SANGFORAC
- 格式:ppt
- 大小:2.07 MB
- 文档页数:11
下载文档原格式
合集下载
SANGFORAC多机部署技术专题文档
SANGFORAC多机部署技术专题文档AC/SG多机部署技术专题文档1.1多机部署环境描述AC/SG多机功能主要是用于支持客户VRRP环境的,既可以起到设备冗余又可以起到负载均衡的作用。
在这种VRRP部署环境中,AC/SG架在中间是透明的,主要是口模式和多网桥模式,路由模式基本不会用到。
以下是客户那边主要部署的网络拓扑之一:AC/SG启用多网桥架在客户路由器前面,客户那边的前端路由器启用VRRP,数据流可以直走其中一个路由器起热备冗余作用,也可以2台路由器根据虚拟多个VLAN互为主备,起到负载均衡的作用。
1.2多机在AC/SG控制台的配置配置说明:1.多机同步的和功能,禁用状态设备不会向同一组播域内其他设备发心跳包。
2.【通信网口】功能,区分路由模式和网桥模式。
路由模式下只要选择通信网口,不IP地址,就引用路由模式下本身的网口配置IP地址;网桥模式下因为只有桥IP,而单独网卡上并没有配置IP,所以需要配置一个单独的IP进行发送组播心跳和同步文件。
(注意的就是这个IP 不要和局域网内的IP冲突)3.【通信IP地址】,该功能只有在网桥模式下才有,仅作为向其他设备同步数据的一个源IP。
4.【组播IP地址】,只要是224.X.X.X之后的IP均可以。
不同的设备需要能互相同步配置的话,需要设置为同一个组播IP地址。
5.【在线列表】,只要不同设备配置上相同的组播IP地址,并且每台设备上指定的通信网口在同一个局域网内,设备的心跳包可以互相到达对方,则2台设备的在线列表均可以看到对方,即可以进行多机同步了。
1.3同步消息处理流程当多机同步触发之后,分为3种方式:用户认证数据同步,手动同步、库文件同步。
用户认证同步的数据因为是直接从认证驱动中抓包,所以没有了对比MD5值的流程,直接封装然后加入到发送数据的队列中;手动配置和库同步的配置,都需要先对比MD5值然后再进行封装,加入到发送队列中。
1.4几种同步方式实现原理1.4.1手动同步配置手动同步配置主要是同步设备控制台的一些配置,保持多机切换后部署在VRRP环境下的AC/SG设备配置一致,从而不影响到客户那边的上网业务。
SANGFORAC设备部署培训
SANGFORAC设备部署培训一、背景介绍SANGFORAC设备是一种用于网络访问控制的企业级硬件设备,能够提供安全、高效的网络访问管理和流量控制服务。
为了能够正确地配置和部署SANGFORAC设备,使其能够发挥最佳效果,对设备的部署与培训显得尤为重要。
本文主要针对SANGFORAC设备的部署培训进行详细介绍,包括设备的基本功能、部署前的准备工作、设备的设置与配置、故障排除等内容。
二、设备简介SANGFORAC设备是一种能够实现企业内外网络隔离的硬件设备。
它使用网络地址转换(NAT)技术,结合访问控制列表(ACL)和用户认证功能,提供了对网络用户的精细控制机制,保证了企业网络的安全性与可管理性。
SANGFORAC设备具备以下主要功能:1.精细访问控制:能够根据企业需求,对不同用户或用户组设置不同的访问权限。
2.流量控制:能够限制用户的带宽使用,保证企业关键业务的稳定运行。
3.用户认证:能够通过用户认证,对接入网络的用户进行身份确认,增加网络的安全性。
4.应用识别:能够识别网络中的应用程序,对不同应用的流量进行分类和管理。
5.故障排除:能够检测并修复网络中的故障,确保网络正常运行。
三、部署前的准备工作在开始部署SANGFORAC设备之前,需要进行一些准备工作,以确保部署过程的顺利进行。
1.网络拓扑规划:根据企业的网络需求,确定SANGFORAC设备的部署位置和网络拓扑结构。
2.IP地址规划:为SANGFORAC设备和其他网络设备规划IP地址,避免IP地址冲突。
3.设备选型:根据企业的需求选择合适的SANGFORAC设备型号。
4.设备接入准备:确保SANGFORAC设备的电源、网线等接入设备的准备工作已完成。
四、设备的设置与配置4.1 设备初始化在正式开始设备的设置与配置之前,需要对SANGFORAC设备进行初始化操作,以将设备恢复到初始状态。
初始化的步骤如下:1.连接设备:将电源和网线连接到SANGFORAC设备上,并确保设备电源已打开。
SANGFOR AC老板Key使用步骤_AC2[1].0为例
![SANGFOR AC老板Key使用步骤_AC2[1].0为例](https://img.taocdn.com/s1/m/274ba6126edb6f1aff001f7c.png)
SANGFOR AC老板KEY(防监控KEY)使用步骤
1.上网行为管理—>组织结构—>新增,填写好相关信息,在认证方式一栏中,选择“DKEY
认证”,勾选“启用DKEY防监控”,单击“生成DKEY”,出现下图所示内容,单击“下载DKEY驱动”。
2.下载DKEY驱动后安装,双机安装程序,提示“驱动安装成功”。
3.回到控制台新增用户界面,输入DKEY密码,然后在电脑上插入DKEY,点击“开始写
入DKEY”。
写入成功后,会提示“生成DKEY成功!”,点确定完成即可。
注:如果回到控制台新增用户界面,点击“开始写入DKEY”没有反应的话,需重新打开IE 登录到控制台,再到新增用户界面,这时点击“开始写入DKEY”就会没问题了。
最后别忘点“确定”,保存用户信息。
4.http://ACIP,打开在线用户列表,下载DKEY认证客户端,然后安装。
5.安装完成后再双机运行Sinfor AC DKEY认证客户端如桌面图标,或“开
通过Sinfor AC DKEY认证客户端可以注销、修改DKEY密码、登录到其它网关(必须
先注销现在登录的网关)。
《SANGFOR_AC_应用封堵设置检查方法》
AC应用封堵设置检查方法目录AC应用封堵设置检查方法 (1)第一步:确认AC设备是否处于直通状态 (1)第二步:确认用户是否受到AC设备管控 (2)第三步:确认规则库是否为最新 (4)第四步:确认上网策略配置是否正确 (5)第一步:确认AC设备是否处于直通状态图1.1确认AC设备是否处于直通状态如图1.1所示执行以下步骤,确认AC设备是否处于直通状态1.登陆网关控制台,并在导航菜单选择系统诊断(图1.1,框1)2.选择Bypass与拦截定位(图1.1,框2)3.若当前操作状态显示为当前操作状态:实时拦截日志关闭或当前操作状态:实时拦截日志开启(图1.1,框3),请转到第二步:确认用户受到AC设备管控;4.若当前操作状态为:当前操作状态:实时拦截日志开启,数据直通开启(图1.1,框3),请点击关闭实时拦截日志(图1.1,框4)5.再次确认应用是否收到AC设备的封堵,若还未能封堵,请转到第二步:确认用户受到AC设备管控第二步:确认用户是否受到AC设备管控图2.1确认用户是否受到AC设备管控如图2.1所示,执行以下步骤确认用户是否受到AC设备管控1.在导航菜单选择实时状态(图2.1,框1)2.选择在线用户管理(图2.1,框2)3.点击以登录名搜索(图2.1,框3)4.选择以IP地址搜索(图2.1,框4)5.在(图2.1,框5)中输入无法封堵应用的用户IP地址并回车6.若用户列表(图2.1,框6)中出现了该IP的用户,请转至规则库7.若用户列表(图2.1,框6)中未出现该IP的用户,请按照图2.2执行步骤图2.2确认用户是否在自定义排除地址中8.在导航菜单中选择系统配置(图2.2,框8)9.选择全局排除地址(图2.2,框9)10.选择自定义排除地址(图2.2,框10)11.在排除地址(图2.2,框11)中查找应用不受控的用户IP12.在排除地址(图2.2,框11)若能找到该用户IP,或是IP IP或IP范围,再次确认应用是否能够被封堵,若无法封堵且在线用户管理中有该IP,请转第13.在排除地址(图2.2,框11)若不存在该用户IP或是IP范围,请确认该用户正在通过AC上网14.若该用户不通过AC上网,则不受AC控制;若该用户确实通过AC上网,请联系经销商或者售后800协助处理第三步:确认规则库是否为最新图3.1确认规则库是否为最新如图3.1步骤所示操作,确认规则库是否为最新1.在导航菜单点击系统配置(图3.1,框1)2.选择自动升级(图3.1,框2)3.若(图3.1框3)中,应用识别规则已为最新的,转入第四步:确认上网策略配置正确4.若(图3.1框3)中,应用识别规则不是最新的规则库,请点击“”(图3.1,框4),立即更新规则库,并确认操作5.若(图3.1框3)中,应用识别规则的最新版本为“无法获取信息”,请联系经销商或者售后800协助处理6.规则库更新需要5~10分钟不等,若更新后应用识别规则日期不变,请联系经销商或者售后800协助处理第四步:确认上网策略配置是否正确图4.1编辑无法封堵应用的用户如图4.1所示步骤操作,编辑无法封堵应用的用户1.在导航菜单中选择用户与策略管理(图4.1,框1)2.展开用户管理,选择组/用户(图4.1,框2)3.在成员管理中找到无法封堵应用的用户,并点击该用户的名称,进入编辑模式(图4.4.11框3)图4.2查看用户的策略列表4.在编辑模式中,选择策略列表,请确认有相应的上网策略控制该用户,并点击查看用户的策略结果集(图4.2,框4);若该用户确实未应用上网策略,请对其添加相应上网策略,并再次确认应用封堵效果,仍然无效请继续下一步图4.3查看用户的策略结果集5.策略结果集如图4.3所示,请确认您需要封堵的应用在应用控制中的动作为“”,若应用控制中无您要封堵的应用,请修改相应的上网策略,并再次确认应用封堵效果,仍然无效请继续下一步图4.4查看用户的活动连接6.在导航菜单中选择实时状态(图4.4,框6)7.展开流量状态(图4.4,框7)8.选择连接监控(图4.4,框8)9.确认用户正在使用应被封堵的应用后,在(图4.4,框9)中输入该用户IP,并查询该用户的当前活动链接10.若连接监控中未识别到您要封堵的应用,但是识别到了代理工具应用,请更改您的上网策略,封堵相应的代理工具,并再次并再次确认应用封堵效果,仍然无效请继续下一步11.若连接监控中应被封堵的应用被识别为的应用类型和名称与您策略中配置的不同(如您封堵的是IM/QQ,连接监控中显示的为IM/Web-QQ),请更改您的上网策略,并再次并再次确认应用封堵效果,仍然无效请继续下一步12.若连接监控中应被封堵的应用被准确识别,却仍未有效封堵,请联系经销商或者售后800协助处理13.若连接监控中将应被封堵的应用识别为其他,请联系经销商或者售后800协助处理。
SANGFOR_AC(外置数据中心)
SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上,较稳定。
XP系统对数据中心支持得不是很好,不建议安装。
注:所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。
b、安装盘磁盘格式必须是NTFS格式。
二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径,并点击应用,以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码;新建一个数据库并测试连通性;设置开始同步的日期
点击应用,使配置的同步账号生效!
用户在线表示正在同步数据,用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。
SANGFOR AC 组织结构与上网策略管理
组织外线路检测功能
应用场景: 1.内网用户出于某些目的,不通过统一内部 指定的出口上网,而私自接入其他外网线路, 而这些上网行为是不受组织监视和管控的, 组织管理者往往希望能主动发现这类行为,
10.251.251.1 193.168.1.1
以及时避免不可管控带来的泄密等风险。 例:企业认为网关10.251.251.1才是合法网关, 通过其余的网关上网都是不允许的,当PC通 过网关193.168.1.1上网后,管理者希望能够
您来试试吧!
问题思考
1.某客户想要用AC来监控QQ聊天的内容,请问应该添加什么策略? 2.某客户需求是限制办公组用户每天使用流量不超过1G,请问是否可以实现, 通过什么策略实现的? 3.某客户希望记录内网用户是否通过其它网关上网,请问要怎么配置? 4.某客户针对用户组添加了以下两个策略,请问HTTP是允许还是禁止?
2.
其他公司人员上班时间不允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
上网策略典型应用场景及配置
配置思路: 1. 在AC的用户组织结构中建立两个用户组:技术支持和销售部门组,默 认组。(也可以按照公司部门结构分别建立多个用户组,根据策略的 情况,最少要建立两个用户组)具体配置在SANGFOR AC 2011年度 渠道初级认证培训03_基础认证技术 中介绍,这里不再累述。 2. 新建两条上网权限策略: 技术支持和销售部门上网权限:上班时间封堵P2P和迅雷等多线程下 载工具下载,玩游戏和炒股。关联技术支持和销售部门组。 其他员工上网权限:上班时间封堵P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN。 关联默认组。
t 选择规则生 效的时间
配置完成, 点击提交
SANGFOR_AC_内网安全解决方案
深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能,有效管理用户上网 (3)4.2防DOS攻击功能,有效防御内外网的DOS攻击 (3)4.3IPS系统,保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能,保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。
回顾2004年以来,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。
据统计,仅2005年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。
与此同时,越来越多的企业发现,安全威胁不仅来自外部,企业内部的不当互联网访问、滥用互联网以及泄密行为等等,同样会带来安全问题。
据IDC报告,70%的安全损失是由企业内部原因造成的,而不当的资源利用及员工上网行为往往是“罪魁祸首”。
比如:网页浏览、BT下载、IM实时通信、P2P文件共享等行为。
不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒,导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。
此时,传统的防火墙已经显得无能为力。
例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。
传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。
SANGFOR_AC上网行为管理功能列表
部署方式 网关模式 网桥模式 旁路模式 多路桥接
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构;海外有5个分支机构(香港、泰国、印度、新加波 品备件;
深圳总部设有60个座席的CTI中心,两路800电话提供7*24小时不间断服务;客户服务
对互联网应用的识别广泛度,正是考验各厂商技术实力的关键所在,不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库,帮助客户有效识别所有主流互联网应用; 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库,专业团队维护,支持自动更新。 允许管理者手工创建新URL分类; 通过网址关键字识别URL及其分类; 根据管理者提供的关键字、或网址等学习材料,网关实现未知网页的自动识别和分类; 对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); 网关能够过滤搜索引擎输入的指定关键字; 网关能够过滤正文含有指定关键字的网页访问行为; 网关能够过滤含有指定关键字的网络发贴行为; 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为; 网关能够基于关键字过滤SSL加密的网络发贴行为; 允许用户浏览论坛、BBS上的帖子,但不允许发送网络帖子; 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; 对于通过HTTP/HTTPS端口传输非网页流量的行为,支持识别并过滤; 能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 包含24个大类,500多条应用识别规则,涵盖主流互联网应用,国内最大; 管理者可通过协议类型、IP、端口、域名、数据包特征字段等,自定义应用识别规则; 基于数据包应用层特征字段实现对应用的识别; 基于数据包与域名之间的关联实现应用的识别; 基于应用协议行为特征实现应用的识别; 当网关完成数据包的强特征识别后,后续数据包通过若特征识别技术即可完成识别,效率更好、速度 更快; 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; 识别超过37种IM聊天软件; 识别超过10种IM传文件行为; 识别超过75种网络游戏软件; 识别常见的23种P2P应用,同时可识别加密P2P应用; 针对P2P软件种类多、版本杂、更新快的问题,网关通过对P2P软件行为的分析和统计,智能识别各 种P2P软件并封堵; 识别超过36种在线流媒体软件; 识别超过27种网络炒股软件; 识别超过18种远程登录和木马软件; 识别超过6种加密代理、翻墙软件; 识别超过16种网上银行访问行为; 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件,网关将主动 拦安截 装,Em并a在il客人户工端审软核件后,再配外置发使;用SSL加密的POP3和SMTP行为,网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件; 基于正文关键字过滤外发Webmail邮件行为; 允许用户登录webmail邮箱接收邮件,但不准外发; 即使通过SSL加密的webmail外发邮件,网关仍然能基于关键字过滤; 网关能过滤来自互联网的垃圾邮件;
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构;海外有5个分支机构(香港、泰国、印度、新加波 品备件;
深圳总部设有60个座席的CTI中心,两路800电话提供7*24小时不间断服务;客户服务
对互联网应用的识别广泛度,正是考验各厂商技术实力的关键所在,不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库,帮助客户有效识别所有主流互联网应用; 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库,专业团队维护,支持自动更新。 允许管理者手工创建新URL分类; 通过网址关键字识别URL及其分类; 根据管理者提供的关键字、或网址等学习材料,网关实现未知网页的自动识别和分类; 对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); 网关能够过滤搜索引擎输入的指定关键字; 网关能够过滤正文含有指定关键字的网页访问行为; 网关能够过滤含有指定关键字的网络发贴行为; 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为; 网关能够基于关键字过滤SSL加密的网络发贴行为; 允许用户浏览论坛、BBS上的帖子,但不允许发送网络帖子; 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; 对于通过HTTP/HTTPS端口传输非网页流量的行为,支持识别并过滤; 能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 包含24个大类,500多条应用识别规则,涵盖主流互联网应用,国内最大; 管理者可通过协议类型、IP、端口、域名、数据包特征字段等,自定义应用识别规则; 基于数据包应用层特征字段实现对应用的识别; 基于数据包与域名之间的关联实现应用的识别; 基于应用协议行为特征实现应用的识别; 当网关完成数据包的强特征识别后,后续数据包通过若特征识别技术即可完成识别,效率更好、速度 更快; 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; 识别超过37种IM聊天软件; 识别超过10种IM传文件行为; 识别超过75种网络游戏软件; 识别常见的23种P2P应用,同时可识别加密P2P应用; 针对P2P软件种类多、版本杂、更新快的问题,网关通过对P2P软件行为的分析和统计,智能识别各 种P2P软件并封堵; 识别超过36种在线流媒体软件; 识别超过27种网络炒股软件; 识别超过18种远程登录和木马软件; 识别超过6种加密代理、翻墙软件; 识别超过16种网上银行访问行为; 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件,网关将主动 拦安截 装,Em并a在il客人户工端审软核件后,再配外置发使;用SSL加密的POP3和SMTP行为,网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件; 基于正文关键字过滤外发Webmail邮件行为; 允许用户登录webmail邮箱接收邮件,但不准外发; 即使通过SSL加密的webmail外发邮件,网关仍然能基于关键字过滤; 网关能过滤来自互联网的垃圾邮件;
深信服AC网关杀毒功能介绍
深信服SANGFOR AC网关杀毒功能简介一、网关杀毒时代的来临从单机版走向网络版,再到网关,杀毒市场正悄然面临一场新的变革——网关杀毒。
这项被誉为能够守住病毒第一道关口的技术,可谓“一夫当关,万毒莫开”。
市场是因需求而定,网关杀毒也是如此。
早在1995年,网关防毒技术就已经在美国面市。
但此后的几年,用户并没有太多关注它。
伴随着互联网技术的发展,网关杀毒市场也日趋成熟。
直至今天,从桌面杀毒到网关杀毒已是互联网发展的必然。
从用户的角度来看,他们对安全的意识已经由最初的被动杀病毒转变为主动防护,因此他们需要的是一个“Total Solution”。
由于病毒具有不可预知性,当有病毒攻击时,他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。
此外,当他们通过电子邮件与外界沟通时,他们还希望不被那些与自己无关的信息打扰。
而所有这些正是网关杀毒软件所要做的工作。
正是网关杀毒承担着“一夫当关,万毒莫开”的重要角色。
我们相信,伴随着互联网技术的成熟,网关杀毒时代已经来临!二、深信服SANGFOR AC网关杀毒功能模块简介SANGFOR UTM安全网关是集防火墙、VPN、IPS、网关杀毒、垃圾邮件过滤及访问控制、内容过滤为一体的All in One安全网关;为用户提供了一体化的Internet安全解决方案,极大的降低了用户在网络安全方面的总体投资,并拥有强大的访问控制和内网审计功能,能有效管理用户上网,防止机密信息泄漏。
在网关杀毒方面,SANGFOR AC的网关杀毒模块采用了灵活的设计手段,经过实际的测试和应用效果检验,深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块,杀毒速度达到50Mb/s,远远超过大多数杀毒厂商的网络杀毒速度,也超过一般用户的Internet带宽。
该病毒引擎获得国际权威机构VB 100%的认证,不仅可以查杀普通病毒,还可以检查出各种压缩包(zip,rar,gzip等)内部隐藏的病毒。
SANGFOR AC_防火墙功能
3. 勾选发布服务器,允许内网用户以外网IP访问内网服务器
端口映射典型应用案例及配置
端口映射应用案例配置步骤:
内网服务器的真 实IP地址
公网地址是WAN1 IP为:202.96.137.75 口的地址,“外 网接口”选择 WAN1口 内网服务器的 真实发布端口访问的数 公网访问用户源
访问的数据包目标
代理上网典型应用案例及配置
代理192.200.1.0/24和192.200.2.0/24网段上网配置步骤:
“外接网口”即转换 后的数据从哪个网 口转发出去
即转换成转发 完成第一条 数据的外接网 代理两个网段上 “代理网段” 规则设置。 网的规则设置。 口的地址 即需要转换 哪些地址
完成本例要求的
端口映射典型应用案例 及配置
防火墙基本功能介绍 代理上网典型应用案例及配置
SANGFOR AC
端口映射典型应用案例及配置
练练手深信服公司简介
防火墙基本功能介绍
SANGFOR AC防火墙基本功能介绍
1.防火墙规则 防火墙规则是控制设备各个网 口转发数据的开关。
这里设置的规则可基于IP和端
口进行数据包的转发控制,和 传统的四层防火墙相似。 HTTP HTTPS
IP丌固定据目标端 口是TCP 8000
服务器在AC的LAN口 下,转换源IP就选择 LAN1口地址。
端口映射典型应用案例及配置
端口映射规则设置注意事项:
1. 在配置端口映射规则时,建议勾选“防火墙自动放行数据”。如果
这个选项丌勾选,那么也必须通过手动配置放通防火墙规则,否则
端口映射会丌成功。 2. 只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选
外网和工厂内网的用户均通过
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
专业务实
学以致用
常见网络中的多机部署方式
如果左边拓扑图中AC下面接
的是三层交换机,那么要使用
空闲网口做为通信网口,采用 如图的接线方式
专业务实
学以致用
多机同步配置
1. 启用多机同步,并设置多机的相关选项。
用于进行设备配置信息同步 的网络接口,此例中使用空 闲网口DMZ口做通信网口, 所以此处选择DMZ口。 用于给通信网口定义一个IP地址, 两台设备通信网口的IP地址最好 显示同步设备的IP地址。 设置同一网段,注意不要跟现有 接口的IP地址网段冲突。 用于配置设备进行多机同步的组播地址, 因为多机同步时通过组播实现的,所以 通信接口需要属于同一广播域,并且此 处的的组播地址需要多台设备设置完全 相同。多机同步配置设备组播地址可以 用组播地址范围的任意地址。
适用环境: 内网 VRRP ,对网络可靠性有较高需求, 需要多台AC互为热备的情况。
专业务实
学以致用
常见网络中的多机部署方式
多机同步一般应用于内网VRRP环境,AC设备常用网桥模式部署。
多机功能,首先需要设置设备的通信网口,通信网 口用于处于同一个组播域的多机设备之间的通信。 通信网口的要求: (1)可用的网口,可以指定正在使用的网口,也 可以指定空闲的网口; (2)如果指定正在使用的网口做通信网口,则需 要保证这两个网口处于同一广播域,即处于同一个 二层环境; (3)如果指定空闲网口做通信网口,则需要将两 个空闲网口用交叉线直连。 (4)通信网口不能选择拨号网口或者DHCP获取 IP的网口。
内网有代理服务器环境下的 部署 AC在TRUNK环境下的部署
1. 2. 3. 1. 2. 3.
专业务实
学以致用
双机维护环境部署
多机同步环境部署
SANGFOR AC&SG
内网代理环境部署 TRUNK环境部署
专业务实
学以致用
双机维护环境部署
专业务实
学以致用
双机维护环境部署
双机维护是指两台设备通过双机心跳线连接, 实现互为备份。正常情况下,只有主设备工 作,如果网络失去与主设备的通信,则自动
接口上。
专业务实
学以致用
常见网络环境中的双机部署方式
(2)网桥模式下的双机部署
两台AC设备之间通过双机心跳线 (全反线)将其CONSOLE口进行 连接,桥接方式与单台设备网桥
模式下类Hale Waihona Puke 。专业务实学以致用
常见网络环境中的双机部署方式
(3)旁路模式下的双机部署:
两台AC设备之间通过双机心跳线(全
反线)将其CONSOLE口进行连接。 交换机上需要设置两个相同的镜像口
专业务实
学以致用
双机维护配置(续)
3. 将主备机按照物理拓扑连接好,用双机心跳线(全反线)将两台 设备的CONSOLE口连接起来。
4. 选择一台设备做主机先加电开机,主机启动后,备机再加电,正 常工作后,主机的配置会通过双机心跳线同步到备机,只需要配置主 设备即可。
专业务实
学以致用
双机维护配置注意事项
SANGFOR AC&SG特殊网 络环境部署
专业务实
学以致用
培训内容
AC双机环境下的部署
1. 2. 3.
培训目标
了解双机维护功能的适用环境 掌握设备各种部署模式下的双机部署和配置方法 了解双机部署下的注意事项
AC多机环境下的部署
1.
2. 3.
了解多机功能的适应环境
掌握常见网络中的多机部署及配置方法 了解多机部署的注意事项 了解内网有代理服务器的部署适用环境 掌握常见代理环境中的部署和配置方法 了解内网代理服务器环境下部署的注意事项 了解TRUNK环境下部署的适应场景 掌握TRUNK环境下的部署和配置方法 了解TRUNK环境下部署的注意事项
用于连接到两台设备的监听口,另外
两台设备的管理口需要连接到交换机 同一个VLAN的接口上。
专业务实
学以致用
双机维护配置
1.启用双机服务,并设置双机的相关选项
用于显示双机通信是否正常 用于设置当前设备名称,可以自定义 方便区分的两台设备的名称
设置双机自动切换的超时时间,默认为10s
监测以下网口的连接状态,如果断开连接则自动发生主备切 换,保证网络正常。注意:设备暂时没有用到的接口请不要 勾选,因为接口没有用却检测接口状态会导致双机异常。
切换到备机,保证客户的业务不受影响,网
络不中断。
双机维护环境只有一台主设备处于正常工作 状态,另一台备设备处于监听状态。
适用环境:对网络稳定性要求较高的客户环 境
专业务实
学以致用
常见网络环境中的双机部署方式
(1)路由模式下的双机部署:
连接方式: 两台SANGFOR AC设备通过双机心跳线 (全反线)将CONSOLE口进行连接, 设备的内外网口各自连接到内外网的二 层交换机或三层交换机的同一个VLAN
启用串口故障检测后,当串口发生故障,如串口的线掉了, 可以通过此处选择的网口发送网络数据包来检测对端设备 用于手动点击按钮同步配置。 的存在。如果串口线掉了,很有可能会导致两台设备同时 切换为主机,为避免IP冲突,会自动将一台设备切换为备 用于手动切换到主机或备 机,恢复成只有一台设备正常工作的情况,需要注意的是 机,并且显示最后一次主 此处选择的网口必须接在同一交换机上,否则无效。
(1)双机部署的两台设备,软件版本和硬件型号要一致。 (2)双机部署的两台设备配置完全一样,包括接口配置,序列号除外。
(3)切换部署模式,恢复备份的配置,修改系统时间等会导致设备 重启的操作建议先开启升级模式,否则可能会导致设备重启过程中 发生主备切换导致配置同步有问题。
(4)双机部署的两台设备,可以同步在线用户的状态,双机切换后 内网用户不需要重新认证。
专业务实
学以致用
多机同步环境部署
专业务实
学以致用
多机同步应用环境
AC的多机同步主要应用于内网设备启用VRRP,确保任一条链路故障,VRRP进 行切换时,也能无缝支持。
多机同步功能由多台 AC设备通过通信
网口同步配置,库文件和用户在线状态 等信息,多机环境下所有的 AC 设备是 同时工作的,实现在 VRRP 环境下某条 线路断掉,无缝切换到另一条线路,策 略和用户状态的一致性,用户上网不需 要重新认证。
备机切换的时间。
选择启用的目的是在对设备进行升级时,关闭主备机切换功能,避免升级过程中发生主 备切换,导致升级失败。点击启用后主备机不能自动切换,请慎用此功能,建议只在对 主备机器进行升级维护的时候才开启此模式,升级完成请后务必关闭升级模式。
专业务实
学以致用
双机维护配置(续)
2.用同样的方法配置另外一台设备