维设计方案 (31)4.4.1 平台运维 (31)4.4.1 租户运维 (33)4.4.1 平台服务商合作运维 (34)第五章解决方案价值 (35)5.1 高安全:提供专业、可靠的服务 (35)5.2高性价比:降低IT建设成本 (36)5.3 高效率:业务系统部署速度快 (36)5.4 高协同:降低信息共享和业务协同难度 (36)第一章建设背景1.1 云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。
深信服上网行为管理基础操作培训
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
深信服SSL渠道高级认证培训06_安全桌面功能进阶培训
安全桌面高级配置
2、安全桌面文件导出-功能介绍
SSL5.7版本之后安全桌面支持文件导出功能,需要配合外置数据中心 使用,如果没安装外置数据中心或者外置数据中心异常,则无法实现 文件导出功能。 安装外置数据中心的原因是审计保存从安全桌面中导出的文件。
注:SSL外置数据中心DC5.7的安装与配置请 参考《 SSL特殊需求配置指导培训》PPT。
6、安全桌面不支持代理环境、流缓存功能
7、建议使用1G以上内存电脑启用安全桌面。
练练手
某客户希望实现所有移动办公组的用户通过SSL VPN接入,只能在安 全桌面内访问远程应用发布资源,安装桌面内只能打开WORD程序, 且不允许安全桌面和本地内网进行通信。 如何配置实现客户的需求呢?
问题思考
1、SSL安全桌面实现的基本原理是什么? 2、 用户接入SSL VPN后,能否使用U盘拷贝走安全桌面中的资料?为
1、离线登录安全桌面-配置步骤 3、如果是之前已经创建好的DKEY用户,现在需要给他开启离线登录安全 桌面的功能,可以将该DKEY插入电脑,编辑该用户,在“离线访问”,点 击“绑定USB-KEY”:
绑定之后,该DKEY用户即被允许离线登录安全桌面:
安全桌面高级配置
1、离线登录安全桌面-客户端登录测试 客户端电脑通过开始---所有程序---SSLVPN登录客户端,点击离线登录安全桌面:
安全桌面中对注册表的修改都是对重定向 之后的注册表的修改,退出安全桌面即会 恢复。很好的保护了电脑系统和禁止用户 通过注册表泄漏数据。
安全桌面基本原理
2、文件重定向 用户在安全桌面中所产生或者所修改的文件,都是经过加密和重定向,被重定向 的文件以及重定向后的路径需要保存起来。重定向后的文件,被保存到当前磁盘 的$SD$目录下。在每个磁盘的根目录下,存在一个隐藏的文件夹,下面存放了 对应的重定向的 文件。 思考:打开安全桌面时,如果插入一 个U盘,能否把安全桌面里面的资料拷 走?
SANGFOR AC 11.0版本培训精讲
SANGFOR AC 11.0版本培训
2015.8.25
特别说明
AC 11.0版本又称三合一,三合一指的是将AC,IAM,AC10G三个版本 合成一个版本。 版本主要意义在于: 1、将AC的所有功能合入到IAM和10G产品,可以显著提升这两个产品 的竞争力。
2、完整支持IPv6.目前IPv6的推进进度在加快,国内的政府,高校,海 外的马来,新加坡等都提出了IPv6支持的要求
说明:此时如果终端修改了IP或MAC地址,终端上不了网,终端无提示页面。
3、如果认证策略选择录入本地组织结构,【用户管理】—【组/用户】可以查到 用户。
需求场景三:客户想终端用户上网认证的过程是透明的,但是用户上线过程中 希望能弹出免责申明的页面或广告页面?
说明:如果开启了显示免责声明,则每次上线的时候都会提示免责声明,没有 开启则直接上线
2.1 用户名密码认证 需求场景一:用户上网的时候要求重定向到密码认证页面,让用户进行密码认 证,密码认证通过后才可以上网,密码保存在本地。 密码认证方式: 本地密码认证
认证效果 1、终端打开网页,弹出免责申明,或包含广告的免责申明页面。
2、终端点登陆,弹出提示“认证成功,3s将跳转页面”
3、认证成功,跳转到了之前打开的页面
4、开启了免责申明提示,又开启了IP/MAC绑定,此时如果终端修改了IP或 MAC地址,终端上不了网是有提示页面的。
二、密码认证
密码认证需要选择密码认证服务器,密码认证服务器可以选择本地用户,也 可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、 radius服务器
对象定义及策略管理
培训内容 流量管理
培训目标 ①掌握流控惩罚通道的使用
终端提示页面
2015.8.25
特别说明
AC 11.0版本又称三合一,三合一指的是将AC,IAM,AC10G三个版本 合成一个版本。 版本主要意义在于: 1、将AC的所有功能合入到IAM和10G产品,可以显著提升这两个产品 的竞争力。
2、完整支持IPv6.目前IPv6的推进进度在加快,国内的政府,高校,海 外的马来,新加坡等都提出了IPv6支持的要求
说明:此时如果终端修改了IP或MAC地址,终端上不了网,终端无提示页面。
3、如果认证策略选择录入本地组织结构,【用户管理】—【组/用户】可以查到 用户。
需求场景三:客户想终端用户上网认证的过程是透明的,但是用户上线过程中 希望能弹出免责申明的页面或广告页面?
说明:如果开启了显示免责声明,则每次上线的时候都会提示免责声明,没有 开启则直接上线
2.1 用户名密码认证 需求场景一:用户上网的时候要求重定向到密码认证页面,让用户进行密码认 证,密码认证通过后才可以上网,密码保存在本地。 密码认证方式: 本地密码认证
认证效果 1、终端打开网页,弹出免责申明,或包含广告的免责申明页面。
2、终端点登陆,弹出提示“认证成功,3s将跳转页面”
3、认证成功,跳转到了之前打开的页面
4、开启了免责申明提示,又开启了IP/MAC绑定,此时如果终端修改了IP或 MAC地址,终端上不了网是有提示页面的。
二、密码认证
密码认证需要选择密码认证服务器,密码认证服务器可以选择本地用户,也 可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、 radius服务器
对象定义及策略管理
培训内容 流量管理
培训目标 ①掌握流控惩罚通道的使用
终端提示页面
深信服渠道售前培训课程
第 28 次中国互联网络发展状况统计报告
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
防止绕过安全体系造成的 信息泄漏如“拖库”、 “暴库”的问题
即使被攻击也不会造成大 规模信息泄漏
防止绕过安全体系造成的 防止页面被非法篡改 网站篡改、挂马、盗链等
2、应用场景及主推方案
专线 广域网
NGAF 广域网边界安全域
四大场景
电信
联通
互 联 网 接 入 域
AC/SG
链路负载
NGAF
NGAF
WEB交易系统 WEB门户网站
融合现网环境, 与传统安全形成 异构
深信服下一代防火墙NGAF是什么?
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能 • 模块智能联动
深信服下一代防火墙NGAF是什么?
• NGAF是新一代安全产品,可 替代FW、IPS、AV、WAF、 UTM、网页防篡改等安全产品, 可提供完整L2-L7安全防御功 能。
截至2011年6月底,我国域名总数为786万个。中国的网站数,即域名注册者在中国境 内的网站数(包括在境内接入和境外接入)为183万个。
网络安全信息与动态 2012年1月
难道这些单位不重视安全建设吗?
威胁来自应用层! 90%投资在网
IPS解码器
防病毒解码器&代理
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
基于端口/协议的ID
L2/L3网络、高可用 性(HA)、配置管理、
报告
L2/L3网络、高可用
L2/L3网络、高可用
性(LH2A/L)3、网配络置、管高理可用、性(HA)性、(配HA置)管、理配、置报管告理、
防止绕过安全体系造成的 信息泄漏如“拖库”、 “暴库”的问题
即使被攻击也不会造成大 规模信息泄漏
防止绕过安全体系造成的 防止页面被非法篡改 网站篡改、挂马、盗链等
2、应用场景及主推方案
专线 广域网
NGAF 广域网边界安全域
四大场景
电信
联通
互 联 网 接 入 域
AC/SG
链路负载
NGAF
NGAF
WEB交易系统 WEB门户网站
融合现网环境, 与传统安全形成 异构
深信服下一代防火墙NGAF是什么?
NGAF是面向应用层设计,能识别用户、应用和内容,具备完整 安全防护能力的高性能下一代防火墙。
• 防应用层攻击 • 双向内容检测 • 涵盖传统安全 • 应用层高性能 • 模块智能联动
深信服下一代防火墙NGAF是什么?
• NGAF是新一代安全产品,可 替代FW、IPS、AV、WAF、 UTM、网页防篡改等安全产品, 可提供完整L2-L7安全防御功 能。
深信服移动业务解决方案培训课件
深信服
互联网
远程应用发布
客户无需开发, 即可 通过轻松将各类应用 系统发布到和等智能 终端使用
出差员工
移动网点
拜访客户
移动
优点 :
用户 体验好
离线访问
个性化高
移动使用问题
安全性
开发难度
易用性
数据明文传输 ,数据易泄露, 威胁内部业务系 统安全
传统用户名密 码认证薄弱,易 被攻击
开发人员集成 难度大
成功案例
2020/12/3
20.12.300:41:1800: 4100:4120.12.320. 12.300:41
谢谢
00:4100:41:1 820.12.320.1 2.300:41:18
2020年12月3日星期四12时41分18秒
•
每一次的加油,每一次的努力都是为 了下一 次更好 的自己 。20.12. 320.12. 3Thursday, December 03, 2020
政府
小额贷款 信用卡开卡 银行厅堂管理
金融
• 移动销售系统 • 移动CRM系统 • 价格审批系统
企业
教育
• 电子书包 • 移动图书馆
政府/卫生行业典型应用场景
• 典型场景:
• 海关,需要为海关执法人员配备统一的终端,以供其进行移动执 法;对其他部门的人员实行策略,开放公文流转、行政审批系统 进行移动办公。
•
感情上的亲密,发展友谊;钱财上的 亲密, 破坏友 谊。20. 12.32020年12月3日星 期四12时41分 18秒20.12.3
谢谢大家!
系统建设需求: 所有终端统一管理 设备拒绝接入网络 专机专用 管理员群发通知
深信服解决方案: 设备注册 安全策略关联 应用安装禁止 即时消息推送
SANGFORADV基础知识培训
术语及原理
解部分AD常用技术的工作原理
SANGFOR AD
SANGFOR AD产品应用背景 SANGFOR AD基本功能介绍 SANG深FO信R服A公D常司用简术介语及原理
SANGFOR AD 产品应用背景
AD产品的应用背景
数据统一集中管理是趋势 1. 节省人力成本、管理成本、采购成本等 2. 改善多部门间的协调统一、分工合作 3. 提升工作效率和大型组织的竞争力
优先级:
优先级调度优先级高的节点,优先级高的节点不可用时才会调度到下一节点。
哈希:
根据hash的关键字(如URI、源IP等)经过hash运算得到哈希值,使不同的关键字尽可能平均调 度各节点池中各个节点。
3.2.4.会话保持
会话保持:一种援引之前的命中情况来选择命中服务器的方式。 会话保持有以下两方面作用: 1.对于同一个访问,保证数据分配到相同的节点。例如用户登录到某应用系统调度到服务器A, 然后点击另外一个链接,此时如果又调度到服务器B,那么B服务器会要求重新登录。 2.减少AD的重复运算,提高性能。
从远程用户的角度看,无论真正提供服务的服务器有多少,只存在一个逻辑上的 服务器——虚拟服务器。
链路负载: 让发布的服务能在多条链路上实现,提高发布 的可靠性和速度。
链路负载
服务器负载: 通过在负载均衡上作流量的分配和优化, 提高应用系统的可靠性,提高远程用户 访问的速度,降低应用服务器的负荷。
服务器负载
多台服务器提供同一种应用,AD设备根据设定的 方法智能的判断服务器是否正常。
1
2
3
检查服务器是否正常的方法有7种:
ICMP监视器、ICMPV6、CONNECT(TCP)监视器、
YSE
SANGFOR WOC初级认证培训(PPT 37张)
Exchange代理设置
Oracle EBS代理技术详解
Oracle EBS代理为应用代理层插件,没有对EBS自身协议进行优化,实 现方式就是截获客户端和Oracle EBS服务器协商的密钥,通过密钥对Oracle EBS的数据进行解密,经过解密后的数据可以利用压缩和流缓存算法将其进 行流量消减处理。 注意事项:支持http、https模式和socket模式的加速。
削减流量(流缓存技术)
1. 网络中有许多重复数据在来回传输,流缓存算法的根本目的就是用一
个标签代替已经传输过的重复数据,减少网间数据传输产生的相应流
量,从而提高网络吞吐率。
2. 流缓存是使用特征匹配的方式来搜索数据包的,当一个数据包到达的
时候,通过一定的策略,从这个数据包里提出几个特征值来,与已有 的特征库比较。如果有相似的特征值,则把相应的数据提取出来对比,
SANGFOR Test Mail2 编码
两者部分相同,流缓存生效。
Rm9yIFNJTkZPUi 加速设备进行解码, 流缓存记录下内容为 SANGFOR Test Mail2
SMTP/POP3代理设置
Exchange应用代理
什么是Exchange?
1. 简单而言,Exchange Server可以被用来构架应用于企业、学校的邮件 系统甚至于像Notes那样的邮件系统。
客户端在使用远程桌面进行访问时,客户端发出的数据包都是经过加密后传输 的。在不启用RDP代理的情况下,加速设备无法对数据进行解密,流缓存不生效; 启用RDP代理后,加速设备能够对通过RDP协议传输的数据进行解密,从而通过使
用流缓存来达到削减流量的目的。 注意事项:RDP代理不支持服务器为Windows Server2000的远程桌面应用。
深信服渠道售前培训课程
深信服渠道售前培训课程汇报人:2023-12-30•深信服公司介绍•售前技能培训•渠道政策与合作模式目录•案例分析与实战演练•总结与展望01深信服公司介绍深信服成立于XXXX年,是国内网络安全领域的领军企业之一。
公司成立时间从XXXX年的初创阶段,到XXXX年的快速发展,再到XXXX年的上市,深信服经历了多个关键发展节点。
公司发展历程致力于成为全球网络安全领域的领导者,为客户提供高效、安全的解决方案。
公司愿景与使命公司背景与发展历程公司产品与解决方案主要产品包括安全网关、安全云服务、安全移动办公等系列产品,覆盖网络安全、应用安全、终端安全等多个领域。
解决方案针对不同行业和场景,深信服提供定制化的解决方案,如企业安全、金融安全、政府安全等。
技术创新持续投入研发,不断推出具有自主知识产权的核心技术,保持产品在行业内的领先地位。
竞争优势具备完善的服务体系、强大的技术实力和创新能力、丰富的产品线以及卓越的客户体验等多方面的优势。
市场占有率在网络安全领域,深信服的市场占有率位居前列,是国内最具影响力的网络安全厂商之一。
合作伙伴与众多知名企业和机构建立了长期合作关系,共同推动网络安全产业的发展。
公司市场地位与竞争优势02售前技能培训了解客户的组织结构、业务需求和IT环境,收集并分析客户痛点和期望,为后续产品演示和技术交流提供依据。
客户需求分析根据客户行业、规模和业务特点,准确定位目标客户群体,提高销售效率。
定位目标客户群体客户需求分析与定位熟悉公司产品的功能、特点和优势,准备演示材料和工具,确保演示效果。
与客户进行技术交流,解答客户疑问,展示产品优势,提高客户对产品的认知度和信任度。
产品演示与技术交流技术交流能力产品演示准备商务谈判与投标技巧掌握商务谈判的基本原则和技巧,合理报价和谈判条件,争取最有利的合同条款。
投标技巧熟悉投标流程和规范,准备投标文件和标书,确保投标成功率和合同质量。
了解合同签订的基本流程和注意事项,确保合同内容准确无误,保障双方权益。
深信服AC初级认证培训,LDAP单点登录培训资料
PC
AD域 安装登录和注销脚本
AD 域免插件单点登录模式
AD域单点登录免插件模式: 在内网的一台电脑上安装单点登录客户
端程序,通过单点登录客户端程序定时
从域服务器上获取PC登录域成功的状 态,并将获取的信息上报AC/SG设备来 实现认证。 ① ②
PC SERVER 安装单点登录 客户端程序 AD域
①
域新组件单点登录配置示例
域新组件单点登录配置示例
某公司内网有一台AD域服务器,域名为Vlab.cti.local ,IP地址为
10.10.2.21。 要求内网域用户成功登录域之后,直接通过AC设备的认证
上网。同时要求将AD域中所有的OU和用户同步到AC设备的 “MSAD域 用户组”,域单点登录不成功的用户能够直接上网(不弹出用户名密码 输入框),与单点登录成功的用户上网权限相同。
只有微软AD的域单点登录支持免插件模式。
LDAP域单点登录监听模式
监听模式的单点登录无需在域服务器 上安装任何组件,通过监听UDP 88端 口用户登录域的信息,如果用户成功 登录域,AC/SG设备则把该用户加入 到在线用户列表,通过AC/SG的认证。
②
配置思路: 1、设备启用LDAP单点登录 2、设备配置单点登录信息 3、设备设置监听口
AD 域新组件单点登录模式
新组件模式需要在域服务器上配置logon.exe 和 logoff.exe脚本,用户登录域或从域注销时会运行 相应的脚本,并将获取的信息上报AC/SG。
① PC请求登录域
② 域认证成功后,PC执行logon.exe脚本 ③ PC运行logon.exe成功后,在PC本地的C盘 共享目录生成logon.txt日志文件,上报成功登 ② ① 录域的信息给AC/SG 配置思路: 1、设备启用LDAP单点登录 2、设备配置组件模式单点登录信息 3、服务器配置登录脚本
基础认证培训深信服上网行为管理ACPPT课件
认证方式介绍
3、单点登录
当客户有自己的第三方认证服务器对内网用户进行认证时,单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认 证,并且获取到相关的权限上网。
SANGFOR AC支持域单点登录,POP3单点登录,PROXY单点登录, WEB单点登录、PPPOE单点登陆,数据库单点登陆,第三方设备单点登陆 (包括锐捷SAM系统,城市热点,H3C CAMS系统等),《单点登录功能 培训》PPT将详细介绍相关功能和配置,此PPT不再赘述。
SANGFOR AC 基础 认证技术
培训内容 SANGFOR AC 认证 功能介绍
培训目标 1. 掌握AC设备支持的认证方式
SANGFOR AC 认证 功能配置
密码认证加强 用户注销功能介绍
1.掌握AC设备IP/MAC认证(跨三层环境)的配 置步骤 2.掌握AC设备用户名密码认证的配置步骤 3.掌握AC设备DKEY认证的配置步骤
配置步骤二(用户名密码认证)
2、新增用户名密码认证的用户,设置用户名密码
勾选后,该账号可供多 人使用,也可不勾选, 为每个用户单独建立 用 户名和密码
配置步骤二(用户名密码认证)
3、客户端输入用户名密码认证
认证方式介绍
绿色的是认证KEY,紫色 的是免审计KEY,这两种 KEY不能混淆。
AC还有一种咖啡色的KEY, 用于数据中心查询。
认证功能配置
典型应用场景与配置
IP/MAC 认证场景
用户名 密码认 证场景
DKEY 认证场
景
案例背景
总经理
办公区
防火墙 核心交换
公共上网区
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网不 能修改IP和MAC地址,公共上 网区(192.168.2.0/24)则需要 输入账号和密码才能上网,确 保网络行为能跟踪到,另外总 经理的上网数据要保证安全, 不能被审计。
深信服AD培训课件
服务器负载均衡技术介绍
传
统
1
2
3
代
理
YSE
YES
NO
1
2
3
PPT学习交流
16
深信服应用交付解决方案(独特性)
PPT学习交流
17
快速智能技术
PPT学习交流
18
单边加速技术
走那条链路? 负载算法
PPT学习交流
19
商业智能分析技术
PPT学习交流
20
深信服AD竞争性分析
PPT学习交流
21
AD市场现状
链路负载均衡相关技术
Local dns 21
3 4
5 Root dns 6
7
SANGFOR AD
访问网站
ABC网站
PPT学习交流
9
链路负载均衡相关技术
传 统 代 理
SG
负载算法
代
理
PPT学习交流
10
链路负载均衡相关技术
访问电信网站 访问网通资源
ISP1
电信10M,达到阀值
ISP2
移动10M,空闲
• Keyword: 现有网络结构,透明,扩展,提高可用性, 灵活性
PPT学习交流
4
负载均衡产生的原因(为什么需要负载均衡)
PPT学习交流
5
深信服AD详解
PPT学习交流
6
深信服AD产品功能
• 链路负载均衡
• 服务器负载均衡
• 全局负载均衡
PPT学习交流
7
深信服AD链路负载均衡
PPT学习交流
8
PPT学习交流
28
深信服成功案例简介
PPT学习交流
深信服上网行为管理基础操作培训
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台和密 码为admin/admin。
2、通过SANGFOR 升级系统工具查找设备地址后,通过查找得到的地 址进设备控制台 (1)安装SANGFOR 升级系统工具的PC和设备使用交叉线直连 (2)关闭PC上安装的防火墙及windows自带防火墙,如下图
(3)通过SANGFOR 升级系统工具查找设备地址,如下图所示 (4)通过SANGFOR 升级系统工具查到的地址登录设备
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
如何恢复设备出厂配置
恢复出厂配置会使设备重启。 对于能够正常登录设备的情况,可以通过以下两种方法恢复出厂配置 1、通过控制台界面恢复出厂配置
恢复出厂配置会重启设备,通过此方法恢复出厂配置后,再次登 录控制台,右下角会有“恢复成功”或“恢复失败”的提示,如 下图。
登录设备后,默认 会停在此页,只有 停在此页,右下角 小喇叭才会弹出事 件告警
SANGFOR设备升级系统使用介 绍
SANGFOR设备升级系统是平时经常使用的工具之一,它的主要功能有给 设备升级,恢复设备出厂配置,恢复及备份设备配置以和进设备调试。具 体使用方法请参考文档 SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训02_基础知识_升级 客户端6.0使用手册.pdf
2、通过SANGFOR 升级系统工具查找设备地址后,通过查找得到的地 址进设备控制台 (1)安装SANGFOR 升级系统工具的PC和设备使用交叉线直连 (2)关闭PC上安装的防火墙及windows自带防火墙,如下图
(3)通过SANGFOR 升级系统工具查找设备地址,如下图所示 (4)通过SANGFOR 升级系统工具查到的地址登录设备
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
如何恢复设备出厂配置
恢复出厂配置会使设备重启。 对于能够正常登录设备的情况,可以通过以下两种方法恢复出厂配置 1、通过控制台界面恢复出厂配置
恢复出厂配置会重启设备,通过此方法恢复出厂配置后,再次登 录控制台,右下角会有“恢复成功”或“恢复失败”的提示,如 下图。
登录设备后,默认 会停在此页,只有 停在此页,右下角 小喇叭才会弹出事 件告警
SANGFOR设备升级系统使用介 绍
SANGFOR设备升级系统是平时经常使用的工具之一,它的主要功能有给 设备升级,恢复设备出厂配置,恢复及备份设备配置以和进设备调试。具 体使用方法请参考文档 SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训02_基础知识_升级 客户端6.0使用手册.pdf
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司决策层希望实现上班时间能封堵所有员工 的P2P和迅雷等多线程下载,玩游戏和炒股, 其余部门的人员不准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN 的聊天内容。 其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
用户 名密 码认 证场 景
案例背景
DMZ服务器 防火墙
Si
核心交换
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网 不能修改IP和MAC地址,公共 上网区(192.168.2.0/24)则 需要输入账号和密码才能上网, 确保网络行为能跟踪到。
解决方案
当用户首次通过AC上网时,AC会要求用户提交用户名密码信息,如果 用户提交的用户名密码信息和AC本机保存的信息一致时,给予认证 通过。 用户名密码认证适用于内网用户IP/MAC不固定、上网需要身份识别, 或者内网存在第三方用户名密码认证服务器的网络环境。 可以手动在AC上新建用户名和密码,也可以直接沿用第三方认证服务 器上的账号和密码(SANGFOR AC与第三方认证服务器结合,支持 LDAP,RADIUS, POP3第三方服务器认证)。
上网策略分类
AC 3.0开始将上网策略分为六大类,分别如下: 上网权限策略: 主要控制用户能够使用网络资源的权限(能做什么),包括上网应 用控制,网页过滤,SSL控制,邮件过滤功能 上网审计策略: 审计用户上网行为(做了什么),包括应用审计,外发文件告警, 流量与上网时长统计,网页内容审计 上网安全策略: 防止用户使用不安全的网络资源,包括危险行为识别,ActiveX插件 过滤和脚本过滤
上网策略分类
终端提醒策略: 提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流量 提醒,公告页面 流量配额与时长控制策略: 限制用户能使用网络资源的流量和时长,包括流量配额, 上网时长 控制,并发连接数控制 准入策略: 终端用户满足特定条件准许使用网络资源,审计加密的IM软件的聊 天内容
组织结构与上网策略的关联
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 、旁路模式 只用于上网行为的审计和基于 应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP 等功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。
认证方式介绍
1、不需要认证
设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来 识别用户。 不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框, 要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存 在。
认证方式介绍
2、密码认证(包括本地密码认证和第三方服务器认证)
典型部署模式与配置
网桥模式配置截图
二、用户认证技术
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
SANGFOR AC的认证方式:
1、不需要认证(IP/MAC绑定) 2、密码认证(包括本地密码认证和第三方服务器认证) 3、单点登录
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。 2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。 3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
2.
上网策略典型应用场景及配置
配置思路: 1. 在AC的用户组织结构中建立两个用户组:技术支持和销售部门组 ,默认组。(也可以按照公司部门结构分别建立多个用户组,根据 策略的情况,最少要建立两个用户组)具体配置在用户认证部分的 PPT中介绍,这里不再累述。 新建两条上网权限策略: 技术支持和销售部门上网权限:上班时间封堵P2P和迅雷等多线程 下载工具下载,玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载 ,玩游戏和炒股,QQ/MSN。 关联默认组。
SANGFOR AC 基本功能培训
AC培训大纲 SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
典型部署模式与配置
路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;
3、客户端输入用户名密码认证
当用户访问网站时,AC会重定 向一个认证的页面,如左图所示 ,用户输入正确的用户名密码认 证后,才可以继续上网。
实际应用环境演示与互动
添加/修 改认证 策略
添加/ 编辑 用户 信息
三、组织结构与上网策略
组织结构和上网策略功能介绍
组织结构 组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树 形的组织结构,通过树形用户结构管理,符合企业的人员结构划分, 同时又可以对相同的上网策略进行继承。 上网策略介绍 上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用 网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网 络的行为进行审计,从而构建一个可管理、可视化的网络环境。 简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么, 知道用户正在做什么、以及用户做了什么的功能。
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绑定IP/MAC,因 此选择IP/MAC绑定,且绑定方式为用户和地址双向绑定。 开启新用户选项,自动添加新用户到办公区用户组。
典型部署模式与配置
FW
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
典型部署模式与配置
网桥模式配ቤተ መጻሕፍቲ ባይዱ思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
路由模式配置截图
典型部署模式与配置
网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。 2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。 2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。 3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。