上网行为管理部署方案培训.解析.ppt

SANGFOR AC 部署模式介绍 深信服公司简介 典型部署模式与配置 其它功能介绍 SANGFOR AC 访问控制 防DOS攻击功能简介及配置 防DOS攻击功能介绍 1、防DOS攻击是设备对于DOS攻击的防护作用，通过设备能够阻止此类攻击，不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。 2、DOS攻击常见类型有：单个主机IP对某个目标IP发起大量的TCP连接握手、单个IP对某个目标IP发送大量的小包。 3、防DOS攻击配置建议：建议如果客户对安全方面有要求的话可以启用，但需要谨慎配置；如果客户网络中已有安全防护设备，并且客户不关注设备此功能，则不建议在设备上配置该功能。 防DOS攻击功能简介及配置 * 1、最多可以设置16级组，其中包括根组。 * 1、登录名：用户认证时的用户名。 显示名：在在线列表等地方配合登录名显示用户另一个描述名称。 * 1、注意：控制台用户权限对移动的限制。 * 1、”策略叠加时，缺省动作以此条为准，还是继续往下匹配“，注意此项的使用，一般是勾选上，继续往下匹配。 * 1、没有缺省允许，缺省拒绝，关键字只有拒绝的动作，没有设置的关键字是不做控制的。 * * 1、应用审计，没有叠加的概念，只要用户组关联的策略中有一条是勾选记录的，那么就可以记录 * 理解一个连接的概念 * 1、每个用户或用户组最多可以关联十条策略。 * 1、理解这样设计的原因。 3.2.1、上网权限 a、应用服务控制：根据分析数据包特征字段，获取应用类型，内置大量规则，由研发根据目前常见应用分析出来的，并会进行实时更新。 选择应用类型 对应用类型下的子类进行选择 细分子类应用类型 应用类型 应用名称 规则名称 策略匹配顺序：由上至下，当涉及相同的规则时，注意将较细的规则放在前面。 策略叠加时，缺省动作以此条为准，还是继续往下匹配，如果以此条为准，则执行缺省动作，下面策略中的应用服务控制不再匹配到了 3.2、上网策略管理-策略对象设置 3.2.1、上网权限 b、网络服务控制：根据目标IP、端口和时间来控制上网数据。 功能和前面类似，不再赘述。 功能和前面类似，不再赘述。 3.2、上网策略管理-策略对象设置 3.2.1、上网权限 c、高级配置： 检测代理数据，控制是否可以使用代理上网 识别某些使用http和SSL标准端口的非标准协议，例如QQ等。 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤：对访问网页的URL进行过滤，内置研发收集的URL库，并可以进行定时更新。 b、关键字过滤：拒绝某些在搜索引擎或通过http协议上传的关键字。 c、文件类型过滤：拒绝通过http或FTP下载和上传的文件类型。 d、SSL控制：通过证书控制，保证访问SSL协议的安全性。 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤：根据访问网页的URL进行过滤 策略叠加时，缺省动作以此条为准，还是继续往下匹配，如果以此条为准，则执行缺省动作，下面策略中的URL控制不再匹配到了 URL组 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 a、URL过滤：URL组设置（自定义URL组过滤） 内置URL由研发收集并提供网上定时更新，内置URL无法编辑，导出等操作 用户根据自身情况自定义URL组 查询内置和外置url，不支持模糊查询 支持一级通配符 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 b、关键字过滤： 搜索引擎：对知名搜索引擎上搜索关键字进行控制 HTTP上传：对通过HTTP协议上传的其他关键字进行控制，包括发贴、webmail等。 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 b、关键字过滤：关键字组设置 关键字：一行一个，不支持通配符和权重等。 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤： 过滤通过HTTP协议上传和下载的文件类型 勾选是否同时适用于FTP传输的文件类型 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 c、文件类型过滤：文件类型组设置 根据文件后缀名进行控制 3.2、上网策略管理-策略对象设置 3.2.2、网页过滤 d、SSL控制 SSL证书的颁发机构 受信任的根证书，应用于证书链控制 导入受信任的根证书 3.2、上网策略管理-策略对象设置 3.2.3、邮件过滤 邮件过滤用于过滤使用SMTP和POP3协议收发的邮件，对webmail无效。 发邮件 收邮件 3.2、上网策略管理-策略对象设置 3.2.3、邮件过滤 邮件延迟审计：设置策略，将匹配条件的邮件，延迟发送，AC通知管理员查看审核此邮件，由管理员决定是否将此邮件发出，还是删除不发送。 3.2、上网策略管理-策略对象设置 3