AGX上网行为管理流控墙

1、PM-081120-01-01-081120-SCAceNet Technology, Inc.4677 Old Ironsides Dr., Suite 438Santa Clara, CA 95054, USAhttp:/www.AceNetTCopyright 2008. All rights reserved.USA管理方式管理方式 WEB WEB 管理管理u HTTP (port: 9090)HTTP (port: 9090)u HTTPS (port: 9090, HTTPS (port: 9090, 默认默认) )CLI CLI 管理管理u Console (Console (波

2、特率波特率: 115200): 115200)u SSH (port: 2222, SSH (port: 2222, 默认默认) )u Telnet (port: 2323) Telnet (port: 2323)USAWEB 登录登录u启动 IE浏览器，在地址栏中输入 :9090, 则弹出登录对话框，提示输入用户名和密码(默认用户名:root, 密码: Login*PWD)USAWEB 管理首页管理首页USA系统升级系统升级u升级升级AGX AGX 的系统文件，可以升级的系统文件包括：系统版本、应用特的系统文件，可以升级的系统文件包括：系统版本、应用特征库

3、、征库、URLURL库、库、ISPISP自动地址表以及授权档案。自动地址表以及授权档案。USA工作模式工作模式u网桥模式网桥模式 网桥模式是把网桥模式是把 AGX AGX 视为一部带过滤功能的透明设备使用，把视为一部带过滤功能的透明设备使用，把 AGX AGX 接在原有网关及内接在原有网关及内网用户之间，不用更改网络拓扑结构和配置，这种模式于用户可以做到完全网用户之间，不用更改网络拓扑结构和配置，这种模式于用户可以做到完全“透明透明” 单网桥模式单网桥模式多网桥模式多网桥模式USA工作模式工作模式u网桥模式配置网桥模式配置 可以把设备设定为单网桥、多网桥；预设为单网桥模式，可以把设备设定为单网

4、桥、多网桥；预设为单网桥模式，LAN1和和WAN1口口为一对桥、为一对桥、LAN2和和WAN2口为一对桥。当设备透明上线时，只需要将上下口为一对桥。当设备透明上线时，只需要将上下联设备分别对接到一组桥上，上联设备对接联设备分别对接到一组桥上，上联设备对接WAN口、下联设备对接口、下联设备对接LAN口。口。用户可根据网络中的实际情况选择。网桥模式时，用户可根据网络中的实际情况选择。网桥模式时，AGX支持支持 VLAN TRUNK穿透，穿透，AGX可以透明接在可以透明接在 VLAN TRUNK的主干道上。的主干道上。注意：当改变工作模式时，设备会重启并且配置将被清空注意：当改变工作模式时，设备会重

5、启并且配置将被清空USA工作模式工作模式u路由模式路由模式 路由模式的路由模式的每个实体接口可以工作在不同的子网中，使每个实体接口可以工作在不同的子网中，使LANLAN与与InternetInternet之间之间建立一个安全网关建立一个安全网关，也可把也可把AGX AGX 放在网关设备后面，代理局域网上网放在网关设备后面，代理局域网上网 单链路模式多链路模式USA工作模式工作模式u路由模式配置路由模式配置 1. 配置接口配置接口IP地址地址 2. 配置路由配置路由 3. 配置内网代理的地址转换配置内网代理的地址转换 4. 配置内网服务器的一对一地址转换或者基于端口映射配置内网服务器的一对一地址

6、转换或者基于端口映射USA路由路由u路由类型路由类型 静态路由静态路由 策略路由策略路由u路由优先级路由优先级 直连路由直连路由策略路由策略路由 静态路由静态路由u静态路由配置静态路由配置USA策略路由策略路由u简介简介 传统路由是根据报文的目的地址来寻路，而策略路由可以根据以下传统路由是根据报文的目的地址来寻路，而策略路由可以根据以下内容来选择转发路径：内容来选择转发路径： 目的目的IPIP 源源IPIP 协议类型协议类型 协议端口号协议端口号 网关类型（网关类型（IP IP 或者或者 PPPOEPPPOE） 链路下行带宽链路下行带宽u功能类型：功能类型： 链路均衡链路均衡 链路备份链路备份

7、USA安全策略安全策略u安全策略定义了对封包的控制策略；可以通过指定封包的源地址、安全策略定义了对封包的控制策略；可以通过指定封包的源地址、目的地址、服务、时间段等参数来控制信息流。匹配条件：目的地址、服务、时间段等参数来控制信息流。匹配条件： 1. 策略方向策略方向2. 源地址源地址/地址簿地址簿3. 目的地址目的地址/地址簿地址簿4. 服务服务5. 生效时间生效时间6. 动作动作7. 状态状态 USA安全策略安全策略u匹配原则匹配原则 1.1.策略规则遵循从按顺序从前往后匹配的原则，如果一个规则匹配了，策略规则遵循从按顺序从前往后匹配的原则，如果一个规则匹配了，就不会再向下匹配，所以序号小

8、的规则优先级高。请注意规则的先后就不会再向下匹配，所以序号小的规则优先级高。请注意规则的先后顺序，先定义的规则，位置排在前面，可通过顺序，先定义的规则，位置排在前面，可通过 来改变规则的先来改变规则的先后顺序。后顺序。2.2.系统隐含了一条允许所有的安全策略，如果加入的安全策略都不匹配，系统隐含了一条允许所有的安全策略，如果加入的安全策略都不匹配，封包最后将匹配隐含的策略。所以系统在预设情况，是允许所有封包封包最后将匹配隐含的策略。所以系统在预设情况，是允许所有封包通过的。通过的。USA安全策略安全策略例：研发部人员不允许发送邮件例：研发部人员不允许发送邮件USANAT规则规则u内网代理内网代

9、理 作为内部网络的代理网关，转换内部主机上网联机的源作为内部网络的代理网关，转换内部主机上网联机的源 IP 地址。内部网络的所有主地址。内部网络的所有主机均可共享一个或者多个合法外部机均可共享一个或者多个合法外部 IP 地址实现对地址实现对 Internet 的访问。的访问。USANAT规则规则u一对一地址转换一对一地址转换 将内网的私有将内网的私有 IP 转换为公有转换为公有 IP，一个私有，一个私有 IP 只能对应一个公有只能对应一个公有 IP，主要用于对，主要用于对内网服务器的转换内网服务器的转换 USANAT规则规则u端口镜像端口镜像 内网有服务器需要向内网有服务器需要向 Intern

10、et 提供服务，且只提供某些端口的服务，那么就需要在提供服务，且只提供某些端口的服务，那么就需要在网关上做镜像保护内部服务器，提供给外部用户的地址和端口号可以不是内部服务器网关上做镜像保护内部服务器，提供给外部用户的地址和端口号可以不是内部服务器真正的地址，而是告诉外部用户一个公网地址和其它端口号，内部通过设备来实现地真正的地址，而是告诉外部用户一个公网地址和其它端口号，内部通过设备来实现地址和端口转换。址和端口转换。 USAIPSecu IPsec 在在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需

11、求服务所需密钥到相应位置。算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径间、安全网关与安全网关间、安全网关与主机间的路径 USAIPSec隧道隧道u建立建立IPSec隧道隧道USAIPSec规则规则u建立建立 IPSecIPSec规则规则 USAu线路带宽配置线路带宽配置 用于限制出口用于限制出口(WAN (WAN 口口) )线路的总频宽，配置范围在线路的总频宽，配置范围在8 81000000kbps1000000kbps 流量管理流量管理USA基于策略的流控基于策略的流控u根据封包的

12、源地址、目的地址、服务类型、时间段等参数组合成各种流量，可对这些根据封包的源地址、目的地址、服务类型、时间段等参数组合成各种流量，可对这些流量提供最大频宽限制、保障频宽、预留频宽的功能。流量提供最大频宽限制、保障频宽、预留频宽的功能。USA基于策略的流控基于策略的流控策略的匹配条件可以由以下几种条件任意组合而成：策略的匹配条件可以由以下几种条件任意组合而成：u有效线路：流控策略的生效线路。有效线路：流控策略的生效线路。u来源地址：联机的来源地址，可输入来源地址：联机的来源地址，可输入 IP IP 地址、选择地址簿或用户组。地址、选择地址簿或用户组。地址簿在系统对象中配置，用户组在认证用户中配置

13、。地址簿在系统对象中配置，用户组在认证用户中配置。u目的地址：联机的目的地址，可输入目的地址：联机的目的地址，可输入IPIP地址、选择地址簿或用户组。地址、选择地址簿或用户组。地址簿在系统对象中配置，用户组在认证用户中配置。地址簿在系统对象中配置，用户组在认证用户中配置。u服务：预设选择服务：预设选择“所有服务所有服务”。若选择。若选择“选择服务选择服务”，则出现自选服，则出现自选服务列表框，然后点击务列表框，然后点击 按钮，出现以下配置页面：按钮，出现以下配置页面：USA基于策略的流控基于策略的流控USA上网行为管理上网行为管理u先进的上网行为管理先进的上网行为管理lAGX 平台提供了细致的

14、上网行为管理方案，拥有着领先的网络行为识平台提供了细致的上网行为管理方案，拥有着领先的网络行为识别能力。对用户的上网行为进行别能力。对用户的上网行为进行l细致而灵活的管理，进而提高了员工的工作效率，避免了机密信息的泄细致而灵活的管理，进而提高了员工的工作效率，避免了机密信息的泄漏。漏。lURL过滤与排名：提供强大的过滤与排名：提供强大的 URL 过滤、全面的过滤、全面的 URL 记录和记录和 URL 排名功能。排名功能。l邮件监控与审计：支持对邮件内容和附件等进行监控、过滤和审计功能。邮件监控与审计：支持对邮件内容和附件等进行监控、过滤和审计功能。既可以监控到任何一台计算机通既可以监控到任何一

15、台计算机通l过过 Outlook 或或 Foxmail 等邮件客户端软件等邮件客户端软件 使用使用 SMTP 和和 POP3 收发邮件，也可以监测到通过收发邮件，也可以监测到通过 Yahoo、lSohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail 等等 Webmail 提供商收发邮件的内容和附件。提供商收发邮件的内容和附件。lPOST 审计：全面记录内网用户向公网审计：全面记录内网用户向公网 BBS、论坛、博客等发表的帖、论坛、博客等发表的帖子内容及附件，同时还提供对帖子的子内容及附件，同时还提供对帖子的l内容进行关键字过滤。内容进行关键字过滤。USA上网行为管

16、理上网行为管理USA组织结构组织结构uAGX 提供阶层式的组织管理架构，网络管理员可将内网的用户依照提供阶层式的组织管理架构，网络管理员可将内网的用户依照各种不同自订属性进行分类，并进行必要的管理策略配置。各种不同自订属性进行分类，并进行必要的管理策略配置。组织结构原理参照具体相关文档组织结构原理参照具体相关文档USA防火墙防火墙u高效的防火墙功能：高效的防火墙功能：lAGX AGX 平台内置了专业的防火墙功能。灵活的安全规则以及多种防护机制平台内置了专业的防火墙功能。灵活的安全规则以及多种防护机制保护了网络免受攻击，提升了保护了网络免受攻击，提升了l整个网络的安全性。整个网络的安全性。lNA

17、T NAT 支持：提供多对一的源地址转换、一对一的双向地址转换以及端口支持：提供多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型的映射等三种类型的 NATNAT。并且支持。并且支持l多种应用协议多种应用协议 NAT NAT 穿越，支持穿越，支持 H.323H.323、SIPSIP、FTPFTP、TFTPTFTP、RSHRSH、RTSPRTSP、SQL NetSQL Net、HTTPHTTP、MS-RPCMS-RPC、PPTP/GREPPTP/GRE、lSUN-RPC SUN-RPC 等协议的等协议的 ALG ALG 功能。功能。l全面全面 DoS/DDoS DoS/DDoS 防护

18、：提供全面的防护：提供全面的 DoS/DDoS DoS/DDoS 防护机制，支持防护机制，支持 SYN SYN CookieCookie，SYN SYN 代理服务。防御各种网代理服务。防御各种网l络攻击包括：络攻击包括：IP IP 畸形包攻击、畸形包攻击、IP IP 假冒、假冒、TCP TCP 劫持入侵、劫持入侵、SYN floodSYN flood、SmurfSmurf、Ping of DeathPing of Death、TeardropTeardrop、lLandLand、Ping floodPing flood、UDP Flood UDP Flood 等。等。USA防火墙防火墙USA认

19、证选项认证选项u认证策略属于全局策略，在认证策略属于全局策略，在 IP 地址字段里面所配置的地址字段里面所配置的 IP 均会套用均会套用此认证策略。认证方式字段指的是该用户上网时设备对其进行识别的此认证策略。认证方式字段指的是该用户上网时设备对其进行识别的行为，前三项行为，前三项 “新用户以新用户以 IP 地址做为用户名地址做为用户名”、”新用户以新用户以 MAC 地址做为用户名地址做为用户名”与与 ”新用户以主机名做为用户名新用户以主机名做为用户名” 用户上网不需用户上网不需要认证，要认证，AGX 将以将以 IP、MAC 或主机名作为该用户的识别名。或主机名作为该用户的识别名。 USA认证选

20、项认证选项u当当 AGX 设备与内网终端设备之间存在有三层交换机时，设备与内网终端设备之间存在有三层交换机时，AGX 所获所获得的终端设备得的终端设备 MAC 地址可能会是经过转换后的三层交换机的地址可能会是经过转换后的三层交换机的 MAC 地址。为了能正确取得终端主机设备的地址。为了能正确取得终端主机设备的 MAC 地址，地址，AGX 将透过将透过 SNMP 协议向三层交换机查询协议向三层交换机查询 ARP 表，以取得终端主机设备实际表，以取得终端主机设备实际的的 MAC 地址。地址。USA认证服务器认证服务器u支持多种方式的用户认证功能，包括本地数据库认证、支持多种方式的用户认证功能，包括

21、本地数据库认证、AD 认证、认证、RADIUS 认证、认证、LDAP 认证、认证、POP3 认认证。灵活的认证策略提供证。灵活的认证策略提供了安全的终端接入。同时提供单点登录认证方式，用户只需输入一次了安全的终端接入。同时提供单点登录认证方式，用户只需输入一次密码，降低密码泄露的风险。密码，降低密码泄露的风险。u要进行有效的内网管理工作要进行有效的内网管理工作, 首要条件是能够辨识出内网用户的身份首要条件是能够辨识出内网用户的身份, 接着便可在每个可识别的身份帐号上进行管理策略的配置。接着便可在每个可识别的身份帐号上进行管理策略的配置。AGX 设设备提供备提供 IP、MAC 与主机名三种方式可

22、对主机进行识别，同时支持与主机名三种方式可对主机进行识别，同时支持了了 RADIUS、LDAP、AD 与与 POP3 等四种认证方式可对使用者等四种认证方式可对使用者身份进行审核。身份进行审核。 USA认证服务器认证服务器USAReporteruAGX 提供了内置提供了内置Reporter系统，无需另外安装系统，无需另外安装Reporter即可实现对实时监控、统即可实现对实时监控、统计分析、行为分析的记录与查询功能。在内置计分析、行为分析的记录与查询功能。在内置Reporter中，预设已开启对流量的实中，预设已开启对流量的实时监控、统计分析，行为分析部分需要配置审计策略，才记录相关信息。时监控、统计分析，行为分析部分需要配置审计策略