a02-交付深信服上网行为管理实施方案

1■ 第1 前 文档目 需求说 第2 实施规 设备实施前拓 实施后拓 设备IP规 策略规 第3 实施前准 上线前准 客户准 深信服准 分工界 第4 线下配 登录设 设备上 效果展 第5 功能实 目 配置方 效果展 目 配置方 效果展 目 配置方 效果展 目 配置方 效果展 目 配置方 效果展 第6 第7 回退方 第1章前xxAC1x00上网行为理（下称A）的部需要不动现网设备配置即使AC断电也能上AC有线和无线用户上网统一管理，实现规范上网行为、提高工作效率，防泄密，流量管控及上网审AD企业主要需求是办公电脑改IP，规范员工上网行为、提高工作效率，防泄密，流量管控企业网络管理员要解决办公区上网，会议室等公众场所上网，服务器区上网及外来用户上网的需求。通常办公区上网不能任意更改IP地址，其它场所（如会议室等公众场所上网和外来用IP。企业除了、企管办之外，所有员工上班时间做与工作无关的事情，如浏览购物企业研发设计部门，财务部门一切外发。部分企业对非办公终端接入管控也有要求，防止终端接入带来泄密风险。 企业对于上网审计的需求有两个原因，部门明文要求互联网场所需要有互联网审计IT第2章实施规设备1企业现网为三层环境，在交换机上根据不同的组织部门划分了不同的地址段，内网主要有办公区，服务器区，会议室等公共场所及外来用户接入上网场景。同时部署了有线和无线网，有线网提供给办公区，会议室等公众区域及服务器区上网，无线网提供给外来用户上网。办公IPIP是DHCPAC单网桥部署在和交换机之间，设备口接，内网口接交换机，有线网设备IP规（eth0-网桥模无企业网络管理员要解决办公区上网，会议室等公众场所上网，服务器区上网及外来用户上网的需求。署AC后不同的上网证方如：IP，ACIPMACPCIPMACIPAC非工作相关的行为。AC员工上班时做与工作无关的事情，如浏览购物、炒AC研发和财务部门一切外发，如文件上传、邮件上传、上传、ftp上传、网盘上传、IMAC为重要应用，如服务器业务，等常规应用优先提供带宽保证；对组所有业务提供保证；对，等p2p应用进行带宽限制，且带宽足够空闲时，允许突破限制，充企业对上网日志审计的需求主要是因为部门明文要求及出现事故后能够事后追踪；中小企业由于人数不多，对日志也没有长期保存的需求，所以通常情况无需使用外置日志中心，深信服负责实施的现场工程师将与客户项目接口人、相关对本次上线实施方案进行第3章实施前深信服负责实施的现场工程师将与客户项目接口人、相关，确认本项目的需求、实施时设备IP规可以互联内网IP地址网段规划，确认使用的网段ACIPMAC地址绑定，以实现员工不能改IP的需求。三层环境下，AC是从交换机上获取MACSNMP协议。设备上线前根据《A03-深信服上网行为管理-设备检查表实施 配置上线AC第4章设备部署上为尽可能减少断网时间，需要下完成设备基本配置，设备基本配置包括设备登录、网桥SNMP设备出厂时eth0口地址为51，电脑通过交叉线直连设备eth0口，电脑IP配置为段的地址，浏览器登录，设备出厂时控制台管理员帐号为admin，为admin，如下图：定义LAN区接口和WAN配置桥地址（桥地址是在2.4章节设备IP规划中，由客户分配的可用地址，点击【下一IP，配置设备网关，DNS（DNS2.4IP址，在此环境中，设备网关地址应该是前置内网口的地址，同时选择“自动放行规eth0口，其它eth2downeth0downeth01。方法2：eth2口也接上网线，电脑接eth0口，配置和桥地址同网段的IP，通过桥地址登录设备，注意，eth0eth2vlan静态路由配置如下，根据2.1章节准备工作，和客户确认内网有哪些地址段，及静态路由的IP/mac52设备先上架，下图中“自动录入用户到本地组织结构”和“自动录入绑定关系”确保不能勾选，设备wan口（即eth2口）接前置，设备lan口（即eth0口）接下面交换机通过设备上网的用户可以正常上网，且【系统管理】->【实时状态】->【用户管理】首页【系统管理】->【实时状态】->【运行状态】中“应用流量”可以看到具体应用第5章功能实此场景所使不需要证，办区C时定P和MC，止员改P址导致管理；组，会议室等公众场所及外来不绑定地址，不需要认证直接上网的配置方法及效果。MACSNMP协议配置及认证策略配置，通过方案确认，已了解到客户实际的组织部门及不同部门的需求，企业通常组，市场部，财务，研发，采购，售后，服务组，T部，会议室外来。在C上按织部至此，根据客户实际情况，已建立用户组。通过前期方案确认，已了解到使用的IP地址段，在AC上根据不同的IP认证策略，从而实现根据IP识别不同部门的用户，实现用户按不同的组织结构管理；因为此场景是三层环境，且需要对办公区PC同时进行IPMAC地址绑snmpMACSNMP协跨三层MACIPAC的源MACMACPCMACsnmparpMAC，如下图。【IP地址：填写AC设备可以的三层交换机的地址，一般是PC网关设备【IPOID】:IPOID【MACOIDMACOIDarpIPOID和MACOID通常使用默认即可，如果默认获取不到，IPOID则尝试MACIP5ACMAC并macmac地址人为添加到“MAC地址排除SNMPACSNMParpipmac（PC网关）SNMP协议，ACSNMPv1/v2/v2carp注意：组，会室等公众区及外来是不需要地址绑定的，所以在建认证策略时，这些的认证略不启用“动录入P和c绑定关系，这是和其它组认证策略不同的地方。设备 IP/MAC绑定中，能看到已自动添加绑定信息且电脑更改IP企业客户希望员工不能违法、不良、，以免造成管理；全天与工作无关的、使用与工作无关的应用，以免影响工作效率。AC分别从上网策略控制介绍规新建“规范上网行为，提供工作效率”策略，将安全风险类，购物类，游戏应用，购物应用，炒股应用，、微薄，社区等影响工作效率的全天，并将此策略全天安全风险所有应用、/网上购物、/、/web应用/网上聊天、微薄、、社交、炒股（金融行情和金融交易、移动端应用、购物、互 注意：IM聊天类软件（如等即时聊天软件）没有，主要考虑到不同企业的业务部门IM和客户交流等，所以没有完全封堵，企业可以根据实际IM是否封堵。如下图，用户管理有售后组用户，说明此用户可以通过AC上网，并受AC策略通过AC上线的用户打 Ac上网的用户使用炒股客户端登录，登录不了，客户端没有提示，但是登录不了，使用 客户希望研发和财部门一外发；防止外终端接入内网并通热点共享上。下面分别从C新建“外发”的上网策略。选中“外件泄密风险”，并全部外件泄密风险”中的应用包括了所有文件的上传，如文件上传、邮件上传、上传、ftp上传、网盘上传、IM传文件等。如下图：，wifi共享接入检测具体置如下图，开启检测，不启共享行为。检测到有共上网行为，不会共享网，在据中心有日志录帮助管理判断有些人在过共享网： NAT上网、多终端通过随身wifi共享上网，多终端通过双网卡共享上网等场景，即多个终端是通过同一IP上网的可以检测出来。多台PC每台PC多次打开非https网页PC和移动端（、pad）共享上PC和移动端多次打开非https网页，或者登录， 不同类型的移动端（ios和每个移动端多次打开非https网页，或者登录、 每个移动端多次打开非https网页，或者登录、 外件封堵效“财务组”和“研发组”外发后，上传被封堵（通过常见的外发方式，如传文件、网盘上传、http外发等，如下图“研发组”的同事通过云盘上传文件被。 件 企业内网经常因，等p2p互联网应用占用大量带宽，导致正常的应用得不到应有的带宽，如打开网页很慢，服务器很慢。下面介绍AC流量管控功能如何实现带宽的最佳利结合企业场景，推配置如策略实现带宽最佳利用。此方案流控的配置为配置虚拟线路、配置“保障和服务器带宽“保障上网等常规应用”及“限制p及应用”。此方案中，线路为一条线路，AC单网桥部署，所以虚拟线路和虚拟线路规则均只有一，，，新建“限制P2P及应用除组服务器外，其所有、p用，等带宽大应用需限制，且启用单用户限制，具体参数配置如下图所示。以免带宽不够时，这些应用占用带宽大，对正常打开网页等应用带来影响；下图同时也启用了“当线路空闲时，允许突破限制”表示如果当如下图，适用应用选择“工具，p2p，p2p流，web流；适用对象选择除“最后，调整“保障和服务器带宽“保障上网等常规应用”及“限制p2p及应用”流控生效后，通过PC上客户端软件测试（如迅雷测试，实际速度一般不会超过企业对上网日志审的需求主要因为门明文要求及出