深信服上網(wǎng)行為管理設(shè)備部署培訓(xùn)PPT

1、SANGFOR AC設(shè)備部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AC部署模式介紹掌握AC支持的部署模式掌握AC各種模式的適用環(huán)境和支持的功能。策略路由和多線路選路介紹1.掌握策略路由和多線路選路的應(yīng)用場(chǎng)景2.掌握策略路由和多線路選路的實(shí)現(xiàn)原理和配置步驟防DOS攻擊功能介紹及配置1.掌握防DOS攻擊的作用及配置AC/SG部署模式介紹SANGFOR AC部署模式介紹 部署模式_簡(jiǎn)介 部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。根據(jù)工作方式的不同，AC設(shè)備支持路由、網(wǎng)橋

2、、旁路三種部署模式。SANGFOR AC部署模式介紹 路由模式_簡(jiǎn)介 設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒(méi)有相應(yīng)的網(wǎng)關(guān)設(shè)備，需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。 路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式不支持實(shí)現(xiàn)這些功能。SANGFOR AC部署模式介紹路由模式部署環(huán)境（舉例）：SANGFOR AC部署模式介紹 網(wǎng)橋模式_簡(jiǎn)介 設(shè)備以網(wǎng)橋模式部署時(shí)對(duì)客戶原有的網(wǎng)絡(luò)基本沒(méi)有改動(dòng)。網(wǎng)橋模式部署AC時(shí)，對(duì)客戶來(lái)說(shuō)AC就是個(gè)透明的設(shè)備，如果因?yàn)锳C自身的原因而導(dǎo)

3、致網(wǎng)絡(luò)中斷時(shí)可以開(kāi)啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。 網(wǎng)橋模式部署時(shí)AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP功能，除此之外AC的其它功能如URL過(guò)濾、流控等均可實(shí)現(xiàn)。 網(wǎng)橋模式部署時(shí)AC支持硬件bypass功能（其它模式部署均沒(méi)有硬件bypass)。SANGFOR AC部署模式介紹 網(wǎng)橋模式_2種類型1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個(gè)網(wǎng)橋，但內(nèi)外網(wǎng)口不是一一對(duì)應(yīng)的，可能內(nèi)網(wǎng)口需要接多個(gè)網(wǎng)口，也可能外網(wǎng)口需要接多個(gè)網(wǎng)口，各個(gè)網(wǎng)口之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā)，設(shè)備的ARP表只維持一份。2、多網(wǎng)橋：多網(wǎng)橋是指一臺(tái)設(shè)備可以做多個(gè)網(wǎng)橋，相當(dāng)于多個(gè)交換機(jī)，和網(wǎng)橋多網(wǎng)口的區(qū)別是：

4、設(shè)備的ARP表維持多份；內(nèi)外網(wǎng)口是一一對(duì)應(yīng)的；網(wǎng)口屬于同一個(gè)網(wǎng)橋才能進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。SANGFOR AC部署模式介紹網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口（舉例）：SANGFOR AC部署模式介紹網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋（舉例）：SANGFOR AC部署模式介紹 旁路模式_簡(jiǎn)介 旁路模式主要用于實(shí)現(xiàn)監(jiān)控功能，完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過(guò)把設(shè)備的監(jiān)聽(tīng)口接在交換機(jī)的鏡像口或者接在HUB上，實(shí)現(xiàn)對(duì)上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對(duì)用戶的網(wǎng)絡(luò)環(huán)境完全沒(méi)有影響，即使宕機(jī)也不會(huì)對(duì)用戶的網(wǎng)絡(luò)造成中斷。 旁路模式是AC三種工作模式中最簡(jiǎn)單但也是功能最弱的一種部署方式，該模式下AC只用于上網(wǎng)行

5、為的審計(jì)和基于TCP應(yīng)用的控制，對(duì)基于UDP協(xié)議的應(yīng)用無(wú)法控制。不支持流量管理、準(zhǔn)入系統(tǒng)、NAT、 VPN、 DHCP等功能。(AC4.0版本旁路模式下支持準(zhǔn)入，需要將內(nèi)網(wǎng)到的流量鏡像給設(shè)備）SANGFOR AC部署模式介紹旁路模式部署環(huán)境（舉例）：典型部署模式與配置路由模式旁路模式網(wǎng)橋模式典型部署模式與配置典型部署模式與配置 路由模式_部署指導(dǎo)首選需要了解用戶的實(shí)際需求，以下幾種情況 必須使用路由模式部署：1、用戶必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個(gè)功能。2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來(lái)部署AC，想把AC當(dāng)作一臺(tái)網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。3、用戶網(wǎng)

6、絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。典型部署模式與配置 路由模式_基本配置思路1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口及地址信息，如果是固定IP，則填寫(xiě)運(yùn)營(yíng)商給的IP地址及網(wǎng)關(guān)；如果是ADSL拔號(hào)上網(wǎng)，則填寫(xiě)運(yùn)營(yíng)商給的拔號(hào)賬號(hào)和密碼；確定內(nèi)網(wǎng)口的IP地址信息；2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、用戶是否需要通過(guò)AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置代理上網(wǎng)規(guī)則，填寫(xiě)需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。典型部署模式與配置需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，現(xiàn)將AC部署在網(wǎng)絡(luò)出口，實(shí)現(xiàn)A

7、C代理內(nèi)網(wǎng)所有用戶上網(wǎng)。路由模式_應(yīng)用舉例配置思路： 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng)典型部署模式與配置路由模式配置步驟定義網(wǎng)絡(luò)接口填寫(xiě)需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下的【NAT代理上網(wǎng)】中添加。配置完成，點(diǎn)擊提交典型部署模式與配置 網(wǎng)橋模式_部署指導(dǎo)1、網(wǎng)橋模式部署相比路由模式對(duì)客戶的網(wǎng)絡(luò)影響較小，當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能，且內(nèi)網(wǎng)已有相應(yīng)的網(wǎng)關(guān)設(shè)備時(shí)，建議使用網(wǎng)橋模式部署。2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口應(yīng)用場(chǎng)景： a.兩條線路分別接FW1和FW2，內(nèi)網(wǎng)接交換機(jī)，設(shè)備在交換機(jī)和防火墻 之間

8、， 網(wǎng)橋模式部署，單進(jìn)雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)核心交換機(jī)和路由器都做雙機(jī)，加入兩臺(tái)設(shè)備，雙進(jìn)單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋應(yīng)用場(chǎng)景: a.設(shè)備一進(jìn)一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境典型部署模式與配置網(wǎng)橋模式-應(yīng)用舉例需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，AC部署在防火墻與交換機(jī)之間，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)控制。配置思路：1、選擇部署模式并配置接口地址。2、配置用戶上網(wǎng)策略（此處略，詳見(jiàn)培訓(xùn)PPT 組織結(jié)構(gòu)與上網(wǎng)策略管理）典型部署模式與配置 網(wǎng)橋模式配置步驟配置完成，點(diǎn)擊提交典型部署模式與配置注意事項(xiàng)：網(wǎng)橋模式部署時(shí)，需要考慮AC所串接的防火墻和交換機(jī)之間的網(wǎng)段是否存在空閑的主機(jī)IP地址，如

9、果有則分配一個(gè)該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒(méi)有，AC的網(wǎng)橋IP可任意配置，同時(shí)將管理口（DMZ口）接到交換機(jī)上并配置管理口地址，設(shè)備上網(wǎng)或者管理員管理設(shè)備均通過(guò)管理口實(shí)現(xiàn)。典型部署模式與配置 旁路模式_部署指導(dǎo)1、旁路模式是所有部署模式中最簡(jiǎn)單的一種，但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過(guò)濾時(shí)，可以考慮此種部署方式，常見(jiàn)于高校、大型國(guó)有企業(yè)專門(mén)用于AC作審計(jì)；2、旁路部署時(shí)一般設(shè)備是接在核心交換機(jī)上，核心交換機(jī)通過(guò)將鏡像功能將需要審計(jì)的流量鏡像過(guò)來(lái)；3、旁路模式部署時(shí)采用管理口（DMZ）配置的IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽(tīng)口

10、，可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽(tīng)口，監(jiān)聽(tīng)口無(wú)需任何配置。典型部署模式與配置 旁路模式部署配置思路1、旁路模式部署時(shí)將AC的監(jiān)聽(tīng)口接在交換機(jī)的鏡像口上，交換機(jī)需要將上下行流量鏡像到AC。2、旁路模式部署時(shí)必須配置管理口IP地址進(jìn)行管理，監(jiān)聽(tīng)口可以接除管理口外的任意網(wǎng)口，可以同時(shí)接多個(gè)監(jiān)聽(tīng)口。3、需要確認(rèn)所有要進(jìn)行審計(jì)的內(nèi)網(wǎng)網(wǎng)段（即監(jiān)控網(wǎng)段）；需要確認(rèn)內(nèi)網(wǎng)是否有服務(wù)器提供訪問(wèn)時(shí)也要進(jìn)行記錄。4、管理口不僅用于管理，還可用于與外置數(shù)據(jù)中心同步、作TCP控制時(shí)發(fā)reset包使用，所以管理口的地址最好不要隨意配置。典型部署模式與配置旁路模式-應(yīng)用舉例需求：用戶網(wǎng)絡(luò)環(huán)境如右圖，AC以旁路模式部署在三

11、層交換機(jī)上，用來(lái)審計(jì)/16這個(gè)網(wǎng)段的用戶上網(wǎng)形為。配置思路：1、選擇部署模式2、配置管理口（DMZ）地址3、配置監(jiān)聽(tīng)網(wǎng)段。典型部署模式與配置 旁路模式配置步驟若設(shè)備需要跟外網(wǎng)通訊，需配置好網(wǎng)關(guān)和DNS填寫(xiě)需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段配置完成點(diǎn)擊提交策略路由和多線路選路功能介紹策略路由和多線路選路介紹應(yīng)用背景：隨著企業(yè)的不斷壯大和發(fā)展，一個(gè)企業(yè)所擁有的互聯(lián)網(wǎng)線路往往不止一條，而每條線路的帶寬又是非常有限的。如何設(shè)置才能夠更合理的利用線路帶寬，提高訪問(wèn)公網(wǎng)的速度呢？解決方案：AC設(shè)備提供兩種技術(shù)-多線路選路和策略路由。多線路選路策略：根據(jù)每條線路的上、下行帶寬進(jìn)行分配或者平均分配帶寬或

12、者優(yōu)先選擇前面的線路等分配策略來(lái)選擇不同的外網(wǎng)線路。策略路由功能：根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進(jìn)行線路選擇，以實(shí)現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的需求。上述兩種功能均能實(shí)現(xiàn)某條外網(wǎng)線路故障，選擇從這條線路出去的流量自動(dòng)切換到其他正常的鏈路。如果線路恢復(fù)，則自動(dòng)切換回來(lái)。策略路由應(yīng)用舉例某用戶網(wǎng)絡(luò)拓?fù)淙缱髨D，AC雙線路部署在網(wǎng)絡(luò)出口，內(nèi)網(wǎng)用戶需要訪問(wèn)公網(wǎng)的網(wǎng)上銀行，地址是2，網(wǎng)上銀行服務(wù)器會(huì)校驗(yàn)源IP地址，如果同一連接中的源IP發(fā)生了改變，網(wǎng)上銀行會(huì)斷開(kāi)連接，導(dǎo)致無(wú)法訪問(wèn)。解決辦法：設(shè)置一條策略路由，指定訪問(wèn)到這個(gè)目標(biāo)地址的數(shù)據(jù)固定走線路一。策略路由

13、應(yīng)用舉例配置步驟：1. 首先設(shè)置網(wǎng)絡(luò)接口及代理上網(wǎng)（詳見(jiàn)防火墻 功能培訓(xùn) PPT，此處不再贅述）2.配置策略路由，在 網(wǎng)絡(luò)配置策略路由中，點(diǎn)擊新增，如下圖：源地址即訪問(wèn)網(wǎng)上銀行的地址，這里是內(nèi)網(wǎng)所有用戶，可以選擇所有IP配置完成，配置生效后，內(nèi)網(wǎng)所有用戶訪問(wèn)2這個(gè)地址時(shí)，均走線路1出去，只有當(dāng)線路1故障時(shí)，才會(huì)走線路2。多線路選路應(yīng)用舉例如圖，某用戶有兩條公網(wǎng)線路，為了提高上網(wǎng)速度，想要實(shí)現(xiàn)內(nèi)網(wǎng)用戶上網(wǎng)時(shí)，走剩余上行帶寬最多的線路出去。解決方法：配置多線路選路策略，選擇“按每條線路的剩余上行帶寬優(yōu)先選擇線路”多線路選路應(yīng)用舉例配置步驟：1、首先配網(wǎng)絡(luò)接口及代

14、理上網(wǎng)（詳見(jiàn)防火墻 功能培訓(xùn) PPT，此處不再贅述）2、配置多線路選路策略，在【網(wǎng)絡(luò)配置】【策略路由】下，點(diǎn)擊“外網(wǎng)線路分配策略”， 如下圖：多線路選路和策略路由功能注意事項(xiàng)1. 多線路選路和策略路由功能只在路由模式下有效。2. 需要使用外網(wǎng)多線路，在序列號(hào)中至少開(kāi)啟2條外網(wǎng)線路的授權(quán)。防DOS攻擊功能介紹防DOS攻擊功能簡(jiǎn)介及配置 防DOS攻擊功能介紹1、防DOS攻擊即設(shè)備對(duì)于DOS攻擊的防護(hù)，通過(guò)設(shè)備能夠阻止此類攻擊，不僅能夠阻止對(duì)設(shè)備本身的攻擊、也可以阻止內(nèi)網(wǎng)某些PC對(duì)外網(wǎng)發(fā)起的攻擊。2、DOS攻擊常見(jiàn)類型有：?jiǎn)蝹€(gè)主機(jī)IP對(duì)某個(gè)目標(biāo)IP發(fā)起大量的TCP連接握手、單個(gè)IP對(duì)某個(gè)目標(biāo)IP發(fā)送

15、大量的小包。3、防DOS攻擊配置建議：如果客戶對(duì)安全方面有要求的話可以啟用，但需要謹(jǐn)慎配置；如果客戶網(wǎng)絡(luò)中已有安全防護(hù)設(shè)備，則不建議在設(shè)備上再啟用該功能。 防DOS攻擊功能簡(jiǎn)介及配置防DOS攻擊配置1、內(nèi)網(wǎng)網(wǎng)段要么留空，要配置則必須將內(nèi)網(wǎng)所有網(wǎng)段填寫(xiě)完整，否則少填的網(wǎng)段將會(huì)被設(shè)備認(rèn)為是DOS攻擊，從而阻止其與外網(wǎng)通訊。2、如果內(nèi)網(wǎng)是三層交換機(jī)多網(wǎng)段環(huán)境，則左圖中紅色框選項(xiàng)一定不能勾選，如果內(nèi)網(wǎng)是二層交換機(jī)單網(wǎng)段環(huán)境，可以勾選此項(xiàng)，不勾選也不會(huì)產(chǎn)生影響。3、下面三個(gè)參數(shù)建議使用默認(rèn)配置即可。如果內(nèi)網(wǎng)用戶使用電驢、迅雷等下載軟件，可適當(dāng)增大“最大TCP連接數(shù)”和“最大攻擊包次數(shù)”，避免出現(xiàn)誤判。練練手情景1客戶原有網(wǎng)絡(luò)如右圖，在出口位置部署了一臺(tái)防火墻，下接三層交換機(jī)，現(xiàn)在購(gòu)買了一臺(tái)AC，客戶需要實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁(yè)過(guò)濾等功能，請(qǐng)問(wèn)根據(jù)這樣的需求，在對(duì)原有的環(huán)境改動(dòng)最小的情況 下AC應(yīng)該如何部署？請(qǐng)根據(jù)左邊拓?fù)鋱D手動(dòng)配置一下，完成設(shè)備部署。練練手情景2客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的原因，客戶想購(gòu)買一臺(tái)AC替換掉原有防火墻，請(qǐng)根據(jù)圖示拓?fù)湫畔?dòng)手配置一下，完成設(shè)備部署。練練手情景3某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對(duì)內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計(jì)和內(nèi)網(wǎng)用戶上網(wǎng)時(shí)的URL過(guò)濾，并且要求對(duì)WEB SERVER的訪問(wèn)進(jìn)行記錄，請(qǐng)根據(jù)客戶的實(shí)際網(wǎng)絡(luò)討論以哪種部署方式最