AC终端接入管理使用案例
  

◇◆□乱拳打死老司机□◆◇ 7787

{{ttag.title}}
本帖最后由 ◇◆□乱拳打死老司机□◆◇ 于 2017-9-27 14:38 编辑

一、【终端接入管理】又包含【共享接入管理】和【移动终端管理】:
随着平板、手机等智能终端的流行,公司内部员私自拉一些无线AP, 无线路由器接到网络中使用,甚至通过代理软件、IE代理等等软件来突破网络限制,不仅会带来公司网络安全问题更会影响员工工作效率,给内网管理造成风险和不便,现希望使用了终端接入管理功能能实现不同终端接入网络后的管理,识别各终端的接入以及代理上网的行为,预防各终端设备接入引起的安全漏洞导致网络泄密等安全问题。

共享接入管理:
1、如图【共享接入管理】的适用场景:
①场景一:电脑IP1和IP2通过proxy服务器代理上网
②场景二:电脑接入随身wifi(如360随身wifi),终端通过随身wifi共享上网。
③场景三:内网私接路由器,终端通过路由器NAT上网

2、【理解共享接入管理的作用】:用于检测内网用户代理他人上网的行为,可以设置单IP或者单用户允许的最大终端数。当检测到共享上网行为并且超过最大终端数时,可以冻结此IP或用户,也就是AC通过识别一个IP下面有多个终端流量来实现共享上网检测。

如下图中配置详解:
①统计所有终端:可识别PC与PC,PC与移动终端,移动终端与移动终端之间的共享);
当终端数量达到3台以上将冻结5分钟(这边数量和时间可以自己调整);
允许例外情况:满足条件时不会冻结。例如:终端数达到2 台,单IP下允许1台PC和1台移动终端接入时,只记录共享,不进行拦截,超过将冻结;如图配置:

②启用共享接入管理的效果,如图被检测到共享上网的用户:

最近一周发现的共享上网趋势图:
发现趋势:可以选择统计最近7 天或者最近30 天共享上网的用户数。统计方式可以选择按源IP 统计或者按用户名统计

也可通过日志中心查看最近详细的共享上网趋势图:

下面共享上网的终端用户打开网页将收到这样提示,如图:

③当想放通个别用户不冻结和封堵,可以使用信任列表,如图:
【信任列表】:加入信任列表的用户、用户组和IP,不做共享接入检测。
也可新增自定义ip,一行一个ip即可,如图:
通过这个功能就可以满足以上我们的需求,从此跟私接小路由、代理软件上网说拜拜了。

常见问题分析:共享接入管理的注意事项,如下三点会导致误判;
测试PC和PC之间,移动终端和移动终端之间,PC和移动终端之间的共享行为。
①手机插电脑上充电:这种场景下,手机会自动通过电脑发包出来的(手机只要连接到电脑,会有个默认选项,自动通过电脑的网络发送流量。 可以在手机插入电脑后,再去关闭这个选项,但是实际上这个时候再去关闭,流量已经发送出来了),从我们防共享检测的原理来讲,设备会检测到同一个IP的不同终端流量
②虚拟机:AC会检测到不同操作系统
③电脑上安装移动终端模拟器:这种场景下,电脑上也会发出移动和PC两种流量的数据包

其次防共享无法识别问题:
①检查规则库是否是最新的,如果不是则更新规则库到最新(建议设备版本也是最新)
②确认部署是否正常,数据要双向经过设备,网桥部署不能接反线。
③不能选择qq.com 或者https 的网站来测试防共享功能(防共享对qq.com相关网站和https网站不做识别)
④假如:一台路由器下面接了两台终端,要先确认路由器的IP是否加入了全局排除,是否加入防共享的信任列表,是否开了直通。


移动终端管理:
二、【理解移动终端管理的作用】:主要对内网移动端上网的管理也就是手机端,用于检测和封堵不受信任的移动终端接入网络。移动终端的数据包有区别于PC端,通过数据包来检测。
【移动终端管理适用场景】:公司内部员工自己拿一些无线AP接入公司有线网络,手机再通过无线AP接入公司网络,这样会导致内网信息泄露,希望通过移动终端管理识别无线智能终端的接入,防止无线终端接入带来的安全隐患。

①当发现有移动端的流量接入时将冻结此终端,效果如图,启用之后检查到的移动终端用户:

②配置完成后,当有移动终端流量接入并经过AC时,会被AC识别并拦截,且终端提示如下:

③这边也可以设置邮件告警,当有移动终端风险流量经过将会收到邮件提醒,点击需要配置邮件服务器,这边不做配置。

④移动终端管理是全局开关,开启后:只要识别为共享行为的,会统一处理(如封堵),如果有个别用户是允许接入移动终端,应该怎样处理?
可以通过下面的方法将例外用户或IP地址添加至信任列表,信任列表中的用户不作处理,如图:

⑤发现趋势:可以选择统计最近7 天或者最近30 天移动终端的用户数。统计方式可以选择按源IP统计或者按用户名统计

也可通过日志中心查看最近详细的移动终端上网趋势图:

移动终端管理常见问题分析:
①手机端被识别成了PC端(比如Windows):这个需抓包分析手机发出数据包的UA 字段,看是否带有Window特征
;也可以检查手机浏览器(在浏览器设置里面)是否可以更改UA 字段,若有更改成手机版
②终端类型显示“正在识别和未知类型”:可能是终端访问的应用并没有带UA字段(只有在使用UC浏览器,登录微信看好友动态,登录QQ看好友动态才会带上终端手机型号类型),或者共享行为没有识别到手机的具体型号没触发这类型的应用。其次:就需要抓包来分析用户产生的流量去是否带有user-agent 字段,来判断终端类型,只有用户上网的数据中带有这种字段才能识别出来。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

蟲爺 发表于 2023-3-5 21:52
  
感谢分享
yl2352 发表于 2018-4-3 11:13
  
学习学习
水之蓝色 发表于 2017-12-31 18:51
  
感谢分享!写的很详细,很清楚,给楼主点赞!
2599 发表于 2017-12-31 17:31
  
很棒的文章
YUIYUI 发表于 2017-10-20 09:00
  
非常实用,赞赞赞:666:
feeling 发表于 2017-10-19 20:33
  
不错的分享
骑着蜗牛去旅行 发表于 2017-10-19 14:45
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人