AC其它功能模块.pptVIP

9、产品通用功能防火墙功能（NAT规则设置） NAT规则设置包括代理上网规则设置和端口映射规则设置 代理上网规则设置 9、产品通用功能防火墙功能（NAT规则设置） 端口映射规则设置 9、产品通用功能防火墙功能（NAT规则设置） PS：特殊端口映射应用（见lan-lan端口映射操作文档） SINFOR TECHNOLOGIES CO.,LTD. Page* AC其它功能模块 AC其它功能模块 1、策略路由 2、防DOS攻击 3、网络准入系统 4、ARP欺骗防护 5、网关杀毒 6、入侵防御系统 7、垃圾邮件过滤 8、页面定制 9、产品通用功能 1、策略路由 策略路由用于设备有多线路的情况。根据源IP、目标IP、源端口、目标端口和协议条件设置符合此条件的数据包走指定线路出去，实现自动选路功能。主要应用在设备有不同ISP的线路，实现访问各自的网站选择同一运营商的线路去访问，达到最快访问速度。 例：客户有两条线路，线路1为电信线路，线路2 为网通线路，客户需要实现访问电信网站5走线路出去，访问网通网站6走线路2出去 电信线路 网通线路 2、防DOS攻击 填写内网网段列表 填写内网路由器IP 填写内不需要DOS防御的IP DOS防御的条件和封锁时间 中毒机器向服务器发起大量攻击包，消耗服务器资源，使用PC发到服务器的正常请求得不到响应，从而导致应用中断。 3、网络准入系统 用户上网前准入客户端软件通过校验电脑是否符合管理员设置的安全要求，只有满足要求的电脑才可以上网，不满足的电脑则执行相应的动作（停止进程，拒绝上网等）。 准入规则包括内置规则和用户自定义规则，内置规则可以在线自动更新；用户也可以根据需要自定义规则。 内置规则库 3、网络准入系统(续) 用户自定义规则：用户自定义规则类型有操作系统、进程、文件、注册表和其它 操作系统类别规则可以设置禁止内网没有打相应补丁包的操作系统上网，保证内网电脑上网的安全性。 进程类规则可以设置不允许系统运行指定进程名程序，如图是禁止客户使用QQ 通过文件类规则可以设置是否允许客户端电脑存在指定的文件及采用的操作。 通过注册表类规则设置是否允许电脑注册表内含有指定项的注册表信息及采取的操作 其它类规则一般应用在跨三层ip/mac绑定的情况 注：监控加密的IM聊天内容、跨三层ip/mac绑定和arp欺骗防护三种应用需要借助准入规则的支持。 例：监控QQ聊天内容，QQ聊天内容是加密的，需要借助准入的支持。 第一步：建立策略监控QQ聊天内容（内置规则） 第二步：将监控QQ聊天内容应用到需要监控的组或用户 启用准入规则后首次上网会弹出如图所示准入在线安装页面，进行在线安装。 第三步：查询QQ聊天日志 4、ARP欺骗防护 中毒的电脑不停地向内网arp欺骗广播包，骗取内网电脑正常通讯的数据包，干扰内网电脑间通讯，导致内网电脑通讯不正常。 欺骗PC 正常情况下 中毒PC 非正常情况下 欺骗网关 正常情况下 中毒PC 非正常情况下 4、ARP欺骗防护(续) AC设备防止ARP欺骗原理 (1)、防止设备本身被欺骗： a、设备本身不接爱不请自来的arp广播包，认为此为攻击包。 b、设备只接爱请求一次回复一次的arp广播包，认为回复多次都为攻击。 （2）防止客户端电脑被欺骗 通过准入客户端程序在客户端PC上静态绑定电脑网关的IP和MAC。如下图 例：AC做网关，lan口IP地址为，客户需求AC能够解决内网arp欺骗问题。 第一步：启用AC设备上arp欺骗防护设置 填写PC网关的ip和mac，如果电脑的网关为我们设备，也可以不填。 第二步：建立上网策略arp欺骗防护策略 Arp欺骗防护功能需要准入支持，可以任意启用一条准入规则。 第三步：将新建的arp欺骗防护策略和需要启用arp防护功能的用户或组关联 此时在客户端电脑上可以看到准入客户端已安装到PC上，有arpguard.exe,zrupdate.exe等进程生成。 5、网关杀毒 网关杀毒需要单独授权开放，实现在线自动更新病毒库，对http、ftp、pop3和smtp四种协议进行杀毒 其中pop3、smtp是代理杀毒，如果启用，设备开直通对其无效。 如果PC杀毒软件病毒库更新不了，建议将更新地址填到不需要杀毒网站列表。 6、入侵防御系统 开启ips功能，建议客户只开启高防御级别，中、低防御级别容易使正常的应用被误判 选择防御方向，建议对内网服务器所在区域防御。 6、入侵防御系统(续) 入侵防御系统需要通过多功能序列号激活，未激活状态下不显示此项。设备自带内置规则库，自动在线更新 注：需要通过多功能序列号激活的模块还有应用审计，垃圾邮件过滤，vpn，DKEY登陆查询 7、垃圾邮件过滤 在AC上设置垃圾邮件的条件，对于接