ICG-002-ICG5.5系统参数配置.ppt

* * * * * * * * * * * * * * * Page * ICG 产品知识系列培训系统参数的配置 Page * 培训提纲 序号 培训要点 说明 销售 要掌握的部分 无 技术人员需要掌握的部分 1 HTTP引擎 了解参数机制，掌握如何恰当的配置【技术】 2 WEB记录等级 3 透明模式 4 流量及连接信息设置 5 外部代理配置 6 DHCP配置 7 硬件Bypass设置 8 STP配置 9 URL过滤 10 SNMP配置 Page * ICG产品系统参数 “系统管理” －“系统配置” －“系统参数”，集合了ICG产品功能特性的开关 1 2 3 4 5 6 7 10 8 9 Page * HTTP引擎 功能说明： 1）启动过滤：系统默认状态，所有的网络应用将根据设置的策略进行过滤； 2）停止过滤：停用所有的策略，相当于启动软件Bypass，但不是硬件bypass。可用于定位网络问题是否由策略或设备导致； 3）重新载入配置文件：相当于立即生效，重新载入并生效的配置包括：策略、管理员信息、和引擎运行所需要的一些基本配置； ICG的核心部件，策略是否生效都是由引擎来控制 HTTP引擎－工作机理 HTTP引擎在网桥、网关接入时有两种工作模式可选，分别的工作机理如下图： 入网口 出网口 引擎串接模式 引擎旁路模式 HTTP报文 HTTP引擎 （代理转发） 非HTTP报文 应用控制审计 协议识别 入网口 出网口 HTTP报文 HTTP引擎 （旁路监控） 非HTTP报文 应用控制审计 协议识别 Page * HTTP引擎－高级配置 高级配置功能说明： 1）串接模式：引擎接管HTTP数据包（非HTTP报文不关注）进行拆解－封包－转发，因此审计完备性好，但在大吞吐量环境下，产生较大的性能压力较高； 2）旁路模式：引擎不接管报文，仅通过旁观的方式抓包进行分析，系统处理效率高，适合大吞吐量的环境； 3）旁路模式的局限性：大吞吐量环境下审计完备性降低；只能用默认的违规提示页面，不支持个性化定制； 提示： 1）切换引擎工作方式可能引起网络暂时中断；2）设备出厂的默认工作方式是网桥－引擎旁路模式； 3）HTTP引擎停止过滤将停用所有的策略，包括应用、流量、网页、审计策略，相当于启动软件Bypass； 4）网关接入时，也可以使用串接模式或旁路模式； Page * ICG产品系统参数 “系统管理” －“系统配置” －“系统参数”，集合了ICG产品功能特性的开关 1 2 3 4 5 6 7 10 8 9 Page * 透明模式 提示： 1）透明模式只在网桥接入时可用； 2）在网关模式下虽然可以将之开启/关闭，但实际是无效的。网关模式下需要路由转发，因此一定是使用ICG的IP地址作为源IP，即非透明。 功能说明： HTTP引擎串接模式下，HTTP数据包将被拆解后重新打包。 使用此参数，可以控制新HTTP数据包的源IP 是否恢复成 内网用户的IP（开启透明模式） 或使用ICG的IP地址作为源IP（关闭透明模式） Page * 透明模式 常见问题： ICG配置成引擎串接模式，此时如果将ICG的外网口连接到防火墙或防病毒网关，那么可能会有异常发生，甚至断网。 原因：举例 A主机的HTTP数据包经过ICG，MAC地址改变，在防火墙上记录（IP_A , MAC_ICG）， A主机的其他数据包经过ICG，MAC地址不变，会在防火墙上记录（IP_A，MAC_X），导致被识别成异常行为，将数据包阻断。 有两个解决办法：1）关闭透明模式；2）改变拓扑，让用户的流量先经过防火墙，再通过ICG 数据包源IP、MAC地址变化对照表： 引擎串接 引擎旁路 开启 透明模式 HTTP数据包 IP： 不变 MAC：ICG的 HTTP数据包 IP： 不变 MAC： 不变 其他数据包 IP： 不变 MAC： 不变 其他数据包 IP： 不变 MAC： 不变 关闭 透明模式 HTTP数据包 IP： ICG的 MAC： ICG的 无此配置 其他数据包 IP： 不变 MAC： 不变 Page * ICG产品系统参数 “系统管理” －“系统配置” －“系统参数”，集合了ICG产品功能特性的开关 1 2 3 4 5 6 7 10 8 9 Page * 外部代理配置 功能说明： 1）仅在ICG的引擎配置成串接模式时，此参数才有意义； 原理：ICG负责报文转发，DPI模块无法PC的SYN请求判断出报文属于HTTP协议，HTTP引擎又需要收到此报文，因此需要此处填入Proxy的端口，以标识出8080端口的报文属于HTTP报文。 2）引擎旁路时，此参数可以忽略不做配置； 原理