深信服SANGFORAC初級(jí)認(rèn)證培訓(xùn)設(shè)備部署

深信服SANGFORAC初級(jí)認(rèn)證培訓(xùn)設(shè)備部署第1頁(yè)/共30頁(yè)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AC部署模式1.掌握AC支持的部署模式路由模式1.掌握路由模式適用環(huán)境及支持的功能2.掌握路由模式的配置步驟3.了解路由模式配置時(shí)的注意事項(xiàng)網(wǎng)橋模式1.掌握網(wǎng)橋模式適用環(huán)境及支持的功能2.掌握網(wǎng)橋模式的配置步驟3.了解網(wǎng)橋模式配置時(shí)的注意事項(xiàng)旁路模式1.掌握旁路模式適用環(huán)境及支持的功能2.掌握旁路模式的配置步驟3.了解旁路模式配置時(shí)的注意事項(xiàng)第2頁(yè)/共30頁(yè)SANGFORAC部署模式介紹深信服公司簡(jiǎn)介典型部署模式與配置練練手SANGFORAC防DOS攻擊功能簡(jiǎn)介及配置第3頁(yè)/共30頁(yè)SANGFORAC部署模式介紹部署模式_簡(jiǎn)介

1、部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定，不同的部署模式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同。 2、AC支持路由、網(wǎng)橋、旁路三種工作模式。第4頁(yè)/共30頁(yè)SANGFORAC部署模式介紹路由模式_簡(jiǎn)介 1、路由模式時(shí)AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶原有網(wǎng)絡(luò)環(huán)境中添加AC設(shè)備時(shí)不建議采用這種模式，因?yàn)檫@種部署模式需要對(duì)客戶的網(wǎng)絡(luò)環(huán)境作較大的改動(dòng)。 2、一般使用路由模式部署的環(huán)境是客戶想用AC替換原有部署的防火墻或者是路由器，或者是客戶在規(guī)劃新網(wǎng)絡(luò)建設(shè)時(shí)需要將AC充當(dāng)路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客戶如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須是路由模式部署，其它工作模式不支持實(shí)現(xiàn)這些功能。第5頁(yè)/共30頁(yè)SANGFORAC部署模式介紹網(wǎng)橋模式_簡(jiǎn)介 1、AC以網(wǎng)橋模式部署時(shí)對(duì)客戶原有網(wǎng)絡(luò)基本沒(méi)有改動(dòng)，不需要更改客戶原有的網(wǎng)絡(luò)設(shè)備配置。 2、網(wǎng)橋模式時(shí)AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP功能，除此之外AC的其它功能如URL過(guò)濾、流控等其它功能均可實(shí)現(xiàn)。 3、網(wǎng)橋模式部署AC時(shí)，對(duì)客戶來(lái)說(shuō)是個(gè)透明的設(shè)備，如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開(kāi)啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。 4、網(wǎng)橋模式部署時(shí)AC支持硬件bypass功能（其它模式部署均沒(méi)有支持bypass功能的說(shuō)法。第6頁(yè)/共30頁(yè)SANGFORAC部署模式介紹網(wǎng)橋模式_3種類型1、單網(wǎng)橋，這種部署模式是最常見(jiàn)的。AC部署在出口網(wǎng)關(guān)設(shè)備（防火墻或者路由器）和內(nèi)網(wǎng)的主交換機(jī)中間。常見(jiàn)于客戶原有的網(wǎng)絡(luò)是單核心交換機(jī)、單出口防火墻（路由器）的情況下。2、多網(wǎng)橋，一般情況下兩進(jìn)兩出是最常見(jiàn)的。AC部署在出口網(wǎng)關(guān)設(shè)備（防火墻或者路由器）和內(nèi)網(wǎng)的主交換機(jī)存在多個(gè)核心鏈路之間。常見(jiàn)于客戶原有的網(wǎng)絡(luò)有可能是多核心交機(jī)或者是多出口防火墻（路由器）的情況下。3、網(wǎng)橋多網(wǎng)口，這種部署相對(duì)比較少。是指支持將多于兩個(gè)以上的網(wǎng)口來(lái)組成單對(duì)網(wǎng)橋。第7頁(yè)/共30頁(yè)SANGFORAC部署模式介紹旁路模式_簡(jiǎn)介 1、旁路模式是AC三種工作模式中最簡(jiǎn)單的一種，但也是所能實(shí)現(xiàn)功能較弱的一種部署方式，此種部署模式對(duì)客戶原有網(wǎng)絡(luò)無(wú)任何影響，即使設(shè)備宕機(jī)也不影響客戶網(wǎng)絡(luò)。 2、旁路模式AC只用于上網(wǎng)行為的審計(jì)和基于TCP應(yīng)用的控制功能，對(duì)基于UDP協(xié)議的應(yīng)用無(wú)法控制。不支持流量管理，準(zhǔn)入系統(tǒng)，NAT,VPN,DHCP等功能。 3、旁路模式下，AC使用LAN/WAN口接核心交換機(jī)或者是核心出口路由器上，需要路由器或者是核心交換機(jī)支持鏡像功能，將流量上下行鏡像到AC上來(lái)。第8頁(yè)/共30頁(yè)路由模式旁路模式網(wǎng)橋模式典型部署模式與配置第9頁(yè)/共30頁(yè)典型部署模式與配置

路由模式_部署指導(dǎo)1、首選需要了解客戶的實(shí)際需求，客戶是否必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個(gè)功能。如果客戶網(wǎng)絡(luò)中已經(jīng)有其它設(shè)備實(shí)現(xiàn)了這些功能或者是客戶根本用不到這些功能則應(yīng)首先考慮網(wǎng)橋模式部署。2、客戶新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來(lái)部署AC，相當(dāng)于一個(gè)全新的網(wǎng)絡(luò)規(guī)劃，客戶想把AC當(dāng)作一臺(tái)防火墻部署在出口上，可以部署成為路由模式。3、客戶網(wǎng)絡(luò)中原有防火墻或者路由器了，出于某方面的原因想用AC替換掉原有出口的防火墻或者路由器。第10頁(yè)/共30頁(yè)典型部署模式與配置第11頁(yè)/共30頁(yè)典型部署模式與配置路由模式配置思路1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口（WAN1口）是固定IP或者是ADSL撥號(hào)方式，取得相應(yīng)運(yùn)營(yíng)商給的IP地址信息或者是撥號(hào)的帳號(hào)密碼；確定內(nèi)網(wǎng)口（LAN口）的IP地址信息；2、確定內(nèi)網(wǎng)是否多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由回指給設(shè)備下接的核心交換機(jī)；第12頁(yè)/共30頁(yè)典型部署模式與配置路由模式配置截圖第13頁(yè)/共30頁(yè)典型部署模式與配置網(wǎng)橋模式_部署指導(dǎo)1、網(wǎng)橋模式部署相比路由模式對(duì)客戶的網(wǎng)絡(luò)影響比較小，當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能時(shí)，則應(yīng)考慮部署網(wǎng)橋模式。2、根據(jù)客戶原有網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用是單網(wǎng)橋、雙網(wǎng)橋、網(wǎng)橋多網(wǎng)口等方式。典型的網(wǎng)絡(luò)環(huán)境和部署方式： 客戶原有網(wǎng)絡(luò)是單核心交換機(jī)、單出口防火墻情況下，AC用單網(wǎng)橋； 客戶原有網(wǎng)絡(luò)是單核心交換機(jī)、兩臺(tái)出口防火墻情況下，AC用雙網(wǎng)橋； 客戶原有網(wǎng)絡(luò)是兩臺(tái)核心交換機(jī)、單臺(tái)出口防火墻情況下，AC用雙網(wǎng)橋；第14頁(yè)/共30頁(yè)典型部署模式與配置第15頁(yè)/共30頁(yè)典型部署模式與配置網(wǎng)橋模式配置思路網(wǎng)橋模式部署時(shí)需要考慮AC串接在前面防火墻和下面的核心交換機(jī)之間網(wǎng)段是否存在空閑的主機(jī)IP地址，如果有則分配一個(gè)該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒(méi)有空閑IP的話則配置管理口（DMZ）進(jìn)行管理。第16頁(yè)/共30頁(yè)典型部署模式與配置

網(wǎng)橋模式配置截圖第17頁(yè)/共30頁(yè)典型部署模式與配置

旁路模式_部署指導(dǎo)1、旁路模式是所有部署模式中最簡(jiǎn)單的一種，但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過(guò)濾時(shí)，可以考慮此種部署方式，常見(jiàn)于高校、大型國(guó)有企業(yè)專門用于AC作審計(jì)；2、旁路部署時(shí)一般設(shè)備是接在核心交換機(jī)上，核心交換機(jī)通過(guò)將鏡像功能將需要審計(jì)的流量鏡像過(guò)來(lái)；3、管理時(shí)采用管理口（DMZ）配置IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽(tīng)口，可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽(tīng)口，監(jiān)聽(tīng)口無(wú)需任何配置的。第18頁(yè)/共30頁(yè)典型部署模式與配置第19頁(yè)/共30頁(yè)典型部署模式與配置旁路模式部署配置思路1、一般AC旁路接在核心交換機(jī)的鏡像口上，核心交換機(jī)需要將上下行流量鏡像到AC過(guò)來(lái)。2、旁路模式部署時(shí)必須配置管理口IP地址進(jìn)行管理，可以分配內(nèi)網(wǎng)任意網(wǎng)段空閑IP地址進(jìn)行管理，監(jiān)聽(tīng)口可以接任意網(wǎng)口（除了配置為管理口接口之外），可以同時(shí)接多個(gè)進(jìn)行監(jiān)聽(tīng)。3、需要確認(rèn)內(nèi)網(wǎng)所有需要進(jìn)行審計(jì)的內(nèi)網(wǎng)網(wǎng)段（監(jiān)控網(wǎng)段），需要確認(rèn)內(nèi)網(wǎng)是否有服務(wù)器提供訪問(wèn)時(shí)需要也進(jìn)行記錄。4、管理口不僅用于管理，還用于包括和外置數(shù)據(jù)中心同步、作TCP控制時(shí)發(fā)reset包使用。第20頁(yè)/共30頁(yè)典型部署模式與配置旁路模式配置截圖第21頁(yè)/共30頁(yè)防DOS攻擊功能簡(jiǎn)介及配置防DOS攻擊功能介紹1、防DOS攻擊是設(shè)備對(duì)于DOS攻擊的防護(hù)作用，通過(guò)設(shè)備能夠阻止此類攻擊，不僅能夠阻止對(duì)設(shè)備本身的攻擊、也可以阻止內(nèi)網(wǎng)某些PC對(duì)外網(wǎng)發(fā)起的攻擊。2、DOS攻擊常見(jiàn)類型有：?jiǎn)蝹€(gè)主機(jī)IP對(duì)某個(gè)目標(biāo)IP發(fā)起大量的TCP連接握手、單個(gè)IP對(duì)某個(gè)目標(biāo)IP發(fā)送大量的小包。3、防DOS攻擊配置建議：建議如果客戶對(duì)安全方面有要求的話可以啟用，但需要謹(jǐn)慎配置；如果客戶網(wǎng)絡(luò)中已有安全防護(hù)設(shè)備，并且客戶不關(guān)注設(shè)備此功能，則不建議在設(shè)備上配置該功能。第22頁(yè)/共30頁(yè)防DOS攻擊功能簡(jiǎn)介及配置防DOS攻擊配置1、內(nèi)網(wǎng)網(wǎng)段要么留空，要配置則必須完整將內(nèi)網(wǎng)所有網(wǎng)段填寫完整，否則少填的網(wǎng)段將會(huì)無(wú)法上網(wǎng)。2、如果內(nèi)網(wǎng)是三層交換機(jī)多網(wǎng)段環(huán)境，則左圖中紅色框選項(xiàng)一定不能勾選，如果內(nèi)網(wǎng)是二層交換機(jī)單網(wǎng)段環(huán)境，可以勾選此項(xiàng)，不勾選也不會(huì)產(chǎn)生影響。3、下面三個(gè)配置參數(shù)建議使用默認(rèn)配置即可。如果內(nèi)網(wǎng)用戶使用電驢，迅雷等下載軟件下載，可適當(dāng)增大“最大攻擊包次數(shù)”，避免出現(xiàn)誤判。第23頁(yè)/共30頁(yè)練練手情景1客戶原有網(wǎng)絡(luò)已經(jīng)在出口位置部署了一臺(tái)防火墻，下接三層交換機(jī)，現(xiàn)在購(gòu)買了一臺(tái)AC，客戶需要實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁(yè)過(guò)濾等功能，請(qǐng)問(wèn)根據(jù)這樣需求AC應(yīng)該如何部署對(duì)客戶是最合適的？請(qǐng)根據(jù)左邊拓?fù)鋱D對(duì)設(shè)備工作模式實(shí)際動(dòng)手配置一下，完成設(shè)備部署第24頁(yè)/共30頁(yè)練練手情景2客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的原因，客戶想購(gòu)買一臺(tái)AC替換掉原有防火墻，請(qǐng)根據(jù)圖示拓?fù)湫畔?shí)際動(dòng)手配置一下，完成設(shè)備部署。第25頁(yè)/共30頁(yè)練練手情景3某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對(duì)內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計(jì)、URL過(guò)濾這兩個(gè)功能需求，并且要求對(duì)提供內(nèi)外網(wǎng)訪問(wèn)的WEBSERVER訪問(wèn)時(shí)進(jìn)行記錄，請(qǐng)根據(jù)客戶的實(shí)際網(wǎng)絡(luò)討論以哪種部署方式最適合客戶的部署，并實(shí)際動(dòng)手完成配置部署。第26頁(yè)/共30頁(yè)練練手情景4客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶需要AC實(shí)現(xiàn)審計(jì)、P2P管控等功能，請(qǐng)問(wèn)AC該如何部署即能夠滿足客戶的需求，而客戶原有的網(wǎng)絡(luò)又不需要作任何的改動(dòng)。