行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","旁路模式")}}

旁路模式

更新时间:2023-09-22

旁路模式不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在HUB上,保证内网用户上网的数据经过此交换机或者HUB,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对上网数据的监控与控制。

如果旁路部署的全网AC开启了802.1x准入功能,当AC宕机时会造成入网用户无法通过认证导致断网的情况。如果在交换机上开启了802.1X逃生功能,旁路部署的AC宕机后入网用户无需认证直接入网,不会对入网用户造成断网影响。

部署场景

注意事项

  1. 用户必须使用HUB或者交换机具有镜像口的情况。如果交换机没有镜像口,可以在交换机前加接HUB实现。
  1. 旁路模式下,流量显示、活动连接排名显示无效。
  2. 旁路模式下,TCP的控制是通过DMZ口发送reset包实现的,因此要保证DMZ口发送的reset包都能被PC和公网服务器收到。
  3. 旁路模式下很多功能不能实现,比如VPNDHCP等。
  4. 旁路模式主要起监控的作用,限制的功能没有路由模式和网桥模式那么全面。只能对TCP的连接进行限制,比如URL过滤,关键字过滤,邮件过滤等。对UDP不做限制,比如P2P软件,QQ的登录等。
  5. 旁路模式下,只有在WAN口接镜像口的情况下,网关运行状态才会显示流量图,且在接了WAN口的情况下,网络接口状态下只有接收流量没有发送流量。

配置指导

拓扑如下图所示,设备做旁路模式,交换机通过镜像口把流量镜像到AC设备镜像口,监控内网各个网段的上网数据,内网用户使用WEB认证。AC设备DMZ管理口连接交换机,并且分配一个可使用的业务IP地址,设备通过此地址完成和公网、内网的通信,设备可以自动更新内置规则库,管理员可以在内网登录设备控制台进行管理。

步骤1.通过默认IP登录设备,如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入部署模式编辑页面,点击开始配置,出现以下页面,配置设备模式为旁路模式,点击<下一步>

步骤3.配置管理网口地址:旁路模式下,管理网口默认选择ETH0口,可选择修改。认证口按需配置,一般是在分支AC需要做认证托管时,将认证口发布到公网的情况,认证口为了安全部分端口不放开为WAN属性,如果是内网使用,建议只启用管理口。

步骤4.配置管理口DMZ网关、DNS,实现内外网通信。

[IP地址]填写分配给设备管理口(DMZ接口)IP地址,此例中需要将DMZ口接到内网交换机上,所以填写一个可以和交换机以及内网通信的IP地址。

[默认网关]指的是设备的网关,此例中填写和DMZ口连接的交换机的网口地址。

[首选DNS][备用DNS]中填写公网可以使用的DNS地址。

步骤5.选择设备镜像口,配置需要监控的内网网段和服务器列表。

选择镜像口,配置监控网段和监控服务器列表。

[监控网段与排除IP地址列表]:中填写需要监控的网段,以及需要排除监控的地址。此处填写内网的网段192.168.1.0/255.255.255.0,则此时这个网段访问其他网段的数据都会被监控,这个网段之间的访问不会被监控。排除网段用192.168.1.1-192.168.1.10表示,填入后表示192.168.1.1-192.168.1.10这个范围内的IP访问其他网段(外网)的数据不会被监控。

高级配置中用于设置[监控服务器列表],填入列表中的地址,在被监控网段中的IP访问时,数据也会被监控。例如内网有一台web服务器,用户想要记录内网用户访问这台服务器的数据,因为同一网段的访问是不会被监控的,此时,将web服务器的IP地址填写到[监控服务器列表]中即可。

以上说的是监控的设置,因为旁路模式下可以实现部分TCP控制功能,控制功能是在监控的基础上实现的,也就是说能监控的数据才能被控制。

步骤6.确认配置信息,点击<提交>

步骤7.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<>