任意 第三天
2016-09-26 11:55:33 0 举报AI智能生成
任意AC组第三天
作者其他创作
大纲/内容
外部认证
概念
也称第三方认证,用户的账号密码信息保存在第三方服务器上,AC将用户提交的用户名密码信息转给第三方认证服务器校验,通过第三方服务器返回的认证成功与否的信息,决定用户是否通过AC的认证。
LADP认证(微软microsoft AD最广泛,重点) RADIUS认证 POP3认证
认证流程:1、PC向AC提交用户密码信息2、AC判断为外部认证,把用户名密码信息发给外部认证服务器校验3、外部服务器校验后,向AC发送认证失败或成功信息4、AC根据外部服务器返回信息,确定是否让PC通过认证
1、认证策略中,认证方式选择密码认证,认证服务器选择第三方服务器2、认证高级选项中,未启用DKEY
外部认证服务器-新增外部服务器类型(ladp,radius,pop3)-设置通信方式,IP,端口等 数据库服务器和H3C服务器只支持单点登入,不支持外部认证
ladp认证配置
测试有效性-修改密码:如果域账号是允许修改密码的,可以直接改密码
注意:如果客户的域环境是独立域,添加外部服务器时,认证端口填写389;如果是父子域,则外部服务器配置父域的地址,端口填写3268
radius/pop3认证配置
1、新建用户组2、新建外部认证服务器3、新建认证策略
组织结构与上网策略
组织结构
组织结构即为用户和用户组的所属层级关系。sangfor AC提供树形组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时对相同的上网策略进行继承。一个用户有一个直属父组。
用户属性-自定义属性:自定义属性,针对不同属性做不同的控制(认证高级选项-自定义属性,定义属性) 在策略里面有一个用户属性组,可以定义多条规则,定义或的关系
高级属性:限制在以下地址登录(指定账号只能在设置地址范围内登录) 新增绑定对象:本绑定的地址只能在此账号登录,用户同时可以绑定多个终端,用于免认证
可以一次新建多个用户多个组,用户太多可以用将用户和组做成CSV表格,一次性导入设备
上网策略
上网策略是对用户行为进行控制、提醒、审计。实现控制用户能做什么,知道用户正在做什么及已经做了什么
上网权限策略:控制用户能够使用网络资源的权限
应用控制:1、定义时间对象2、建立上网策略,生效时间加入定义的的时间对象,选择应用,确定动作3、关联给组
端口控制:只能识别端口和协议不变化的应用如DNS,smtp,pop3.目前互联网都是动态端口,所以范围小
WEB关键字过滤(只能针对HTTP的搜索):1、定义关键字2、新建上网权限策略,关联定义的关键字和关联组 (字中间加了空格或其他,则不能匹配上)
文件类型过滤:根据指定文件的类型限制上传及下载。注意仅对HTTP上传下载以及FTP上传下载有效
邮件过滤:适用于SMTP和SMTPS协议过滤,可以根据发件地址,收件地址,邮件标题或正文中含有关键字,邮件附件内容,附件个数及邮件大小过滤
认证后处理-高级选项-认证前使用此组选项 强制对所有HTTP访问进行认证不勾选,只有被策略拒绝的HTTP才需要认证
上网审计策略:审计用户上网行为
1、新建上网审计策略,启用应用审计及上网流量与时长审计,并与用户/组相连 注意:不勾选通过网页上传文本内容和未识别的网络应用,影响性能
启用了审计日志再会有所有记录,否则只有拒绝的一些记录
用户限额策略:限制用户能使用网络资源的流量和时长
在线终端限制:在线终端限制个数
终端提醒策略:当用户不恰当使用网络资源时,对用户提醒
设置公告页面:对流量进行重定向
准入策略:检测终端是否满足公司规定的上网条件,检测通过才准许使用网络资源;审计加密的IM软件(如QQ/SKYPE)的聊天内容
1、检测终端电脑是否符合组织安全性要求,不符合禁止上网2、审计加密IM聊天内容,如QQ和SKYPE
关联了准入策略的用户上网时,设备会给终端推送安装一个插件,通过插件检测是否合规及审计加密IM聊天内容,然后上传AC设备,如果没安装插件,则不能上网 (一些不支持插件的终端通过勾选不支持运行准入/安全桌面系统地计算机及终端 -允许上网,来上网)
用到端口TCP886,TCP82,UDP667,TCP817,UDP999,请确保电脑这些端口放行,只审计QQ发送文件和文件夹,不审计接收。
上网策略与对象关联-适用对象 可以匹配用户,域用户,与安全组,域属性及源IP之间“或”关系 用户,位置,终端类型之间的“与”关系
可以在用户组里面给其配置策略
数据中心
数据中心用于存储用户产生的网络行为日志,通过数据中心可以查询任意日志。
内置数据中心
外置数据中心
1、客户需要长期保存日志推荐使用外置数据中心,因为内置中心容量有限,无法长期保存2、外置数据中心有附件内容索引功能,内置数据中心没有。3、当内置中心日志量很大时,可能影响设备性能,建议使用外部数据中心。两者可以共存,当日志量大时,建议关闭内置数据中心。系统管理-日志中心配置-关闭内置日志中心
安装
系统条件:仅支持windows2008.window2012上的64位操作系统
硬件条件:a、安装盘需要至少8GB的硬盘剩余内存b、安装外置数据中心的电脑建议使用双核CPU,内存2G以上c、安装盘文件系统必须是NTFS
安装完成后,系统管理中设置同步策略名,秘钥。同步日期,高级选项可以设置同步器工作时间。在AC上面新增同步策略
端口已使用,在系统管理里面的系统选项修改WEB端口
使用
日志查询
AC-策略高级选项-日志记录-勾选记录MAC或VLAN ID就可以看到日志的MAC和VLAN ID了
流量管理
流量管理介绍
流量管理是对用户上网带宽进行合理分配,主要应用于互联网出口带宽管理
流控网络应用,网站类型,文件类型 可以针对组或用户,单IP或IP段,无线网络来进行流控
流量管理配置
1、流量管理-线路带宽配置 配置客户线路带宽2、新建一级通道:保证通道,定义带宽,关联应用,3、新增一级通道:限制通道,定义带宽,可以限制每个用户的最大带宽,关联应用,关联用户。注意:不要忘记启动流流管理
11.0版本可以基于用户名,高级选项中
在流量状态中查看流量管理状态
惩罚通道配置:1、新增惩罚通道2、新增用户限额策略,流量配额,勾选处罚,添加处罚通道。或者禁止上网。
0 条评论
下一页
