终端接入管理
共享接入管理
360wifi等随身wifi共享接入
共享接入管理-启动共享接入检测-编辑配置选项-统计所有终端类型-终端数量达到2台以上,冻结十分钟(勾选了才会冻结,否者只检测)-冻结IP地址
信任列表可以添加一些AP或特别用户。发现趋势,看最近共享的状态。或从日志中可以看到
三台同样的系统地手机识别不到
系统管理
授权
设备序列号:控制设备的外网线路线,设备VPN模块和第三方设备对接标准IPSEC的限制及设备SANGFOR VPN模块支持接入的移动用户数
多功能项序列号:控制设备是否启用指定的功能,根据用户实际需要激活。
跨运营商序列号:跨运营商互联IPSECVPN时用到的功能,可以解决因跨运营商互联VPN导致丢包的问题
网关杀毒授权序列号:决定网关杀毒病毒库是否能够在线自动升级
应用识别&URL库升级序列号:决定了应用识别和URL规则库是否可以更新
软件升级序列号:决定了软件版本是否能够向上升级 无线管理:决定了设备作为无线控制器,可以接入管理的AP个数
应用审计
选中行为审计,只记录行为,勾选内容审计邮件和IM只记录行为,其他可以看内容。勾选个人通信内容审计,则所有应用的内容都记录
全局排除地址
全局排除地址不受设备控制和审计,但防火墙规则和防DOS攻击除外,即使排除仍然受这两个模块控制
系统管理-系统配置-全局排除地址
全局排除地址和域名,不能排除DNS服务器排除DNS则排除域名不生效。
<span style="font-size: 20px;">全局排除IP地址后,NAT,显示代理,防火墙规则,防DOS攻击,ARP欺骗防护,系统路由和链路负载,准入IM审计(先开启IM审计后排除PC地址的情况下)仍生效</span>
管理员账号
系统管理-系统配置-管理员账号
设置组织权限设置,配置只能管理的区域,配置只能管理的页面
DHCP
启动DHCP服务,配置地址,保留IP地址功能,给某个用户绑定一个IP地址
上网代理
代理功能
SG11.2支持HTTP代理、SOCK4代理SOCK5代理、PAC代理
配置:开启代理,设置端口-增加代理策略
代理也需要通过密码认证,使用WEB认证,用户认证与管理-认证高级选项-代理上网时,使用WEB认证页面
启动代理,不配置策略,默认所有用户通过代理上网,配置多条代理策略匹配顺序从上往下匹配
ICAP协议
一种应用层协议,icap客户端传送请求数据到ICAP服务器做校检,常用于金融行业,常见的ICAP服务器有MACFEE(杀毒)、赛门铁克,websense(url过滤)、DLP服务器
端口号1344
配置:开启HTTP代理-ICAP服务器-新增服务器,请求类型根据需求-新增服务器,ICAP地址(如:icap://200.200.193.48),端口号,附加内容根据需求-代理策略,ICAP服务器选择新建的服务器
ssl代理:内网访问HTTPS加密网站数据经过SG,SG透传HTTPS流量给ICAP服务器代理 ssl中间人:服务器看不懂https,AC解密https的流量后给icap服务器处理
1、一个ICAP服务器可以新增多台服务器,类型相同,用来负载均衡,AC会采用轮训机制调度不同的服务器2、一个数据只能匹配一个服务器组
二级代理
二级代理服务器-配置IP地址,端口号-代理策略,配置地址,勾选二级代理(用户可以通过二级代理访问外国网站)
host使用
由于显示代理场景,DNS解析由设备进行
配置多线路负载的平均分配,防止只走一条线路上网
forword
公司内部服务器发布在公网上,员工浏览器通过代理访问公司内部服务器地址,SG可以直接将收到的数据转发给内部服务器
代理上网-forword-新增规则-配置地址端口(也可以通过host来实现)通过FORWORD就不走代理
调试:系统管理-系统诊断-命令控制台-proxydgp+地址(这个命令通过shell调试会打出所有日志)
