任意 第六天
2016-09-30 11:50:57 0 举报AI智能生成
任意 第六天
作者其他创作
大纲/内容
上网策略
SSL内容识别
1、建立用户/组合和认证策略2、确认多功能序列号已激活SSL内容识别3、建立一个上网权限策略4、勾上SSL内容识别里面的两个勾WEB和邮件5、将策略关联用户,启用审计策略
注意:1、路由模式下SSL内容识别是通过设备程序代理实现的,所以需要确保设备本身可以上网SSL内容识别才生效2、SSL识别,需要PC解析被识别网站的流量经过设备,所以建议将电脑DNS改成公网地址
用户限额策略
1、新增用户限额通道2、根据用户需求配置限额达到配额设置处罚3、可以设置惩罚通道
时长配额:每天上网或使用应用的时长限额 流速限额:每天上网的流速 并发连接数限制:控制用户并发连接数 在线终端连接数:超多不会显示提醒页面,不区分具体应用 在线终端限制:控制单用户上线终端
代理控制
1、新建上网权限策略,启动代理控制并关联用户2、应用控制里面也有代理工具拒绝
网页内容审计
网页内容审计,可以记录用户访问网页所有内容,生成网页快照。网页内容审计策略比较消耗性能,建议不开启
日志中心
日志中心KEY
客户对日志安全性要求非常高,当前只要拿到设备登录密码,都可以登录日志中心查询日志,而密码很容易泄漏。我们推出数据中心key,只有持有key的用户才可以进行日志查询。内置和外置日志中心都可以使用KEY
1、激活多功能项序列号日志中心key2、新建控制台用户,安装KEY驱动,插入数据中心查询key输入dkey密码,该用户的“组织权限设置”和“页面权限设置”全选。(外置数据中心步骤相同在外置数据中心做)
外置数据中心和内置数据中心无法使用同一个key,同一个key只能用于一台内置或一台外置数据中心
内容搜索
关键字订阅:用户可以将指定关键字的日志定时发送到指定邮箱
日志备份与导入
系统管理-导入导出-日志备份导入(导入配置相同)
流量管理
虚拟线路
AC设备在网桥模式下,无论前置设备上是否接了多条线路,或者设备做多网桥模式接了多个出口,对于设备来讲,经过设备的数据认为是一条线路的数据,设备的流控默认情况下是针对公网线路总和进行控制的。虚拟线路是在物理线路的基础上划分出来的逻辑的通道。
1、定义虚拟线路2、定义虚拟线路规则3、添加细化的流量管理策略
只有一条线路分流时,需要配置内网IP和外网IP(先对象定义-定义IP组)
流量子通道
1、子通道的适用对象必须从属于一级通道的适用对象(适用对象包括用户组和用户)
2、子通道设置的应用服务必须从属于一级通道的应用服务
3、子通道设置的带宽值不能超过一级通道的最大带宽值
4、子通道对应的生效线路必须和一级通道一致
流量通道匹配原则
1. 平级通道,根据流量策略的排列顺序由上往下匹配
2. 数据匹配到某个一级通道后,如果一级通道下还有子通道,那么会继
续往下匹配,直到匹配到最后一级符合条件的子通道。
3. 每一级通道都会对应一个默认通道,所有未匹配到其他通道的数据都
会匹配默认通道。
注意:父通道和子通道的单用户上限可以分别设置,如果匹配的条件一致,则取两者之间的最小值。
无线管理
授权与部署
6.0版本开始,有无线功能,需要通过序列号激活
AC使用无线功能时,支持的部署模式有路由和网桥,不支持多机,双机,旁路,单臂及AC和WAC(深信服无线控制器)混合部署场景。
AP无需部署,经过1、AP发现AC2、AC下发配置给AP就行
发现过程
部署完AC和AP后,紧接的过程是AP发现与激活。AP发现与激活,对用户是完全透明的,程序自动完成。无需手动激活。
注意:由于AC作为DHCP服务器不支持option 43字段,AC作为DHCP服务器不支持这种方式 支持AP发送二层广播发现请求 AP发现并激活后,默认以mac地址作为用户名,加入默认组,在无线状态和接入点管理可以看到AP状态
交互过程
1、AP发现AC 2、AC配置无线SSID等配置,自动下发给AP 3、终端通过无线网络接入AP 4、终端通过密码认证,二维码认证或无需认证等通过无线认证5、无线模块发送认证信息给AC,终端从AC认证上线
开放是+密码认证
无线配置-无线网络-启用并配置信息
开放式+二维码审核
认证方式:二维码审核 审核人:指定具有审核上网权限的个人或组。审核人必须先通过认证
结合微信认证
1.【无线配置】—新建开放式无线网络,认证方式选择无需认证
2.【用户认证与管理】—【认证策略】—新建认证策略,认证方式选择微信认证 3.【用户认证与管理】—【外部认证服务器】—选择微信认证的认证方案,配置相应的信息
4.【用户认证与管理】—【认证页面定制】—修改关注微信公众号的提示为客户的微信公众号
WPA-PSK/WPA2-PSK(个人)无线网络,此无线网络要求接入AP时提供统一的预共享密钥才能接入,具有一定的安全性。
WPA/WPA2-企业方式,每一个用户都使用独立的凭证(用户名、密码,或者证书),安全性最高。
终端接入无线网络后,AC上网策略及流控策略不仅可以和用户关联,同样可以和SSID关联。
安全防护
防DOS攻击介绍
安全防护-防DOS攻击
注意,启用内网网段列表后,内网网段必须填全,如果没有填全,则不在此列中的PC上网直接被认为是DOS攻击,被丢弃,导致断网。如果不启用内网网段列表,则对经过的所有数据包进行条件匹配,匹配上才认为是DOS攻击
排除指定的地址不做DOS攻击检测,一般适用于内网服务器,因为服务器流量比较大,根据实际情况填写
开启防dos攻击后,如果本机所在的网段不在防dos内网网段列表中,则本机到设备443,51111和22345三个端口是默认放行的,到设备其它端口或经过设备的数据流会全部被拦截。
网关杀毒
设备本身集成了第三方杀毒引擎,部署在网络前端,对过往的数据流量进行病毒检测查杀,防止病毒影响内网安全。网关杀毒可以针对http下载,ftp下载,pop3/imap收邮件及smtp发邮件四种数据流杀毒。病毒库更新需要授权,授权后,病毒库会每天自动更新
网关杀毒-网关杀毒设置
排除不需要杀毒的网站,默认排除了PC常见杀毒软件病毒库更新地址,以免PC病毒库更新被判断为病毒导致无法更新。
网关杀毒支持的四种协议杀毒,http下载,ftp下载,pop3/imap及smtp杀毒都是全局开关。其中http下载和ftp下载杀毒直接在网关杀毒中启用即可生效,但pop3/imap/smtp杀毒是通过邮件代理实现的,还需要在上网策略中启用邮件过滤,关联到用户或组,并且确保设备可上网。
0 条评论
下一页
