行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC 11.9R1
{{sendMatomoQuery("行为管理AC","综合案例")}}

综合案例

更新时间:2022-01-20

客户网络环境与需求

某客户网络结构如下图,公网出口线路带宽10M,内网上网用户在500人左右。由于带宽本身不足,加上上班时间经常有人下载,看电影等导致全网打开网页也十分慢,员工上班效率很低。

客户购买了SANGFORAC设备,希望能配置实现如下功能:

  1. 部署AC设备,尽量不改动原有的网络环境。
  2. 为了防止员工私自修改IP地址,要求实现IP/MAC地址的一一绑定。
  3. 普通员工上班时间不允许P2P下载和观看在线流媒体,全天不允许访问非法及不良网站,对员工发送邮件(包括网页和客户端邮件),论坛发帖,发送微博及QQ聊天内容做审计。
  4. 领导组不做上网行为的控制,只审计上网行为。
  5. 全天对访问网站应用做带宽保证,至少分配60%的带宽;上班时间对P2P,下载工具,在线流媒体应用带宽限制在20%以内。

配置思路

  1. 根据客户的需求,将AC设备网桥模式部署在核心交换和防火墙之间。网桥模式配置:网桥模式,网桥IP,系统路由。
  2. 用户组设置:根据客户的管理要求,将用户分为普通员工组和领导组。
  3. 认证高级选项:启用跨三层MAC识别,设置三层交换机的IP/MAC/OID
  4. 认证策略配置:新建两条认证策略,领导组绑定IP/MAC,自动加入到领导组;普通员工绑定IP/MAC,自动加入到普通员工组。
  5. 普通员工组上网策略设置:新建上网权限策略,通过应用控制上班时间封堵P2P和在线流媒体、封堵非法及不良网站。新建上网审计策略,通过应用审计,审计所有HTTP外发内容和邮件内容。新建准入策略,添加IM聊天内容审计。
  6. 领导组上网策略设置:新建上网审计策略,开启行为审计。
  7. 流量管理策略设置:新建保证通道,给访问网站的应用分配60%-100%的通道带宽;新建限制通道,对P2P,下载工具和在线流媒体应用上班时间分配最高20%的带宽。

配置步骤

第一步:通过交叉线连接电脑与设备的ETH0(LAN)口,电脑配置10.251.251.X/24地址,使用https://10.251.251.251登录AC设备控制台。

第二步:网桥模式设置,分配防火墙与三层交换机直连网段的地址10.10.10.3/29给AC设备的网桥IP。通过『系统管理』→『网络配置』→『部署模式』进入配置界面,点击开始配置,选择网桥模式:

点击下一步,选择网桥的网口。本案例采用ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。

点击下一步,设置AC设备的网桥IP:

点击下一步,设置DMZ管理口的IP地址,可保持默认配置:

点击下一步,设置设备上网的网关和DNS:

点击下一步,确认和提交配置:

第三步:用户组设置,新增普通员工组和领导组,通过『用户认证与管理』→『用户管理』→『组/用户』进入配置界面,在本地用户下新增组:

组名与组名之间通过英文逗号隔开,可实现同时添加多个用户组,点击提交,保存和生效配置。

第四步:跨三层MAC识别设置,本案例中,AC设备与内网用户之间通过三层交换机转发数据,需要开启跨三层MAC识别,才能在AC设备上绑定用户正确的IP/MAC地址。通过『用户认证与管理』→『认证高级选项』→『跨三层取MAC』进入配置页面:

勾选[启用SNMP设置],添加服务器和将三层交换机的MAC地址填入MAC地址排除列表:

点击提交,保存和生效配置。

第五步:认证策略设置,新增普通员工组用户认证策略和领导组认证策略,通过『用户认证与管理』→『用户认证』→『认证策略』进入配置页面:

点击新增,设置普通用户组认证策略,如下图:

点击提交,保存和生效配置。

点击新增,设置领导组认证策略,如下图:

第六步:普通用户组上网权限设置,通过『策略管理』→『上网策略』进入配置页面:

点击新增,选择上网权限策略,在『应用控制』里勾选[应用控制]设置上班时间封堵P2P和在线流媒体应用;全天不允许访问非法及不良网站。

选择【适用对象】:在“本地用户”中选择“普通用户组”:

点击提交,保存和生效配置。

普通用户组上网审计策略设置:新增上网审计策略,勾选[应用审计],添加审计的对象:

点击确定,提交配置。

选择【适用对象】:在“本地用户”中选择“普通用户组”:

点击提交,保存和生效配置。

普通用户组准入策略设置:新增准入策略,勾选[准入策略],添加IM聊天内容监控:

选择【适用对象】:在“本地用户”中选择“普通用户组”:

点击提交,保存和生效配置。

第七步:领导组上网审计策略设置:选择[应用审计],添加审计的对象:

选择【适用对象】:在“本地用户”中选择“领导组”:

点击提交,保存和生效配置。

第八步:流量管理策略设置,首先设置线路带宽,通过『流量管理』→『线路带宽配置』进入配置界面:

点击线路1,设置线路上下行带宽,10Mbps=1280KB/s:

点击提交,保存和生效配置。

其次,再设置流量管理通道,通过『流量管理』→『通道配置』进入配置界面,勾选[启用流量管理系统]:

点击新增通道,选择[新增一级通道],设置访问网站应用的保证通道:

点击确定,保存和生效配置。

点击新增通道,选择[新增一级通道],设置P2P,下载工具和在线流媒体应用的限制通道:

点击确定,保存和生效配置。

第九步:AC设备上架。将AC设备的ETH0(LAN)口连接三层交换机,ETH2(WAN)口连接防火墙内网口。