AC初级--第三天--龚盛
2016-09-27 10:54:00 0 举报AI智能生成
在AC初级课程的第三天,龚盛同学早早地来到了教室。他的眼神充满了对新知识的渴望,手中的笔不停地在本子上做着笔记。今天的课程内容是关于计算机硬件的基础知识,龚盛对此表现出了极高的兴趣。他在课堂上积极提问,与老师和同学们热烈讨论,展现出了他的聪明才智和良好的团队协作精神。课后,他还主动留下来复习和预习,这种对学习的热爱和执着让人感到敬佩。龚盛的认真态度和努力精神,无疑会在AC初级课程中取得优异的成绩。
作者其他创作
大纲/内容
外部认证
AC/SG支持的三种外部认证
LDAP
Microsoft AD:使用最广泛
Open Ldap
sun Ldap
and other LDAP
RADIUS
POP3
外部认证流程介绍
1:PC向AC/SG提交用户密码信息
2. AC/SG判断为外部认证,并把用户名密码信息发给外部认证服务器校验
3. 外部认证服务器校验后,向AC/SG发送认证失败或成功的消息
4. AC/SG根据外部认证服务器返回的消息,确定是否让该PC通过认证。
5. PC通过认证后,就可直接访问公网了
外部认证的配置
外部认证用户
满足右边两个条件的用户才会匹配外部认证流程
认证策略中,认证方式选择“密码认证,认证服务器选择“第三方服务器”
认证高级选项,未“启用DKEY”
LDAP认证
配置思路
1、新建外部认证服务器,设置AD域服务器信息。
2、新建认证策略,选择“密码认证”认证服务器选择上面创建好的服务器
配置步骤
第一步:新建外部认证服务器,设置AD域服务器相关信息,并测试有效性—>账户有效性
第二步:新建认证策略,选择“密码认证”
第三步: 终端电脑输入域帐号通过AC认证,即可访问外网
RADIUS/POP3认证
配置步骤
1、新建用户组 ,假设用户组名为“外部认证组”
2、新建外部认证服务器,设置服务器相关信息
3、新建认证策略,选择“密码认证”,并设置新用户认证成功后自动添加到“外部认证组”
组织结构与上网策略
组织结构介绍
组织结构即为用户和用户组的所属层级关系
用户属性—自定义属性:比如男\女分开
用户—高级属性
限制在以下地址范围内登录:指的是账号只能在设置地址范围的终端上登陆,
其它账号也可以在这些地址上登录。
终端绑定(用户绑定):被绑定的地址只能在此账号登陆,用户同时可以绑定多终端,可以用于免认证
手动添加用户和组
可以一次新建一个用户或组,也可以一次新建组,添加多个时,名称用英文逗号隔开。
手动导入用户和组
将用户和组格式做成csv表格,一次性导入设备
通过认证策略自动添加用户
批量编辑用户和组
用户和组搜索功能
上网策略介绍
上网策略是对用户的上网行为进行控制、提醒、审计
分为五大类
上网权限策略
应用控制
邮件过滤
SSL管理、QQ白名单等
上网审计策略
应用审计
流量与上网时长审计
网页内容审计等
用户限额策略
限制用户能使用网络资源的流量和时长,包括流量配额
上网时长控制和并发连接数控制
在线终端限制
终端提醒策略
当用户不恰当的使用网络资源时,对用户进行提醒。包括上网时长提醒、上网流量提醒和公告页面
准入策略
检测终端是否满足公司规定的上网条件,检测通过才准许使用网络资源;审计加密的IM软件(如QQ/skype)的聊天内容
组织外线路检测;应用程序时长统计
上网策略与对象关联
上网策略可以关联给用户(本地用户,域用户,域安全组,域属性)、位置及终端类型等对象,被赋予策略的对象网络行为将受策略管控。
上网策略与域用户,域安全组或域属性关联,需要先建立域服务器
位置包括IP地址和无线网络名称和VLAN。上网策略与位置关联,可解决同一个用户在不同地方上网权限不一样,如同一个用户在会议室和办公室上网权限要求不一样
上网策略可以和终端类型关联,包括移动终端,PC,多终端(多个IP同时存在电脑和移动终端场景)。可以解决同一个用户不同终端类型上网权限不一样。
本地用户,域用户,域安全组,
域属性及源IP之间“或"关系。
用户,位置,终端类型
之间是“与”关系
上网策略的配置
应用控制配置
举例:客户需求用户support上班时间拒绝P2P和迅雷等多线程下载,玩游戏,炒股,QQ和拒绝访问不良网站,下班时间全放行
1、定义“上班时间”时间计划
2、建立上网策略“上班时间限制策略”并关联给组。上班时间拒绝P2P和迅雷等多线程下载,玩游戏,炒股,QQ和拒绝访问不良网站。下班时间不限制
端口控制
举例:客户需求用户support全天拒绝外发含有“法伦功”关键字的贴子/邮件/微薄同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容
1、定义关键字“法伦功”
2、新建上网权限策略“web关键字过滤”并关联给组“渠道认证测试组”
文件类型过滤
举例:客户需求不允许向163邮箱发送邮件,或邮件正文或标题中含有“娱乐”关键字的也不允许发送。
1、新建邮件过滤上网策略,并与用户/组关联
2、确保设备本身能够上网
注意仅对http上传下载以及ftp上传下载有效,其它软件下载(如迅雷)通过文件类型控制无效,可以封堵相关软件。
认证之前访问需求
需求:客户公司外网托管有自己的WEB服务器,访问方式http://www.sangfor.com.cn 现用户要求内网所有用户未认证之前就能访问到公司服务器
1、设置认证策略,配置认证范围、认证方式,认证后处理—"高级选项"勾选"认证前使用此组权限"此处我们选择根组。
2、新增上网策略,放通sangfor服务器的应用,其它应用都拒绝。如果内置规则库不包含客户应用,可以自定义应用,自定义url放通。
说明:"强制对所有HTTP访问进行认证"不勾选,那么只有被策略拒绝的HTTP
访问才需要认证
3、将上网策略关联给根组
上网审计策略配置
1、新建上网审计策略,启用应用审计及上网流量与时长审计,并与用户/组关联
用户限额_在线终端限制
准入策略
上网策略匹配规则
1、不同类型的策略匹配顺序:
和控制台界面的排列顺序一致,从上到下匹配
2、相同类型策略的匹配顺序:按由上往下匹配的原则。
数据中心
数据中心介绍
用于存储用户产生的网络行为日志,通过数据中心,可以查询用户任意时间的日志,或通过日志定位具体的责任人
强大的报表分析功能
分为内置数据中心和外置数据中心
什么场景需要使用外置数据中心
客户需要长期保存日志时推荐使用外置数据中心
外置数据中心有附件内容索引功能,内置数据中心没有
外置数据中心安装
系统条件
仅支持安装在windows2008、 windows2012上的64位操作系统。
硬件条件
a、安装盘需要至少8GB的硬盘剩余空间。
b、安装外置数据中心的电脑建议使用双核的CPU,内存2G以上。
c、安装盘文件系统必须是NTFS
外置数据中心同步策略
进入【系统管理】->【系统配置】->【同步策略】页面,点击【新增】进行外置数据中心同步配置
AC同步策略
进入【系统管理】->【系统配置】->【日志中心配置】页面,点击【新增】进行
外置数据中心同步配置
同步策略注意事项
1.一个内置设备可以创建多个同步策略同步到多个外置,但是不允许一台内置设备创建两个同步策略同步到一个外置上。
2.同步策略不能冲突,全局的设备名称也不能冲突。
3.当修改外置的同步策略后,会提示:同步配置改变,请选择同步方案,弹出选项框。
外置数据中心使用
日志查询
统计分析
单用户分析
关键字订阅
报表中心
报表收藏
报表订阅
收藏
收藏
0 条评论
下一页
