深信服上网行为管理设备部署培训PPT

1、SANGFOR AC设备部署 培训内容培训目标 AC部署模式介绍 1. 掌握AC支持的部署模式 2. 掌握AC各种模式的适用环境和支持的功能。 策略路由和多线路选 路介绍 1.掌握策略路由和多线路选路的应用场景 2.掌握策略路由和多线路选路的实现原理和配置步骤 防DOS攻击功能介绍 及配置 1.掌握防DOS攻击的作用及配置 AC/SG部署模式介绍 SANGFOR AC部署模式介绍 部署模式_简介 部署模式是指设备以什么样的工作模式部署到客户网络中去，不 同的部署模式对客户原有网络的影响各有不同；设备在不同模式下支 持的功能也各不一样，设备以何种方式部署需要综合用户具体的网络 环境和功能需求而定

2、。 根据工作方式的不同，AC设备支持路由、网桥、旁路三种部署模式。 SANGFOR AC部署模式介绍 路由模式_简介 设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的 路由转发及NAT功能。一般在客户还没有相应的网关设备，需要将 AC做网关使用时，建议以路由模式部署。 路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署， 其它工作模式不支持实现这些功能。 SANGFOR AC部署模式介绍 路由模式部署环境（举例）： SANGFOR AC部署模式介绍 网桥模式_简介 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部 署AC

3、时，对客户来说AC就是个透明的设备，如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。 网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、 DHCP功能，除此之外AC的其它功能如URL过滤、流控等均可实现。 网桥模式部署时AC支持硬件bypass功能（其它模式部署均没有硬件 bypass)。 SANGFOR AC部署模式介绍 网桥模式_2种类型 1、网桥多网口：网桥多网口是指设备只做一个网桥，但内外网口不是一一对应 的，可能内网口需要接多个网口，也可能外网口需要接多个网口，各个网口 之间的数据都可以设置转发，设备的ARP表只维持一份。 2、多网

4、桥：多网桥是指一台设备可以做多个网桥，相当于多个交换机，和网桥 多网口的区别是：设备的ARP表维持多份；内外网口是一一对应的；网口属 于同一个网桥才能进行数据转发，不同网桥接口之间的数据不能转发。 SANGFOR AC部署模式介绍 网桥模式部署环境-网桥多网口（举例）： SANGFOR AC部署模式介绍 网桥模式部署环境-多网桥（举例）： SANGFOR AC部署模式介绍 旁路模式_简介 旁路模式主要用于实现监控功能，完全不需要改变用户的网络环境，通过把 设备的监听口接在交换机的镜像口或者接在HUB上，实现对上网数据的监控。 这种模式对用户的网络环境完全没有影响，即使宕机也不会对用户的网络造

5、成中断。 旁路模式是AC三种工作模式中最简单但也是功能最弱的一种部署方式，该模 式下AC只用于上网行为的审计和基于TCP应用的控制，对基于UDP协议的应 用无法控制。不支持流量管理、准入系统、NAT、 VPN、 DHCP等功能。 (AC4.0版本旁路模式下支持准入，需要将内网到的流量镜像给设备） SANGFOR AC部署模式介绍 旁路模式部署环境（举例）： 典型部署模式与配置 路由 模式 旁路 模式 网桥 模式 典型部署模式与配置 典型部署模式与配置 路由模式_部署指导 首选需要了解用户的实际需求，以下几种情况 必须使用路由模式部署： 1、用户必须要用到AC的VPN、NAT（代理

6、上网和端口映射）、DHCP这 几个功能。 2、用户在新规划建设的网络中来部署AC，想把AC当作一台网关设备部 署在网络出口处。 3、用户网络中已有防火墙或者路由器了，但出于某方面的原因想用AC 替换掉原有的防火墙或者路由器并代理内网用户上网。 典型部署模式与配置 路由模式_基本配置思路 1、网口配置：确定设备外网口及地址信息，如果是固定IP，则填写运营商给 的IP地址及网关；如果是ADSL拔号上网，则填写运营商给的拔号账号和密码； 确定内网口的IP地址信息； 2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由， 将到内网各网段的数据回指给设备下接的三层设备。 3、用户是否需要通

7、过AC设备上网，如果是的话，需要设置代理上网规则，填 写需要代理上网的内网网段。 典型部署模式与配置 需求：某用户网络环境如右图， 现将AC部署在网络出口，实现 AC代理内网所有用户上网。 路由模式_应用举例 配置思路： 1.选择部署模式并配置内/外网口 2.配置代理上网 典型部署模式与配置 路由模式配置步骤 定义网络接口 填写需要代理上网的网 段。此处配置也可以在 【防火墙】下的【NAT 代理上网】中添加。 配置完成， 点击提交 典型部署模式与配置 网桥模式_部署指导 1、网桥模式部署相比路由模式对客户的网络影响较小，当客户确定不需要使用AC的 VPN、NAT、DHCP功能，且内网已有相应的

8、网关设备时，建议使用网桥模式部署。 2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。 网桥多网口应用场景： a.两条线路分别接FW1和FW2，内网接交换机，设备在交换机和防火墙 之间， 网桥 模式部署，单进双出做网桥多网口。 b.内网核心交换机和路由器都做双机，加入两台设备，双进单出做网桥多网口。 多网桥应用场景: a.设备一进一出做单网桥 b.客户内网有VRRP或HSRP环境 典型部署模式与配置 网桥模式-应用举例 需求：某用户网络环境如右图，AC部署 在防火墙与交换机之间，实现对内网用 户的上网控制。 配置思路： 1、选择部署模式并配置接口地址。 2、配置用户上网策略（此处略，

9、详见培 训PPT 组织结构与上网策略管理） 典型部署模式与配置 网桥模式配置步骤 配置完成， 点击提交 典型部署模式与配置 注意事项： 网桥模式部署时，需要考虑AC所串接的防火墙和交换机之间的网段 是否存在空闲的主机IP地址，如果有则分配一个该网段的IP地址给AC 作为网桥的IP地址，如果没有，AC的网桥IP可任意配置，同时将管理 口（DMZ口）接到交换机上并配置管理口地址，设备上网或者管理员 管理设备均通过管理口实现。 典型部署模式与配置 旁路模式_部署指导 1、旁路模式是所有部署模式中最简单的一种，但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时，可以考

10、虑此种 部署方式，常见于高校、大型国有企业专门用于AC作审计； 2、旁路部署时一般设备是接在核心交换机上，核心交换机通过将镜像功能将需 要审计的流量镜像过来； 3、旁路模式部署时采用管理口（DMZ）配置的IP地址进行管理，其它所有接口 均可作为监听口，可使用一个口或者是多个口同时作为监听口，监听口无需 任何配置。 典型部署模式与配置 旁路模式部署配置思路 1、旁路模式部署时将AC的监听口接在交换机的镜像口上，交换机需要将上 下行流量镜像到AC。 2、旁路模式部署时必须配置管理口IP地址进行管理，监听口可以接除管理口 外的任意网口，可以同时接多个监听口。 3、需要确认所有要进行审计的内网网段（即

11、监控网段）；需要确认内网是否 有服务器提供访问时也要进行记录。 4、管理口不仅用于管理，还可用于与外置数据中心同步、作TCP控制时发 reset包使用，所以管理口的地址最好不要随意配置。 典型部署模式与配置 旁路模式-应用举例 需求：用户网络环境如右图，AC 以旁路模式部署在三层交换机上， 用来审计/16这个网段的 用户上网形为。 配置思路： 1、选择部署模式 2、配置管理口（DMZ）地址 3、配置监听网段。 典型部署模式与配置 旁路模式配置步骤 若设备需要跟外网 通讯，需配置好网 关和DNS 填写需要审计 的内网网段 配置完成 点击提交 策略路由和多线路选路功能介绍 策

12、略路由和多线路选路介绍 应用背景：随着企业的不断壮大和发展，一个企业所拥有的互联网线路往往不止一 条，而每条线路的带宽又是非常有限的。如何设置才能够更合理的利用线路带宽， 提高访问公网的速度呢？ 解决方案：AC设备提供两种技术-多线路选路和策略路由。 多线路选路策略：根据每条线路的上、下行带宽进行分配或者平均分配带宽或者优 先选择前面的线路等分配策略来选择不同的外网线路。 策略路由功能：根据源/目的IP、源/目的端口、协议等条件进行线路选择，以实现 不同的数据走不同的外网线路的需求。 上述两种功能均能实现某条外网线路故障，选择从这条线路出去的流量自动切换到 其他正常的链路。如果线路恢复，则自动

13、切换回来。 策略路由应用举例 某用户网络拓扑如左图，AC双线路 部署在网络出口，内网用户需要访 问公网的网上银行，地址是 2，网上银行服务 器会校验源IP地址，如果同一连接 中的源IP发生了改变，网上银行会 断开连接，导致无法访问。 解决办法：设置一条策略路由，指 定访问到这个目标地址的数据固定 走线路一。 策略路由应用举例 配置步骤： 1. 首先设置网络接口及代理上网（详见防火墙 功能培训 PPT，此处不再赘述） 2.配置策略路由，在 网络配置策略路由中，点击新增，如下图： 源地址即访问网上银行 的地址，这里是内网所 有用户，可以选择所有IP 配置完成，配

14、置生效后，内网所有用户访问 2这个地址时，均走线路1出 去，只有当线路1故障时，才会走线路2。 多线路选路应用举例 如图，某用户有两条公网线路，为了 提高上网速度，想要实现内网用户上 网时，走剩余上行带宽最多的线路出 去。 解决方法：配置多线路选路策略，选 择“按每条线路的剩余上行带宽优先 选择线路” 多线路选路应用举例 配置步骤： 1、首先配网络接口及代理上网（详见防火墙 功能培训 PPT，此处不再赘述） 2、配置多线路选路策略，在【网络配置】【策略路由】下，点击“外网线路分配策 略”， 如下图： 多线路选路和策略路由功能注意事项 1. 多线路选路和策略路

15、由功能只在路由模式下有效。 2. 需要使用外网多线路，在序列号中至少开启2条外网线路 的授权。 防DOS攻击功能介绍 防DOS攻击功能简介及配置 防DOS攻击功能介绍 1、防DOS攻击即设备对于DOS攻击的防护，通过设备能够阻止此类攻击， 不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起 的攻击。 2、DOS攻击常见类型有：单个主机IP对某个目标IP发起大量的TCP连接 握手、单个IP对某个目标IP发送大量的小包。 3、防DOS攻击配置建议：如果客户对安全方面有要求的话可以启用，但 需要谨慎配置；如果客户网络中已有安全防护设备，则不建议在设备 上再启用该功能。 防DOS攻击功能简

16、介及配置 防DOS攻击配置 1、内网网段要么留空，要配置则必须将 内网所有网段填写完整，否则少填的网段 将会被设备认为是DOS攻击，从而阻止其 与外网通讯。 2、如果内网是三层交换机多网段环境， 则左图中红色框选项一定不能勾选，如果 内网是二层交换机单网段环境，可以勾选 此项，不勾选也不会产生影响。 3、下面三个参数建议使用默认配置即可。 如果内网用户使用电驴、迅雷等下载软件， 可适当增大“最大TCP连接数”和“最大 攻击包次数”，避免出现误判。 练练手 情景1 客户原有网络如右图，在出口位置部 署了一台防火墙，下接三层交换机， 现在购买了一台AC，客户需要实现流 控、审计、网页过滤等功能，请问根 据这样的需求，在对原有的环境改动 最小的情况 下AC应该如何部署？ 请根据左边拓扑图手动配置一下，完 成设备部署。 练练手 情景2 客户原有网络拓扑如右图所示，由于 某方面的原因，客户想购买一台AC替 换掉原有防火墙，请根据图示拓扑信 息动手配置一下，完成设备部署。 练练手 情景3 某大型集团公司网络拓扑如右图所示， 客户主要需求是对内网上网行为进行 审计和内网用户上网时的URL过滤， 并且要求对WEB SERVER的访问进行 记录，请根据客户的实际网络讨论以 哪种部署方式最适合该客