本帖最后由 ◇◆□乱拳打死老司机□◆◇ 于 2017-9-27 14:38 编辑
一、【终端接入管理】又包含【共享接入管理】和【移动终端管理】: 随着平板、手机等智能终端的流行,公司内部员私自拉一些无线AP, 无线路由器接到网络中使用,甚至通过代理软件、IE代理等等软件来突破网络限制,不仅会带来公司网络安全问题更会影响员工工作效率,给内网管理造成风险和不便,现希望使用了终端接入管理功能能实现不同终端接入网络后的管理,识别各终端的接入以及代理上网的行为,预防各终端设备接入引起的安全漏洞导致网络泄密等安全问题。
共享接入管理:
1、如图【共享接入管理】的适用场景: ①场景一:电脑IP1和IP2通过proxy服务器代理上网 ②场景二:电脑接入随身wifi(如360随身wifi),终端通过随身wifi共享上网。 ③场景三:内网私接路由器,终端通过路由器NAT上网
2、【理解共享接入管理的作用】:用于检测内网用户代理他人上网的行为,可以设置单IP或者单用户允许的最大终端数。当检测到共享上网行为并且超过最大终端数时,可以冻结此IP或用户,也就是AC通过识别一个IP下面有多个终端流量来实现共享上网检测。
如下图中配置详解: ①统计所有终端:可识别PC与PC,PC与移动终端,移动终端与移动终端之间的共享); 当终端数量达到3台以上将冻结5分钟(这边数量和时间可以自己调整); 允许例外情况:满足条件时不会冻结。例如:终端数达到2 台,单IP下允许1台PC和1台移动终端接入时,只记录共享,不进行拦截,超过将冻结;如图配置:
②启用共享接入管理的效果,如图被检测到共享上网的用户:
最近一周发现的共享上网趋势图: 发现趋势:可以选择统计最近7 天或者最近30 天共享上网的用户数。统计方式可以选择按源IP 统计或者按用户名统计
也可通过日志中心查看最近详细的共享上网趋势图:
下面共享上网的终端用户打开网页将收到这样提示,如图:
③当想放通个别用户不冻结和封堵,可以使用信任列表,如图: 【信任列表】:加入信任列表的用户、用户组和IP,不做共享接入检测。 也可新增自定义ip,一行一个ip即可,如图: 通过这个功能就可以满足以上我们的需求,从此跟私接小路由、代理软件上网说拜拜了。
常见问题分析:共享接入管理的注意事项,如下三点会导致误判; 测试PC和PC之间,移动终端和移动终端之间,PC和移动终端之间的共享行为。 ①手机插电脑上充电:这种场景下,手机会自动通过电脑发包出来的(手机只要连接到电脑,会有个默认选项,自动通过电脑的网络发送流量。 可以在手机插入电脑后,再去关闭这个选项,但是实际上这个时候再去关闭,流量已经发送出来了),从我们防共享检测的原理来讲,设备会检测到同一个IP的不同终端流量 ②虚拟机:AC会检测到不同操作系统 ③电脑上安装移动终端模拟器:这种场景下,电脑上也会发出移动和PC两种流量的数据包
其次防共享无法识别问题: ①检查规则库是否是最新的,如果不是则更新规则库到最新(建议设备版本也是最新) ②确认部署是否正常,数据要双向经过设备,网桥部署不能接反线。 ③不能选择qq.com 或者https 的网站来测试防共享功能(防共享对qq.com相关网站和https网站不做识别) ④假如:一台路由器下面接了两台终端,要先确认路由器的IP是否加入了全局排除,是否加入防共享的信任列表,是否开了直通。
二、【理解移动终端管理的作用】:主要对内网移动端上网的管理也就是手机端,用于检测和封堵不受信任的移动终端接入网络。移动终端的数据包有区别于PC端,通过数据包来检测。 【移动终端管理适用场景】:公司内部员工自己拿一些无线AP接入公司有线网络,手机再通过无线AP接入公司网络,这样会导致内网信息泄露,希望通过移动终端管理识别无线智能终端的接入,防止无线终端接入带来的安全隐患。
①当发现有移动端的流量接入时将冻结此终端,效果如图,启用之后检查到的移动终端用户:
②配置完成后,当有移动终端流量接入并经过AC时,会被AC识别并拦截,且终端提示如下:
③这边也可以设置邮件告警,当有移动终端风险流量经过将会收到邮件提醒,点击需要配置邮件服务器,这边不做配置。
④移动终端管理是全局开关,开启后:只要识别为共享行为的,会统一处理(如封堵),如果有个别用户是允许接入移动终端,应该怎样处理? 可以通过下面的方法将例外用户或IP地址添加至信任列表,信任列表中的用户不作处理,如图:
⑤发现趋势:可以选择统计最近7 天或者最近30 天移动终端的用户数。统计方式可以选择按源IP统计或者按用户名统计
也可通过日志中心查看最近详细的移动终端上网趋势图:
移动终端管理常见问题分析: ①手机端被识别成了PC端(比如Windows):这个需抓包分析手机发出数据包的UA 字段,看是否带有Window特征 ;也可以检查手机浏览器(在浏览器设置里面)是否可以更改UA 字段,若有更改成手机版 ②终端类型显示“正在识别和未知类型”:可能是终端访问的应用并没有带UA字段(只有在使用UC浏览器,登录微信看好友动态,登录QQ看好友动态才会带上终端手机型号类型),或者共享行为没有识别到手机的具体型号没触发这类型的应用。其次:就需要抓包来分析用户产生的流量去是否带有user-agent 字段,来判断终端类型,只有用户上网的数据中带有这种字段才能识别出来。 | 
发表于 2017-9-27 14:38
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
