深信服上網(wǎng)行為管理設(shè)備部署培訓(xùn)PPT

1、SANGFOR AC設(shè)備部署 培訓(xùn)內(nèi)容培訓(xùn)目標(biāo) AC部署模式介紹 1. 掌握AC支持的部署模式 2. 掌握AC各種模式的適用環(huán)境和支持的功能。 策略路由和多線路選 路介紹 1.掌握策略路由和多線路選路的應(yīng)用場景 2.掌握策略路由和多線路選路的實現(xiàn)原理和配置步驟 防DOS攻擊功能介紹 及配置 1.掌握防DOS攻擊的作用及配置 AC/SG部署模式介紹 SANGFOR AC部署模式介紹 部署模式_簡介 部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不 同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支 持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò) 環(huán)境和功能需求而定

2、。 根據(jù)工作方式的不同，AC設(shè)備支持路由、網(wǎng)橋、旁路三種部署模式。 SANGFOR AC部署模式介紹 路由模式_簡介 設(shè)備以路由模式部署時，AC的工作方式與路由器相當(dāng)，具備基本的 路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備，需要將 AC做網(wǎng)關(guān)使用時，建議以路由模式部署。 路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能時，AC必須以路由模式部署， 其它工作模式不支持實現(xiàn)這些功能。 SANGFOR AC部署模式介紹 路由模式部署環(huán)境（舉例）： SANGFOR AC部署模式介紹 網(wǎng)橋模式_簡介 設(shè)備以網(wǎng)橋模式部署時對客戶原有的網(wǎng)絡(luò)基本沒有改動。網(wǎng)橋模式部 署AC

3、時，對客戶來說AC就是個透明的設(shè)備，如果因為AC自身的原因 而導(dǎo)致網(wǎng)絡(luò)中斷時可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。 網(wǎng)橋模式部署時AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、 DHCP功能，除此之外AC的其它功能如URL過濾、流控等均可實現(xiàn)。 網(wǎng)橋模式部署時AC支持硬件bypass功能（其它模式部署均沒有硬件 bypass)。 SANGFOR AC部署模式介紹 網(wǎng)橋模式_2種類型 1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個網(wǎng)橋，但內(nèi)外網(wǎng)口不是一一對應(yīng) 的，可能內(nèi)網(wǎng)口需要接多個網(wǎng)口，也可能外網(wǎng)口需要接多個網(wǎng)口，各個網(wǎng)口 之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā)，設(shè)備的ARP表只維持一份。 2、多網(wǎng)

4、橋：多網(wǎng)橋是指一臺設(shè)備可以做多個網(wǎng)橋，相當(dāng)于多個交換機，和網(wǎng)橋 多網(wǎng)口的區(qū)別是：設(shè)備的ARP表維持多份；內(nèi)外網(wǎng)口是一一對應(yīng)的；網(wǎng)口屬 于同一個網(wǎng)橋才能進行數(shù)據(jù)轉(zhuǎn)發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。 SANGFOR AC部署模式介紹 網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口（舉例）： SANGFOR AC部署模式介紹 網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋（舉例）： SANGFOR AC部署模式介紹 旁路模式_簡介 旁路模式主要用于實現(xiàn)監(jiān)控功能，完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過把 設(shè)備的監(jiān)聽口接在交換機的鏡像口或者接在HUB上，實現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控。 這種模式對用戶的網(wǎng)絡(luò)環(huán)境完全沒有影響，即使宕機也不會對用戶的網(wǎng)絡(luò)造

5、成中斷。 旁路模式是AC三種工作模式中最簡單但也是功能最弱的一種部署方式，該模 式下AC只用于上網(wǎng)行為的審計和基于TCP應(yīng)用的控制，對基于UDP協(xié)議的應(yīng) 用無法控制。不支持流量管理、準(zhǔn)入系統(tǒng)、NAT、 VPN、 DHCP等功能。 (AC4.0版本旁路模式下支持準(zhǔn)入，需要將內(nèi)網(wǎng)到的流量鏡像給設(shè)備） SANGFOR AC部署模式介紹 旁路模式部署環(huán)境（舉例）： 典型部署模式與配置 路由 模式 旁路 模式 網(wǎng)橋 模式 典型部署模式與配置 典型部署模式與配置 路由模式_部署指導(dǎo) 首選需要了解用戶的實際需求，以下幾種情況 必須使用路由模式部署： 1、用戶必須要用到AC的VPN、NAT（代理

6、上網(wǎng)和端口映射）、DHCP這 幾個功能。 2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，想把AC當(dāng)作一臺網(wǎng)關(guān)設(shè)備部 署在網(wǎng)絡(luò)出口處。 3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC 替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。 典型部署模式與配置 路由模式_基本配置思路 1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口及地址信息，如果是固定IP，則填寫運營商給 的IP地址及網(wǎng)關(guān)；如果是ADSL拔號上網(wǎng)，則填寫運營商給的拔號賬號和密碼； 確定內(nèi)網(wǎng)口的IP地址信息； 2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由， 將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。 3、用戶是否需要通

7、過AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置代理上網(wǎng)規(guī)則，填 寫需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。 典型部署模式與配置 需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖， 現(xiàn)將AC部署在網(wǎng)絡(luò)出口，實現(xiàn) AC代理內(nèi)網(wǎng)所有用戶上網(wǎng)。 路由模式_應(yīng)用舉例 配置思路： 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng) 典型部署模式與配置 路由模式配置步驟 定義網(wǎng)絡(luò)接口 填寫需要代理上網(wǎng)的網(wǎng) 段。此處配置也可以在 【防火墻】下的【NAT 代理上網(wǎng)】中添加。 配置完成， 點擊提交 典型部署模式與配置 網(wǎng)橋模式_部署指導(dǎo) 1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響較小，當(dāng)客戶確定不需要使用AC的 VPN、NAT、DHCP功能，且內(nèi)網(wǎng)已有相應(yīng)的

8、網(wǎng)關(guān)設(shè)備時，建議使用網(wǎng)橋模式部署。 2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口應(yīng)用場景： a.兩條線路分別接FW1和FW2，內(nèi)網(wǎng)接交換機，設(shè)備在交換機和防火墻 之間， 網(wǎng)橋 模式部署，單進雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)核心交換機和路由器都做雙機，加入兩臺設(shè)備，雙進單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋應(yīng)用場景: a.設(shè)備一進一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境 典型部署模式與配置 網(wǎng)橋模式-應(yīng)用舉例 需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，AC部署 在防火墻與交換機之間，實現(xiàn)對內(nèi)網(wǎng)用 戶的上網(wǎng)控制。 配置思路： 1、選擇部署模式并配置接口地址。 2、配置用戶上網(wǎng)策略（此處略，

9、詳見培 訓(xùn)PPT 組織結(jié)構(gòu)與上網(wǎng)策略管理） 典型部署模式與配置 網(wǎng)橋模式配置步驟 配置完成， 點擊提交 典型部署模式與配置 注意事項： 網(wǎng)橋模式部署時，需要考慮AC所串接的防火墻和交換機之間的網(wǎng)段 是否存在空閑的主機IP地址，如果有則分配一個該網(wǎng)段的IP地址給AC 作為網(wǎng)橋的IP地址，如果沒有，AC的網(wǎng)橋IP可任意配置，同時將管理 口（DMZ口）接到交換機上并配置管理口地址，設(shè)備上網(wǎng)或者管理員 管理設(shè)備均通過管理口實現(xiàn)。 典型部署模式與配置 旁路模式_部署指導(dǎo) 1、旁路模式是所有部署模式中最簡單的一種，但也是功能實現(xiàn)較弱的一種部署 方式。當(dāng)客戶的需求只是上網(wǎng)審計和基于TCP的應(yīng)用過濾時，可以考

10、慮此種 部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計； 2、旁路部署時一般設(shè)備是接在核心交換機上，核心交換機通過將鏡像功能將需 要審計的流量鏡像過來； 3、旁路模式部署時采用管理口（DMZ）配置的IP地址進行管理，其它所有接口 均可作為監(jiān)聽口，可使用一個口或者是多個口同時作為監(jiān)聽口，監(jiān)聽口無需 任何配置。 典型部署模式與配置 旁路模式部署配置思路 1、旁路模式部署時將AC的監(jiān)聽口接在交換機的鏡像口上，交換機需要將上 下行流量鏡像到AC。 2、旁路模式部署時必須配置管理口IP地址進行管理，監(jiān)聽口可以接除管理口 外的任意網(wǎng)口，可以同時接多個監(jiān)聽口。 3、需要確認所有要進行審計的內(nèi)網(wǎng)網(wǎng)段（即

11、監(jiān)控網(wǎng)段）；需要確認內(nèi)網(wǎng)是否 有服務(wù)器提供訪問時也要進行記錄。 4、管理口不僅用于管理，還可用于與外置數(shù)據(jù)中心同步、作TCP控制時發(fā) reset包使用，所以管理口的地址最好不要隨意配置。 典型部署模式與配置 旁路模式-應(yīng)用舉例 需求：用戶網(wǎng)絡(luò)環(huán)境如右圖，AC 以旁路模式部署在三層交換機上， 用來審計/16這個網(wǎng)段的 用戶上網(wǎng)形為。 配置思路： 1、選擇部署模式 2、配置管理口（DMZ）地址 3、配置監(jiān)聽網(wǎng)段。 典型部署模式與配置 旁路模式配置步驟 若設(shè)備需要跟外網(wǎng) 通訊，需配置好網(wǎng) 關(guān)和DNS 填寫需要審計 的內(nèi)網(wǎng)網(wǎng)段 配置完成 點擊提交 策略路由和多線路選路功能介紹 策

12、略路由和多線路選路介紹 應(yīng)用背景：隨著企業(yè)的不斷壯大和發(fā)展，一個企業(yè)所擁有的互聯(lián)網(wǎng)線路往往不止一 條，而每條線路的帶寬又是非常有限的。如何設(shè)置才能夠更合理的利用線路帶寬， 提高訪問公網(wǎng)的速度呢？ 解決方案：AC設(shè)備提供兩種技術(shù)-多線路選路和策略路由。 多線路選路策略：根據(jù)每條線路的上、下行帶寬進行分配或者平均分配帶寬或者優(yōu) 先選擇前面的線路等分配策略來選擇不同的外網(wǎng)線路。 策略路由功能：根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進行線路選擇，以實現(xiàn) 不同的數(shù)據(jù)走不同的外網(wǎng)線路的需求。 上述兩種功能均能實現(xiàn)某條外網(wǎng)線路故障，選擇從這條線路出去的流量自動切換到 其他正常的鏈路。如果線路恢復(fù)，則自動

13、切換回來。 策略路由應(yīng)用舉例 某用戶網(wǎng)絡(luò)拓撲如左圖，AC雙線路 部署在網(wǎng)絡(luò)出口，內(nèi)網(wǎng)用戶需要訪 問公網(wǎng)的網(wǎng)上銀行，地址是 2，網(wǎng)上銀行服務(wù) 器會校驗源IP地址，如果同一連接 中的源IP發(fā)生了改變，網(wǎng)上銀行會 斷開連接，導(dǎo)致無法訪問。 解決辦法：設(shè)置一條策略路由，指 定訪問到這個目標(biāo)地址的數(shù)據(jù)固定 走線路一。 策略路由應(yīng)用舉例 配置步驟： 1. 首先設(shè)置網(wǎng)絡(luò)接口及代理上網(wǎng)（詳見防火墻 功能培訓(xùn) PPT，此處不再贅述） 2.配置策略路由，在 網(wǎng)絡(luò)配置策略路由中，點擊新增，如下圖： 源地址即訪問網(wǎng)上銀行 的地址，這里是內(nèi)網(wǎng)所 有用戶，可以選擇所有IP 配置完成，配

14、置生效后，內(nèi)網(wǎng)所有用戶訪問 2這個地址時，均走線路1出 去，只有當(dāng)線路1故障時，才會走線路2。 多線路選路應(yīng)用舉例 如圖，某用戶有兩條公網(wǎng)線路，為了 提高上網(wǎng)速度，想要實現(xiàn)內(nèi)網(wǎng)用戶上 網(wǎng)時，走剩余上行帶寬最多的線路出 去。 解決方法：配置多線路選路策略，選 擇“按每條線路的剩余上行帶寬優(yōu)先 選擇線路” 多線路選路應(yīng)用舉例 配置步驟： 1、首先配網(wǎng)絡(luò)接口及代理上網(wǎng)（詳見防火墻 功能培訓(xùn) PPT，此處不再贅述） 2、配置多線路選路策略，在【網(wǎng)絡(luò)配置】【策略路由】下，點擊“外網(wǎng)線路分配策 略”， 如下圖： 多線路選路和策略路由功能注意事項 1. 多線路選路和策略路

15、由功能只在路由模式下有效。 2. 需要使用外網(wǎng)多線路，在序列號中至少開啟2條外網(wǎng)線路 的授權(quán)。 防DOS攻擊功能介紹 防DOS攻擊功能簡介及配置 防DOS攻擊功能介紹 1、防DOS攻擊即設(shè)備對于DOS攻擊的防護，通過設(shè)備能夠阻止此類攻擊， 不僅能夠阻止對設(shè)備本身的攻擊、也可以阻止內(nèi)網(wǎng)某些PC對外網(wǎng)發(fā)起 的攻擊。 2、DOS攻擊常見類型有：單個主機IP對某個目標(biāo)IP發(fā)起大量的TCP連接 握手、單個IP對某個目標(biāo)IP發(fā)送大量的小包。 3、防DOS攻擊配置建議：如果客戶對安全方面有要求的話可以啟用，但 需要謹慎配置；如果客戶網(wǎng)絡(luò)中已有安全防護設(shè)備，則不建議在設(shè)備 上再啟用該功能。 防DOS攻擊功能簡

16、介及配置 防DOS攻擊配置 1、內(nèi)網(wǎng)網(wǎng)段要么留空，要配置則必須將 內(nèi)網(wǎng)所有網(wǎng)段填寫完整，否則少填的網(wǎng)段 將會被設(shè)備認為是DOS攻擊，從而阻止其 與外網(wǎng)通訊。 2、如果內(nèi)網(wǎng)是三層交換機多網(wǎng)段環(huán)境， 則左圖中紅色框選項一定不能勾選，如果 內(nèi)網(wǎng)是二層交換機單網(wǎng)段環(huán)境，可以勾選 此項，不勾選也不會產(chǎn)生影響。 3、下面三個參數(shù)建議使用默認配置即可。 如果內(nèi)網(wǎng)用戶使用電驢、迅雷等下載軟件， 可適當(dāng)增大“最大TCP連接數(shù)”和“最大 攻擊包次數(shù)”，避免出現(xiàn)誤判。 練練手 情景1 客戶原有網(wǎng)絡(luò)如右圖，在出口位置部 署了一臺防火墻，下接三層交換機， 現(xiàn)在購買了一臺AC，客戶需要實現(xiàn)流 控、審計、網(wǎng)頁過濾等功能，請問根 據(jù)這樣的需求，在對原有的環(huán)境改動 最小的情況 下AC應(yīng)該如何部署？ 請根據(jù)左邊拓撲圖手動配置一下，完 成設(shè)備部署。 練練手 情景2 客戶原有網(wǎng)絡(luò)拓撲如右圖所示，由于 某方面的原因，客戶想購買一臺AC替 換掉原有防火墻，請根據(jù)圖示拓撲信 息動手配置一下，完成設(shè)備部署。 練練手 情景3 某大型集團公司網(wǎng)絡(luò)拓撲如右圖所示， 客戶主要需求是對內(nèi)網(wǎng)上網(wǎng)行為進行 審計和內(nèi)網(wǎng)用戶上網(wǎng)時的URL過濾， 并且要求對WEB SERVER的訪問進行 記錄，請根據(jù)客戶的實際網(wǎng)絡(luò)討論以 哪種部署方式最適合該客