网络基础及设备管理 4

ConfigurationandManagementofNetwork-wideBehaviorControlDevices教师xxxCybersecurity全网行为管理设备

配置与管理ONE教学目标TeachingObjectives知识目标01了解全网行为管理设备的产生背景。02熟悉全网行为管理设备的部署方式、核心功能和特性。03熟悉全网行为管理设备的关键技术及使用的业务场景。教学目标能够根据用户需求设计全网行为管理设备的部署方案和配置策略，对网络系统进行安全审计和管理，有效地控制网络安全风险。能够使用全网行为管理设备的日志系统进行故障排查，根据故障现象判断故障原因并采取相应的解决措施。能够运用多种方式登录全网行为管理设备，使用Web管理界面配置全网监控、上网代理、接入管理、行为管理、流量管理、行为审计、终端行为安全、系统管理等功能。能力目标教学目标素质目标培养学生严谨细致、精益求精的职业精神和对企业网络安全负责的责任心。培养学生面对突发网络状况时的应变能力以及解决实际问题的综合能力。引导学生树立持续发展的理念，主动学习新的网络安全设备和技术，为个人职业生涯发展做准备。教学目标321TWO2.1全网行为管理设备概述OverviewofNetworkBehaviorManagementDevices全网行为管理的产生背景随着互联网的飞速发展，网络已经广泛普及各个领域和企业。企业内部的网络应用不再是局限于简单的文件共享和网页浏览，而是涵盖了电子邮件、即时通信、视频会议、在线办公软件、云服务等丰富多样的应用形式。同时随着移动设备的大量涌现和无线通信技术的进步，移动办公已成为常态，接入设备的类型和数量大幅增加，网络安全问题日益突出，传统的网络管理手段难以对如此庞杂的流量进行全面有效的监控和管理。全网行为技术以及设备的出现在很大程度上解决了用户网络行为管理方面的问题。比如，在保护网络安全方面，全网行为管理设备可以监控网络中的流量，及时发现并拦截有害的流量，保护网络的安全；在管理网络流量方面，全网行为管理设备可以对网络流量进行分析，根据实际情况对网络流量进行优化和管理，提高网络的使用效率；在管理用户行为方面，全网行为管理设备可以识别和管理用户的行为，对于违反网络使用规定的行为进行限制和警告，维护网络安全和管理秩序；在提高网络管理效率方面，全网行为管理设备可以自动分析网络流量和用户行为，减轻网络管理员的工作负担，提高网络管理效率；在符合规范要求方面，一些行业需要遵守特定的网络安全政策和满足合规要求，全网行为管理设备可以为企业提供符合要求的网络管理解决方案。全网行为管理的定义全网行为管理设备概述全网行为管理的初代设备是上网行为管理设备，上网行为管理指的是在企业、学校及其他公共场所等网络环境中，通过技术手段对用户违规的上网行为进行记录、控制、过滤等操作，以达到维护网络安全、提高工作效率、保护企业利益等目的的一种网络管理方式。全网行为管理在上网行为管理的基础上，进行了功能扩展，管理的范围由上网行为的管理延伸至终端的管理以及办公业务和数据的管理，实现对全网终端、应用、数据的可视可控，防范智能感知终端违规接入、敏感数据泄露、上网违规行为等内部风险，解决上网管控、终端准入管控和数据泄露管控场景的问题，实现“内部风险智能感知，全网行为可视可控”的一体化管控。深信服全网行为管理设备介绍深信服全网行为管理设备是一款认证方式丰富、管控精细、违规行为审计全面的网端融合的行为管理设备。深信服于2005年推出我国第一台专业的上网行为管理网关，并定义了上网行为管理设备的核心功能，这些功能包括身份认证、应用权限控制、内容过滤、应用行为记录等。在2011年，深信服推出第二代全网行为管理设备，明确了身份认证、应用权限控制、流量管理、内容过滤、应用行为记录、SSL（安全套接字层）审计、数据分析、安全防护等基础功能，增强了维护上网安全方面的能力。近些年，随着应用的快速发展，用户在新形势下所面临的内部威胁和挑战逐渐升级，深信服行为管理设备在原有管控互联网的基础上，将能力延伸到管控全网的用户、终端、应用和数据，升级为全网行为管理设备，给用户带来更高的价值。TWO2.2全网行为管理设备的部署与组网方案防火墙概述深信服全网行为管理设备支持多种部署模式与组网方案，用于满足不同场景下的需求。单机部署模式有路由模式、网桥模式、旁路模式和单臂模式等。高性能组网方案有主备模式和主主模式，用于满足高可靠性的要求。在不同场景下，需选择不同的部署模式与组网方案，以达到最佳的使用效果。部署模式场景说明路由模式设备参与路由转发，支持设备所有功能网桥模式在不改变原有网络拓扑结构的情况下使用，平滑部署到网络中，可以应用设备的大部分功能旁路模式无须改变用户的网络架构，可避免设备对用户网络造成中断的风险，部分功能无法实现单臂模式设备作为代理服务器代理内部PC上网，使上网数据经过设备，实现权限控制和审计功能，无须改变用户网络拓扑主备模式同时部署两台设备，通过串口线相连，一主一备，主机发生故障时自动切换至备机主主模式支持两台以上设备同时以主机模式运行，推荐在网桥模式下使用TWO2.3全网行为管理的关键技术KeyTechnologiesforFull-NetBehaviorManagement终端接入认证技术全网行为管理的关键技术指通过对终端设备进行身份验证和授权，允许合法用户或设备接入系统的一种技术。该技术可以用于确保系统的安全性和完整性，避免非法用户或设备对系统造成损害，是目前在企业网络中必备的安全技术。接入认证是用户入网的重要一步，只有完成了认证，才能基于用户配置相应的策略。深信服全网行为管理设备支持丰富的身份认证方式，提供了完善的认证体系，满足企业日常的认证需求。目前支持的认证主要分为两大类，802.1x认证和Portal认证，其中Portal认证有多种认证方式，同时可灵活与第三方认证服务器结合。全网行为管理的关键技术终端接入认证技术终端安全管控技术终端安全管控技术包括非法外联管控技术、外设管控技术、离线审计技术等。非法外联管控技术主要从外联检查和外联控制两个不同的层次加强对非法外联的管控，全面保障内网安全。全网行为管理的关键技术终端应用控制技术终端应用控制技术是一种针对终端的安全保障技术，它通过控制终端应用程序等，限制终端设备能够处理的操作类型和数据，以确保应用或者系统不会被恶意软件攻击，从而保障企业网络的安全。全网行为管理的关键技术流量带宽控制技术全网行为管理设备可以通过对各种网络流量进行精细化控制和调度，使有限的带宽资源得到充分的利用，包括保证通道、限制通道、流量子通道、排除策略、惩罚通道等模块。同时可以限制用户能使用的网络资源的流量和时长，包括流量配额，上网时长控制和并发连接数控制，以及在线终端数量限制。全网行为管理的关键技术指通过对网络流量进行控制和调整，使其在一定的带宽范围内稳定地运行。流量带宽控制技术全网行为管理的关键技术行为审计技术全网行为管理设备的行为审计包括互联网审计策略、客户端审计策略、业务审计策略、高级选项，通过多种审计技术让企业网络行为审计可视化。全网行为管理的关键技术指通过对网络流量进行控制和调整，使其在一定的带宽范围内稳定地运行。TWO2.4全网行为管理的行业应用解决方案Industryapplicationsolutionforwholenetworkbehaviormanagement全网行为管理的行业应用解决方案教育行业应用解决方案全网行为管理设备还支持全面记录师生的网络行为，包括访问的网站URL、访问时间、使用的网络应用、上传和下载的文件等信息。对于邮件收发、即时通信工具的使用情况，也能进行详细记录，方便学校在出现网络安全事件或违规行为时进行追溯。AC内置超百万条网址的分类库，涵盖了常见的各类网站类型。学校可根据自身需求，轻松阻止学生访问不良网站。同时支持自定义网址黑名单，针对一些特定网站，可手动添加至黑名单，进一步强化网络访问控制。全网行为管理设备与学校现有的校园认证系统（如AD域、RADIUS等）无缝集成，实现基于用户身份的网络访问控制。教师和学生使用各自的账号登录校园网络后，可根据其身份、所在院系、班级等信息，精准推送相应的网络访问策略。支持全面的网络行为审计与报表生成，使学校能够清晰掌握师生的网络使用情况，及时发现和处理网络安全隐患及违规行为，增强了校园网络的安全性和管理效率。全网行为管理的行业应用解决方案教育行业应用解决方案在数据安全防护方面，运用先进的加密算法，对金融数据在传输和存储过程中进行高强度加密，使数据以密文形式存在，即使数据被窃取，也难以被破解和利用。在数字化转型的关键时期，金融行业的网络安全与管理水平对其稳健发展起着决定性作用。AC凭借其卓越的性能和全面的功能，为金融机构提供了高效的网络安全和管理解决方案，有效解决了行业内长期存在的痛点问题，助力金融业务在安全、合规、高效的网络环境中蓬勃发展。在精细访问控制方面，AC结合金融机构现有的AD域、LDAP等认证系统实现统一身份认证，按岗位和业务需求设置精细粒度的访问权限，针对特定业务系统，设定仅在交易时间内允许访问，非交易时间自动阻断访问请求，从时间维度上降低安全风险。在合规支持方面，AC

详细记录所有网络访问行为和数据操作信息，包括用户登录时间、登录IP地址、系统访问路径、数据传输内容等关键信息，生成完整且规范的日志报表。AC内置合规检测模板，定期自动对系统配置和网络行为进行全面检测，依据检测结果生成专业、详细的合规报告。金融机构无须再耗费大量人力和时间进行烦琐的合规自查，大大简化了合规管理流程，提高了合规工作效率，降低了合规成本。THREE2-1实战使用Web登录全网行为管理设备实战拓扑1.设备连线使用一根网线，将PC的以太网接口与AC的Eth0接口相连，使用Web登录AC进行配置。使用Web登录全网行为管理设备2.PC端配置使用Web登录全网行为管理设备3.网络连通性测试使用Web登录全网行为管理设备4.登录AC设备在PC打开浏览器，输入“51”并按回车键，进入AC登录界面，输入用户名、密码，勾选“我已阅读并同意”，然后单击“登录”按钮。使用Web登录全网行为管理设备4.登录AC设备使用Web登录全网行为管理设备4.登录AC设备使用Web登录全网行为管理设备THREE2-2实战全网行为管理设备路由模式部署/实战拓扑1．Web登录AC设备在PC1端，使用浏览器访问“”登录AC设备，以便进行后续配置全网行为管理设备路由模式部署2．配置AC部署模式单击“系统管理”→“网络配置”→“部署模式”，在界面右下角单击“开始配置”按钮全网行为管理设备路由模式部署2．配置AC部署模式选中“路由模式（使用防火墙网关的路由功能）”全网行为管理设备路由模式部署2．配置AC部署模式进入“网口配置”界面，按照实战拓扑进行设置全网行为管理设备路由模式部署2．配置AC部署模式进入“LAN口配置”界面，按照实战拓扑进行设置全网行为管理设备路由模式部署2．配置AC部署模式进入“WAN口配置”界面，按照实战拓扑进行设置全网行为管理设备路由模式部署2．配置AC部署模式进入“DMZ口配置”界面，按照实战拓扑进行设置全网行为管理设备路由模式部署2．配置AC部署模式全网行为管理设备路由模式部署进入“认证口配置”界面，由于无认证口，因此可直接单击界面右下角“下一步”按钮2．配置AC部署模式全网行为管理设备路由模式部署进入“NAT配置”界面，“外网接口”选择“所有

WAN口”，“代理网段”设置为

PC1网段“/”以及AD域服务器网段“/”，使两设备可正常访问互联网2．配置AC部署模式全网行为管理设备路由模式部署进入“配置完成”界面，单击界面右下角“提交”按钮，提示将重启设备，单击“是”按钮3．检测配置效果全网行为管理设备路由模式部署在PC1打开浏览器，输入“”并按回车键访问公网Web服务器，可正常访问，说明AC路由模式配置成功。3．检测配置效果全网行为管理设备路由模式部署登录AD域服务器，打开浏览器，输入“”并按回车键访问公网Web服务器，可正常访问，说明AC路由模式配置成功。THREE2-3实战全网行为管理设备用户认证/实战拓扑1．Web登录AC设备在PC1端，使用浏览器访问“/login.html”登录AC设备，以便进行后续配置全网行为管理设备用户认证全网行为管理设备用户认证2．配置AC部署模式为路由模式具体过程可参照实战2-23．配置AC用户认证技术——“不需要认证”登录ACWeb图形界面，单击“接入管理”→“用户管理”→“本地组/用户”，在界面单击“新增”按钮，选择“组”，进行新增用户组操作。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”设置“组名列表”为“无需认证”。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”登录ACWeb图形界面，单击“接入管理”→“接入认证”→“PORTAL认证”→“认证策略”，在界面单击“新增”按钮。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”设置“名称”为“无需认证”，“认证范围”处“选择设备”设置为“所有”，“适用范围”设置为“/”，即内网PC的IP地址范围，然后单击对话框右下角“下一步”按钮。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”设置“认证方式”为“不需要认证”，“用户名”为“自动获取”，选择“以IP地址作为用户名”，设置完成后单击对话框右下角“下一步”按钮。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”认证后处理，用来设置用户通过认证之后的用户组，这里选择在“无需认证”用户组，然后单击对话框右下角“提交”按钮。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”在PC1打开浏览器，输入“”并按回车键访问公网Web服务器，可正常访问，没有出现认证界面，达到“无须认证”效果。全网行为管理设备用户认证3．配置AC用户认证技术——“不需要认证”重新登录ACWeb图形界面，单击“全网监控”→“入网用户管理”，界面显示PC1以IP地址“00”为登录名登录上线，并且所属组为“/无须认证”用户组。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”登录ACWeb图形界面，单击“接入管理”→“用户管理”→“本地组/用户”，在界面单击“新增”按钮，选择“组”，打开“添加组”对话框，设置“组名列表”为“办公区”，然后单击对话框下方“提交”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”单击“办公区”链接，在弹出的对话框中单击“新增”下拉键，选择“用户”，进行新增用户操作。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”单击“办公区”链接，在弹出的对话框中单击“新增”下拉键，选择“用户”，进行新增用户操作。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”打开“添加用户”对话框，设置用户登录名为“sangfor”，勾选“本地密码”，并设置密码，设置完成后单击对话框下方“提交”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”登录ACWeb图形界面，单击“接入管理”→“接入认证”→“PORTAL认证”→“认证策略”，在界面单击“新增”按钮，打开“认证策略”对话框，设置“名称”为“密码认证”，“选择设备”为“所有”，“适用范围”为“/”，即内网PC的IP地址范围，然后单击对话框右下角“下一步”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”设置“认证方式”为“密码认证”，“认证服务器”为“本地用户”，然后单击界面右下角“下一步”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”设置“认证后处理”，由于用户位于本地，因此不需要选择组织结构，直接单击界面右下角“提交”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”在PC1打开浏览器，输入“”并按回车键访问公网Web服务器，界面自动跳转至AC用户认证界面，输入已配置的本地用户“sangfor”和对应的密码，勾选“记住登录状态”和“我已阅读并同意免责声明条款”，然后单击“登录”按钮。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”界面跳转至Web服务器，通过密码认证后可正常访问。全网行为管理设备用户认证4．配置AC用户认证技术——“密码认证”重新登录ACWeb图形界面，单击“全网监控”→“入网用户管理”，界面显示PC1通过密码认证，以“sangfor”为用户名登录上线，所属组为“/办公区”用户组。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”登录AD域服务器“00”，打开服务器管理器，单击“工具”→“ActiveDirectory用户和计算机”。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”查看AD域用户信息，并重置用户“user123”的密码，方便后续登录测试。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”设置新密码，取消勾选“用户下次登录时须更改密码”，然后单击对话框下方“确定”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”登录ACWeb图形界面，单击“接入管理”→“接入认证”→“PORTAL认证”→“认证服务器”，在界面单击“新增”按钮，然后选择“LDAP服务器”选项。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”设置“服务器名称”为“LDAP”，“服务器地址”为“00”，管理员账号和密码设置为AD域的管理员账号、密码。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”在“BaseDN”处单击右侧按钮，在弹出的“组织结构选择”对话框中选中“wxjy”，然后单击“确定”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”单击“测试有效性”按钮，在弹出的对话框中，选中“账户有效性”，“用户名”设置为第（2）步操作中已重置密码的用户“user123”，输入密码，然后单击“测试有效性”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”系统提示“该域用户账号有效”，单击“关闭”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”单击“测试有效性”对话框右上角的“关闭”按钮关闭对话框。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”单击“提交”按钮全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”登录AD域服务器“00”，打开服务器管理器，单击“工具”→“ActiveDirectory用户和计算机”。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”登录ACWeb图形界面，单击“接入管理”→“接入认证”→“PORTAL认证”→“认证策略”，在界面单击“新增”按钮，进行新增认证策略操作，设置“名称”为“LDAP”，“选择设备”为“所有”，“适用范围”为“/”，即内网PC的IP地址范围，然后单击对话框右下角“下一步”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”设置“认证方式”为“密码认证”，“认证服务器”选择“LDAP”，然后单击对话框右下角“下一步”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”设置“认证后处理”，由于用户位于本地因此不需要选择组织结构，直接单击对话框右下角“提交”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”由于前期实战已进行密码认证，需注销用户“sangfor”的认证，以免影响LDAP服务器认证效果。登录ACWeb图形界面，单击“全网监控”→“入网用户管理”，在界面勾选“sangfor”用户，单击“强制注销”。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”系统弹出提示消息，单击“是”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”在PC1打开浏览器，输入“”并按回车键访问公网Web服务器，界面自动跳转至AC用户认证界面，输入AD域已设置的用户“user123”和对应的密码，勾选“记住登录状态”与“我已阅读并同意免责声明条款”，然后单击“登录”按钮。全网行为管理设备用户认证5．配置AC用户认证技术——“外部认证”界面跳转至Web服务器，通过