深信服培训讲义

典型部署模式与配置
典型部署模式与配置
路由模式配置思路
1、网口配置：确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式， 取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN 口）的IP地址信息； 2、确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机；
配置步骤一（IP/MAC认证的用户）
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一（IP/MAC认证的用户）
2、配置认证策略 新增一个认证策略，选择认证方式，。需求是同时绑定IP/MAC，因 此选择IP/MAC绑定，且绑定方式为用户和地址双向绑定。 开启新用户选项，自动添加新用户到办公区用户组。
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥，这种部署模式是最常见的。AC部署在出口网关设备（防火墙或者路 由器）和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙（路由器）的情况下。 2、多网桥，一般情况下两进两出是最常见的。AC部署在出口网关设备（防火墙 或者路由器）和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙（路由器）的情况下。 3、网桥多网口，这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当，具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式，因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器，或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时，AC必须是路由模式 部署，其它工作模式不支持实现这些功能。
SANGFOR AC 基本功能培训
AC培训大纲 SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去，具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定，不同的部署 模式对客户原有网络的影响各有不同。
3、客户端输入用户名密码认证
当用户访问网站时，AC会重定 向一个认证的页面，如左图所示 ，用户输入正确的用户名密码认 证后，才可以继续上网。
实际应用环境演示与互动
添加/修 改认证 策略
添加/ 编辑 用户 信息
三、组织结构与上网策略
组织结构和上网策略功能介绍
组织结构 组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树 形的组织结构，通过树形用户结构管理，符合企业的人员结构划分， 同时又可以对相同的上网策略进行继承。 上网策略介绍 上网策略是对用户的上网行为进行控制、提醒、审计。控制用户使用 网络资源的权限；对用户使用网络资源情况进行提醒；对用户访问网 络的行为进行审计，从而构建一个可管理、可视化的网络环境。 简单而言，上网策略就是要实现让网络管理者能够控制用户能做什么， 知道用户正在做什么、以及用户做了什么的功能。
上网策略分类
终端提醒策略： 提醒用户不恰当使用网络资源的情况，包括上网时长提醒，上网流量 提醒，公告页面 流量配额与时长控制策略： 限制用户能使用网络资源的流量和时长，包括流量配额， 上网时长 控制，并发连接数控制 准入策略： 终端用户满足特定条件准许使用网络资源，审计加密的IM软件的聊 天内容
组织结构与上网策略的关联
公司决策层希望实现上班时间能封堵所有员工 的P2P和迅雷等多线程下载，玩游戏和炒股， 其余部门的人员不准上班时间使用QQ和MSN ，只有技术支持和销售部门才能使用QQ和 MSN聊天，但是要审计聊天内容，下班时间 所有的应用都能允许使用，另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求： 1. 技术支持和销售部门上班时间不允许P2P和迅雷等多线程下载工具 下载，玩游戏和炒股，所有上网行为需要被审计，包括QQ和MSN 的聊天内容。 其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载， 玩游戏和炒股，QQ/MSN聊天，所有上网行为需要被审计
典型部署模式与配置
路由模式配置截图
典型部署模式与配置
网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小，当客户确定不需要使 用AC的VPN、NAT、DHCP功能时，则应考虑部署网桥模式。 2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式： 客户原有网络是单核心交换机、单出口防火墙情况下，AC用单网桥； 客户原有网络是单核心交换机、两台出口防火墙情况下，AC用双网桥； 客户原有网络是两台核心交换机、单台出口防火墙情况下，AC用双网桥；
用户 名密 码认 证场 景
案例背景
DMZ服务器 防火墙
Si
核心交换
某集团公司内部有办公区和公 共上网区， 要求实现办公区 （192.168.1.0/24）用户上网 不能修改IP和MAC地址，公共 上网区（192.168.2.0/24）则 需要输入账号和密码才能上网， 确保网络行为能跟踪到。
解决方案
2.
上网策略典型应用场景及配置
配置思路： 1. 在AC的用户组织结构中建立两个用户组：技术支持和销售部门组 ，默认组。（也可以按照公司部门结构分别建立多个用户组，根据 策略的情况，最少要建立两个用户组）具体配置在用户认证部分的 PPT中介绍，这里不再累述。 新建两条上网权限策略： 技术支持和销售部门上网权限：上班时间封堵P2P和迅雷等多线程 下载工具下载，玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限：上班时间封堵P2P和迅雷等多线程下载工具下载 ，玩游戏和炒股，QQ/MSN。 关联默认组。
策略与用户/组的关联： 1、可以在策略中选用户/组；方便一条策略需要关联给多个 用户/组的设置
组织结构与上网策略的关联
2、可以在用户Baidu Nhomakorabea组中选策略；实现不同类型策略的任意组合
上网策略典型应用场景及配置
上网策略 典型应用 场景
上网 策略 配置
上网策略典型应用场景及配置
某公司网络中充斥着各种流量，上班时间P2P 下载导致致使办公应用很慢，员工上班时间炒 股，QQ/MSN聊天，玩游戏使得办公效率不 高。
典型部署模式与配置
网桥模式配置截图
二、用户认证技术
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份，为后续流量管理、用户上网权 限策略及应用审计提供基础。
SANGFOR AC的认证方式：
1、不需要认证（IP/MAC绑定） 2、密码认证（包括本地密码认证和第三方服务器认证） 3、单点登录
配置步骤一（IP/MAC认证的用户）
注意： 如果AC和内网用户是跨三层环境，请开启SNMP功能实现IP和MAC的绑定
填入和AC相连 的三层交换机 的IP
配置步骤二（用户名密码认证）
1、新建密码认证用户的认证策略
配置步骤二（用户名密码认证）
2、手动新增用户名密码认证的用户，设置用户名密码
配置步骤二（用户名密码认证）
上网策略分类
AC 3.0开始将上网策略分为六大类，分别如下： 上网权限策略： 主要控制用户能够使用网络资源的权限（能做什么），包括上网应 用控制，网页过滤，SSL控制，邮件过滤功能 上网审计策略： 审计用户上网行为（做了什么），包括应用审计，外发文件告警， 流量与上网时长统计，网页内容审计 上网安全策略： 防止用户使用不安全的网络资源，包括危险行为识别，ActiveX插件 过滤和脚本过滤
认证方式介绍
1、不需要认证
设备根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来 识别用户。 不需要认证的识别方式，优点是用户上网前浏览器中不会弹出认证框， 要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存 在。
认证方式介绍
2、密码认证(包括本地密码认证和第三方服务器认证)
典型部署模式与配置
FW
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
典型部署模式与配置
网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址，如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址，如果没有空闲IP的话则配置管理口 （DMZ）进行管理。
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种，但也是所能实现功能较弱 的一种部署方式，此种部署模式对客户原有网络无任何影响，即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能，对基于 、旁路模式 只用于上网行为的审计和基于 应用的控制功能，对基于 UDP协议的应用无法控制。不支持流量管理，准入系统，NAT, VPN, DHCP 等功能。 3、旁路模式下，AC使用LAN/WAN口接核心交换机或者是核心出口路由器上， 需要路由器或者是核心交换机支持镜像功能，将流量上下行镜像到AC上来。
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
路由模式_部署指导
1、首选需要了解客户的实际需求，客户是否必须要用到AC的VPN、 NAT（代理上网和端口映射）、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。 2、客户新规划建设的网络中来部署AC，相当于一个全新的网络规划， 客户想把AC当作一台防火墙部署在出口上，可以部署成为路由模式。 3、客户网络中原有防火墙或者路由器了，出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
当用户首次通过AC上网时，AC会要求用户提交用户名密码信息，如果 用户提交的用户名密码信息和AC本机保存的信息一致时，给予认证 通过。 用户名密码认证适用于内网用户IP/MAC不固定、上网需要身份识别， 或者内网存在第三方用户名密码认证服务器的网络环境。 可以手动在AC上新建用户名和密码，也可以直接沿用第三方认证服务 器上的账号和密码(SANGFOR AC与第三方认证服务器结合，支持 LDAP，RADIUS, POP3第三方服务器认证)。
认证方式介绍
3、单点登录
当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备 的认证，并且获取到相关的权限上网。 SANGFOR AC支持域单点登录，POP3单点登录，PROXY单点登录， WEB单点登录。
典型应用场景与配置
IP/MAC 认证场 景
DMZ服务器 防火墙
根据客户需求，我们可以 用如下方式来满足： 1、办公区用户采用IP/MAC认 证方式 2、公共上网区采用密码认证， 设置用户名和密码
Si
核心交换
配置思路
1、新建认证策略 认证策略决定了某个IP/网段/MAC地址上计算机的认证方式。通过认 证策略设置内网用户的认证方式，以及新用户添加的策略。 2、手动新建用户或者自动添加新用户 新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名 密码信息， 启用IP/MAC绑定 如果采用自动添加新用户，在认证策略里开启和定义即可。 AC几种认证方式中，不需要认证、密码认证、单点登录这几种认证方 式是由认证策略设置决定的。
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动，不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT（代理上网和端口映射）、VPN、DHCP功能， 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时，对客户来说是个透明的设备，如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能（其它模式部署均没有支持bypass 功能的说法。