AGX上网行为管理流控墙.ppt

PM-081120-01-01-081120-SCAceNet Technology,Inc.4677 Old Ironsides Dr.,Suite 438Santa Clara,CA 95054,USAhttp:/www.AceNetTCopyright 2008.All rights reserved.上网行为管理流控墙上网行为管理流控墙上网行为管理流控墙上网行为管理流控墙产品产品产品产品介绍介绍介绍介绍2 2USA管理方式管理方式 WEB WEB 管理管理u HTTP (port:9090)HTTP (port:9090)u HTTPS(port:9090,HTTPS(port:9090,默认默认)CLI CLI 管理管理u Console(Console(波特率波特率:115200):115200)u SSH(port:2222,SSH(port:2222,默认默认)u Telnet(port:2323)Telnet(port:2323)AceNet Technology,Inc.AceNet Technology,Inc.3 3USAWEB 登录登录u启动 IE浏览器，在地址栏中输入 https:/192.168.0.1:9090,则弹出登录对话框，提示输入用户名和密码(默认用户名:root,密码:Login*PWD)AceNet Technology,Inc.AceNet Technology,Inc.4 4USAWEB 管理首页管理首页AceNet Technology,Inc.AceNet Technology,Inc.5 5USA系统升级系统升级u升级升级AGX AGX 的系统文件，可以升级的系统文件包括：系统版本、应用特的系统文件，可以升级的系统文件包括：系统版本、应用特征库、征库、URLURL库、库、ISPISP自动地址表以及授权档案。自动地址表以及授权档案。AceNet Technology,Inc.AceNet Technology,Inc.6 6USA工作模式工作模式u网桥模式网桥模式 网桥模式是把网桥模式是把 AGX AGX 视为一部带过滤功能的透明设备使用，把视为一部带过滤功能的透明设备使用，把 AGX AGX 接在原有网关及内接在原有网关及内网用户之间，不用更改网络拓扑结构和配置，这种模式于用户可以做到完全网用户之间，不用更改网络拓扑结构和配置，这种模式于用户可以做到完全“透明透明”单网桥模式单网桥模式多网桥模式多网桥模式AceNet Technology,Inc.AceNet Technology,Inc.7 7USA工作模式工作模式u网桥模式配置网桥模式配置 可以把设备设定为单网桥、多网桥；预设为单网桥模式，可以把设备设定为单网桥、多网桥；预设为单网桥模式，LAN1和和WAN1口口为一对桥、为一对桥、LAN2和和WAN2口为一对桥。当设备透明上线时，只需要将上下口为一对桥。当设备透明上线时，只需要将上下联设备分别对接到一组桥上，上联设备对接联设备分别对接到一组桥上，上联设备对接WAN口、下联设备对接口、下联设备对接LAN口。口。用户可根据网络中的实际情况选择。网桥模式时，用户可根据网络中的实际情况选择。网桥模式时，AGX支持支持 VLAN TRUNK穿透，穿透，AGX可以透明接在可以透明接在 VLAN TRUNK的主干道上。的主干道上。注意：当改变工作模式时，设备会重启并且配置将被清空注意：当改变工作模式时，设备会重启并且配置将被清空AceNet Technology,Inc.AceNet Technology,Inc.8 8USA工作模式工作模式u路由模式路由模式 路由模式的路由模式的每个实体接口可以工作在不同的子网中，使每个实体接口可以工作在不同的子网中，使LANLAN与与InternetInternet之间建之间建立一个安全网关立一个安全网关，也可把也可把AGX AGX 放在网关设备后面，代理局域网上网放在网关设备后面，代理局域网上网 单链路模式多链路模式AceNet Technology,Inc.AceNet Technology,Inc.9 9USA工作模式工作模式u路由模式配置路由模式配置 1.配置接口配置接口IP地址地址 2.配置路由配置路由 3.配置内网代理的地址转换配置内网代理的地址转换 4.配置内网服务器的一对一地址转换或者基于端口映射配置内网服务器的一对一地址转换或者基于端口映射AceNet Technology,Inc.AceNet Technology,Inc.1010USA路由路由u路由类型路由类型 静态路由静态路由 策略路由策略路由u路由优先级路由优先级 直连路由直连路由策略路由策略路由 静态路由静态路由u静态路由配置静态路由配置AceNet Technology,Inc.AceNet Technology,Inc.1111USA策略路由策略路由u简介简介 传统路由是根据报文的目的地址来寻路，而策略路由可以根据以下内传统路由是根据报文的目的地址来寻路，而策略路由可以根据以下内容来选择转发路径：容来选择转发路径：目的目的IPIP 源源IPIP 协议类型协议类型 协议端口号协议端口号 网关类型（网关类型（IP IP 或者或者 PPPOEPPPOE）链路下行带宽链路下行带宽u功能类型：功能类型：链路均衡链路均衡 链路备份链路备份AceNet Technology,Inc.AceNet Technology,Inc.1212USA安全策略安全策略u安全策略定义了对封包的控制策略；可以通过指定封包的源地址、目安全策略定义了对封包的控制策略；可以通过指定封包的源地址、目的地址、服务、时间段等参数来控制信息流。匹配条件：的地址、服务、时间段等参数来控制信息流。匹配条件：1.策略方向策略方向2.源地址源地址/地址簿地址簿3.目的地址目的地址/地址簿地址簿4.服务服务5.生效时间生效时间6.动作动作7.状态状态 AceNet Technology,Inc.AceNet Technology,Inc.1414USA安全策略安全策略例：研发部人员不允许发送邮件例：研发部人员不允许发送邮件AceNet Technology,Inc.AceNet Technology,Inc.1515USANAT规则规则u内网代理内网代理 作为内部网络的代理网关，转换内部主机上网联机的源作为内部网络的代理网关，转换内部主机上网联机的源 IP 地址。内部网络的所有主地址。内部网络的所有主机均可共享一个或者多个合法外部机均可共享一个或者多个合法外部 IP 地址实现对地址实现对 Internet 的访问。的访问。AceNet Technology,Inc.AceNet Technology,Inc.1616USANAT规则规则u一对一地址转换一对一地址转换 将内网的私有将内网的私有 IP 转换为公有转换为公有 IP，一个私有，一个私有 IP 只能对应一个公有只能对应一个公有 IP，主要用于对，主要用于对内网服务器的转换内网服务器的转换 AceNet Technology,Inc.AceNet Technology,Inc.1717USANAT规则规则u端口镜像端口镜像 内网有服务器需要向内网有服务器需要向 Internet 提供服务，且只提供某些端口的服务，那么就需要在提供服务，且只提供某些端口的服务，那么就需要在网关上做镜像保护内部服务器，提供给外部用户的地址和端口号可以不是内部服务器网关上做镜像保护内部服务器，提供给外部用户的地址和端口号可以不是内部服务器真正的地址，而是告诉外部用户一个公网地址和其它端口号，内部通过设备来实现地真正的地址，而是告诉外部用户一个公网地址和其它端口号，内部通过设备来实现地址和端口转换。址和端口转换。AceNet Technology,Inc.AceNet Technology,Inc.1818USAIPSecu IPsec 在在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径安全网关与安全网关间、安全网关与主机间的路径 AceNet Technology,Inc.AceNet Technology,Inc.1919USAIPSec隧道隧道u建立建立IPSec隧道隧道AceNet Technology,Inc.AceNet Technology,Inc.2020USAIPSec规则规则u建立建立 IPSecIPSec规则规则 AceNet Technology,Inc.AceNet Technology,Inc.2121USAu线路带宽配置线路带宽配置 用于限制出口用于限制出口(WAN(WAN 口口)线路的总频宽，配置范围在线路的总频宽，配置范围在8 81000000kbps1000000kbps 流量管理流量管理AceNet Technology,Inc.AceNet Technology,Inc.2222USA基于策略的流控基于策略的流控u根据封包的源地址、目的地址、服务类型、时间段等参数组合成各种流量，可对这些根据封包的源地址、目的地址、服务类型、时间段等参数组合成各种流量，可对这些流量提供最大频宽限制、保障频宽、预留频宽的功能。流量提供最大频宽限制、保障频宽、预留频宽的功能。AceNet Technology,Inc.AceNet Technology,Inc.2323USA基于策略的流控基于策略的流控策略的匹配条件可以由以下几种条件任意组合而成：策略的匹配条件可以由以下几种条件任意组合而成：u有效线路：流控策略的生效线路。有效线路：流控策略的生效线路。u来源地址：联机的来源地址，可输入来源地址：联机的来源地址，可输入 IP IP 地址、选择地址簿或用户组。地址、选择地址簿或用户组。地址簿在系统对象中配置，用户组在认证用户中配置。地址簿在系统对象中配置，用户组在认证用户中配置。u目的地址：联机的目的地址，可输入目的地址：联机的目的地址，可输入IPIP地址、选择地址簿或用户组。地址、选择地址簿或用户组。地址簿在系统对象中配置，用户组在认证用户中配置。地址簿在系统对象中配置，用户组在认证用户中配置。u服务：预设选择服务：预设选择“所有服务所有服务”。若选择。若选择“选择服务选择服务”，则出现自选服，则出现自选服务列表框，然后点击务列表框，然后点击 按钮，出现以下配置页面：按钮，出现以下配置页面：AceNet Technology,Inc.AceNet Technology,Inc.2424USA基于策略的流控基于策略的流控AceNet Technology,Inc.AceNet Technology,Inc.2525USA上网行为管理上网行为管理u先进的上网行为管理先进的上网行为管理lAGX 平台提供了细致的上网行为管理方案，拥有着领先的网络行为识别平台提供了细致的上网行为管理方案，拥有着领先的网络行为识别能力。对用户的上网行为进行能力。对用户的上网行为进行l细致而灵活的管理，进而提高了员工的工作效率，避免了机密信息的泄细致而灵活的管理，进而提高了员工的工作效率，避免了机密信息的泄漏。漏。lURL过滤与排名：提供强大的过滤与排名：提供强大的 URL 过滤、全面的过滤、全面的 URL 记录和记录和 URL 排名功能。排名功能。l邮件监控与审计：支持对邮件内容和附件等进行监控、过滤和审计功能。邮件监控与审计：支持对邮件内容和附件等进行监控、过滤和审计功能。既可以监控到任何一台计算机通既可以监控到任何一台计算机通l过过 Outlook 或或 Foxmail 等邮件客户端软件等邮件客户端软件 使用使用 SMTP 和和 POP3 收发邮件，也可以监测到通过收发邮件，也可以监测到通过 Yahoo、lSohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail 等等 Webmail 提供商收发邮件的内容和附件。提供商收发邮件的内容和附件。lPOST 审计：全面记录内网用户向公网审计：全面记录内网用户向公网 BBS、论坛、博客等发表的帖、论坛、博客等发表的帖子内容及附件，同时还提供对帖子的子内容及附件，同时还提供对帖子的l内容进行关键字过滤。内容进行关键字过滤。AceNet Technology,Inc.AceNet Technology,Inc.2626USA上网行为管理上网行为管理AceNet Technology,Inc.AceNet Technology,Inc.2727USA组织结构组织结构uAGX 提供阶层式的组织管理架构，网络管理员可将内网的用户依照提供阶层式的组织管理架构，网络管理员可将内网的用户依照各种不同自订属性进行分类，并进行必要的管理策略配置。各种不同自订属性进行分类，并进行必要的管理策略配置。组织结构原理参照具体相关文档组织结构原理参照具体相关文档AceNet Technology,Inc.AceNet Technology,Inc.2828USA防火墙防火墙u高效的防火墙功能：高效的防火墙功能：lAGX AGX 平台内置了专业的防火墙功能。灵活的安全规则以及多种防护机制平台内置了专业的防火墙功能。灵活的安全规则以及多种防护机制保护了网络免受攻击，提升了保护了网络免受攻击，提升了l整个网络的安全性。整个网络的安全性。lNAT NAT 支持：提供多对一的源地址转换、一对一的双向地址转换以及端口支持：提供多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型的映射等三种类型的 NATNAT。并且支持。并且支持l多种应用协议多种应用协议 NAT NAT 穿越，支持穿越，支持 H.323H.323、SIPSIP、FTPFTP、TFTPTFTP、RSHRSH、RTSPRTSP、SQL NetSQL Net、HTTPHTTP、MS-RPCMS-RPC、PPTP/GREPPTP/GRE、lSUN-RPC SUN-RPC 等协议的等协议的 ALG ALG 功能。功能。l全面全面 DoS/DDoS DoS/DDoS 防护：提供全面的防护：提供全面的 DoS/DDoS DoS/DDoS 防护机制，支持防护机制，支持 SYN SYN CookieCookie，SYN SYN 代理服务。防御各种网代理服务。防御各种网l络攻击包括：络攻击包括：IP IP 畸形包攻击、畸形包攻击、IP IP 假冒、假冒、TCP TCP 劫持入侵、劫持入侵、SYN floodSYN flood、SmurfSmurf、Ping of DeathPing of Death、TeardropTeardrop、lLandLand、Ping floodPing flood、UDP Flood UDP Flood 等。等。AceNet Technology,Inc.AceNet Technology,Inc.2929USA防火墙防火墙AceNet Technology,Inc.AceNet Technology,Inc.3030USA认证选项认证选项u认证策略属于全局策略，在认证策略属于全局策略，在 IP 地址字段里面所配置的地址字段里面所配置的 IP 均会套用均会套用此认证策略。认证方式字段指的是该用户上网时设备对其进行识别的此认证策略。认证方式字段指的是该用户上网时设备对其进行识别的行为，前三项行为，前三项“新用户以新用户以 IP 地址做为用户名地址做为用户名”、”新用户以新用户以 MAC 地址做为用户名地址做为用户名”与与”新用户以主机名做为用户名新用户以主机名做为用户名”用户上网不需用户上网不需要认证，要认证，AGX 将以将以 IP、MAC 或主机名作为该用户的识别名。或主机名作为该用户的识别名。AceNet Technology,Inc.AceNet Technology,Inc.3131USA认证选项认证选项u当当 AGX 设备与内网终端设备之间存在有三层交换机时，设备与内网终端设备之间存在有三层交换机时，AGX 所获所获得的终端设备得的终端设备 MAC 地址可能会是经过转换后的三层交换机的地址可能会是经过转换后的三层交换机的 MAC 地址。为了能正确取得终端主机设备的地址。为了能正确取得终端主机设备的 MAC 地址，地址，AGX 将透过将透过 SNMP 协议向三层交换机查询协议向三层交换机查询 ARP 表，以取得终端主机设备实际表，以取得终端主机设备实际的的 MAC 地址。地址。AceNet Technology,Inc.AceNet Technology,Inc.3232USA认证服务器认证服务器u支持多种方式的用户认证功能，包括本地数据库认证、支持多种方式的用户认证功能，包括本地数据库认证、AD 认证、认证、RADIUS 认证、认证、LDAP 认证、认证、POP3 认认证。灵活的认证策略提供证。灵活的认证策略提供了安全的终端接入。同时提供单点登录认证方式，用户只需输入一次了安全的终端接入。同时提供单点登录认证方式，用户只需输入一次密码，降低密码泄露的风险。密码，降低密码泄露的风险。u要进行有效的内网管理工作要进行有效的内网管理工作,首要条件是能够辨识出内网用户的身份首要条件是能够辨识出内网用户的身份,接着便可在每个可识别的身份帐号上进行管理策略的配置。接着便可在每个可识别的身份帐号上进行管理策略的配置。AGX 设设备提供备提供 IP、MAC 与主机名三种方式可对主机进行识别，同时支持与主机名三种方式可对主机进行识别，同时支持了了 RADIUS、LDAP、AD 与与 POP3 等四种认证方式可对使用者等四种认证方式可对使用者身份进行审核。身份进行审核。AceNet Technology,Inc.AceNet Technology,Inc.3333USA认证服务器认证服务器AceNet Technology,Inc.AceNet Technology,Inc.3434USAReporteruAGX 提供了内置提供了内置Reporter系统，无需另外安装系统，无需另外安装Reporter即可实现对实时监控、统即可实现对实时监控、统计分析、行为分析的记录与查询功能。在内置计分析、行为分析的记录与查询功能。在内置Reporter中，预设已开启对流量的实中，预设已开启对流量的实时监控、统计分析，行为分析部分需要配置审计策略，才记录相关信息。时监控、统计分析，行为分析部分需要配置审计策略，才记录相关信息。lAGX 平台内置了强大的平台内置了强大的 AceReporter 系统，可对全网的流量进行采系统，可对全网的流量进行采集和统计、分析用户网络行为。集和统计、分析用户网络行为。lAceReporter 系统提供丰富的统计数据，可按长期系统提供丰富的统计数据，可按长期(周周/月月/年年)、短期、短期(分钟分钟/小时小时/日日)和实时和实时(秒秒)的方式显示带宽使用状况，并根据用户需求的方式显示带宽使用状况，并根据用户需求产生报表。从而帮助管理者了解网络整体使用情况，轻松解决网络中存产生报表。从而帮助管理者了解网络整体使用情况，轻松解决网络中存在的问题。在的问题。l流量统计：提供全网流量统计信息，主要包括：流量统计：提供全网流量统计信息，主要包括：IP 统计、统计、IP 组统计和组统计和服务统计，并可进一步查看服务统计，并可进一步查看 IP 地址、地址组和网络服务之间的关联。地址、地址组和网络服务之间的关联。AceNet Technology,Inc.AceNet Technology,Inc.3535USAReporterl会话记录：通过检查完整的会话日志，管理者可以跟踪网络中的任何操会话记录：通过检查完整的会话日志，管理者可以跟踪网络中的任何操作。会话记录包括：源作。会话记录包括：源 IP、目的、目的 IP、协议和端口、是否进行、协议和端口、是否进行 NAT 转转换换(可显示转换后的可显示转换后的 IP 和端口和端口)、七层应用名称、会话产生的时间和会、七层应用名称、会话产生的时间和会话持续时间。话持续时间。l行为分析：配合行为管理功能，可提供丰富的流量审计信息，可以记录行为分析：配合行为管理功能，可提供丰富的流量审计信息，可以记录用户用户 URL 日志、邮件日志、日志、邮件日志、FTP 日志、日志、IM 日志等。日志等。AceNet Technology,Inc.AceNet Technology,Inc.