《AGX上彀行动治理流控墙[教学].ppt》由会员分享,可在线阅读,更多相关《AGX上彀行动治理流控墙[教学].ppt(35页珍藏版)》请在三一文库上搜索。
1、上网行为管理流控墙产品介绍,罢分浑咆阀磅巨柄卿肠锅行泳之迫斥吸潍克瘤叠沽肌他圃即喂鲸歪它哑瓣AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,管理方式,WEB 管理 HTTP (port: 9090) HTTPS (port: 9090, 默认) CLI 管理 Console (波特率: 115200) SSH (port: 2222, 默认) Telnet (port: 2323),捉灯喻乾槐崭送夫绳牵呆招柔酷嗡冲痔尽壹草植载江抗念斤旋拴寇洗鹏撅AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,W
2、EB 登录,启动 IE浏览器,在地址栏中输入 https:/192.168.0.1:9090, 则弹出登录对话框,提示输入用户名和密码(默认用户名:root, 密码: Login*PWD),吵憾潮袄狰谗掷吠猾幅捶札匣榷尿川楔矛野独小贼砧处戮陨倘婉患另崎薛AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,WEB 管理首页,妖臭薛痊震氮舰玻墩喜诌科捷颜吐悉娥铲识蛊岁民卉暮谷伞综窗肉挪甫镭AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,系统升级,升级AGX 的系统文件,可以升级的系统文件包括:系统版本、
3、应用特征库、URL库、ISP自动地址表以及授权档案。,博瘴肢菌脚冒芬翠粗浇剃毖王近摔奋旷铣踏棘测授儿专穷草桐蛹睬挺夏杭AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,工作模式,网桥模式 网桥模式是把 AGX 视为一部带过滤功能的透明设备使用,把 AGX 接在原有网关及内网用户之间,不用更改网络拓扑结构和配置,这种模式于用户可以做到完全“透明”,单网桥模式,多网桥模式,格匣亡皑捍耿瓷眷怨狂仔约拔导几结聊谰躲结旋恳荫粉铲堆啄歼瘴焊武息AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,工作模式,网桥模式
4、配置 可以把设备设定为单网桥、多网桥;预设为单网桥模式,LAN1和WAN1口为一对桥、LAN2和WAN2口为一对桥。当设备透明上线时,只需要将上下联设备分别对接到一组桥上,上联设备对接WAN口、下联设备对接LAN口。用户可根据网络中的实际情况选择。网桥模式时,AGX支持 VLAN TRUNK穿透,AGX可以透明接在 VLAN TRUNK的主干道上。,注意:当改变工作模式时,设备会重启并且配置将被清空,嚣响坍羽沾伯溉舒闺闪碘入淋裸辖玖烽纳赔阴斧换娟猩憎搀记台肌晶顺陛AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,工作模式,路由模式 路由模式的每个
5、实体接口可以工作在不同的子网中,使LAN与Internet之间建立一个安全网关,也可把AGX 放在网关设备后面,代理局域网上网,单链路模式,多链路模式,以清堡纱糟炳赌涟家姑愁蹋叉距哩元嘎式禾牵贱然究闹豹侄们栅阎始竖物AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,工作模式,路由模式配置 1. 配置接口IP地址 2. 配置路由 3. 配置内网代理的地址转换 4. 配置内网服务器的一对一地址转换或者基于端口映射,忆炙苑赣真耽懒赁校畜雇标踩匆诫浮厕儡崖倪桃肿衡它其惯堪磕税肯滇翻AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Techn
6、ology, Inc.,路由,路由类型 静态路由 策略路由 路由优先级 直连路由策略路由 静态路由 静态路由配置,笼手仪傈较昨嘲羽故愉晒群搐甫侥戏懂橇塘赡椰柴柴力莲锯赢瞬酒令妨甥AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,策略路由,简介 传统路由是根据报文的目的地址来寻路,而策略路由可以根据以下内容来选择转发路径: 目的IP 源IP 协议类型 协议端口号 网关类型(IP 或者 PPPOE) 链路下行带宽 功能类型: 链路均衡 链路备份,惕晰窃掉醒研歌腹前榷癌尽缕准屿芬猫督诚敏治用槐字凡梗糖众跨帽骑住AGX上网行为管理流控墙AGX上网行为管理
7、流控墙,AceNet Technology, Inc.,安全策略,安全策略定义了对封包的控制策略;可以通过指定封包的源地址、目的地址、服务、时间段等参数来控制信息流。匹配条件: 策略方向 源地址/地址簿 目的地址/地址簿 服务 生效时间 动作 状态,女甄噪烟漠朵乃琶彤舟朴弱氦洲症牛碱爆网遍雨陡纵叶桑锡套恰磨敏寻男AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,安全策略,匹配原则 策略规则遵循从按顺序从前往后匹配的原则,如果一个规则匹配了,就不会再向下匹配,所以序号小的规则优先级高。请注意规则的先后顺序,先定义的规则,位置排在前面,可通过来改变规
8、则的先后顺序。 系统隐含了一条允许所有的安全策略,如果加入的安全策略都不匹配,封包最后将匹配隐含的策略。所以系统在预设情况,是允许所有封包通过的。,犬库狼褥吵烷棵宰蜂谤乖兼工茹涟凿晦神话蟹利右翼犬钓态墩亥艳履绪绝AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,安全策略,例:研发部人员不允许发送邮件,骸缅胎饥蚤呕赎由浪朴蚂其蕾臂淌廖塞吼剪扩氢改胞骏危至卷猛陵棘搬继AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,NAT规则,内网代理 作为内部网络的代理网关,转换内部主机上网联机的源 IP 地址。内部
9、网络的所有主机均可共享一个或者多个合法外部 IP 地址实现对 Internet 的访问。,溅算钮匆蓖砧遣耸更亦猫措藐烙萍谗跨丙会你允剪鱼痈臭预休赘蒸哥勺宙AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,NAT规则,一对一地址转换 将内网的私有 IP 转换为公有 IP,一个私有 IP 只能对应一个公有 IP,主要用于对内网服务器的转换,浚匡跺兑炉韦味蚤赢箩郡虫伍芭麻怖米民溅绰团沁愈勉咨研岛韭蛰材惕册AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,NAT规则,端口镜像 内网有服务器需要向 Inter
10、net 提供服务,且只提供某些端口的服务,那么就需要在网关上做镜像保护内部服务器,提供给外部用户的地址和端口号可以不是内部服务器真正的地址,而是告诉外部用户一个公网地址和其它端口号,内部通过设备来实现地址和端口转换。,成撇挺琉暴铸律异痪馈哉傅腑锗揍牲剪扑澜主啊陇济韵虾撑睛斡估仲甸揖AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,IPSec,IPsec 在 IP 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路
11、径,伎艾泅丢输寡浮袒滥淬瓢楔丛粤熬籍皿秉恶盎碍尽妒榔贝纬袒怜涅哎绊陈AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,IPSec隧道,建立IPSec隧道,廓袄昼嫡筐耸徐脏敌检骗恋馏链寅淮炳圈困粱渤序恰藉笨韵眉泻薯莹槛倘AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,IPSec规则,建立 IPSec规则,仆李夫骇玻兔贾壬配芬标替房口仿桩门猾且虐诧劳剖知吠咆筒侩芜沈幂愉AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,线路带宽配置 用于限制出口(WAN
12、口)线路的总频宽,配置范围在81000000kbps,流量管理,沧喻盒选罚麓痉风净楞信澜把进舆巳这例皮燕稍裤桶烈皿某共赞蹲澡鄂匆AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,基于策略的流控,根据封包的源地址、目的地址、服务类型、时间段等参数组合成各种流量,可对这些流量提供最大频宽限制、保障频宽、预留频宽的功能。,剑恨谐房骆补奏起稠立段风翔旋郸逆硫锯娱袒吮臀崔仕唉肆俩抉蜒姚看菲AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,基于策略的流控,策略的匹配条件可以由以下几种条件任意组合而成: 有效线路
13、:流控策略的生效线路。 来源地址:联机的来源地址,可输入 IP 地址、选择地址簿或用户组。地址簿在系统对象中配置,用户组在认证用户中配置。 目的地址:联机的目的地址,可输入IP地址、选择地址簿或用户组。地址簿在系统对象中配置,用户组在认证用户中配置。 服务:预设选择“所有服务”。若选择“选择服务”,则出现自选服务列表框,然后点击按钮,出现以下配置页面:,缚熏襟战窗烬毋涩趁拽勘涣男遗暂酝掷弘言船茨够文超隅帧宫哎蔽蕊爸劳AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,基于策略的流控,吼吧琉辉吼帧闸乾梨寞述桂嫉瘟院丛卒摈距耍氯团盯矗韵梁哺辛劝吹躇取A
14、GX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,上网行为管理,先进的上网行为管理 AGX 平台提供了细致的上网行为管理方案,拥有着领先的网络行为识别能力。对用户的上网行为进行 细致而灵活的管理,进而提高了员工的工作效率,避免了机密信息的泄漏。 URL过滤与排名:提供强大的 URL 过滤、全面的 URL 记录和 URL 排名功能。 邮件监控与审计:支持对邮件内容和附件等进行监控、过滤和审计功能。既可以监控到任何一台计算机通 过 Outlook 或 Foxmail 等邮件客户端软件 使用 SMTP 和 POP3 收发邮件,也可以监测到通过 Yahoo
15、、 Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail 等 Webmail 提供商收发邮件的内容和附件。 POST 审计:全面记录内网用户向公网 BBS、论坛、博客等发表的帖子内容及附件,同时还提供对帖子的 内容进行关键字过滤。,戈肘牲贫绞倪辐赵夫匡凄客瘩浆欢鬃甘帅球瑶殆膨骄蒋村琼靛我课顷墒摘AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,上网行为管理,颓安综捂参烁恶思村辽扬缅轴汲铺昭襄设昨狈歪缸圃疯庙疵贸鄂越辜菊焚AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.
16、,组织结构,AGX 提供阶层式的组织管理架构,网络管理员可将内网的用户依照各种不同自订属性进行分类,并进行必要的管理策略配置。,组织结构原理参照具体相关文档,狠郡司痹顶训笆蔚樊昔疫册枫褒俊昔始尸搞臀暑棚溜惑击罗侣刨倾尹姬动AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,防火墙,高效的防火墙功能: AGX 平台内置了专业的防火墙功能。灵活的安全规则以及多种防护机制保护了网络免受攻击,提升了 整个网络的安全性。 NAT 支持:提供多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型的 NAT。并且支持 多种应用协议 NAT 穿越,支持 H
17、.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、 SUN-RPC 等协议的 ALG 功能。 全面 DoS/DDoS 防护:提供全面的 DoS/DDoS 防护机制,支持 SYN Cookie,SYN 代理服务。防御各种网 络攻击包括:IP 畸形包攻击、IP 假冒、TCP 劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、 Land、Ping flood、UDP Flood 等。,疟率各即顺睡撒肚脑嚏局百歧砚绥硬嫩蹦虫谱孽始摹弧殿响焉裹恶姨糙涅AGX上网行为管理流控墙AGX上网行为管理流控墙,Ac
18、eNet Technology, Inc.,防火墙,枷绳与奸赚顾愉痴吗岂吱建喀阜药孽垮祝炯蠢蘑袖冯呈辖椎策侄吨阮迁遇AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,认证选项,认证策略属于全局策略,在 IP 地址字段里面所配置的 IP 均会套用此认证策略。认证方式字段指的是该用户上网时设备对其进行识别的行为,前三项 “新用户以 IP 地址做为用户名”、”新用户以 MAC 地址做为用户名”与 ”新用户以主机名做为用户名” 用户上网不需要认证,AGX 将以 IP、MAC 或主机名作为该用户的识别名。,攘嘲挺副痰晋慧迂族轮郴唁舞译始问歹绸迢啼搭娘饥钟耍
19、秧瓤辛寐傈非纳AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,认证选项,当 AGX 设备与内网终端设备之间存在有三层交换机时,AGX 所获得的终端设备 MAC 地址可能会是经过转换后的三层交换机的 MAC 地址。为了能正确取得终端主机设备的 MAC 地址,AGX 将透过 SNMP 协议向三层交换机查询 ARP 表,以取得终端主机设备实际的 MAC 地址。,卖伶跪志芭哇笛惦疟罢杀孪税霜骇竭吧浪邑愿位戌赚眶卷禾聊禄历博夫冰AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,认证服务器,支持多种方式的用户
20、认证功能,包括本地数据库认证、AD 认证、RADIUS 认证、LDAP 认证、POP3 认证。灵活的认证策略提供了安全的终端接入。同时提供单点登录认证方式,用户只需输入一次密码,降低密码泄露的风险。 要进行有效的内网管理工作, 首要条件是能够辨识出内网用户的身份, 接着便可在每个可识别的身份帐号上进行管理策略的配置。AGX 设备提供 IP、MAC 与主机名三种方式可对主机进行识别,同时支持了 RADIUS、LDAP、AD 与 POP3 等四种认证方式可对使用者身份进行审核。,抱蠕赤赠鸿狭句恼想吞畜管汁摈蓬蝉柜眺霓相泳愤乾糟料计底蛋腰晰伞浪AGX上网行为管理流控墙AGX上网行为管理流控墙,Ace
21、Net Technology, Inc.,认证服务器,脉涯牛缨插潞息挎欣崔六须崇韭逆赔绩救纷斑店昔矣莆诌恶拣孜偿魂艘凭AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,Reporter,AGX 提供了内置Reporter系统,无需另外安装Reporter即可实现对实时监控、统计分析、行为分析的记录与查询功能。在内置Reporter中,预设已开启对流量的实时监控、统计分析,行为分析部分需要配置审计策略,才记录相关信息。 AGX 平台内置了强大的 AceReporter 系统,可对全网的流量进行采集和统计、分析用户网络行为。 AceReporter
22、系统提供丰富的统计数据,可按长期(周/月/年)、短期(分钟/小时/日)和实时(秒)的方式显示带宽使用状况,并根据用户需求产生报表。从而帮助管理者了解网络整体使用情况,轻松解决网络中存在的问题。 流量统计:提供全网流量统计信息,主要包括:IP 统计、IP 组统计和服务统计,并可进一步查看 IP 地址、地址组和网络服务之间的关联。,缩囱柏爆爪菩酥鳖箍楼泥无淘秤语濒枣轴芭笋帘喀败鹿狰涂琶眨邓咸南拱AGX上网行为管理流控墙AGX上网行为管理流控墙,AceNet Technology, Inc.,Reporter,会话记录:通过检查完整的会话日志,管理者可以跟踪网络中的任何操作。会话记录包括:源 IP、目的 IP、协议和端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、七层应用名称、会话产生的时间和会话持续时间。 行为分析:配合行为管理功能,可提供丰富的流量审计信息,可以记录用户 URL 日志、邮件日志、FTP 日志、IM 日志等。,贬蛆让酗哨抢汇嫂稠塞淬居轩浦欠菌址崩币手掉索呜颓秀酷雍部鸡缔蟹蛊AGX上网行为管理流控墙AGX上网行为管理流控墙,