DPtechUAG产品培训.pptx

《DPtechUAG产品培训.pptx》由会员分享，可在线阅读，更多相关《DPtechUAG产品培训.pptx（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 3000产品培训1目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理网络应用不清晰，处于“失明”状态，缺少对网络进行诊断和规划指导，核心业务无法保障，都严重影响公司业务开展！2背景介绍之企业面临问题1：滥用网络资源n网络中各种应用混乱无序，网络处于混沌状态n以迅雷、为代表的P2P应用，消耗了大量的网络带宽，造成网络拥塞n在工作中进行网络炒股、网络游戏、在线电影，无法安心工作n发现网络使用、等聊天工具的比例高达89.2%，影响工作效率n 发布的企业网流量使用图 3背景介绍之企业面临问题2：工作效率的降低n浏览新闻n聊天、交友n音乐、电影下载n炒股n购物n游戏n电子贺卡n彩票n公司

2、开通了宽带上网，老板发现大部分员工上班都在用和聊天，上网做一些与工作无关的事情，以前只是通过考勤来考核员工迟到早退，现在人虽在办公室，但是这些人并不在工作，让老板很恼火！4背景介绍之企业面临问题3：病毒威胁网络中肆虐的病毒会导致：恶意攻击泛滥，危害终端使用产生异常流量，影响核心业务扰乱正常审计，致使无法明确问题责任人是否有意操作网络黑客、网络病毒非常猖獗时刻威胁网络办公的安全。安全调查结果显示，2009年全年新增病毒数量高达1271万余个，增长超过50%。木马后门病毒占85.9%，互联网被挂马增长10倍。5背景介绍之企业面临问题4：信息安全威胁随着社会的网络化，近几年利用计算机网络犯罪的案件以

3、每年30%的速度递增。其中内部人员占有相当的比例，据统计：身为银行或证券公司职员而犯罪的占78%。计算机犯罪从原来的金融犯罪发展为现在的生产、科研、流通等几乎所有计算机联网的领域。“最大的安全威胁来自内部”，这是信息安全界经常在喊的一句口号。网络四通八达，一封邮件就可能将公司的客户资源发送给竞争对手。某些员工泄露公司机密，将给公司造成致命打击！6背景介绍之企业面临问题5：被动引发的法律风险n深陷“邮件门”事件的戴尔公司决心在中国摆脱尴尬n戴尔全球总部发表声明，对其员工关于联想的歧视性言论“深表遗憾”，并强调该言论绝不代表公司的立场。n“兽兽门”事件n“兽兽门”事件暴露了网络安全没有预防的危害性

4、。政府部门严厉监管反动言论、种族攻击、迷信、邪教、黄、赌、毒、盗版等网络行为，网络资源的非法使用，员工利用公司网络发表反动言论等将导致组织面临法律风险，员工所在的组织必然会在其中被动地卷入法律风险，影响企业的正常经营。7背景介绍之总结n来自外网的病毒、蠕虫、木马等攻击n外部网站存在各种安全陷阱n机密信息泄漏n无限制接入和无限制访问n安全威胁n、炒股等造成工作效率下降nP2P、在线点播无度，造成网络拥塞n网络安全的不断扩容带来成本压力n“糖葫芦”式的堆叠式部署带来管理压力n潜在法律和法规风险n管理威胁8背景介绍之企业安全威胁一体化防御需求服务器用户防病毒访问控制统一审计网关行为审计流量分析和带宽

5、管理可视、可控、可优化：流量控制，解决P2P等带宽滥用行为审计，防止机密信息泄露防病毒，抵御安全威胁，并确保审计与流控准确过滤，提供访问控制路由认证，接入身份识别网流分析、故障分析：对威胁和异常流量及时发现及时告警9目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理10产品介绍之统一审计网关全家福30008千兆电口千兆电口150适合管理适合管理200用户用户30006千兆电口，千兆电口，2千兆光口千兆光口1适合管理适合管理5000用户用户30006千兆电口，千兆电口，6千兆光口千兆光口2适合管理适合管理10000用户用户大型企业总部大型分支/中型企业30008千兆电口千兆电口20

6、0适合管理适合管理500用户用户30008千兆电口千兆电口50适合管理适合管理50用户用户中型分支/小型企业30008千兆电口千兆电口100适合管理适合管理100用户用户300012千兆电口，千兆电口，12千兆光口，千兆光口，2万兆万兆适合管理适合管理50000用户用户吞吐量：吞吐量：5300012千兆电口，千兆电口，12千兆光口，千兆光口，2万兆万兆适合管理适合管理100000用户用户吞吐量：吞吐量：1211产品介绍之统一审计网关技术参数12产品介绍之统一审计网关技术参数13目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理14技术特点之总览传统融合智能资源化叠加式简单管理部署

7、固化新应用适应性差低性能多故障网络融合式，一体化管控统一管理，多网管协议弹性部署，组网灵活专业团队，确保及时升级性能无衰减高可靠网络15技术特点之特色1：一体化管控行为审计流量管理+=病毒防护：抵御异常流量/间谍软件导致泄密/垃圾审计记录+网络路由、NAT、多种认证：部署/管理一体化+16技术特点之特色2：统一管理n支持069配置管理协议n支持分域、分级管理n集中管理和批量下发n动态地址节点配置管理企业n企业2企业1管理平台069唯一支持运营商级下一代广域网网管069协议17技术特点之特色3：部署灵活交换机在线部署模式内部网络路由器交换机旁路部署模式镜像在线部署方式部署于网络的关键路径上，支持

8、路由和透明模式实时网络行为审计2-7层流量深度分析，实时防御外部和内部病毒威胁旁路部署方式非在线部署对镜像流量进行用户行为审计内部网络路由器18n具有近百人专业特征库升级团队n协议库、病毒库、库，每周至少更新1次n微软计划合作伙伴n是极少数能发现漏洞并提交国家漏洞库的厂商技术特点之特色4：专业的特征库团队19技术特点之特色5：高性能硬件平台路由计算、配置管理、表项下发行为审计防病毒带宽管理行为审计防病毒带宽管理行为审计防病毒带宽管理行为审计防病毒带宽管理n线速处理，微秒级时延：n多核多线程、片内总线、片内内存，突破性能瓶颈n核心技术：系统并发处理能力；数据、控制与管理分离n业界唯一能提供万兆流

9、控/审计类产品的厂商多核多线程并行业务处理20创新：内容只需一次匹配，大大提升处理效率技术特点之特色5：性能无衰减匹配算法21技术特点之特色6：可靠性保证n应用n关键部件均冗余设计n支持温度自动检测及告警n支持双机状态热备内置的高可用性n借助于掉电保护模块，可保证掉电时，网络依然畅通n微秒级切换时间掉电保护模块检测引擎正常模式检测引擎二层交换模式掉电保护模块网络流量供电交换机交换机22目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理23部署方式n网关模式n网关模式没有接口对的概念，流量从口（外网区域）进入设备并从口（内网区域）转发出去，各区域间的转发过程是三层转发（基于）。24

10、n具有路由、功能；n接入方式支持、固定三种；n可指定任意接口为口，各口可单独配置网段或者启用桥接；n支持带内、带外管理部署方式之组网示意图25n桥接模式n桥接模式没有接口对的概念，流量从口（外网区域）进入设备并从口（内网区域）转发出去，各区域间的转发过程是二层转发（基于）。部署方式26具有二层交换机的功能，通常作为透明网桥连接多个以太网网段使用；当部署在两交换机之间，可启用；支持带内、带外管理部署方式之组网示意图27n透明模式n透明模式存在接口对概念，部署时严格遵守0口接内网，1口接外网；以数据流量为外网到内网为例，流量从1口进入设备，与规则匹配的同时，从0口转发出去。部署方式28n透明模式下

11、，设备直接处于数据转发的链路上，不改变网络拓扑，可直接执行访问控制；n有指定接口对“0、1”，“2、3”，“4、5”依此类推；n支持带外管理，此种组网模式性能最高部署方式之组网示意图29n透明桥接模式n透明桥接模式存在接口对概念，部署时严格遵守0口接内网，1口接外网。在透明模式的基础上提供了认证以及带内管理功能 部署方式30n透明桥接模式是在透明模式的基础上提供了认证功能；n支持带内、带外管理，此种组网模式性能仅次于透明组网模式部署方式之组网示意图31n旁路模式n旁路模式没有接口对的概念，从交换机上镜像的流量从0口进入设备，与规则匹配的同时，将此流量丢弃。部署方式32n旁路模式通过交换机镜像流

12、量技术，可在不改变网络拓扑的情况下对用户网络流量进行分析；n此种模式下不可执行访问控制，只做检测；n无接口对概念，各接口独立；n支持带外管部署方式之组网示意图33部署方式之各组网模式比较n功能差异n基于主体功能而言，网关模式、桥接模式和透明桥接模式支持所有功能n基于主体功能而言，透明模式和旁路模式支持除“终端/微机管理”和“认证”的所有功能n性能差异n由于数据转发原理不同，性能由高到低排序，依次为：旁路模式-透明模式-透明桥接模式-桥接模式-网关模式34部署方式之各组网模式比较n组网能力差异n网关模式：具有路由、功能；接入方式支持、固定三种；可指定任意口为口，各口可单独配置网段或者启用桥接；支

13、持带内、带外管理n桥接模式：具有二层交换机的功能，通常作为透明网桥连接多个以太网网段使用；当部署在两交换机之间（有），可启用；支持带内、带外管理n透明模式：直接处于数据转发的链路上，不改变网络拓扑，可直接执行访问控制；有指定接口对“0、1”，“2、3”，“4、5”依此类推；支持带外管理n透明桥接模式：在透明模式的基础上提供了认证功能，支持带内、带外管理n旁路模式：通过交换机镜像流量进行分析，不改变网络拓扑，不可执行访问控制，只做检测；无接口对概念，各接口独立；支持带外管理35目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理36典型案例n透明桥接模式结合了桥接与透明组网模式的优点

14、，在透明的基础了上加入了认证的功能，此种模式下可使用设备的所有功能，且在不更改客户原有网络环境的前提下灵活部署。n此种组网模式已通过现场专业测试，且已应用于某机构的网络中，在实现各项功能的基础上对其结构及网速无负面影响，在此对此案例做详细介绍37当网络存在主备链路时，则按照左图方式部署当网络只有一条链路时，则按照右图方式部署典型案例之网络拓扑38提供网络流量分析功能提供用户上网行为审计功能提供应用流量控制功能提供用户上网实名认证功能提供过滤功能针对以上的需求，我们需要做如下的配置操作典型案例之需求整理39n预先配置n配置管理n修改登录密码（如需要）n组网模式选择n用户组配置n全局策略配置n流量

15、分析n行为审计n带宽限速n过滤n实名认证n管理平台配置典型案例之策略配置40典型案例之策略配置n配置管理n串口方式修改：串口初始密码（不同型号管理口名称不一致，请 查看管理口名称）q页面方式修改：【网络管理】-【接口模式】-【管理接口配置】（如需配置带内地址，请在组网模式中配置；切忌在此页面配置带内管理）41典型案例之策略配置n组网模式选择n在“基本-网络管理-组网模式”中，选择“透明桥接模式”，点击“确认”进行组网模式修改（桥地址勿与带外地址冲突）42典型案例之策略配置n用户组配置n在“基本-网络管理-网络用户组-用户组”中，添加内网用户网段（需要时添加例外），点击“确认”创建用户组43典型

16、案例之策略配置n流量分析配置n在“业务-审计分析-流量分析”的流量统计配置中，为地址，端口号为9502，点击“确认”进行策略下发44典型案例之策略配置n行为审计配置n在“基本-日志管理-业务日志”中，勾选“审计日志”与“输出到日志主机”，为地址，端口号为9514，点击“确认”进行策略下发45典型案例之策略配置n行为审计配置n在“业务-审计分析-行为审计”中，添加审计策略（不配置“保存详细内容”），点击“确认”进行策略下发46典型案例之策略配置n带宽限速配置n在“业务-访问控制-网络应用带宽限速”中，根据流量分析的结果，配置P2P限速（如：P2P限速出口总带宽的一半）47典型案例之策略配置n过滤

17、配置n在“业务-访问控制-过滤”中，添加过滤策略（成人、色情、暴力、宗教迷信），点击“确定”下发策略；注意：此功能需要导入的后，升级特征库后才可用48典型案例之策略配置n认证配置n在“业务-安全中心-认证”中，启用认证策略，并输入相应参数，点击“确认”进行策略下发；49典型案例之策略配置n统一管理平台50n可以作为独立，管理多台n可以做为管理，添加多个下级，实现级联，实现和设备的统一管理典型案例之管理平台n统一管理平台51n独立n管理典型案例之管理平台n统一管理平台52典型案例之管理平台n统一管理平台添加设备n在“设备管理-设备列表”中，添加设备53典型案例之管理平台n统一管理平台时间同步n在

18、“系统管理-时间同步配置”中，点击“立即同步”或使能“时间同步配置”，确保与时间一致54目录n背景介绍n产品介绍n技术特点n部署方式n典型案例n运维管理55n使用6.0以上版本，建议使用7或8 n3000初始地址为192.168.0.1 n串口接的“”口，管理口接的7口（以型号产品为例），命令行默认密码为 n缺省登录用户名是，密码是 n管理安装串口管理软件、超级终端等运维管理之预备资料56运维管理之常规维护n定期查看设备状态n以方式登录设备管理页面，查看设备运行状态57运维管理之常规维护n定期查看设备日志n查看系统、操作日志，查询告警及可疑日志58运维管理之常规维护n定期查看磁盘存储信息n查看

19、本地信息59运维管理之常规维护n软件版本升级n升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启设备即可60运维管理之常规维护n流量走向n正常时，流量情况：1-23-4n异常时，流量情况：1-461n用户登录后，如果对界面不进行操作的时间超过5分钟，系统将超时并退回到登录页面，必须重新登录才能继续使用 n设备支持管理员使用协议登陆管理界面的总数最多为5个 n使用前建议清除缓存 运维管理之常规维护62运维管理之排错基本流程63n为什么管理口配了地址，却不通？n在同网段中，需同属一网段；在不同网段中，需在设备上添加相应的路由。n在界面上直接对管理口的设置修改，会有什么结果？n会导致当前界

20、面掉，无法继续进行任何操作，需访问改后的地址。n当设备异常断电时，之前在界面上的配置是否保存？n保存，设备开启情况下，对于操作与配置都是实时保存的。n设备上的接口做什么用的？n外置断电保护，以及3G扩展。运维管理之64n我有特征库文件，为什么不能升级？n需要导入相应。n已将软件版本导入设备的卡中，为什么重启后不能加载该版本？n须将该版本状态选为“使用中”才可。n设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？n在并未自行手动删除的情况下，查看是否超过了保存该日志的时间。n输出到的业务日志和流量分析的端口号是什么？n业务日志是9514，流量分析日志是9502。运维管理之65n为什么

21、配置策略的时候，优先使用指定用户组，而不用？n做到对业务的细化，同时过滤多余信息。n接入设备后，发现接口协商成半双工产生丢包，怎办？n需要双方都强制相应的速率和双工状态。n如果与系统时间间隔过大，有何影响？n产生的日志会有相应的滞后，建议安装后，立即开启时间同步功能。n我开启了特征库自动升级，为什么没有生效？n在确认有效的情况下，保证设备可以直接访问互联网（使用诊断工具外网地址，确保设备管理口到公网访问畅通）。运维管理之66n开启认证后，为什么服务器无法自动升级？n内部服务器、打印机等设备如需上网进行补丁升级或其他操作，无法自动完成认证，即无法接入互联网，需将这类设备添加到例外中，不做认证策略。n如何快速诊断的运行状态？n在设备已配置了流量分析、业务日志发送到，且参数正确情况下，双击系统任务栏上的客户端，可直接查看运行状态。n查看的设备管理中，是否有设备信息。（若无设备信息，需手动添加）n在配置正常，且已经触发业务日志或者流量分析，但没日志情况下。使用抓包工具，查看安装服务器上的网卡是否收到了9514或者9502的报文：有报文，则需排查是否是本地防火墙等安全类软件导致；无报文，查看到的链路情况（路由，访问控制策略等）。运维管理之杭州迪普科技有限公司杭州迪普科技有限公司