某房地产公司有多个分支机构,每个分支均设有深信服的全网行为管理设备,总部已购置了一台深信服BBC集中管理设备,现需要通过集中管理平台实现总部对分支的统一认证、统一管控和统一审计。用户侧网络拓扑图如下所示。
针对该用户的需求进行解读,可通过以下几个功能点来进行具体实现。
统一认证: BBC对接AC认证中心,分支AC对接BBC,BBC给分支AC下发认证托管策略。认证中心上配置认证策略,分支AC的用户通过认证中心AC进行认证,实现用户认证统一在认证中心AC维护。
统一管控:分支AC对接BBC,通过BBC统一配置下发行为管理策略到分支AC。
统一审计:分支AC对接BBC,通过BBC统一配置下发行为审计策略到分支AC。
1、在BBC[管理]菜单下点击[设备升级]。
2、选择[分支版本中心]选项卡,点击<新增>,命名版本名称并导入AC对应的BBC镜像。
3、选择[升级包管理]选项卡,点击<新增>导入AC升级包。并在[分支版本中心]选项卡选中AC12.0.9,点击<升级>按钮加载升级包升到AC对应的版本。
4、选择BBC设备菜单左树选中分支区域分组,在[分支概览]中点击<新增分支>,输入分支名称、分支设置、接入密码、具体位置、组织架构。点击<确定>即可。
5、在BBC管理菜单上点击<认证中心>配置接入认证中心,勾选开启与认证中心对接,填写认证中心地址、对接密钥、分支访问认证中心地址、认证中心端口、重定向端口、LDAP服务端口、逃生机制。再点击<保存配置>按钮,配置完成后可在用户菜单栏下看到接入的在线分支。
6、在受控AC[系统管理/系统配置/高级配置/加入集中管理设置]中选择[集中管理平台]为BBC,输入中心端接入地址、接入设备名称、接入密码、共享密钥。
7、在认证中心AC上[系统管理/网络配置/部署模式]中启用认证口并选择认证口。
8、在认证中心AC上[接入管理/接入认证/联动对接设置/控制器对接/认证中心设置]中勾选[启用认证中心功能]对接BBC和分支AC,填入接入密钥和通信端口。
1、在BBC[策略]菜单栏点击<新增策略模板>,选择配置方式、模板类型、模板版本、模板名称、关联设备。
2、在步骤9中点击[AC-上网策略下发]进入AC策略模板中[接入管理/接入认证/认证高级选项/认证托管]查看认证托管模板策略并点击右上角[立即下发配置]下发认证托管策略到分支AC。
3、在分支AC上[接入管理/接入认证/认证高级选项/认证托管]查看已被下发认证托管策略并接入认证中心。托管成功后认证中心的用户会以域用户的方式存在分支AC中。
4、在认证中心AC上[接入管理/接入认证/portal认证]配置本地密码认证策略。
5、统一管控,在BBC[策略]菜单栏点击[AC-上网策略下发]进去配置策略模板。
6、在策略模板[行为管理/访问权限策略]新增访问权限策略,勾选[应用控制],<添加>选择适用应用,勾选[访问网站/新闻用户]。并点击右上角[立即下发配置]。
在BBC策略模板[行为审计/互联网审计]中<新增>互联网审计策略,勾选审计对象。
分支AC的用户上网需要通过认证。
认证通过后可以在分支AC上看到用户以域用户所属组上线,在认证中心AC正常上线。
在分支AC上可以看到下发的控制策略。
在分支AC上可以看到下发的审计策略。
终端无法访问新闻门户页面。
在日志中心中审计到网站访问记录。
说明:
1.需要保证认证中心AC、BBC、分支AC之间的网络连通性。
2.认证中心AC注意需要开启认证口和开放LDAP接口。
建议使用Chrome浏览器访问!
