AC設(shè)備部署的教案第1頁/共29頁SANGFORAC部署模式介紹深信服公司簡介典型部署模式與配置練練手SANGFORAC防DOS攻擊功能簡介及配置第2頁/共29頁SANGFORAC部署模式介紹部署模式_簡介

1、部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定，不同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同。

2、AC支持路由、網(wǎng)橋、旁路三種工作模式。第3頁/共29頁SANGFORAC部署模式介紹路由模式_簡介

1、路由模式時AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶原有網(wǎng)絡(luò)環(huán)境中添加AC設(shè)備時不建議采用這種模式，因為這種部署模式需要對客戶的網(wǎng)絡(luò)環(huán)境作較大的改動。

2、一般使用路由模式部署的環(huán)境是客戶想用AC替換原有部署的防火墻或者是路由器，或者是客戶在規(guī)劃新網(wǎng)絡(luò)建設(shè)時需要將AC充當(dāng)路由功能。

3、路由模式下支持AC所有的功能模式。

4、一般客戶如果需要使用NAT、VPN、DHCP等功能時，AC必須是路由模式部署，其它工作模式不支持實現(xiàn)這些功能。第4頁/共29頁SANGFORAC部署模式介紹網(wǎng)橋模式_簡介 1、AC以網(wǎng)橋模式部署時對客戶原有網(wǎng)絡(luò)基本沒有改動，不需要更改客戶原有的網(wǎng)絡(luò)設(shè)備配置。 2、網(wǎng)橋模式時AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等其它功能均可實現(xiàn)。 3、網(wǎng)橋模式部署AC時，對客戶來說是個透明的設(shè)備，如果因為AC自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。 4、網(wǎng)橋模式部署時AC支持硬件bypass功能（其它模式部署均沒有支持bypass功能的說法。第5頁/共29頁SANGFORAC部署模式介紹網(wǎng)橋模式_3種類型1、單網(wǎng)橋，這種部署模式是最常見的。AC部署在出口網(wǎng)關(guān)設(shè)備（防火墻或者路由器）和內(nèi)網(wǎng)的主交換機(jī)中間。常見于客戶原有的網(wǎng)絡(luò)是單核心交換機(jī)、單出口防火墻（路由器）的情況下。2、多網(wǎng)橋，一般情況下兩進(jìn)兩出是最常見的。AC部署在出口網(wǎng)關(guān)設(shè)備（防火墻或者路由器）和內(nèi)網(wǎng)的主交換機(jī)存在多個核心鏈路之間。常見于客戶原有的網(wǎng)絡(luò)有可能是多核心交機(jī)或者是多出口防火墻（路由器）的情況下。3、網(wǎng)橋多網(wǎng)口，這種部署相對比較少。是指支持將多于兩個以上的網(wǎng)口來組成單對網(wǎng)橋。第6頁/共29頁SANGFORAC部署模式介紹旁路模式_簡介 1、旁路模式是AC三種工作模式中最簡單的一種，但也是所能實現(xiàn)功能較弱的一種部署方式，此種部署模式對客戶原有網(wǎng)絡(luò)無任何影響，即使設(shè)備宕機(jī)也不影響客戶網(wǎng)絡(luò)。 2、旁路模式AC只用于上網(wǎng)行為的審計和基于TCP應(yīng)用的控制功能，對基于UDP協(xié)議的應(yīng)用無法控制。不支持流量管理，準(zhǔn)入系統(tǒng)，NAT,VPN,DHCP等功能。 3、旁路模式下，AC使用LAN/WAN口接核心交換機(jī)或者是核心出口路由器上，需要路由器或者是核心交換機(jī)支持鏡像功能，將流量上下行鏡像到AC上來。第7頁/共29頁路由模式旁路模式網(wǎng)橋模式典型部署模式與配置第8頁/共29頁典型部署模式與配置

路由模式_部署指導(dǎo)1、首選需要了解客戶的實際需求，客戶是否必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個功能。如果客戶網(wǎng)絡(luò)中已經(jīng)有其它設(shè)備實現(xiàn)了這些功能或者是客戶根本用不到這些功能則應(yīng)首先考慮網(wǎng)橋模式部署。2、客戶新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，相當(dāng)于一個全新的網(wǎng)絡(luò)規(guī)劃，客戶想把AC當(dāng)作一臺防火墻部署在出口上，可以部署成為路由模式。3、客戶網(wǎng)絡(luò)中原有防火墻或者路由器了，出于某方面的原因想用AC替換掉原有出口的防火墻或者路由器。第9頁/共29頁典型部署模式與配置第10頁/共29頁典型部署模式與配置

路由模式配置思路1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口（WAN1口）是固定IP或者是ADSL撥號方式，取得相應(yīng)運(yùn)營商給的IP地址信息或者是撥號的帳號密碼；確定內(nèi)網(wǎng)口（LAN口）的IP地址信息；2、確定內(nèi)網(wǎng)是否多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由回指給設(shè)備下接的核心交換機(jī)；第11頁/共29頁典型部署模式與配置

路由模式配置截圖第12頁/共29頁典型部署模式與配置

網(wǎng)橋模式_部署指導(dǎo)1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響比較小，當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能時，則應(yīng)考慮部署網(wǎng)橋模式。2、根據(jù)客戶原有網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用是單網(wǎng)橋、雙網(wǎng)橋、網(wǎng)橋多網(wǎng)口等方式。典型的網(wǎng)絡(luò)環(huán)境和部署方式： 客戶原有網(wǎng)絡(luò)是單核心交換機(jī)、單出口防火墻情況下，AC用單網(wǎng)橋； 客戶原有網(wǎng)絡(luò)是單核心交換機(jī)、兩臺出口防火墻情況下，AC用雙網(wǎng)橋； 客戶原有網(wǎng)絡(luò)是兩臺核心交換機(jī)、單臺出口防火墻情況下，AC用雙網(wǎng)橋；第13頁/共29頁典型部署模式與配置第14頁/共29頁典型部署模式與配置

網(wǎng)橋模式配置思路網(wǎng)橋模式部署時需要考慮AC串接在前面防火墻和下面的核心交換機(jī)之間網(wǎng)段是否存在空閑的主機(jī)IP地址，如果有則分配一個該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒有空閑IP的話則配置管理口（DMZ）進(jìn)行管理。第15頁/共29頁典型部署模式與配置

網(wǎng)橋模式配置截圖第16頁/共29頁典型部署模式與配置

旁路模式_部署指導(dǎo)1、旁路模式是所有部署模式中最簡單的一種，但也是功能實現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計和基于TCP的應(yīng)用過濾時，可以考慮此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計；2、旁路部署時一般設(shè)備是接在核心交換機(jī)上，核心交換機(jī)通過將鏡像功能將需要審計的流量鏡像過來；3、管理時采用管理口（DMZ）配置IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽口，可使用一個口或者是多個口同時作為監(jiān)聽口，監(jiān)聽口無需任何配置的。第17頁/共29頁典型部署模式與配置第18頁/共29頁典型部署模式與配置

旁路模式部署配置思路1、一般AC旁路接在核心交換機(jī)的鏡像口上，核心交換機(jī)需要將上下行流量鏡像到AC過來。2、旁路模式部署時必須配置管理口IP地址進(jìn)行管理，可以分配內(nèi)網(wǎng)任意網(wǎng)段空閑IP地址進(jìn)行管理，監(jiān)聽口可以接任意網(wǎng)口（除了配置為管理口接口之外），可以同時接多個進(jìn)行監(jiān)聽。3、需要確認(rèn)內(nèi)網(wǎng)所有需要進(jìn)行審計的內(nèi)網(wǎng)網(wǎng)段（監(jiān)控網(wǎng)段），需要確認(rèn)內(nèi)網(wǎng)是否有服務(wù)器提供訪問時需要也進(jìn)行記錄。4、管理口不僅用于管理，還用于包括和外置數(shù)據(jù)中心同步、作TCP控制時發(fā)reset包使用。第19頁/共29頁典型部署模式與配置

旁路模式配置截圖第20頁/共29頁防DOS攻擊功能簡介及配置防DOS攻擊功能介紹1、防DOS攻擊是設(shè)備對于DOS攻擊的防護(hù)作用，通過設(shè)備能夠阻止此類攻擊，不僅能夠阻止對設(shè)備本身的攻擊、也可以阻止內(nèi)網(wǎng)某些PC對外網(wǎng)發(fā)起的攻擊。2、DOS攻擊常見類型有：單個主機(jī)IP對某個目標(biāo)IP發(fā)起大量的TCP連接握手、單個IP對某個目標(biāo)IP發(fā)送大量的小包。3、防DOS攻擊配置建議：建議如果客戶對安全方面有要求的話可以啟用，但需要謹(jǐn)慎配置；如果客戶網(wǎng)絡(luò)中已有安全防護(hù)設(shè)備，并且客戶不關(guān)注設(shè)備此功能，則不建議在設(shè)備上配置該功能。第21頁/共29頁防DOS攻擊功能簡介及配置防DOS攻擊配置1、內(nèi)網(wǎng)網(wǎng)段要么留空，要配置則必須完整將內(nèi)網(wǎng)所有網(wǎng)段填寫完整，否則少填的網(wǎng)段將會無法上網(wǎng)。2、如果內(nèi)網(wǎng)是三層交換機(jī)多網(wǎng)段環(huán)境，則左圖中紅色框選項一定不能勾選，如果內(nèi)網(wǎng)是二層交換機(jī)單網(wǎng)段環(huán)境，可以勾選此項，不勾選也不會產(chǎn)生影響。3、下面三個配置參數(shù)建議使用默認(rèn)配置即可。如果內(nèi)網(wǎng)用戶使用電驢，迅雷等下載軟件下載，可適當(dāng)增大“最大攻擊包次數(shù)”，避免出現(xiàn)誤判。第22頁/共29頁練練手情景1客戶原有網(wǎng)絡(luò)已經(jīng)在出口位置部署了一臺防火墻，下接三層交換機(jī)，現(xiàn)在購買了一臺AC，客戶需要實現(xiàn)流控、審計、網(wǎng)頁過濾等功能，請問根據(jù)這樣需求AC應(yīng)該如何部署對客戶是最合適的？請根據(jù)右邊拓?fù)鋱D對設(shè)備工作模式實際動手配置一下，完成設(shè)備部署第23頁/共29頁練練手情景2客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的原因，客戶想購買一臺AC替換掉原有防火墻，請根據(jù)圖示拓?fù)湫畔嶋H動手配置一下，完成設(shè)備部署。第24頁/共29頁練練手情景3某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計、URL過濾這兩個功能需求，并且要求對提供內(nèi)外網(wǎng)訪問的WEBSERVER訪問時進(jìn)行記錄，請根據(jù)客戶的實際網(wǎng)絡(luò)討論以哪種部署方式最適合客戶的部署，并實際動手完成配置部署。第25頁/共29頁練練手情景4客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶需要AC實現(xiàn)審計、P2P管控等功能，請問AC該如何部署即能夠滿足客戶的需求，而客戶原有的網(wǎng)絡(luò)又不需要作任何的改動。請