新手378833 发表于 2023-9-15 09:18
  

感谢分享有助于工资和学习!
新手716814 发表于 2023-9-19 09:15
  
感谢楼主分享,学习一下
何茂源 发表于 2023-9-27 13:27
  
感谢分享有助于工资和学习!
新手378833 发表于 2023-9-28 08:47
  
非常有帮助,很有参考价值
新手432540 发表于 2024-3-5 10:08
  
感谢分享!您在获得豆豆的同时,我们获得了知识和成长!
西红柿煮番茄的猫 发表于 2024-9-2 09:48
  
感谢分享,学习一下~
何东升 发表于 2024-9-15 10:08
  
感谢分享,有助于工资和学习!
九天独行侠 发表于 2024-9-19 11:14
  
感谢分享,有助于工资和学习!
#干货满满#记一次AC上架实施-完整流程
  

李会斌 1845910人觉得有帮助

{{ttag.title}}
本帖最后由 李会斌 于 2023-10-19 12:32 编辑

大家好,我又来骗豆豆了。
争取赚取更多的豆豆,辛苦大家评论,转发,打赏。



一、客户网络环境简述


用户为某市一所大学,主要用于检测学校的网络整体运行情况;
在未使用深信服上网行为管理以前,客户很难检测到校园人员游览访问的网站信息情况;
在加上存在用户ip地址规划没有落实情况,老师经常抱怨通过ip地址监管不到用户;
同时,用户私自部署家用路由器等造成网络的环路;
最终决定采用深信服上网行为管控来实现日常管理。




二、八大用户最喜爱的功能

1、设备外观
用户觉得我们深信服设备外观,干净整洁,logo开机以后常亮炫酷;


2、认证策略
用户以前针对ip地址规划以及ip与用户无法绑定造成了烦恼,自从采购了深信服的上网行为管控,客户发现了我们认证功能非常强大,不止可以跟市面上主流的厂商进行认证,还可以自己实现portal认证。
经过专业的介绍了解客户非常喜欢我们深信服上网行为管控功能,并且现场测试了我们多种认证功能效果;
全网身份认证: 创新网端融合认证,支持用户上网认证及终端入网准入认证,实现有线无线统一认证。
丰富的认证方式: 支持30+认证方式,满足员工、访客、哑终端等各种场景接入认证,并支持灵活对接已有的各种认证系统,快速实现身份实名。





3、支持上网行为管控
用户平时很想针对部分员工进行,禁止上班期间的摸鱼活动,通过我们的行为管控功能客户很好的针对购物软件、游戏应用等进行封堵,并进行测试发现就是他想要的效果;
精细化应用控制: 支持应用动作的精细化管控,支持区分登录、上传附件等动作,降低违法风险。
精准的终端管控:通过多种资产识别技术,保障终端类型识别精准快速,并结合终端合规性检测技术实现安全管控,如杀软推送、U盘管控、非法外联控制。





4、流量管控
客户感觉在某个时间段,网络整体流量会使用过大,影响了日常正常的办公,经过了解通过我们上网行为管理的流量管理策略,针对部分应用或者用户做了带宽的分配,保障了日常办公不受影响。


5、终端行为管理
客户针对网络私自连接路由器造成的环路非常困扰,自从知道了我们终端防私接的功能后,网络环境的情况再也没有发生过。

6、可以跟深信服其他设备进行联动
客户了解到我们深信服的设备直接可以进行联动处置,我们跟客户讲解了与防火墙AF、与杀毒EDR、与态势感知SIP之间联动产生的化学反应,用户觉得很喜欢,非常想把网络设备换成我们深信服来实现整体的联动处置。


7、日志查询
客户可以通过日志中心查到到某个时间段,某个人发表的信息,以及访问的网址,便于以后的溯源工作。
全面的网络行为溯源: 支持全场景的网络通道溯源,包括网页浏览、应用流量和业务访问全溯源,针对https加密流量通过网端融合实现无感知溯源。
全路径的数据外发溯源: 支持移动存储、应用文件、网盘、邮件等外发路径溯源,并且终端离网后可持续生效,保障外发行为可追溯。


8、日志分析平台
客户可以通过AC的日志分析平台生成各种分析报告,以便更好的了解网络整体运行情况。



三、AC实施部署
1、设备激活
(1)通过云图在线激活https://license.sangfor.com.cn
(2)给设备连接到互联网设备会自动激活;

2、配置网桥模式部署
(1)管理地址可以写在桥上或者另外启用一个管理接口进行管理设备。

3、配置默认路由

4、配置AD域认证策略

5、配置访问权限策略

6、配置流量管控策略

7、配置链路负载

8、配置多终端防护


四、AC故障排查

问题故障1:
用户登录后,可以在AC上看到ip地址在线,但是电脑无法上网?

备注:若配置跨三层取mac需放通三层交换机mac。

排查步骤1:
(1)在系统管理-系统配置-全局地址排除
在这里排除上网ip地址后设备使用正常;
(2)在全网监控-入网用户查看ip是否在线;
经过查看设备在线,关闭全局地址排除后无法上网,但是ip地址在线;
(3)查看跨三层取MAC发现mac地址不对,删除mac重新认证后正常。
总结:因为外来人员私自配置ip造成了AC识别ip与mac绑定不一致造成无法上网。

问题故障2:
用户配置禁止微信、QQ部分电脑的终端无法禁用?

排查步骤2:
(1)查看应用识别规则库是否是最新?
检查更新后,还是无法禁止使用。
(2)查看故障电脑微信版本。
发现微信是老版本。

解决办法:
协调400工程师,获取老版本定制补丁包后,阻断正常

问题故障3:
测试审计邮件发现审计不生效?

排查步骤3:
(1)查看配置没发现问题
(2)反复测试发送邮件还是没有接受到日志排查AC上网行为日志延迟问题
(3)经过提醒发现测试是通过网页方式,需要开启下图策略

验证效果:
测试正常










20164646f0d96af949.png (296.7 KB, 下载次数: 275)

20164646f0d96af949.png

打赏鼓励作者,期待更多好文!

打赏
84人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
GIF动图学习
功能体验
2023技术争霸赛专题
每周精选
标准化排查
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
安装部署配置
排障笔记本
玩转零信任
答题自测
原创分享
技术晨报
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版热帖

本版达人