安全代理与审计系统SG

深信服SG代理网关,支持网桥、网关、旁路等多种部署模式,对用户原有网络环境改动小,支持HTTP、HTTPS、SOCK4、SOCK5、FTP、二级代理等多种代理模式,集网络代理、网络审计、权限控制、流量控制等能力于一体,为用户提供稳定、快速、安全、可视的网络代理解决方案。
{{sendMatomoQuery("安全代理与审计系统SG","多分支组网场景")}}

多分支组网场景

更新时间:2022-01-17

需求背景

某房地产公司有多个分支机构,每个分支均设有深信服的全网行为管理设备,总部已购置了一台深信服BBC集中管理设备,现需要通过集中管理平台实现总部对分支的统一认证、统一管控和统一审计。用户侧网络拓扑图如下所示。

需求分析

针对该用户的需求进行解读,可通过以下几个功能点来进行具体实现。

  1. 统一认证: BBC对接AC认证中心,分支AC对接BBC,BBC给分支AC下发认证托管策略。认证中心上配置认证策略,分支AC的用户通过认证中心AC进行认证,实现用户认证统一在认证中心AC维护。

  2. 统一管控:分支AC对接BBC,通过BBC统一配置下发行为管理策略到分支AC。

  3. 统一审计:分支AC对接BBC,通过BBC统一配置下发行为审计策略到分支AC。

配置步骤

一、分支AC接入BBC。

1、在BBC[管理]菜单下点击[设备升级]。

2、选择[分支版本中心]选项卡,点击<新增>,命名版本名称并导入AC对应的BBC镜像。

3、选择[升级包管理]选项卡,点击<新增>导入AC升级包。并在[分支版本中心]选项卡选中AC12.0.9,点击<升级>按钮加载升级包升到AC对应的版本。

4、选择BBC设备菜单左树选中分支区域分组,在[分支概览]中点击<新增分支>,输入分支名称、分支设置、接入密码、具体位置、组织架构。点击<确定>即可。

5、在BBC管理菜单上点击<认证中心>配置接入认证中心,勾选开启与认证中心对接,填写认证中心地址、对接密钥、分支访问认证中心地址、认证中心端口、重定向端口、LDAP服务端口、逃生机制。再点击<保存配置>按钮,配置完成后可在用户菜单栏下看到接入的在线分支。

6、在受控AC[系统管理/系统配置/高级配置/加入集中管理设置]中选择[集中管理平台]为BBC,输入中心端接入地址、接入设备名称、接入密码、共享密钥。

7、在认证中心AC上[系统管理/网络配置/部署模式]中启用认证口并选择认证口。

8、在认证中心AC上[接入管理/接入认证/联动对接设置/控制器对接/认证中心设置]中勾选[启用认证中心功能]对接BBC和分支AC,填入接入密钥和通信端口。

二、统一认证下发

1、在BBC[策略]菜单栏点击<新增策略模板>,选择配置方式、模板类型、模板版本、模板名称、关联设备。

2、在步骤9中点击[AC-上网策略下发]进入AC策略模板中[接入管理/接入认证/认证高级选项/认证托管]查看认证托管模板策略并点击右上角[立即下发配置]下发认证托管策略到分支AC。

3、在分支AC上[接入管理/接入认证/认证高级选项/认证托管]查看已被下发认证托管策略并接入认证中心。托管成功后认证中心的用户会以域用户的方式存在分支AC中。

4、在认证中心AC上[接入管理/接入认证/portal认证]配置本地密码认证策略。

5、统一管控,在BBC[策略]菜单栏点击[AC-上网策略下发]进去配置策略模板。

6、在策略模板[行为管理/访问权限策略]新增访问权限策略,勾选[应用控制],<添加>选择适用应用,勾选[访问网站/新闻用户]。并点击右上角[立即下发配置]。

三、统一审计

在BBC策略模板[行为审计/互联网审计]中<新增>互联网审计策略,勾选审计对象。

效果预览

分支AC的用户上网需要通过认证。

认证通过后可以在分支AC上看到用户以域用户所属组上线,在认证中心AC正常上线。

在分支AC上可以看到下发的控制策略。

在分支AC上可以看到下发的审计策略。

终端无法访问新闻门户页面。

在日志中心中审计到网站访问记录。

说明:
1.需要保证认证中心AC、BBC、分支AC之间的网络连通性。
2.认证中心AC注意需要开启认证口和开放LDAP接口。