深信服AC行为管理初级认证培训10-终端接入管理课件.ppt

1、Jan, 2017SANGFOR AC终端接入管理培训内容培训目标共享接入管理1、了解共享接入管理适用场景2、掌握共享接入管理配置方法，能根据实际场景测试并达到效果移动终端管理1、了解移动终端管理适用场景2、掌握移动终端管理配置方法，能根据实际场景测试并达到效果代理工具管理1、了解代理工具管理的适用场景2、掌握代理工具管理的配置方法，能根据实际场景测试并达到效果123共享接入管理移动终端管理Contents代理工具管理共享接入管理介绍企业和高校等客户经常出现如下几种共享上网场景 电脑IP1和IP2通过proxy代理上网电脑接入随身wifi（如360随身wifi），终端通过随身wifi共享上网。

2、共享接入管理介绍内网私接路由器，终端通过路由器NAT上网场景上述三种通过共享上网的场景，使得共享上网的电脑绕过了管控，管理出现混乱。AC共享接入管理主要是为了解决这些共享上网的场景，能够对通过共享上网的电脑做到识别或识别并封堵。共享接入管理配置场景一：企业经常会用360wifi等随身wifi，可以共享给任何终端接入，要做到防止任何终端共享接入。企业防共享一般按如下图设置，统计方式选择“统计所有终端类型”，冻结选项选择“冻结IP地址”。配置自动冻结条件，如果不启用，则只识别不冻结场景二：高校和运营商经常是PPPoE拨号上网场景，为了避免重新拨号ip变化后还可以共享给他人上网，所以冻结选项选择“冻

3、结用户名”。共享接入管理配置共享接入管理配置共享上网的两个或两个以上终端（PC或移动端）持续打开任意网页，5分钟内被识别封堵，并且终端提示如下：共享接入管理日志共享状态列表显示近期被发现共享上网的用户及其状态共享接入管理日志注意共享接入管理是全局开关，开启后，只要识别为共享行为的，会统一处理（如封堵），如果有个别用户是允许共享上网的，应该怎样处理？可以通过下面的方法将例外用户或IP地址添加至信任列表。信任列表中的用户不作处理。注意11.0版本支持的共享接入管理场景如下场景是否支持识别并封堵2台及以上windows pc共享上网是windows pc和移动端(如ios，android)是不同类型

4、的移动端(如ios和android)是mac pc和移动端(如ios，android)是123共享接入管理移动终端管理Contents代理工具管理移动终端管理介绍由于平板电脑、手机等智能终端的流行和他们本身只能采用无线网络，员工可能自己拿一些无线AP接入公司有线网络，无线终端（如手机）再通过无线AP接入公司网络。这样可能导致内网暴露，信息安全遭受威胁。移动终端管理，能够识别无线智能终端的接入，防范无线智能终端设备接入带来的安全风险。移动终端管理配置发现移动终端后的操作，如果不选冻结上网，则只识别记录日志。移动终端管理配置配置完成后，当有移动终端流量接入并经过AC时，会被AC识别并拦截，且终端提

5、示如下注意移动终端管理是全局开关，开启后，只要识别为共享行为的，会统一处理（如封堵），如果有个别用户是允许接入移动终端，应该怎样处理？可以通过下面的方法将例外用户或IP地址添加至信任列表。信任列表中的用户不作处理。注意发现移动端的操作可以设置为发送告警邮件通知管理员。多个功能模块都有涉及邮件告警功能，在“SANGFOR_AC&SG_v11.8_2017年度渠道初级认证培训12_系统管理”事件告警章节会统一培训，这里先不讲解。123共享接入管理移动终端管理Contents代理工具管理 代理工具功能价值，对代理工具功能进行了重新设计，提供全新的代理工具方案，满足客户代理工具部署需求解决方案提供支撑

6、。代理工具管理ACSG11.8新增终端接入管理代理工具管理代理工具实现原理识别方法：1.应用识别依靠应用识别规则库，按连接识别。2.很多代理工具是隐藏其数据包特征的，即没有特征，依靠匹配后台地址列表(每日更新，AC设备需要可以联网)，进行判断识别。其中赛风（psiphon）、自由门（freegate）、无界浏览（ultrausrf）是隐藏特征的配置1.点击“终端接入管理”-“代理工具管理”进入到配置界面。2.点击配置选项：选择需要封堵的代理工具；勾选封堵代理工具、封堵下载路径（指官网下载路径）、提醒用户（会重定向提醒页面）、惩罚用户（在设置的惩罚时间内，用户触发了代理工具被检测到后，会触发惩罚

7、，有两种惩罚方式，一是添加到预先设置好的流控惩罚通道；二是禁止上网）。3.如果客户环境需要对某些用户（组）进行信任，对其不做代理工具封堵，可以在信任列表选择信任的用户（组），支持选择域用户，最多支持2000个信任用户。支持添加域用户4.代理工具趋势查看和防共享模块一致，支持统计最近7天或最近30天的趋势发现；统计方法可以选择按次数统计或按用户统计。5.测试效果（1）开启了代理工具封堵功能，运行状态页面会显示最近7天的代理工具的发现次数，具体的数字与日志条数保持一致。如果代理工具的日志数量大于1000，这里显示的值也为1000，即与代理工具管理页面查询的值保持一致，代理工具的日志页面最多显示10

8、00条日志。前提：测试账号proxy1，认证方式本地密码认证。(2)只开代理工具检测，内网用户使用代理工具，设备会识别到行为，并在运行状态建议立即配置代理工具拦截策略。(3)勾选封堵下载路径后访问某个代理工具官网，会重定向到禁止使用代理工具上网提醒页面。(4)开启封堵代理工具后，使用各种代理工具软件AC设备代理工具列表看到使用的代理工具名称以及状态：只勾选封堵代理工具，状态会显示已封堵。如果勾选了惩罚用户功能,状态会显示已惩罚。点击状态已惩罚，进入受惩用户列表看到具体的惩罚状态。此时客户端代理软件的状态此时访问网页：a.只勾选封堵代理工具，此时访问网页，不会弹提醒页面，且依然可以访问网页，只是

9、代理工具无法连接服务器，无法实现绕过目的。b.勾选提醒用户,会联动勾选封堵代理工具，此时访问网页，重定向页面如下：c.勾选惩罚用户功能，会联动勾选封堵代理工具，此时访问网页，重定向页面如下：惩罚方式选择添加到流控惩罚通道：第一次访问网页会弹出现在流速的的惩罚重定向页面，此时可以继续上网，只是网速受限。d.勾选惩罚用户功能，会联动勾选封堵代理工具，此时访问网页，重定向页面如下：惩罚方式选择禁止上网：访问网页会弹出禁止访问的惩罚重定向页面。数据中心查看代理工具的日志记录可以在日志查询终端接入日志代理工具管理日志页面进行历史日志的查询。这种日志就是说被代理工具模块丢包，以下是丢包方式：rejecte

10、d 值为1 被惩罚用户的禁止上网丢包reminded 值为1 提醒页面重定向丢包limit 值为1 被惩罚用户流控惩罚通道丢包blocked 值为1 封堵代理工具拒绝，后面的block_id是匹配到的拒绝策略上网故障排除 注意事项1.对象定义的应用智能识别库中，去掉“无界浏览、自由门（加密）”这一项；但是终端接入管理-代理工具模块与策略管理-上网权限策略-应用控制的代理工具相互独立，即在上网策略也可封堵代理工具，但是效果不佳。2.代理工具模块支持全局排除IP，即IP被全局排除后，代理工具模块不生效。3.代理工具模块支持直通Droplist，会打印丢包日志。4.高可用性与SC环境支持代理工具功能

11、。5.支持路由与网桥模式下使用代理工具功能；旁路和单臂模式不支持。8.内网环境有NAT，不建议使用。7.使用内网DNS服务器，即DNS请求不过AC/SG设备情景，不支持。8.SG开启http、sock4、sock5代理功能设备不支持代理工具功能。9.设备需要更新地址列表，需保持设备可以联网。练练手练练手动手搭建共享上网环境，测试共享接入管理识别封堵效果深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料！访问方式：资料分类：通用资料产品介绍产品视频行业案例技术白皮书新功能介绍配置手册培训教材和视频测试指导排错指导销售专用资料销售工具案例集方案集测试集拓扑图自学工具售前培训认证考试经验分享深圳市南山区学苑大道1001号南山智园A1栋