深信服上网行为管理(AC)、安全网关(SG)学习笔记_深信服上网行为监控
赞
踩
深信服上网行为管理的学习笔记,由于AC软件版本更新相关特性可能变动,仅供参考哈。。
权威内容请访问深信服官方社区:https://bbs.sangfor.com.cn/
目录
原理:默认连接TCP 1.2.3.4:82,需PC到AC间路由可达
SSL网页通过ICAP代理需要按照证书(开启SSL 内容识别)
外置数据中心数据库迁移的方法—LSQ20140424.pdf
12.0.41内置巡检脚本:系统管理-系统诊断-设备健康检查
AC原有功能+认证中心功能+准入功能(入网认证+终端检查+内部权限控制)
12.0.26(改后台)、12.0.29(直接升级)支持升级到全网行为管理
默认IP
eth0:10.251.251.251/24
eth1:10.252.252.252/24
接口保留地址
路由模式
LAN(eth0):128.127.125.252/29(248)
DMZ(eth1):128.128.125.252/29(248)
网桥模式
br0(eth0):128.127.125.252/29(248)
DMZ(eth1):128.128.125.252/29(248)
旁路模式
manage口(eth0):128.127.125.252/29(248)
恢复密码
创建文件标记不恢复配置:https://acip/php/rp.php
需包含此SP包sp_pwforce
ACSG12.0.12以前版本,短接非bypass组电口
ACSG12.0.12以后版本 ,固定使用eth0和eth2两个电口短接
部署模式
AC
路由模式
旁路模式(镜像)
SSL内容识别需要在P2P链路上,镜像模式不支持SSL内容识别
网桥模式
不支持:DHCP\NAT\GRE\VPN\端口映射\链路负载\用户接入趋势\在线时长注销\动态路由
- 注意
• 虚拟IP
网桥模式下,AC\SG通过虚拟IP实现重定向和代理功能(SSL内容识别和邮件过滤)虚拟IP不能与现有业务IP重合,【系统管理】-【系统配置】-【高级配置】-【使用重定向和代理高级配置】中修改虚拟地址默认的虚拟ip是1.1.1.2或1.1.1.3重定向认证地址1.1.1.1虚拟IP重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截并记录下数据包的源,目的IP,数据包的封装类型,以及数据包进入AC时的接口。在11.0以后的版本,AC新增了一个虚拟ip地址,网桥模式下当涉及到一些AC重定向的页面的时候可以通过虚拟ip弹出,隐藏设备真实的网桥ip地址,AC回弹portal的重定向认证页面时,会将记录下来的数据包的源,目的IP反转,再从数据包进入的接口直接发出去,其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。重定向数据包不需要查找AC的路由表,数据直接从流量入口发出即可。虚拟地址不能与设备网口在同一个网段,也不需要在内网设置路由
• 设备上网
设备更新上网 1、网桥IP:给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库 2、管理口IP:设备管理口配置一个VLAN中的可用IP来进行管理和上网更新规则库
• 网桥链路状态同步
自动同步接口、链路状态避免流量黑洞
• DMZ重定向
DMZ口重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截数据包,AC通过查找本身DMZ口的路由表,将portal的重定向认证页面从DMZ口发出,其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址(302状态码!)。
• 查自身DMZ口路由表,将portal重定向认证页面从DMZ口发出,数据包字段替换为AC DMZ口IP重定向URL地址(302状态码)
认证模式(12.0)
SG
路由模式
旁路模式(镜像)
网桥模式
不支持:DHCP\NAT\端口映射\链路负载网桥部署做代理的情况下,必须使用网桥地址上网才可以,不支持管理口重定向
认证模式
单臂模式(代理)
截止标准版本12.0.42,SG单臂不支持的功能有:代理控制、SSL内容识别加密邮件识别、QQ白名单、邮件过滤、网络质量监测、WEB访问质量检测、DHCP、网络协议扩展、光口bypass设置、二维码认证、微信认证、AD域单点登录监听方式、第三方单点登录、数据库单点登录、深信服转发,端口映射,VPN,过滤规则,NAT代理上网,链路负载,高可用主主,代理控制,无线模块除以上功能外其他功能均支持
代理环境部署
显式代理【需配Internet选项】排除AC的管理地址和重定向地址(网桥模式部署开启重定向功能后)如果AC\SG开启了SSL内容识别,AC\SG会代理SSL客户端发出访问请求给SSL服务器,AC11.X的版本有地址还原的功能,实际上AC是以PC的IP地址和SSL服务器进行交互,因此AC11.X的版本启用SSL内容识别可以不用设备去上网,只要内网的PC可以上网就行
代理出口,AC/SG网桥部署,LAN为审计设备,WAN为出口代理
代理出口,AC/SG旁路部署,DMZ发回包
代理单臂,AC/SG推荐网桥部署,LAN接PC,WAN接单臂1、代理勾选WAN-LAN不认证2、代理服务器设备填写代理服务器IP
协议剥离支持模式
网桥
路由
网桥(仅trunk环境)
端口聚合场景
不支持链路聚合,网桥部署可以穿透端口聚合协议
使用DMZ口管理AC,开启DMZ重定向功能
双机部署
组双机只判断部署模式、网口、版本号组双机前,必须保证两个设备的部署模式、LAN口、WAN口、DMZ口设置是一样的(IP可以不一样,但物理口ethx与LANx/WANx/DMZx的对应关系必须一样),否则是不会进行配置同步的(包括网络配置)
主备部署
KB补丁包、定制包一致,SP网关补丁可以不一致主机设备亮绿灯,备机状态灯闪注意:设备A先开启了高可用性,且配置为低优先级,当它发现没有跟它冲突的设备时,就变成主机了,设备B再开启高可用性,且配置为高优先级,当它发现已经有冲突设备存在了,就变成备机
支持模式
- 路由模式
- 认证模式
- SG单臂模式
不支持模式
- 网桥模式(推荐主主)
不涉及路由转发,如是备机难道会丢包?bypass状态上联设备会收到两个数据包?
- 旁路模式
HA同步属性
- 同步
• 网口配置(DMZ口除外)
• 部署模式
• 静态路由
• 链路负载
• DHCP
• 对象定义
• 用户认证相关
• 包括认证策略
• 外部认证服务器
• 单点登录
• 组和用户
• 用户绑定
• IP/MAC绑定等
• 策略管理
• 流量管理
• 安全防护
• 无线配置
• VPN配置
- 不同步
• 序列号
• 页面定制
• 网关杀毒授权
• 应用识别/URL库升级序列号
• 多功能授权
• 数据中心日志
• 日志查看
• 病毒库
• URL库
• 应用识别库
• 准入内置规则库
• 审计规则库
• HA口地址
• 在线用户认证方式为不需要认证方式的用户不会同步
标准化排查
- 1、检查 ha 口是否在同网段,相互能否通讯(1.1.1.1是网桥IP,虚拟IP不能使用!!)
- 2、检查主机和备机是软件版本是不是一样,对比下版本信息
- 3、对两个 ha 口地址开直通,看是不是策略拦截了
- 4、在 HA 口抓包看双机建立的协商报文是否发送出去。(建立双机的协商包和同步配置都是 TCP 协议,心跳包是 UDP 协议)
- 5、查看双机状态和系统日志,例如:密码错误,会直接提示出来
- 11.2R1需重启HA服务
主主部署
icmp探测地址是与关系、ARP探测是或关系
双机检测机制
主备机配置ARP探测、ICMP探测时,推荐高低配置方式,即:主机上开启ARP探测或ICMP探测,备机上不开启ARP探测和ICMP探测,避免因非设备本身因素导致的频繁来回切换
- ARP检测原理
ARP检测:向指定网络设备发送ARP来判断链路状态,向列表中所有IP发送免费ARP,探测都不通即判定为链路故障【探测AC设备上联或下联设备的地址,检测到有一个探测不通,就进入ARP探测故障(ARP探测地址最多支持填6个)】免费ARP是指主机发送ARP查找自己的IP地址。第一种就是所说的宣告广播的作用,以告诉整个广播域,目前这个IP所对应的MAC地址是什么。第二种是看看广播域内有没有别的主机使用自己的IP,如果使用了,则在界面上弹出“IP冲突”字样。
- ICMP检测原理
向指定IP发出ICMP包,做ping检测WAN口方向,可以配置上联设备IP、公网常用域名或IP:www.baidu.com/114.114.114.114LAN口方向,下联设备IP、内网可通信网段IP等探测IP/域名填写多个时,全部探测不通才进入故障(ICMP探测地址最多支持8个)
- 监控网口掉电
用于上下联设备监测网口down才会联动切换的场景,在设备进入备机状态时,down掉监控网口组内的所有网口,用于通知上下联设备进行快速联动切换。
不同步配置
- DHCP
- 序列号
- VPN配置
- 部署模式
- 网口配置
- 静态路由
- 策略路由
- 抓包工具
- 网监对接
- 高可用性
- 命令控制台
- 日志中心配置
- 上网故障排除
- 虚拟线路配置
- 网络协议配置
- 防火墙过滤规则
- 光口bypass设置
- 配置备份与恢复
- 高级选项:集中管理、设备名称、证书、SNMP、其它选项
功能
QQ白名单
配置了QQ白名单之后,关联策略的用户只有白名单内QQ才能登录,支持500个QQ白名单,QQ白名单与QQ封堵策略互斥,支持QQ(含移动QQ),不支持RTX、企业QQ、web QQ等
用户在线
1、AC/SG重启设备会不会注销在线用户?AC11.x以前的版本:在线用户后台临时文件保留10分钟,重启在10分钟内完成的,那么重启后用户都还会在线AC11.x以后的版本:没有10分钟的限制,只和注销功能有关,AC如没开启无流量自动注销,即使AC关机1天,AC启动后关机前的用户仍在线,同时在线时长累加1天2、在线用户管理在线时长是怎么计算的?用户认证通过,上线开始计时,只要没有注销,在线时长会一直积累并显示出来,在【系统管理】-【实时状态】-【在线用户管理】可以看到用户在线时长3、如何把所有用户都注销?在AC/SG设备控制台的【用户认证与管理】-【认证高级选项】-【认证选项】里面勾选每天强制注销所有在线用户,设置需要注销时间 4、在线用户在线时长很长,怎么可以优化? 1、可以开启自动注销无流量的用户 2、可以开启每天强制注销所有在线用户 3、可以勾选mac地址发生变动时,需要重新认证5、AC数据中心登录注销日志里的在线用户和注销用户的区别?在线用户表示只有登录时间还没有注销的在线用户,注销用户表示用户有过注销记录的用户
SSL内容识别
原理
1、Webmail、webbbs等网络应用采用SSL加密方式访问的时候,主要是使用安全证书来实现身份校验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制2、当内网PC端发起SSL连接请求的时候,设备会以代理服务器的身份,去代理SSL客户端发出访问请求给SSL服务器,并以SSL客户端的身份跟SSL服务器完成交互后,AC再以SSL服务器的身份回应内网PC的SSL访问请求3、在这整个过程中,设备既作为内网pc的SSL服务端存在,同时也作为外网SSL服务器的客户端存在。所以,SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的,而SSL服务器跟AC的交互过程是采用SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的,而并非来自于真实的SSL服务器注意:设备以代理服务器的身份,去代理SSL客户端发出访问请求给SSL服务器时,由于AC11.X的版本有地址还原的功能,实际上AC是以PC的IP地址和SSL服务器进行交互,因此AC11.X的版本启用SSL内容识别可以不用设备去上网,只要内网的PC可以上网就行
支持类型
- HTTP代理支持SSL内容识别
- Socks5代理不支持SSL内容识别
支持模式
AC/SG旁路模式不支持SSL内容识别
- AC
• 路由模式
• 网桥模式
- SG
• 单臂模式
• 网桥模式
• 路由模式
- 旁路模式支持审计访问URL,不支持网页内容识别
• 11.9R1 前审计https域名 依靠证书颁发给
• 后续版本取HTTPS hello 里的severname 字段
HTTPS认证页面重定向
勾选https请求未通过认证时,重定向到认证页面(代理时除外)代理时除外的意思是说:不管是内网的代理服务器做代理还是sg设备本身做代理,均不支持访问HTTPS网页重定向
邮件审计\过滤
网页版
网页版邮箱:1、在【策略管理】-【上网策略】【上网审计策略】-【应用审计】中勾选通过网页上传的附件内容包括webmail的2、然后需要在【策略管理-【上网策略】-【上网权限策略】中启用【SSL内容识别】,需要把mail.qq.com填写到【加密web应用内容识别】-【域名列表】中
- 审计策略:应用审计,通过HTTP外发内容
- 上网权限:域名列表填写URL
- 上网权限:SSL内容识别
例如:QQ邮件附件是加密的,需要在【上网权限策略】-【SSL内容识别】-【加密web应用内容识别】中将ftn.qq.com域名添加进去 mail.qq.com
客户端
客户端的QQ邮箱:1、在【策略管理】-【上网策略】【上网审计策略】-【应用审计】中勾选发送邮件(SMTP)、接收邮件(POP3/IAMP)2、然后需要在【策略管理-【上网策略】-【上网权限策略】中启用【SSL内容识别】,勾选【加密邮件内容识别】
- 审计策略:邮件--POP3/MAP接收邮件、STMP发送邮件
- 上网权限:SSL内容识别
邮件过滤注意
1、邮件过滤只能对客户端邮件有效,webmail过滤是无效的。2、【邮件过滤】中所有设置邮件地址的地方,既可以填写完整的邮箱地址,比如:xxx@abc.com,可以填写邮件后缀,比如:@abc.com、abc.com。注意:填写abc.com,将同时匹配abc.com 和abc.com.cn 两种后缀的邮件。填写格式为一行一个邮件地址。3、【邮件过滤】中所有设置关键字的地方,支持正则表达式,比如key.*d,将匹配到keyd、keyword 等。填写格式:一行一个关键字,表示或的关系,满足其中一个关键字则匹配到。一行多个关键字,用英文逗号隔开,表示与的关系,同时含有一行中的多个关键字才会匹配到。4、【邮件过滤】仅对使用SMTP协议发送的邮件进行过滤,并且需要确保发送邮件的数据经过设备。发送邮件的SMTP协议标准端口是TCP25 端口,如果发送邮件使用的是非标准端口,那么邮件过滤将对此类邮件不生效。5、【邮件过滤】SMTP 认证密码不能小于3 个字符,如果SMTP 认证后的密码小于3 个字符的邮件审计后将发不出去。6、【邮件过滤】开启邮件过滤时需要确保设备本身可以正常连接邮件服务器,否则邮件可能发不出去
邮件审计注意
1、目前通过审计测试的PC浏览器版邮箱有:163邮箱、126邮箱、yeah邮箱、新浪邮箱、QQ邮箱、189邮箱、腾讯企业邮箱、163企业邮箱、263企业邮箱2、客户端邮件识别仅识别使用25、465、995、143、993、587端口的邮箱3、审计加密web邮箱需要开启SSL内容识别,并加入相应加密邮箱网站4、邮件接收使用POP3、IMAP仅支持审计不支持过滤
准入插件
原理:默认连接TCP 1.2.3.4:82,需PC到AC间路由可达
- 1、如手动配置准入网关,会连接准入客户端手动配置AC地址
- 2、首次默认连接1.2.3.4TCP82端口,直接tcp握手不进行重定向
- 3、连接准入客户端上次成功建立连接的AC地址
- 4、向1.2.3.4的UDP 999端口发包,直接连接UDP回包中包含的AC地址
- 5、连接准入规则检测页面中重定向的AC地址
支持模式
- AC
• 路由模式
• 旁路模式
• 网桥模式
- SG
• 路由模式
• 旁路模式
• 网桥模式
• 单臂模式
直通生效模块
例外:勾选流控模块不进行数据直通==减小AC负载
生效模块
- nat
- 邮件过滤
- 审计
- 网关杀毒(smtp和pop3杀毒)
- ssl内容识别
- 代理+cache
- arp欺骗防护
- 系统路由和链路负载
全局排除IP生效模块
nat
显示代理
防dos攻击
防火墙规则
arp欺骗防护
系统路由\链路负载
准入IM审计(先开启IM审计后排除PC地址的情况)
端口映射
防火墙自动放行数据
如不勾选则需要手动在WAN-LAN放行防火墙规则
内网使用公网IP访问内网服务器
- 发布服务器(允许内网用户使用公网IP访问私网服务器)
• 劣势:公网、内网用户访问内网服务器均会转换为指定LAN IP,服务器日志全为LAN访问
- 手工LAN-LAN映射
• 一、DNAT
• 外网口:LAN
• 源IP:内网网段
• 转换DNAT IP:WAN
• 二、SNAT
• 外网口:LAN
• 代理网段:内网网段
• 转换源IP地址为:使用外网口接口IP(LAN)
• 高级配置:目的IP地址转换条件==指定IP为DNAT后的32位私网服务器IP
• 手动放行LAN-LAN防火墙规则
SG代理
支持HTTP+ICAP,不支持socks+ICAP
SSL网页通过ICAP代理需要按照证书(开启SSL 内容识别)
forward
- 类似内网通过域名访问内网服务器
- SG可以直接将数据转发至内部服务器
SG排错
- 【略】
网络防共享
【略】 //记录多终端(仅移动端不显示)
AC日志
【略】
终端类型识别
【略】
共有用户限额踢用户
【略】
• 0为禁止用户上网,1为用户踢掉第一个用户了解客户这里userlimit_type=多少
- daemonrestart fluxmgrd
• 重启服务
12.0.22清空审计日志
内置数据中心:【略】
外置数据中心:【略】
AC外置数据中心
AC数据中心硬件性能标准和Raid10配置要求.docx
外置数据中心数据库迁移的方法—LSQ20140424.pdf
AC巡检
ACSG各个版本如何巡检及常见巡检问题.docx
巡检脚本
- 巡检脚本20190416.zip
• 【略】
12.0.41内置巡检脚本:系统管理-系统诊断-设备健康检查
pshell下载路径
/html/pshell.exe
AC VPN模块允许自身流量经过VPN
vim /ac/init/S08add_local_vpn.sh
直接编辑对应文件即可
回滚KB包
/ac/backup
取黑匣子(两个命令执行任一即可)
/ac/common/scripts/get_debug_info.sh
/ac/common/scripts/get_log_main.sh
/ac/debug/backup
搬包
cat /proc/ac/filter_packet
命令搬包,设备重启后失效,要永久生效,将相应的搬包命令写入/ac/module/debug/scripts/packet_filter.sh脚本即可
使用重定向和代理高级配置
强制根据目的地址路由,选择重定向包发送网口
- 勾选则使用桥地址重定向
• 需要保证桥地址可用,内网不冲突
• AC有到达内网的路由
- 不勾选:虚拟地址重定向
启用DMZ重定向
- 勾选dmz重定向则用dmz口地址重定向
强制根据目的地址路由,选择代理数据发送网口
关闭地址还原
- 让用户经过SG上网的时候是通过PC的地址去访问,而不是以SG的地址去上网,方便识别和统计内网PC地址
12.0.41:链路负载
使用场景
- 路由模式
• 默认路由
• DNS代理
• 链路负载选路
• 负载链路状态可视化
- 网桥模式
• DNS代理
• 链路负载选路
• 负载链路状态可视化
- 不支持场景
• SG开启代理模式下,不支持DNS代理
SG开启代理,DNS请求是由本机做了代理发起,DNS代理的功能无法对本机发包再做代理
• SG开启代理模式下,不支持运营商负载按DNS负载选线路
运营商按DNS负载选路实际上就是需要对DNS做代理,SG开启代理后,DNS请求都由本机代理发起,无法重新在驱动代理
• SG开启代理模式下,不支持应用选路(不支持TCP代理,效果不行)
SG代理情况下,请求都是本机发起,从local_out做snat发包。TCP路由模式下做路由转发时与本机发包流程不同,本机发包在local_out时已经选好路了,无法再重新选路
默认负载策略
- 负载策略
• 禁用默认负载策略
• 优先使用优先级最高的线路
• 极高、高、中、低、极低
• 可配优先保障用户走高优先级链路
• 可配哪些应用不重要优先被调度到低优先级链路
• 按运营商负载
• 静态就近性
• 可配,将DNS请求负载到多条线路(如果不启用配置,默认走第一条线路)
• 依据目的ip将流量引导到对应链路
• 可配不负载的链路
• 剩余带宽
• 带宽比例
• 平均分配
- 线路繁忙
• 上行或下行任一方向达到繁忙阈值
优先负载策略
- 指定线路
• 备用网口
• 当指定线路失效后的逃生机制
- 多线路负载
• 剩余带宽
• 按权值比例分配流量,选择流量权值比最小的链路
• 带宽比例
• 每条链路按照权值比例选择,权值大选中的机会大,权值小的选中的机会小。链路的权值以链路的带宽为基准
• 平均分配
• 每个链路机会均等,依次被选中
• 优先使用前面线路
• 实现链路备份,比如有链路一,链路二,链路三,将找到第一个存活链路作为出口
- VPN专线互备
• 当选定线路不可以时将走VPN线路
注意
- 主主模式不会同步网络相关配置。链路负载和DSCP这些都是属于网络配置。只会在单个节点生效。
- 开全局排除、直通,链路负载功能不丢包,功能依然生效的。
- 链路负载不支持告警
- SG开启显示代理或开启SSL解密的情况下,不支持链路负载。
- 应用选路场景,部分应用做了识别细分,每一个细分应用人为是一个应用,一类应用建议全部勾选,否则,会影响选路效果,例如微信、Facebook
12.0.41:DNS代理
使用场景
- 重定向DNS请求到DNS服务器
- 重定向DNS请求到某一链路
- 解析为IP
- 丢弃对应解析请求
支持部署模式
- 路由
• 网口
- 网桥
• 虚拟线路
DNS配置
- 部署模式
- 网口配置(WAN)
- 流量管理-线路配置(虚拟线路)
- 重启网络服务生效
DNS代理策略
- 代理条件
• 自定义域名最多支持填写64个除非使用自定义URL
- 代理策略(动作)
优先级
- 直连路由
- 静态路由
- 动态路由
- DNS代理[重定向至指定线路]
- 优先负载策略
- 默认负载策略
- 默认路由
DNS代理逃生/健康状态检测
- 没有启用链路负载
• 走默认路由
- 启用链路负载
• 走默认路由
- 默认路由可配置多条
• 线路故障检测判断默认路由是否生效
注意
- 网桥下DNS检测是从dmz口发包出去检测,部署场景需要保障dmz口发包可以到达出口
- DNS代理不生效则注意检查全局排除、直通
AC-PT(统一认证中心)
组件
分支AC
认证中心AC-PT
总部BBC【可选】
域控制器LDAP【可选】
认证流程
认证托管
分支AC
- 添加认证托管配置
认证中心
- 添加认证控制器:深信服设备
• 默认端口390
• 密钥
- 认证策略
• 与AC一致
• 选中设备
- 开放LDAP接口服务
• 使得BBC可以获取到组织结构
BBC
- AC添加集中管控
- BBC和认证中心配置
- 分支和认证中心对接配置
• 认证中心端口390
• 重定向端口80
• LDAP服务端口389
• 会被下发到AC
注意事项
- 开启认证托管后不支持开启主主模式
- AC作为认证中心不能接入BBC
全网行为管理
AC原有功能+认证中心功能+准入功能(入网认证+终端检查+内部权限控制)
升级路线
12.0.26(改后台)、12.0.29(直接升级)支持升级到全网行为管理
产品定位
你是谁
你安全吗
你有哪些权限
准入、审计、杀毒
- 准入
• 非法外联检测
• 802.1X准入
• U盘管控
• 数据拷贝审计
• 终端识别
• 基线检查
- 审计
• https审计
• 微隔离
• IM/OA/邮件/内容/附件
• 业务的审计
• 访问内容
• 访问趋势
• 访问账号
• 访问行为
• 异常行为
• 大量下载
• 账号共享
• 账号爆破
• 越权访问
• 弱密码
• 特权账号
- 杀毒--结合EDR二合一的准入插件
认证
802.1x -- 基于交换机端口
- 802.1X协议相关
• 原理
• 认证框架
• 链路层认证框架
• 准入设备
• 客户端
• 认证服务器
• 应用协议
• 有线以太网802.3
• Extensible Authentication Protocol Over Ethernet(EAPoE)
• 无线WLAN802.11
• 其它链路层协议(PPP)
• 认证类型
• EAP作为认证协议传输认证信息
• 常见认证类型(EAP)扩展认证协议Extensible Authentication Protocol
• EAP-TLS
• EAP-TTLS
• EAP-PEAP
• EAP-LEAP
• EAP-SIM
• EAP-AKA
• 基本概念
• 认证模式
• 基于接口
• 基于MAC
• 认证方式
• EAP终结
• EAP透传
• EAP报文是否转发到radius服务器
• 端口控制方式
• 自动识别
• 强制授权 -- 转发
• 非强制授权 --不认证、不转发
• 是否允许非认证协议相关数据传输
- 全网AC
- 配置
- 排障
MAC认证 -- 基于MAC
- 场景
• 哑终端
• 特殊用户mac免认证
- 原理
• 提取终端的MAC地址作为身份认证凭据进行认证
- 配置
- 排障
定义网口
- 认证口
• 认证口非必须,当管理网络和业务网络严格分开时需将认证口映射到公网,供分支AC接入认证中心托管时需配置认证口
• 注意认证口的属性为WAN属性,部分端口不开放,所以纯内网的情况下只用管理口即可,
- 管理口
• 终端管控功能,准入客户端必须连接管理口才行
- 镜像口
• 旁路重定向认证和审计的场景需要配置镜像口,终端检查策略无需镜像。
• 802.1x认证部分,通过RADIUS计费报文和二层流量触发上线的场景不用做镜像
• 跨三层取MAC时需要配置镜像
审计
支持审计类型
- 业务审计
- SMB审计
• 用户登录/注销
• 删除目录
• 重命名目录,重命名文件
• 上传文件,下载文件
• 删除文件
- FTP审计
• 用户登录/注销
• 创建目录,删除目录,重命名目录
• 上传文件,下载文件
• 重命名文件
• 删除文件
外设审计
- 审计颗粒度
• U盘插入、U盘拔出
• 拷贝文件到U盘、移动文件到U盘
• U盘中修改文件
• 不支持Windows7以下
- 管控颗粒度
• 实现方式
• 设备管理器启用、禁用,被占用时进程钩子判断有读写操作时返回设备不可用
• 组策略方式(域用户、家庭版无组策略)则使用设备禁用方式
• 不支持Windows7以下
• U盘精细化管控
• 拒绝--不允许使用U盘
• 可读--允许使用U盘,但是不能向U盘写入内容(可以copy文件出来,U盘里打开文件)
• 可读写--等同于不控制
• 告警--对于U盘的插入进行告警,需要启用设备的事件告警功能
• 便携设备精细化管控
• 允许--等同于不控制
• 禁用--禁止接入
• 告警-接入后进行告警,需要启用设备的事件告警功能
- 离线审计
全网终端监控
价值
- 感知接入终端类型(PC、移动设备、打印机、摄像头、设备哑终端、交换机、路由器)
- 操作系统、厂商、开放端口
IP管理
- 最大显示1024个C段
- IP状态
• 未使用
• 长期离线(默认30天未扫描存活)
终端扫描
入网用户管理
管理已经通过设备认证的在线用户
近7天入网失败用户
网络故障排查
网口丢包
- rx_crc_errors:数据包传输物理层故障
ARP异常
- 网关存在arp无回复或回复异常
- 单臂或路由模式生效
PPS异常
- packs per second超限会造成设备所有控制和审计功能失效
- 默认关闭,网桥模式生效
分时上网
切换方式
- WEB方式
• 切换网络需要浏览器访问自定义网络的内容才能触发切换
- 认证助手(准入客户端)方式
策略
具有分时权限的准入客户端每5分钟发送请求到AC获取网络列表,用户断开重认证会显示分时策略选择界面
- 默认策略是内置互联网策略
- 如无选择界面,检查登录用户是否有分时访问权限
- 如分时上网网站包含https网站,则需开启ssl中间人解密或https重定向
HTTPS重定向模块
业务场景
- 认证HTTPS重定向
- 上网策略HTTPS重定向
- 准入HTTPS重定向
实现方式
- SSL中间人代理
当PC发起的请求,全网行为管理AC (Access Control )伪装成服务器跟PC进行TCP三次握手后SSL握手,同时AC跟真正的服务器进行TCP三次握手后SSL握手。相当于AC自己维护了两个请求,一个是PC跟AC的,另一个是AC跟真正服务器的。因为中间人代理后,AC完成了SSL握手,因此SSL加密后的东西对于AC来说就是明文的,所以才可以HTTPS进行重定向(其实最主要的是,解密后可以做审计什么的)
• AC类似AD7层负载,维护2段TCP连接
• 路由和网桥模式下该场景是使用中间人代理重定向
- Client Hello方案
PC发起的TCP三次握手,AC不做控制,在PC的Client Hello到达AC的时候,如果满足需要重定向的条件,如未认证需要重定向到认证页面,则AC伪装为服务器跟PC完成SSL三次握手,等待真正的HTTPS请求过来的时候,AC再回重定向报文,完成重定向的整个过程。过程其实跟中间人代理类似,只是没有维护两边的连接。
• 13.0.7以上新增,默认关闭,消耗性能低端设备禁止开启
• 路由、网桥模式
• 需要自定义根证书,加密算法至少采用SHA256或ECDSA,否则SHA1算法根证书浏览器判断算法弱而拒绝请求,无法重定向。
• iOS系统(13.x及以上系统)macOS10.15以上系统,证书必须使用2048位的密钥颁发证书(密钥长度会越长,性能消耗越多)。
- TCP SYN劫持
• 无特殊配置,旁路模式部署时认证和准入的HTTPS重定向默认使用该方案。
• 需要安装根证书,
排错
- 是否对该IP和访问的域名开启了全局排除
- SSL协议不兼容(SSL2.0、SSL3.0、TLS1.3)AC的上网故障排除看到被驱动拦截了,但没有重定向页面
- HTTPS的请求正常是443端口会有“Auth policy logic(Acode) dropped HTTPSredirect”的丢包日志的
- 重定向的前提:必须能够被上网策略拦截
- 违规终端是否已经被识别为WindowsPC(这个很重要)
认证
单点登录
深信服认证转发
其它深信服设备将认证信息发给AC的UDP1773端口,实现终端用户自动通过AC认证上线。端口:默认通信端口是1773(AF7.0以上版本接收端口是1775)转发的用户信息:用户名和ip地址支持认证转发的设备:AC,AF,WAC,这三种设备之间能够进行转发,AF只能接受认证转发信息AF的认证策略可以配置为:认证策略:配置不需要认证/单点登录或者是密码认证/单点登录认证选项:使用域单点登陆,AF不需要配置外部认证服务器,AF地址在AC配置深信服认证转发时已配置
- 认证转发同步用户名和ip地址
- 本地密码认证,外部密码认证,手机短信验证,单点登录,dkey认证信息
微软AD域单点登录
脚本方式
• 登录脚本
logon.exe登录脚本并产生登录日志放在本地电脑下的%appdata%\Roaming\.logon\login.log中,脚本同时会将日志信息上报给AC的udp1775端口,从AC上线
• udp1775
• 注销脚本
当PC关机或注销时,logoff.exe注销脚本自动运行并产生注销日志放在本地电脑%userprofile%\logout.log中,脚本同时将注销日志信息上报给AC的udp1775端口,从AC下线。
• udp1775
- AD域集成WINDOWS身份验证(IWA)
PC 登录域后,PC再打开浏览器访问网站,此时PC会将认证的票据信息上报给AC的2.3.4.5的80端口,AC收到票据信息后,将PC在AC上上线。
• 需要访问网页
• 连接AC 2.3.4.5:80端口
- AD域单点登录免插件模式
AC上开启域监控单点登录,当PC成功登陆域后,AC会主动到AD域控制器上检索域上的eventlog日志,以获取登录的用户信息。从而放通PC在AC上线。 注意:11.0之前版本需要内网找一台PC机专门安装ADSSO程序来实时监控AD域上的登录信息再上报给AC,11.0版本已将此程序合入到设备内
- 监听方式
AD在AC内网方向,内网PC登录AD的过程不经过AC。此时需要在交换机上将AD的流量镜像给AC,AC配置监听口。当PC通过AD域服务器认证时,认证数据被AC/SG设备监听(UDP88端口),同时通过AC认证
• AD域与PC通信不经过AC
• 监听UDP 88端口
数据库登录
AC/SG会定时通过数据库的select查询语句从数据库获取已通过第三方认证系统认证或注销的用户,对获取的用户自动在AC上线认证或下线注销
- oracle
- MS SQLserver
- DB2
- Mysql
H3C CAMS服务器
WEB单点登录
AC监听PC和WEB认证系统之间的认证交互过程 ,当PC通过WEB认证系统认证时,自动通过AC认证上线web单点登录post提交表单方式中只支持http post方式提交帐号,其它方式(https加密,或http get方式提交参数)则不支持
- HTTP协议POST方法提交
PPPOE单点登录
在AC/SG设备监听PPPOE拨号的数据包,提取拨号用户名,实现单点登录认证和注销。拨号服务器需要部署在设备wan口方向
- 拨号服务器需要部署在设备wan口方向
配置协议剥离。因设备部署在pppoe客户端和拨号服务器之间,这里的流量是PPPOE封装,需要开启协议剥离才能识别如果网络环境中由其他协议的数据包封装PPPOE的数据,则也要开启其他协议的协议剥离,如pppoe外层再由vlan封装,则需要同时开启vlan和pppoe协议剥离才能识别
- PPPOE用户注销AC不会同步注销用户
在认证高级选项中选中注销最早登录的用户,并以当前IP认证上线
- 网桥或旁路模式生效,路由模式不生效
外部认证
LDAP 认证
- 支持类型
• Microsoft AD
• Open LDAP
• Sun LDAP
• IBM LDAP
• Lotus LDAP
• Novell LDAP
• Other LDAP
- 独立域填写389端口
- 父子域填写3268端口,父域地址
RADIUS 认证
POP3 认证
微信认证
- 显示名为openID,加密后的微信号,每个用户对当前公众号唯一
- 支持路由、网桥模式,旁路模式不支持
- 仅支持透明代理,不支持显示代理
- 全局排除wifi.weixin.qq.com,和苹果相关的域名均需禁用
- 微信认证免认证只对二层环境有效,跨三层需部署跨三层取MAC,强制注销会删除免认证信息,测试免认证需等待流量超时
- 用户漫游免认证:结合SC使用TCP 3021端口同步免认证信息
- 条件
• 认证方式勾选三方服务器
• 认证高级选项 用户未勾选启用dkey
认证功能梳理
认证方式
- 不需要认证
• 一般场景
• 以IP/MAC/计算机做用户名
• 常用场景:IP固定/MAC固定,无实名制要求
• 自注册
• 对应的是“终端注册”
• 常用场景:期望收集到在用终端客户的信息
• 终端提醒
- 单点登录
• 变化点:将SSO认证服务器做到界面可以选择(第三方认证服务器CAS场景使用)
- 不允许认证(禁止上网)
• 一般场景:匹配认证策略的用户不能上网
• 12.0.25以后版本:支持对策略生效用户重定向“不允许认证终端提示页面”——仅支持http重定向
• 不允许认证策略支持“此策略范围内允许免认证”
• 排错注意:换一句话说免认证的用户不匹配不允许认证策略
- 密码认证
• 多用于内部员工
• web/portal认证
• 本地密码认证
• 一般场景
• AC本地建账号,做认证
• 有实名认证需求,但是没有建设外部认证服务器
• 自注册
• 对应的是“账号注册”
• 外部LDAP密码认证
• 一般场景
• 结合AD域认证,常见MS AD域
• 有实名认证需求,有外部认证服务器,有明确的组织结构
• 自注册
• 对应的是“账号注册”
• radius认证
• 结合radius认证服务器,做认证
• POP3认证
• 结合邮件服务器,做认证
• 快捷登录
• 支持微信快捷登录
• 新增微信绑定页
• 支持短信快捷登录
• 需要配置短信通知服务器
• 微信/手机号绑定用户账号后,用微信或手机号获取验证码直接完成认证上网,不需要每次输入账号密码
• 场景1:微信账号绑定免密登录客户使用AD域密码认证,每次上网需要输入AD域的账号和密码完成认证,认证过程繁琐。经常会有人忘记自己的密码找管理员重置密码,给管理员的工作造成一定的负担。为了提高认证易用性和减低管理员的运维负担,采用AD域账号和微信账号绑定的方式,利用微信扫码即可完成认证。用户在第一次上网的时候,在通过AD域密码认证以后扫码绑定微信,后续即可通过微信直接扫码认证
• 找回密码
• 支持手机号找回密码
• 需要配置短信通知服务器
• 支持邮件找回密码
• 需要配置邮件通知服务器
• 忘记密码通过绑定的手机号或绑定的邮件进行密码找回
• 排障
• 短信找回密码,前提是短信通知服务器可用
• 邮箱找回密码,前提是邮箱通知服务器可用
• 绑定认证
• 绑定手机号认证
• 绑定邮箱认证
• 在终端用户的上网账号有绑定手机、绑定邮箱的情况下,终端用户可以使用“账号+密码”、“手机号+密码”、“邮箱+密码”完成密码认证
• Oauth认证
• OA账号认证
• 企业微信
• 有开发者平台
• 阿里钉钉
• 开发者平台
• 口袋助理
• 无开发者平台,未做通知前,先联系马瑞处理
• 场景5:企业微信认证场景现在企业微信和钉钉和口袋助理在企业里使用越来越普遍,使用企业微信的客户在企业微信里相当于已经有一套完整的组织结构和认证体系,希望AC可以借助企业微信实现上网的认证。AC提供和企业微信结合认证的方式来完成认证,上网的时候弹出二维码,通过手机微信进行扫码授权,实现认证。在手机端,弹出认证页面,直接拉起微信进行授权认证。
• 社交账号认证
• 有开发者平台
• Gmail
• 有开发者平台
• Line
• 有开发者平台
• 有开发者平台
• 场景6:社交账号认证场景国外很多网站使用Facebook账号、Twitter账号、Google账号登录。这种社交账号对用户来说非常方便,不需要注册账号即可登录。AC在公共上网场景里也面临类似功能,用户希望能用社交类账号进行认证,特别是在海外,Facebook账号、Twitter账号、Google账号登录非常方便,此版本提供此功能,以满足公共上网场景里使用社交账号的需求。
• 第三方认证系统
• Oauth认证
• 确认第三方Oauth有开发者平台,进行配置
• 定义
• OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权
• 排错
• 检查能否通过oauthservice.net(2.3.4.5)访问AC
•
• 多用于访客
• 短信认证
• 常用场景:访客短信认证
• 短信平台配置位置调整,其他不变,见指导书
• 微信认证
• 新版本无变化
• 新增的快捷登录与微信认证无关
• 二维码认证
• 访客二维码认证
• 丰富了使用场景,请参考测试实施指导书
• 会议室二维码认证
• 新增场景,小范围用网场景使用,不限于会议室
• 场景4:会议室认证场景客户举行一次会议,邀请了合作伙伴来 公司开会,为给合作伙伴好的印象,需要一种友好的认证方式,同时防止非会议人员蹭网,造成额外的麻烦。通过会议室二维码的方式,为此次会议生成特殊的二维码贴在会议室里,访客通过扫描二维码,备注自己的信息即可完成登录注册
• 注意事项
• 认证前,终端做过NAT后数据经过AC/SG场景不支持二维码认证。
• 一条认证策略,只能关联一个访客二维码认证服务器
- 认证日志
• touch日志标签文件:【略】
• 【略】目录下,查看对应的上线失败的日志
免认证
- MAC免认证
• 限制登录
• 为什么要在免认证说限制登录
• ——12.0.25以前,AC认证逻辑结构中,MAC绑定和免认证之间逻辑关系不清晰——12.0.25以后,免认证绑定以后 ,这个账号还可以使用其他未绑定的IP、MAC做认证;限制登录绑定以后,这个账号就只能在绑定的IP或MAC下完成认证
• 共同点
• ——免认证和限制登录可以在认证策略配置、可以在用户绑定手动录入、可以在自注册时候绑定
• 区别
• 免认证:绑定目的为免认证则表示匹配到这条记录的终端能够免认证上线用户认证后,不需要每次都做认证;
• 限制登录:绑定目的为限制登录的记录则表示当前的账号只能在IP、MAC的终端上使用,同时该终端也只能使用当前账号进行认证。用户只能在某个范围内进行认证;
• 免认证和限制登录:绑定目的为免认证且限制登录则表示同时具有免认证和限制登录的功能。用户只能在某个范围内认证,且认证后不需要每次都做认证。
• 如果终端用户能够同时具有免认证功能和限制登录功能的绑定记录,则免认证功能优先生效
• 不同认证方式怎样结合免认证?
• 见测试实施指导书
- cookie免认证
• 无变化,不赘述
用户管理
- 组/用户
• 新增用户可以配置手机号/邮箱
• 支持配置用户绑定
• 支持配置免认证、限制登录
- 通知设置
• 全局短信通知功能
• 1.【系统管理】->【系统配置】->【高级设置】-【通知设置】中可以进行短信网关配置和短信模板内容配置
• 2.在短信通知配置中“验证码通知”配置用于所有需要发送短信验证码的功能,此配置为全局配置,所有发送短信验证码的功能均使用此模板和短信网关
• 3.在短信通知配置中“自注册审批”配置用于在账号自注册、终端自注册审批功能
• 4.在短信通知配置中“新终端审批”配置用于在新终端登录功能
• 全局邮件通知功能
• 1.【系统管理】->【系统配置】->【高级设置】-【通知设置】中可以设置发送邮件服务器和邮件内容模板配置
• 2.在通知内容中“认证验证码通知”配置用于所有需要发送验证码的功能
• 3.在通知内容中“自注册审批”配置用于在账号自注册、终端自注册审批功能
- 用户自服务
• 自管理
• 新增功能
• 场景3:自管理场景自管理当前版本主要做了个人信息的自管理和终端的自管理。个人信息的自管理主要是用户可以自己修改自己的个人信息,比如密码、手机号码、邮箱等个人信息。终端管理主要是为了让用户可以自己管理管理自己的终端设备。当前一个用户有多个终端的情况越来越多,终端的绑定和删除都要找管理员,给管理员造成很大的负担。通过自管理终端,一个用户可以自己管理自己的终端,绑定新的终端,删除不需要的终端。当然,管理员可以设置修改终端信息是否需要审核,如果需要审核也是要经过管理员审核才生效。
• 自注册
• 新增功能
• 自动化管理场景
• 场景2:自注册场景客户为了实现实名审计,需要在用户上网的时候进行认证,但没有一套完整的账号系统。通过自注册+注册审核的方式,管理配置好注册规则,比如需要填写什么信息,什么信息必须要填写等,用户上网的时候按照管理设置好的规则填写自己的信息,完成以后管理员进行审核,审核通过以后录入组织结构,实现账号的建立,减轻管理员负担
• 用户/终端重定向页面,收集用户信息
• 账户注册
• 用户认证与管理
• 「认证策略」-「不需要认证」-「自注册获取」
• 「认证策略」-「密码认证」-「启用自注册」
• 「用户自服务」-「用户自注册」
• 哪些认证方式支持账户自注册
• 本地密码认证、外部认证服务器密码认证(包括微信/短信快捷登录)
• 注意
• .一个手机号只能注册一个账号,重复注册提示如下
• 个人信息中心
• 1.如果已经在设备在线用户列表中上线的终端,在浏览器中直接输入“HTTP://设备IP/”访问设备web页面根路径,则不需要认证直接跳转到个人中心页面
• 2.如果没有在设备在线用户列表中上线的终端,在浏览器中直接输入“HTTP://设备IP/”访问设备web页面根路径,则需要先输入密码,认证通过之后才能访问个人中心页面
• 3.在个人管理中心页面,终端用户可以自己修改当前账号的绑定手机、绑定邮箱、密码等信息
• 4.在个人管理中心页面,终端用户可以查看到当前账号的终端绑定关系
• 5.如果设备的【认证高级选项】中开启了“允许用户修改绑定终端信息”开关,则终端用户可以修改当前账号的绑定终端信息
• http://ACIP/homepage/index.html?_FLAG=1
• 审批功能
• 1.管理员可以在审批页面中对账号自注册、终端自注册、新终端登录的记录进行审批2.审批通过表示同意注册行为,相应的记录会录入到设备中3.拒绝通过则表示不同意注册行为,相应的记录不会录入到系统中。
• 不是二维码认证审批人的概念,不要混淆
功能变化细节点
- 管理员配置新增手机号属性
• 1.管理员关联了手机号码,可以通过手机号接受自注册、终端注册、终端绑定的审批通知
- 在线用户列表新增显示用户MAC地址功能
• 字段默认不显示,可以通过显示列内容的配置打开
- 认证策略的【认证后处理】->【高级选项】中新增此策略范围内不允许免认证开关
• 开启功能开关则表示当前策略访问内的用户,不能使用免认证功能
- 新增认证策略配置对话框中显示已经开启的单点登录功能列表
- 在单点登录失败中配置跳转SSO服务器则表示单点登录失败的用户会直接跳转到配置的SSO服务区上进行认证
- 自动化获取MAC地址功能回来了,只支持单个IP地址,不支持IP地址范围
- 新增新终端录入绑定需要审批功能
认证控制器
统一认证中心
内网准入
- 客户/项目宣传内部准入方案,三层内网准入匹配功能是AC的认证功能
- 二次内网准入
• MAB功能 mac旁路认证
• AC-radius服务器功能,计费端口匹配该功能
• 交换机需要支持802.1X、MAB功能
- 802.1X协议
开启/关闭/刷新查看认证日志
- 【略】
无线升级
- 【略】
认证助手
- 认证客户端不支持免认证用户注销ps.用户绑定后在客户端点击断开连接会弹出警告该用户不允许注销
- web认证页面(个人管理中心)支持免认证用户注销,注销后认证助手会重新认证,故注销免认证用户需先删除用户绑定
- 自动认证场景属于不需要认证用户,不支持注销
- mac、linux、移动终端均无法安装
- 密码认证和自动认证功能需要准入插件找到ACAC TCP 82端口
微信认证
cfs、zookeeper是什么?是集群配置同步工具,分布式集群需要把配置下发到每台主机,保证每台主机读取到相同的配置。目前只有虚拟存储的配置切换到zookeeper上来,而aSV、aNET的配置还是在cfs上面zookeeper替代cfszookeeper稳定性更好,cfs进程容易卡死,而zookeeper比cfs稳定很多带来的好处:
安卓
- 三星、华为
• 关闭WiFi+
• 访问非https网页,例如手动输入qq.com
- 非三星、华为
• 访问非https网页,例如手动输入qq.com
苹果
- iphone
• 安装了360手机卫士、腾讯手机助手、WiFi万能钥匙等软件,卸载后重启手机
- ipad
• 使用二维码认证
AC授权相关
不能动0、2口(以及CPU硬件信息),网口交换将导致所有序列号会失效需要重开序列号//交换网口为敏感操作不建议随意操作
12.0.41用户自助激活
在线授权中心授权:https://license.sangfor.com.cn/
- 离线授权文件下载
- 使能在线自动激活
- 本地触发主动请求授权文件
注意
- 更新授权不影响网络
- BBC不支持12.0.41授权下发
- vAC授权方式不变
- 技术支持服务仍以发货时间为准,后续改进
版本
cat /app/appvsione
正式版本最后一位是1,如果是0那就是测试版本
KB包---自动在APPVERSION添加2行信息,support-build和后面的KB-AC意味着这是一个AC的KB包,而不是定制包。
custom-build 20140722-203818 support information support-build cti support xuzeng 20140722-203818 007 TD12764 KB-AC-20140603-201-02
