行为流控准入网关技术培训.ppt

快速安装配置---桥模式 快速安装配置---路由模式 快速安装配置---路由模式---ADSL 快速安装配置---多链路负载均衡① 快速安装配置---多链路负载均衡② 快速安装配置---网通电信双链路① 快速安装配置---网通电信双链路② 快速安装配置---自动地址转换 快速安装配置---手动地址转换 串口配置---串口参数设置 串口配置---命令集① 串口配置---命令集② 端口对象的查找与定义 IPSEC VPN---共享密钥或证书 防火墙A增加隧道策略 防火墙B增加隧道策略（与A相反） 防火墙A、B隧道加密策略保持一致 准入网关与内网结合部署拓朴 准入工作原理 安全准入网关设置 安全准入---客户端弹出警告 安全准入外部开关模式 实名上网客户修改密码 实名上网对应日志实名 PPPOE服务参数设置 PPPOE用户管理 PPPOE客户端设置 PPPOE客户端设置 策略导入 策略导出 防火墙时间设置 防火墙DNS设置 动态域名设置 系统用户及管理用户地址限制 系统缺省安全策略 系统保护策略 应用路由调度 系统数据升级 端口映射 操作： 1 、【主界面】?快捷方式【服务】 ?【端口映射】 端口可以支持端口范围 外网接口地址是DHCP自动获得或ADSL动态地址时，此处打勾 地址映射 操作： 1 、【主界面】?快捷方式【服务】 ?【地址映射】 一个外网地址与一个内网地址对应，所有发到此外网地址的包均转发到内网这个IP上 WEB跳转 操作： 1 、【主界面】?快捷方式【服务】 ?【WEB跳转】 不同的域名解析不同运营商的外网IP地址，当外网用户通过浏览器输入域名访问WEB网站时，在IE的URL栏，会根据访问端在那一个运营商环境就自动跳转到其对应的域名 此处端口号不填为任意端口触发 出口路径设置 操作： 1 、【主界面】?快捷方式【策略】 ?【出口路径设置】 当有多个外网接口时，内部WEB服务器返回数据包，可通过此设置，强制其走指定的接口线路 13、日志的设置和分析 日志参数设置 日志的导出 审计报表 日志参数设置 操作： 1 、【日志主界面】?【系统设置】 2 、 日志接收端需要常开，在防火墙端内存开20M访问日志存储空间，如空间满后，后面的日志都覆盖前面的日志。如日志客户端与防火墙连接，防火墙端内存内的访问日志被存储到日志客户端的数据库中，日志客户端可设置本地数据库最大记录数，满最大记录数可把最早一天数据存储成文本文件，然后本地数据库清除最早一天数据，以保证本地日志数据库大小不会无限增长。 当访问日志数据大于最大记录数时，日志管理软件将自动把数据库中记录的最前一天的数据导出到备份路径下的自动生成文本文件(文件名为当天的日期)，并删除数据库中当天的数据 缺省情况使用的是ACCESS数据库，其文件最大为2G。 使用SQL SERVER记录日志，首先需要在数据库建立数据库netmoon,并建立相关的表，具体操作参见管理员手册 日志的导出 操作： 1 、【日志主界面】?快捷方式【导出】 此处打勾，导出后，数据库中相应的数据清空。 审计报表 操作： 1 、【日志主界面】?快捷方式【报表】 14、安全准入设置 准入拓朴图及原理 安全准入服务参数设置 安全准入客户端 互联网 路由器 安全准入控制网关 关键服务器 OA、文件服务器等 内网终端管理服务器 安装接入控制代理软件 注意： 1、准入网关部署在内网客户端出外网或去关键服务器的必经之路 2、一般使用透明桥模式，也可以采用路由模式 3、准入网关有二种方式获得允许客户端的列表：①客户端与网关直接通讯模式 ②通过外部准入开关模式 1. 在路由器或关键服务器与交换机之间安装安全准入网关，以透明的桥模式部署，它支持硬件BYPASS功能，即断电直通功能。 2. 在安全准入网关做相关安全准入策略： ■ 准入软件缺省安装网页：可放在内网，也可放在外网。 ■ 检测时排除如下源地址：某些IP地址无需安装终端管理客户端也能通过。 ■ 检测时排除如下服务地址：不装终端管理客户端，也可访问指定的IP地址的服务器 3. 安全准入网关定时与安装在内网终端管理服务器上的安装准入控制代理进程进行通迅，实时交换刷新当前在线用户列表信息（IP地址，MAC地址等） 4. 内网终端用户开机,打开浏览器上网或通过浏览器访问内网关键服务器相关应用。当终端的数据包经过安全准入网关，触发安全准入检查，判断该用户在终端管理数据库中是否是在线状态，如果是在线状态，安全准入控制网关会放行来自内网终端的数据包，如果在线用户数据表中不是在线状态或根本查不到相关数据，即自动转入设定好的内网终端管理软件的安装网页，强行要求终端安装内网客户端。 5. 强行安装完客户端后，并且在安装准入控制代理中已经显示在线后，