SINFOR_AC_度渠道培训_.ppt

,AC渠道培训-2009,SINFOR TECHNOLOGIES CO.,LTD.,各讲师可以根据实际情况对PPT进行适当修改!,提醒：下述内容以AC1.9为例进行讲解。,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,一、AC的部署方式,1、路由模式2、网桥模式3、旁路模式,一、AC的部署方式,针对不同的客户网络环境及不同客户的需求，AC有三种部署模式，分别为路由模式、网桥模式和旁路模式。,1.1 路由模式（AC相当于路由器，代理PC上网）,应用环境：客户用AC做访问控制的同时，需要AC当路由器使用，并代理内网上网等。,1.1 路由模式,网络拓朴：,一、AC的部署方式,1.1 路由模式,功能特点：（1）、可以实现AC所有功能，对客户网络结构改变较大。（2）、内外网口不能在同一网段，可以自定义网口。（3）、有前置设备情况下，启用网关杀毒、邮件过滤等功能，或AC需要自动升级URL等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证AC设备可访问外网（所有部署模式下均需注意）（4）、客户需要使用nat、vpn和dhcp功能时使用路由模式。（5）、支持802.1Q vlan协议。,一、AC的部署方式,2、AC三种模式设置,1.1 路由模式设置,网关当前所在运行模式配置信息,至此，AC已配成路由模式，并代理192.200.200.0/24网段上网。最后还需要放通防火墙lan-wan规则，默认是放通的。,一、AC的部署方式,1.2 网桥模式（AC相当于交换机，平滑部署到客户网络）,应用环境：客户已经FW或路由器代理上网，需要用到AC做访问控制和监控，无需用到vpn，nat，dhcp等功能，并且希望不改变客户网络原有结构，AC可以平滑部署到网络中，即使设备宕机，对客户网络影响不大。,一、AC的部署方式,1.2 网桥模式,网络拓朴：,单网桥,多网口网桥,一、AC的部署方式,1.2 网桥模式,功能特点：（1）、AC做网桥部署，相当于网线，平滑架到网络中，不改变客户网络结构。（2）、单网桥模式下，只有lan口和wan1口可用，dmz口为管理口；多网口网桥部署时，设备所有接口均可做网桥接口。（3）、需设置网桥IP，如启用杀毒、邮件过滤等功能，则须配置默认网关和DNS，并保证 AC本身访问外网（可通过升级控制台工具“ping”测试）。（4）、如 启用WEB认证、准入规则、URL过滤，同时 内网有多网段时，须添加 到内网非直连网段的路由指向内网路由设备。（5）、网桥模式下不能实现NAT（代理上网和端口映射），vpn、dhcp功能不可用，不能自定义网口。（6）、设备做多网口网桥时部署在网关设备与交换机之间，不改动内网环境，相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的支持。（7）、支持802.1Q协议。,一、AC的部署方式,2.2 网桥模式设置,（1）单网桥配置,一、AC的部署方式,（1）单网桥配置,一、AC的部署方式,如果交换机和前置设备走非trunk协议，此外禁用即可,（2）多网口网桥配置,一、AC的部署方式,（2）多网口网桥配置,如果交换机和前置设备走非trunk协议，此外禁用即可,一、AC的部署方式,1.3 旁路模式（主要用作审计功能，不影响客户网络）,应用环境：客户网络已经规划好，且网络很重要，用AC主要做审计及一些简单的控制功能。并且希望如果设备出现故障，不会对正常应用造成任何影响。,一、AC的部署方式,1.3 旁路模式,网络拓朴：,一、AC的部署方式,1.3 旁路模式,功能特点：（1）、AC连接在内网交换机的镜像口或HUB上，对整个局域网进行旁路模式的监控与控制。不改动现有网络，即使设备宕机也不会对用户的网络造成影响（2）、AC的LAN或WAN接口都可用作旁路接口（不需设置IP），DMZ只能作为管理接口，不能用做旁路接口。（3）、如果交换机没有镜像口，可以在交换机前加接HUB，AC连接到HUB上实现旁路。（4）、如需部署数据中心可从DMZ口同步日志数据（需配置DMZ网关或相应系统路由）。（5）、访问控制仅对TCP类服务有效。（6）、AC要自动更新（URL），则必须配置正确dmz口IP地址、网关、DNS，保证AC设备可访问外网。（7）、AC在旁路模式下主要实现审计功能，简单的控制功能（TCP类应用），nat，vpn，dhcp，准入、web认证等无法实现。,一、AC的部署方式,1.3 旁路模式设置,注：旁路模式下，默认情况下是不记录内网访问内网间的数据的，如果客户需要记录内网用户访问内网服务器的日志，可以将服务器的IP添加到排除列表里。,一、AC的部署方式,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,二、用户认证,1、认证分类2、本机认证3、第三方认证4、批量添加用户5、单点登录,2.1、认证的分类,二、用户认证,2.2、本机认证,2.2.1 ip/mac绑定：通过校验通过AC上网的IP和其绑定的MAC是否对应来决定是否让这个IP通过AC上网，并根据IP取得相应的权限,注：如果AC验证pc的ip/mac绑定关系不通过，则pc上网显示该页无法打开，不会有任何提示，,二、用户认证,2.2.1 ip/mac绑定,二、用户认证,2.2、本机认证,2.2.2 用户名/密码认证,用户上网时在WEB浏览器里自动跳转到AC的认证页面，用户通过输入管理员分配的用户名密码进行认证，认证成功即可上网，并取得这个用户名的相应权限。,注：如果该帐号为公用帐号，则可以允许多人同时在线，如果是私有帐号后经过认证的用户会将之前的用户踢下线用私有帐号支持在线修改密码,链接为http:/gwip/user.htm,2.2、本机认证,二、用户认证,DKEY分为两种：认证的DKEY和免审计的DKEY。两种KEY不可能混用,、认证的KEY 用户上网前需向电脑的USB接口插入KEY，验证通过后才可以上网，保证了认证的安全性及使用的方便性，一般适用于外来用户。,2.2.3 Dkey认证,二、用户认证,2.2、本机认证,生成DKEY前，先下载DKEY驱动并安装,2.2.3 Dkey认证,二、用户认证,2.2、本机认证,例：用户hbz上网前采用DKEY认证,下载DKEY认证客户端，打开IE。输入http:/gwip，弹出如下页面,下载DKEY认证客户端并安装,2.2.3 Dkey认证,二、用户认证,2.2、本机认证,、免审计的KEY:某些高层领导上网时，希望自己的行为不被AC监控，可以建议其使用免监控DKEY，使用免监控KEY上网，不会记录网络行为，一般适用于BOSS,生成免审计KEY只需在下图选择“启用DKEY防监控”即可，其它的设置及使用方法和认证KEY的一样,2.2.3 Dkey认证,二、用户认证,2.2、本机认证,2.3、第三方认证,第三方认证包括:pop3、ldap(MS AD、SUN、OPEN)、Radius、Proxy认证,二、用户认证,PC提交用户名和密码,第三方服务器返回验证信息给AC,AC将用户名和密码提交到第三方服务器验证,注：1、一定要勾选以下两个勾，且默认组放通Dns和http服务，否则不能重定向认证页面,认证过程,二、用户认证,2.3、第三方认证,注：如果认证方式下的四种方式全选，它们之间是或的关系，匹配规则从上向下匹配；如果同时选择ip/mac绑定和web认证，则它们之间是与的关系，必须同时满足才可以上网。,二、用户认证,2.3、第三方认证,添加新用户策略支持将不同的IP段添加到不同的组织结构。,二、用户认证,2.4、批量添加用户,2.4.1 新用户认证,二、用户认证,2.4、批量添加用户,2.4.2 认证选项设置,AC支持通过扫描内网计算机和从域服务器中导入用户，可以按照指定格式做成文本文档再导入。用户导入格式：用户名|所属组|ip地址|mac地址|认证方式|用户描述|密码|每个字段间用“|”隔开。,二、用户认证,2.4、批量添加用户,2.4.3 用户导入,定义：当用户机器登录到认证服务器的时候，自动通过认证，而不需再次输入用户名密码登录。优点：只需用户输入一次密码登录到认证服务器即可自动认证通过，减少用户输入密码的次数，降低密码泄露的风险。,2.5、单点登录,二、用户认证,（通过监听udp 88端口的通信来获取pc登录域的信息）,（通过软件截取LDAP上的登录日志）,2.5、单点登录,二、用户认证,a、新组件方式(logon.exe logoff.exe),PC请求登录域域返回成功登录信息给PCPC运行logon.exe并上报 成功登录域的信息给AC,2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,b、旧组件方式,PC请求登录域域返回成功登录信息给PC软件截取PC成功登录域的日志并上报给AC,新组件方式和旧组件方式比较：1、实现原理不一样2、脚本方式可以实现登录域自动通过设备认证，从域中注销自动从设备上注销；而组件方式只截取登录日志（ID540和ID642），不截取注销日志。,2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,c、监听方式,监听口：设备上没有被使用的空闲网口,AC默认组要放通udp 88的权限,登录数据经过AC时无须设置镜像口,2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,单点登录设备设置,2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,设置必须使用单点登录的网段,域单点登录设置（windows),2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,域单点登录设置（windows),2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,域单点登录设置（windows),2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,域单点登录设置（windows),2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,域单点登录设置（windows),2.5.1、LDAP（MS AD）单点登录,2.5、单点登录,启用pop3单点登录，用户使用Outlook、Foxmail之类的客户端登录POP3服务器时，认证系统会自动识别并认证通过该用户，此时用户可以直接上网，而不需再次输入用户名密码。,2.5.2、pop3单点登录,2.5、单点登录,POP3服务器在外网,pop3服务器,pop3服务器,AC根组要放通访问pop3的权限,2.5.2、pop3单点登录,2.5、单点登录,用户属于Proxy服务器上存在的用户。当用户通过Proxy服务器上网，并使用Proxy服务器的用户名密码验证。如果验证成功，说明该用户名密码是对的，认证通过；如果验证失败，则认证不通过。AC通过截获用户到Proxy服务器的验证信息来把一个IP和用户名对应起来。,2.5.3、Proxy单点登录,2.5、单点登录,Proxy服务器在外网,Proxy服务器,AC根组要放通访问Proxy的权限,2.5.3、Proxy单点登录,2.5、单点登录,2.5.4 强制单点登陆,1.9AC新增功能，可以指定一个网段和某个用户只能通过单点登陆通过AC认证才可以上网。,指定IP段采用单点登陆,运行身份认证工具就是logon.exe，AC判断客户端是否已经登录到域，如果已经登录则认证成功。,强制某个用户采用单点登陆,针对用户设置只能单点登录时。用户在弹出的登陆框手动输入某个被强制单点登陆的用户时，不能登陆成功，会重定向到一个页面，提示该用户必须单点登陆。,1、如果PC加入域时提示如下错误，可能是域名解析不了，需要将PC的主DNS填成域控的IP。,2、单点登录过程中，如果数据不经过AC需要设置监听口。交换机的镜像口 应用镜像认证服务器的网口。3、单点登录不成功，请确认域帐号目录下是否有生成logon、logoff文件，如果没有，请确认该域用户是否有运行脚本的权限。4、请确认是否勾选了允许新用户认证，并且选择到ldap服务器去认证。5、1.9可以设置IP段或用户必须使用单点登录。,2.5.3、单点登录注意事项,2.5、单点登录,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,三、访问控制,1、组织结构管理2、上网策略管理3、流量管理4、AD域同步,3.1、AC组织结构管理-概念,组织结构：管理用户、设置分组和关联策略,组织,用户：,用户组,一般情况下，每个用户都必须有个所属组,子组,父组,root根组,上网策略,一级组,二级组,用户,用户组,关联,三、访问控制,3.1、AC组织结构管理-新建用户组,以“财务部”为例，财务部为一级组，下属有“回款部”和“统计部”两个子部门,可以同时建立多个子组,显示所属组路径，即父组路径，同时也是AC中组的表达方式。,三、访问控制,3.1、AC组织结构管理-新增子组,建好“财务部”组后，建立其子组：“回款部”和“统计部”,三、访问控制,3.1、AC组织结构管理-新增用户,可以同时新增多个用户，但只能编辑公共属性,用于在用户在线列表等地方显示,三、访问控制,3.1、AC组织结构管理-移动对象,对已经设置好的用户或者组，可以进行移动，移动在组织结构中的位置。,三、访问控制,3.1、AC组织结构管理查询对象,在“组成员列表”中进行查询，查询当前组包含的所有用户和子组。,可以查询当前组以及其子组的成员列表。,三、访问控制,3.2、上网策略管理概念,访问控制：对内网用户访问外网的数据进行控制。,通过什么实现：上网策略对象,怎样进行控制：用户组或用户关联相关策略,三、访问控制,策略对象：用于设置详细的上网策略。包括：上网权限、网页过滤、邮件过滤、应用审计、流量统计与上网计时、准入系统。,一条策略中包含这六种控制方式，通过勾选，使此方式生效并进行设置。,接下来的章节将对这六种控制方式进行详细讲解,策略名称,策略描述,掌握：能做到什么？控制的原理？设置步骤？,3.2、上网策略管理-策略对象设置,3.2.1、上网权限a、应用服务控制：对数据包的协议和特征字段等进行分析，判断数据类型。b、网络服务控制：对数据包的IP和端口进行分析控制，相当于传统防火墙。c、高级配置：控制使用代理等数据。,3.2、上网策略管理-策略对象设置,3.2.1、上网权限a、应用服务控制：根据分析数据包特征字段，获取应用类型，内置大量规则，由研发根据目前常见应用分析出来的，并会进行实时更新。,选择应用类型,对应用类型下的子类进行选择,细分子类应用类型,应用类型,应用名称,规则名称,策略匹配顺序：由上至下，当涉及相同的规则时，注意将较细的规则放在前面。,策略叠加时，缺省动作以此条为准，还是继续往下匹配，如果以此条为准，则执行缺省动作，下面策略中的应用服务控制不再匹配到了,3.2、上网策略管理-策略对象设置,3.2.1、上网权限b、网络服务控制：根据目标IP、端口和时间来控制上网数据。,功能和前面类似，不再赘述。,功能和前面类似，不再赘述。,3.2、上网策略管理-策略对象设置,3.2.1、上网权限c、高级配置：,检测代理数据，控制是否可以使用代理上网,识别某些使用http和SSL标准端口的非标准协议，例如QQ等。,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤a、URL过滤：对访问网页的URL进行过滤，内置研发收集的URL库，并可以进行定时更新。b、关键字过滤：拒绝某些在搜索引擎或通过http协议上传的关键字。c、文件类型过滤：拒绝通过http或FTP下载和上传的文件类型。d、SSL控制：通过证书控制，保证访问SSL协议的安全性。,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤a、URL过滤：根据访问网页的URL进行过滤,策略叠加时，缺省动作以此条为准，还是继续往下匹配，如果以此条为准，则执行缺省动作，下面策略中的URL控制不再匹配到了,URL组,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤a、URL过滤：URL组设置（自定义URL组过滤）,内置URL由研发收集并提供网上定时更新，内置URL无法编辑，导出等操作,用户根据自身情况自定义URL组,查询内置和外置url，不支持模糊查询,支持一级通配符,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤b、关键字过滤：,搜索引擎：对知名搜索引擎上搜索关键字进行控制HTTP上传：对通过HTTP协议上传的其他关键字进行控制，包括发贴、webmail等。,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤b、关键字过滤：关键字组设置,关键字：一行一个，不支持通配符和权重等。,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤c、文件类型过滤：,过滤通过HTTP协议上传和下载的文件类型,勾选是否同时适用于FTP传输的文件类型,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤c、文件类型过滤：文件类型组设置,根据文件后缀名进行控制,3.2、上网策略管理-策略对象设置,3.2.2、网页过滤d、SSL控制,SSL证书的颁发机构,受信任的根证书，应用于证书链控制,导入受信任的根证书,3.2、上网策略管理-策略对象设置,3.2.3、邮件过滤邮件过滤用于过滤使用SMTP和POP3协议收发的邮件，对webmail无效。,发邮件,收邮件,3.2、上网策略管理-策略对象设置,3.2.3、邮件过滤邮件延迟审计：设置策略，将匹配条件的邮件，延迟发送，AC通知管理员查看审核此邮件，由管理员决定是否将此邮件发出，还是删除不发送。,3.2、上网策略管理-策略对象设置,3.2.3、邮件过滤邮件延迟审计：设置延迟审计策略，查看未审计和已审计的邮件。,管理员在此处审计延迟发送的邮件,3.2、上网策略管理-策略对象设置,3.2.4、应用审计应用审计：用于记录用户的上网行为，勾选相关选项即可实现某项日志的记录。记录的日志可在数据中心中进行查询。,3.2、上网策略管理-策略对象设置,3.2.5、流量统计与上网计时用于设置统计流量和上网时长，并对单个用户的上网时间和连接数进行控制。,设置是否统计用户各种应用的流量和上网时长,控制单个用户的上网时间，以有流量就计时，注：在线不一定有流量,根据时间段进行控制,设置上网时间和排除端口,连接数：检测实时连接数进行控制,3.2、上网策略管理-策略对象设置,3.2.6、准入系统通过在用户终端安装准入控件，从而监控到用户PC上的相关信息，并进行控制管理，可以对操作系统类型、进程、文件等进行检测，并且实现对加密聊天软件的内容监控。,3.2、上网策略管理-策略对象设置,3.2.6、准入系统准入规则：包含内置和自定义两种规则，内置规则主要是监控IM聊天内容的软件，由研发设置并定期更新，内置规则不允许编辑和删除。,3.2、上网策略管理-策略对象设置,3.2.6、准入系统操作系统控制：检测客户端电脑的操作系统，包括是否打过补丁，对违反规则的客户可“禁止用户上网”或“提交报告”。,3.2、上网策略管理-策略对象设置,3.2.6、准入系统进程控制：检测客户端进程信息，违反规则的客户采取“禁止用户上网”、“停止启用进程”或“提交报告”。,进程名称,3.2、上网策略管理-策略对象设置,3.2.6、准入系统文件控制：检测客户端文件信息，违反规则的客户采取“禁止用户上网”、“删除文件”或“提交报告”等操作。,填写文件完整路径,3.2、上网策略管理-策略对象设置,3.2.6、准入系统注册表控制：用于检测终端注册表的信息，违反规则的客户采取“禁止用户上网”、“添加删除该项”或“提交报告”操作。,3.2、上网策略管理-策略对象设置,3.2.6、准入系统其他：禁止用Admin身份登录系统，跨三层绑定IP/MAC。,3.2、上网策略管理-策略对象设置,3.2.6、准入系统准入客户端：用户关联准入策略后，用户在第一次经过AC上网时，AC会重定向页面自动安装准入客户端。,3.2、上网策略管理-策略对象设置,3.2、上网策略管理策略对象关联,用户组关联策略：,选择预先已经设置好的策略对象,勾选此项后，完全继承父组的策略，本组无法编辑策略。,注意“强制子组继承”和“使用父组策略”,用户关联策略：用户默认情况下是勾选“使用父组策略”的，也可以取消勾选，单独设置策略。设置方法和用户组相同。,3.2、上网策略管理策略对象关联,策略匹配依照由上之下的顺序，逐个模块匹配,其他选项以第一条生效的策略为准。,3.2、上网策略管理策略匹配顺序,生成策略报告：可以列出所选用户组使用的策略设置，并且会列出各个设置的详细信息。此报告可以以网页的形式保存下来。,3.2、上网策略管理生成策略报告,流量管理系统用于对内网访问公网的流量进行控制或保障，可以细化到针对用户组和用进行控制，控制类型包括：应用类型、文件类型和网站类型。,3.3、流量管理,三、访问控制,3.3.1、配置正确的线路带宽信息：一定要和实际带宽符合，因为带宽分配以此为基数。,首先要准确配置AC串接网络的实际带宽（注意单位是bit，即与运营商分配带宽的单位一致）,3.3、流量管理,3.3.2、配置管理策略,通道名称,选择此通道适用的服务,选择此通道是做带宽限制还是带宽保证的,限制通道：设置组的最大上行、下行带宽,限制通道：设置用户组中单个用户的最大上行、下行带宽,选择时间、生效线路、目标IP等条件。,选择通道优先级，即优先级高的优先占用空闲带宽。,设置保证带宽值和最大带宽值,保证通道：设置用户组中单个用户的最大上行、下行带宽,选择此通道适用的用户或用户组,3.3、流量管理,3.3.3、流量状态,查看各通道的流量状态：,3.3、流量管理,三、访问控制,3.4、AD域同步,AD域同步：用于同步LDAP域服务器中的用户和组织结构。1)按域中的ou关系，导入各级OU、支持导入域中的层次关系；这样较符合现实中的组织结构关系；2)支持域信息“立即同步”和“自动同步”。3)每个用户和组有个内置属性，表明是否自建，即用户手动建的用户或组。如果是手动建的用户则不删除，还保持原来的组织结构。4）同时支持按权限组Group进行同步。,策略名称和描述,自动同步时间是0点-5点随机,选择需要同步的服务器,AD域中用户导入AC的位置，“按域中关系导入同时导入根组（域名）,A、按照OU同步,3.4、AD域同步,选择要导入的OU，子OU同时导入，可多选,以上面所填OU为准，可以选择是否从本级OU开始导,用于指定包含几级子OU范围1-15，包括本级。,根据域的参数设置过滤条件，根据条件同步AD,A、按照OU同步,3.4、AD域同步,AD域的结构,导入AC的组织结构,注：每一次同步都是将AC本地的域同步用户重新全部替换，所以不可以设置不同的策略将不同的域组织同步到同一个AC本地组，这样会被覆盖掉，对AC自建用户没有影响。,A、按照OU同步,3.4、AD域同步,同上,AD域中用户导入AC的位置，“使用域中分组状态同时导入根组（域名）,B、按照组同步,选择需要导入的用户组，用户名有重复时，以后面导入的那个为准,根据域的参数设置过滤条件，根据条件同步AD,3.4、AD域同步,注：AC1.9在按照域安全组同步时，因为域中存在不同安全组存在同一用户的问题，在同步到AC后此用户只属于其中一个安全组。,B、按照组同步,3.4、AD域同步,同步日志最多只有20条，超过20条就不记录，可以手动将日志清空。,C、同步日志,3.4、AD域同步,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,四、数据中心的安装及同步,1、数据中心的概念2、数据中心的安装3、数据中心的同步,4.1、数据中心的概念,数据中心用于对用户上网数据进行记录和统计。数据中心分为内置数据中心和外置数据中心两种。内置数据中心是设备内置的，由于存储空间有限，所以如果客户想要保存日志量比较大，建议安装外置数据中心。外置数据中心需要安装在客户的服务器上，原理是从AC上同步已经产生的日志，并且提供客户的查询、导出等操作。,四、数据中心的安装及同步,AC外置数据中心由以下三部分组成：1、M5x00-AC设备。2、数据中心软件（包括一个数据中心服务和一个Apache Web Server服务）。3、Mysql 数据库。,4.1、数据中心的概念,四、数据中心的安装及同步,组件关系图：,4.1、数据中心的概念,4.2、外置数据中心的安装,1、系统条件建议安装在windows 2000 server、windows 2003 server系统上，较稳定。XP系统对数据中心支持的不是很好，不建议安装。2、硬件条件a、安装盘需要至少4GB的硬盘空间。b、安装盘必须是NTFS格式。,四、数据中心的安装及同步,下载DataCenterSetup1.9.exe安装程序，双击安装,4.2、外置数据中心的安装,数据中心WEB服务的缺省端口为TCP 80。如本机的80端口被占用，请改其他端口。,4.2、外置数据中心的安装,提示安装数据中心的磁盘必须是NTFS格式，并且空间至少4G以上。,4.2、外置数据中心的安装,选择安装目录：,4.2、外置数据中心的安装,显示安装信息，确认无误后点击下一步，安装完成：,4.2、外置数据中心的安装,安装数据中心后会增加以下几个服务：,Sinfor cserver：数据中心搜索服务,Sinfor Data Center：数据中心服务,Sinfor MidTableCtrl：中间表生成服务,Sinfor Web Server：Web服务,Sinfor Mysql：数据库服务,4.2、外置数据中心的安装,4.3、配置数据中心同步,登录数据中心配置端，配置数据库和同步信息。,默认密码为空,四、数据中心的安装及同步,1、配置数据库：,Mysql数据库默认只能使用数据中心安装时自动安装的数据库，数据库的配置缺省已经配置好了，无法设置和修改。,日志所带的附件不保存在数据库中，需要另外选择存放路径,4.3、配置数据中心同步,2、同步帐号设置AC向数据中心同步日志时需要在数据中心上为AC建立同步帐号。,4.3、配置数据中心同步,3、AC上配置同步信息,在数据中心建立同步帐号后，将同步帐号、密码等信息填入AC的数据中心配置中，AC通过连接数据中心服务器的810端口同步日志。,和数据中心中设置相同,数据中心的web服务端口,4.3、配置数据中心同步,4、查看同步状态,同步过的AC都会在这里显示出来。状态离线表示当前数据中心没有向数据插入数据。如果正在插入数据，状态就是在线。,4.3、配置数据中心同步,5、查看数据中心日志，同步情况等,4.3、配置数据中心同步,1、安装数据中心服务2、配置数据库3、配置同步帐号4、配置AC数据中心相关配置5、要求公网访问数据中心，还需要在AC上做端口映射。,注：1.保证AC能正常的连接到数据中心的TCP 810端口。例如AC和数据中心不在同一网段，那就要保证AC和数据中心有到达对方的路由。2.如AC是旁路模式，要保证DMZ口的IP能和数据中心的PC通讯。3.客户机能访问到数据中心Web服务器的Web服务端口（缺省是80，如修改过请使用改过的端口）,4.3、配置数据中心同步,思考：,4.3、配置数据中心同步,4.4 数据中心的使用,登录数据中心：,数据中心地址+WEB端口,默认密码：admin,登录数据中心：,4.4 数据中心的使用,日志查询:,数据中心提供流量查询、行为查询以及其他日志查询等。用于查询具体的网络行为。,选择需要查询的应用类型,将查询日志导出Excel格式,将此查询条件保存到首页链接,4.4 数据中心的使用,系统管理日志库管理,查看历史同步日志的情况，包括表大小，和附件大小,显示数据中心服务器的磁盘使用情况,4.4 数据中心的使用,系统管理用户管理 数据中心管理员设置，设置包括是否是DKey用户、管理哪些组的日志、自定义报表的权限和系统管理的权限。,选择Dkey认证后，只有用Dkey登录才能进行查询，用用户名登录只能查看统计的日志，AC需要在多功能中激活“Dkey登录数据中心”。,设置组权限,4.4 数据中心的使用,系统管理系统设置,数据中心发送报表使用的邮箱,设置系统自动生成报表的时间,设置最多保存多少份报表,查询日志的最多导出条目。,4.4 数据中心的使用,系统管理配置导入导出数据中心中的配置导入导出，包括系统配置，自定义的报表模板等。,4.4 数据中心的使用,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,五、策略故障排查,拒绝列表的使用：拒绝列表用于记录数据包被AC功能模块拒绝的日志，主要用于排查AC策略、设置等问题，在排错中起到很大的作用。,开启后AC就会记录被拒绝掉的数据信息，包括被AC哪个模块拒绝的,开启拒绝列表的同时开启直通，即记录拒绝日志，同时放通策略和流控,用完记得关闭，否则AC会产生大量的日志占用空间。,由于拒绝日志很多，可以设置条件筛选记录,五、策略故障排查,拒绝列表的使用：,时间,拒绝模块,动作,端口、IP,转发接口,具体应用,五、策略故障排查,常见问题,A、内网用户无法上网，网关出口有AC设备，排错思路：查看路由表，注意双向路由是否正确。查看ARP表，注意是否有ARP欺骗。开启拒绝列表，看数据是否被AC拒绝。打开LogV，看是否有异常日志，DOS攻击。,五、策略故障排查,B、通过AC某些应用无法正常使用或使用不正常：常见例子：、QQ、MSN收发消息、传文件不正常，、无法发送webmail，、某些网页无法打开排错方法：（策略故障排除列表的使用）、确认主机与AC通信正常，如只有部分服务无法正常使用可直接进行步骤2。、使用策略故障排除功能a、设置开启条件（出现问题的主机IP、端口；目的IP、端口）-可选设置；b、点击“开启拒绝列表”，点击链接查看策略拒绝情况（找到drop条目），确认故障原因；c、根据故障原因修改AC规则策略，测试故障是否回复；d、如故障仍然出现可重复步骤a-c,修复故障后请务必“关闭拒绝列表”。（如果开启拒绝列表没有相应的拒绝日志，请考虑是否是AC前置或后置设备的问题）,常见问题,C、在网速正常的情况下，架上AC后，用户反映上网速度变得很慢，或者是上网时通时断。、测试内网电脑到AC的连通性：a、ping AC内网口，查看内网是否有ARP欺骗（通过网关升级客户端，或ARP日志），查看AC和直连设备的兼容性（通过查看网口错误包或ping大包测试）b、ping AC前置设备，查看AC和前置设备兼容性问题（通过查看网口错误包或ping大包测试）C、查看是否超过连接数的限制。d、查看流量控制策略，看是否是实际带宽超过了分配值导致的。,常见问题,D、某些应用，架上AC就不能用了，但是AC开启直通还是不正常。常见例子：邮件收发不正常。、查看是否开启了邮件过滤，或者邮件杀毒，AC代理转发邮件的情况下，需要保证AC可以正常收发邮件，AC到邮件服务器通讯是否正常，是否可以正常上网。、排除AC的原因，请查看邮件服务器是否正常。,常见问题,目 录,一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能,1、策略路由,策略路由用于设备有多线路的情况。根据源IP、目标IP、源端口、目标端口和协议条件设置符合此条件的数据包走指定线路出去，实现自动选路功能。主要应用在设备有不同ISP的线路，实现访问各自的网站选择同一运营商的线路去访问，达到最快访问速度。,六、其他功能,例：客户有两条线路，线路1为电信线路，线路2 为网通线路，客户需要实现访问电信网站202.96.137.75走线路出去，访问网通网站58.241.145.36走线路2出去,1、策略路由,2、防DOS攻击,中毒机器向服务器发起大量攻击包，消耗服务器资源，使用PC发到服务器的正常请求得不到响应，从而导致应用中断。,六、其他功能,3、ARP欺骗防护,中毒的电脑不停地向内网arp欺骗广播包，骗取内网电脑正常通讯的数据包，干扰内网电脑间通讯，导致内网电脑通讯不正常。,欺骗PC,六、其他功能,欺骗网关,3、ARP欺骗防护,3、ARP欺骗防护(续),AC设备防止ARP欺骗原理,(1)、防止设备本身被欺骗：a、设备本身不接爱不请自来的arp广播包，认为此为攻击包。b、设备只接爱请求一次回复一次的arp广播包，认为回复多次都为攻击。（2）防止客户端电脑被欺骗 通过准入客户端程序在客户端PC上静态绑定电脑网关的IP和MAC。如下图,例：AC做网关，lan口IP地址为192.200.200.1，客户需求AC能够解决内网arp欺骗问题。,第一步：启用AC设备上arp欺骗防护设置,第二步：建立上网策略-arp欺骗防护策略,第三步：将新建的arp欺骗防护策略和需要启用arp防护功能的用户或组关联,此时在客户端电脑上可以看到准入客户端已安装到PC上，有arpguard.exe,zrupdate.exe等进程生成。,4、网关杀毒,网关杀毒需要单独授权开放，实现在线自动更新病毒库，对http、ftp、pop3和smtp四种协议进行杀毒,其中pop3、smtp是代理杀毒，如果启用，设备开直通对其无效。,如果PC杀毒软件病毒库更新不了，建议将更新地址填到不需要杀毒网站列表。,六、其他功能,完毕，谢谢！,