SANGFOR ACSG v11度渠道初级认证培训10 终端接入管理.ppt

这种日志就是说被代理工具模块丢包，以下是丢包方式： rejected 值为1 被惩罚用户的禁止上网丢包 reminded 值为1 提醒页面重定向丢包 limit 值为1 被惩罚用户流控惩罚通道丢包 blocked 值为1 封堵代理工具拒绝，后面的block_id是匹配到的拒绝策略 上网故障排除 注意事项 1.对象定义的应用智能识别库中，去掉“无界浏览、自由门（加密）”这一项；但是[终端接入管理]-[代理工具模块]与[策略管理]-[上网权限策略]-[应用控制]的代理工具相互独立，即在上网策略也可封堵代理工具，但是效果不佳。 2.代理工具模块支持全局排除IP，即IP被全局排除后，代理工具模块不生效。 3.代理工具模块支持直通Droplist，会打印丢包日志。 4.高可用性与SC环境支持代理工具功能。 5.支持路由与网桥模式下使用代理工具功能；旁路和单臂模式不支持。 8.内网环境有NAT，误判会较高。 7.使用内网DNS服务器，即DNS请求不过AC/SG设备情景，不支持。 8.SG开启http、sock4、sock5代理功能设备不支持代理工具功能。 9.设备需要更新地址列表，需保持设备可以联网。 练练手 　动手搭建共享上网环境，测试共享接入管理识别封堵效果 深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料！ 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ * 培训内容 培训目标 共享接入管理 1、了解共享接入管理适用场景 2、掌握共享接入管理配置方法，能根据实际场景测试并达到效果 移动终端管理 1、了解移动终端管理适用场景 2、掌握移动终端管理配置方法，能根据实际场景测试并达到效果 代理工具管理 1、了解代理工具管理的适用场景 2、掌握代理工具管理的配置方法，能根据实际场景测试并达到效果 1 2 3 共享接入管理 移动终端管理 Contents 代理工具管理 共享接入管理介绍 企业和高校等客户经常出现如下几种共享上网场景 电脑IP1和IP2通过proxy代理上网 电脑接入随身wifi（如360随身wifi）， 终端通过随身wifi共享上网。 共享接入管理介绍 内网私接路由器，终端通过路由器NAT上网场景 上述三种通过共享上网的场景，使得共享上网的电脑绕过了管控，管理出现混乱。AC共享接入管理主要是为了解决这些共享上网的场景，能够对通过共享上网的电脑做到识别或识别并封堵。 共享接入管理配置 场景一：企业经常会用360wifi等随身wifi，可以共享给任何终端接入，要做到防止任何终端共享接入。企业防共享一般按如下图设置，统计方式选择“统计所有终端类型”，冻结选项选择“冻结IP地址”。 配置自动冻结条件，如果不启用，则只识别不冻结 场景二：高校和运营商经常是PPPoE拨号上网场景，为了避免重新拨号ip变化后还可以共享给他人上网，所以冻结选项选择“冻结用户名”。 共享接入管理配置 共享接入管理配置 共享上网的两个或两个以上终端（PC或移动端）持续打开任意网页，5分钟内被识别封堵，并且终端提示如下： 共享接入管理日志 共享状态列表显示近期被发现共享上网的用户及其状态 共享接入管理日志 注意 共享接入管理是全局开关，开启后，只要识别为共享行为的，会统一处理（如封堵），如果有个别用户是允许共享上网的，应该怎样处理？可以通过下面的方法将例外用户或IP地址添加至信任列表。信任列表中的用户不作处理。 注意 11.0版本支持的共享接入管理场景如下 场景 是否支持识别并封堵 2台及以上windows pc共享上网 是 windows pc和移动端(如ios，android) 是 不同类型的移动端(如ios和android) 是 mac pc和移动端(如ios，android) 是 1 2 3 共享接入管理 移动终端管理 Contents 代理工具管理 移动终端管理介绍 由于平板电脑、手机等智能终端的流行和他们本身只能采用无线网络，员工可能自己拿一些无线AP接入公司有线网络，无线终端（如手机）再通过无线AP接入公司网络。这样可能导致内网暴露，信息安全遭受威胁。移动终端管理，能够识别无线智能终端的接入，防范无线智能终端设备接入带来的安全风险。 移动终端管理配置 发现移动终端后的操作，如果不选冻结上网，则只识别记录日志。 移动终端管理配置 配置完成后，当有移动终端流量接入并经过AC时，会被AC识别并拦截，且终端提示如下 注意 移动终端管理是全局开关，开启后，只要识别为共享行为的，会统一处理（如封堵），如果有个别用户是允许接入移动终端，应该怎样处理？可以通过下面的方法将例外用户或IP地址添加至信任列表。信任列表中的用户不作处理。 注意 发现移动端的操作可以设置为发送告警邮件通知管理员。