SANGFORAC2010年度渠道培训04其它功能介绍20100201.ppt

9、产品通用功能防火墙功能（防火墙规则） 防火墙规则是每种应用在各方向转发的开关，保证电脑通过AC可以上网，必须放通lan-wan方向规则，如上图。 9、产品通用功能防火墙功能（NAT规则设置） NAT规则设置包括代理上网规则设置和端口映射规则设置 代理上网规则设置 9、产品通用功能防火墙功能（NAT规则设置） 设置代理上网的条件 端口映射规则设置 9、产品通用功能防火墙功能（NAT规则设置） PS：特殊端口映射应用（见lan-lan端口映射操作文档） 设置端口映射的条件 9、产品通用功能DHCP功能 指定DHCP服务接口，支持多个接口同时启用dhcp服务。 DHCP地址池 指定固定IP地址分配给固定电脑使用 谢 谢* * * * * * * * SINFOR TECHNOLOGIES CO.,LTD. Page* AC其它功能 AC其它功能 1、策略路由 2、防DOS攻击 3、网络准入系统 4、ARP欺骗防护 5、上网加速 6、网关杀毒 7、集中管理 8、页面定制 9、产品通用功能 1、策略路由 策略路由用于设备有多线路的情况。根据源IP、目标IP、源端口、目标端口和协议条件设置符合此条件的数据包走指定线路出去，实现自动选路功能。主要应用在设备有不同ISP的线路，实现访问各自的网站选择同一运营商的线路去访问，达到最快访问速度。 例：客户有两条线路，线路1为电信线路，线路2 为网通线路，客户需要实现访问电信网站5走线路出去，访问网通网站6走线路2出去 电信线路 网通线路 2、防DOS攻击 填写内网网段列表 填写内网路由器IP 填写内不需要DOS防御的IP DOS防御的条件和封锁时间 中毒机器向服务器发起大量攻击包，消耗服务器资源，使用PC发到服务器的正常请求得不到响应，从而导致应用中断。 3、网络准入系统 用户上网前准入客户端软件通过校验电脑是否符合管理员设置的安全要求，只有满足要求的电脑才可以上网，不满足的电脑则执行相应的动作（停止进程，拒绝上网等）。 准入规则包括内置规则和用户自定义规则，内置规则可以在线自动更新；用户也可以根据需要自定义规则。 内置规则库 3、网络准入系统(续) 用户自定义规则：用户自定义规则类型有操作系统、进程、文件、注册表、任务计划和其它 依次点击：对象设置准入规则设置新增，如下图： 操作系统类别规则可以设置禁止内网没有打相应补丁包的操作系统上网，保证内网电脑上网的安全性。 进程类规则可以设置不允许系统运行指定进程名程序，如图是禁止客户使用QQ。除了根据进程名，还可以根据窗口名，程序md5或文件大小为条件设置规则。 通过文件类规则可以设置是否允许客户端电脑存在指定的文件，一般用于判断杀毒软件是否有更新。 通过注册表类规则设置电脑中是否含有指定的项，如果没有，则招行添加此项等相关操作。 任务计划规则类别和客户程序结合使用，一般用于客户需要通过准入定期来执行自己的程序或脚本文件，AC通过执行程序或脚本返回的结果采取相关操作 为了安全起见，禁止客户以admin身份上网 三层环境同时绑定Ip/mac 网络准入系统常见两大应用：监控加密的聊天内容及arp欺骗防护 例：监控QQ聊天内容，QQ聊天内容是加密的，需要借助准入的支持。 第一步：建立策略监控QQ聊天内容 第二步：将监控QQ聊天内容应用到需要监控的组或用户 启用准入规则后首次上网会弹出如图所示准入在线安装页面，进行在线安装。 第三步：查询QQ聊天日志 4、ARP欺骗防护 中毒的电脑不停地向内网arp欺骗广播包，骗取内网电脑正常通讯的数据包，干扰内网电脑间通讯，导致内网电脑通讯不正常。 欺骗PC 正常情况下 中毒PC 非正常情况下 欺骗网关 正常情况下 中毒PC 非正常情况下 4、ARP欺骗防护(续) AC设备防止ARP欺骗原理 (1)、防止设备本身被欺骗： a、设备本身不接爱不请自来的arp广播包，认为此为攻击包。 b、设备只接爱请求一次回复一次的arp广播包，认为回复多次都为攻击。 （2）防止客户端电脑被欺骗 通过准入客户端程序在客户端PC上静态绑定电脑网关的IP和MAC。如下图 例：AC做网关，lan口IP地址为，客户需求AC能够解决内网arp欺骗问题。 第一步：启用AC设备上arp欺骗防护设置 填写PC网关的ip和mac，如果电脑的网关为我们设备，也可以不填。 第二步：建立上网策略arp欺骗防护策略 Arp欺骗防护功能需要准入支持，可以任意启用一条准入规则。 第三步：将新建的arp欺骗防护策略和需要启用arp防护功能的用户或组关联 此时在客户端电脑上可以看到准入客户端已安装到PC上，有arpguard.exe,zrupdate.exe等进程生成。 5、上网加速